Debian 9 ntp server настройка
Точное хронометрирование – очень важный аспект корректной работы многих современных программ. Из-за неправильного времени на сервере могут возникнуть ошибки, и данные могут быть повреждены (например, при обновлении БД или логировании).
В Debian 9 синхронизация времени встроена и включена по умолчанию; за неё отвечает стандартный сервер ntpd, предоставляемый пакетом ntp. Данный мануал ознакомит вас с базовыми командами для управления временем, научит проверять состояние ntpd и устанавливать другие сервисы сетевого времени.
Требования
Для работы вам понадобится сервер Debian 9 и пользователь с доступом к sudo (мануал нужно выполнить в сессии этого пользователя). Все необходимые инструкции по настройке вы найдете здесь.
Основные команды для управления временем
date – основная команда для определения времени на сервере. Любой пользователь может использовать её, чтобы узнать дату и время:
date
Tue Sep 4 17:51:49 UTC 2018
Обычно по умолчанию серверы используют часовой пояс UTC (Coordinated Universal Time) – это всемирное координированное время. UTC последовательно устанавливает время на серверах и минимизирует ошибки в случае если сервера инфраструктуры находятся в разных часовых поясах.
Чтобы изменить часовой пояс, используйте команду timedatectl.
Запросите список доступных поясов:
Перемещаться вниз по списку можно с помощью клавиши пробела, а вверх – с помощью b. Выберите часовой пояс, запишите его и нажмите q, чтобы закрыть список.
Теперь установите часовой пояс с помощью timedatectl set-timezone. Используйте следующую команду, указав в ней требуемый часовой пояс:
sudo timedatectl set-timezone America/New_York
Примечание: Вместо America/New_York укажите необходимый часовой пояс.
Убедитесь, что пояс изменился:
date
Tue Sep 4 13:52:57 EDT 2018
Аббревиатура часового пояса будет отражать новое значение.
Состояние ntpd
По умолчанию для синхронизации времени с пулом внешних серверов Debian 9 использует стандартный сервер ntpd. Проверить его состояние можно с помощью systemctl:
Строка active (running)указывает, что сервер работает правильно. Получить больше информации можно с помощью команды ntpq:
ntpq – это инструмент запросов ntpd. Флаг –p собирает информацию о серверах NTP, к которым подключен ntpd. Ваш вывод будет немного другим, но в нем будут стандартные серверы пула Debian и несколько других серверов. У ntpd может уйти несколько минут на установку соединения.
Переход с ntpd на systemd-timesyncd
Для замены ntpd можно использовать встроенный демон timesyncd systemd. timesyncd – простая альтернатива ntpd, интегрированная с systemd. Однако при переходе следует учитывать, что timesyncd не работает в качестве сервера времени и использует менее сложные методы синхронизации системного времени. Если вы используете сложные распределенные системы реального времени, лучше оставаться с ntpd.
Чтобы перейти на timesyncd, сначала удалите ntpd.
sudo apt purge ntp
Затем запустите timesyncd:
sudo systemctl start systemd-timesyncd
Проверьте его состояние:
Чтобы получить сведения о текущем восприятии времени systemd, введите:
Команда выведет местное время, универсальное время (которое может совпадать с местным, если вы не переключались с часового пояса UTC) и информацию о состоянии времени в сети. Network time on: yes означает, что сервис timesyncd включен, а NTP synchronized: yes указывает, что время было успешно синхронизировано.
Заключение
Теперь вы умеете управлять системным временем сервера Debian 9.
Больше информации можно найти в документации NTP или на сайте проекта NTP Pool.
Мы уже неоднократно поднимали вопрос важности синхронизации времени, особенно сейчас, когда даже в небольших сетях появляется все больше и больше служб критичных к точному времени. Это криптография, системы контроля доступа и видеонаблюдения, кассовые узлы. В этих условиях точности обычных аппаратных часов начинает не хватать и хотя во многих случаях допускается разбег времени не более пяти минут, лучше не ждать пока это случится (как всегда в самый неподходящий момент), а обеспечить свою инфраструктуру собственным сервером времени. В данной статье мы рассмотрим, как это сделать в системах основанных на Debian.
Перед установкой сервера времени убедитесь. что в вашей системе правильно настроен часовой пояс, проверить и изменить его можно командой:
Данную и все последующие команды следует выполнять с правами суперпользователя.
После установки часового пояса обновите список пакетов и установите пакет NTP-сервера:
Пакет работоспособен сразу после установки и конфигурация из коробки достаточно актуальна, но лучше внести в нее некоторые дополнительные штрихи. Для изменения настроек откроем файл /etc/ntp.conf.
И заменим значения на следующие:
В нашем примере приведены настройки для использования российских серверов времени. Ниже зададим настройку для синхронизации с аппаратными часами на случай отсутствия синхронизации с серверами в интернет:
Затем перейдем к списку контроля доступа, который состоит из сетевых адресов отсортированных по возрастанию адресов и масок. Запись по умолчанию - default соответствует адресу 0.0.0.0 с маской 0.0.0.0, если в записи не указана маска, то автоматически подставляется значение 255.255.255.255, что соответствует конечному хосту.
Кроме адресов строки списка содержат флаги, флаги указывают на те или иные ограничения, если строка не содержит флагов - это означает полный доступ к серверу. По умолчанию список контроля доступа, следующий:
Разберем его подробнее. Первые две строки задают значения по умолчанию, т.е. для любых клиентов, в сетях IPv4 и IPv6:
Перечисленные флаги имеют значения:
Под ними расположены строки, дающие полный доступ к серверу локальной системе:
Отсутствие маски указывает на то, что это конечный узел, а отсутствие флагов предоставляет полный доступ.
При необходимости мы можем добавить свои записи, скажем для клиентов собственной сети с меньшим числом ограничений:
Если нужно запретить доступ к серверу времени, то следует использовать флаг ignore. Допустим, мы хотим запретить доступ для всех клиентов доменной сети, кроме эмулятора PDC:
Расположение строк не имеет значения, так как при запуске сервера все адреса будут отсортированы по возрастанию адреса/маски.
После внесения изменений следует перезапустить службу:
Проверить ее статус можно командой:
Состояние синхронизации с вышестоящими серверами можно узнать командой:
Которая выдаст нам следующий вывод:
На что следует обратить внимание? Прежде всего на символы слева от адреса сервера:
- * - сервер выбран для синхронизации
- + - сервер пригодный для синхронизации
- - - синхронизация с этим сервером не рекомендуется
- x - сервер недоступен
Затем на колонку refid - показывающее вышестоящий сервер синхронизации и колонку offset, которое показывает расхождение ваших часов с эталоном, при положительном значении наши часы спешат, при отрицательном отстают.
В колонке st указывается stratum - приоритет сервера, а delay содержит задержку ответа от сервера. Как видим, в нашем случае служба времени выбрала для синхронизации сервер с приоритетом 1, который синхронизируется от GPS-часов, несмотря на более высокий уровень задержки при работе с ним.
Ну и не забудьте разрешить доступ к вашему NTP-серверу в брандмауэре, добавив в правила iptables строку:
При необходимости можно ограничить доступ сетевым интерфейсом:
Как видим, настроить собственный сервер времени очень и очень просто, можно просто установить пакет и работать. Но гораздо лучше разобраться с настройками, хотя бы на базовом уровне, после чего для вас конфигурация NTP перестанет быть "китайской грамотой" и вы будете понимать, как именно работает ваш сервер.
Возможно, вы слышали это слово много раз, а также, возможно, работали с ним.
Тем не менее, я расскажу вам ясно в этой статье о настройке NTP-сервера и NTP-клиента
О настройке Chrony NTP Client мы узнаем позже.
Что такое NTP-сервер?
NTP означает сетевой протокол времени.
Это сетевой протокол, который синхронизирует часы между компьютерными системами по сети.
Он будет сохранять одинаковое время (точное время) для всех систем, которые подключены к NTP-серверу через NTP или клиент Chrony.
NTP обычно может поддерживать время с точностью до десятков миллисекунд по общедоступному Интернету и может достигать точности, превышающей одну миллисекунду, в локальных сетях при идеальных условиях.
Он использует протокол пользовательских дейтаграмм (UDP) на порту номер 123 для отметок времени отправки и получения.
Это клиент / серверное приложение.
Он отправляет и получает временные метки с использованием протокола пользовательских дейтаграмм (UDP) на порту 123.
Что такое NTP-клиент?
NTP-клиент синхронизирует свои часы с сетевым сервером времени.
Что такое Chrony ?
Он может синхронизировать системные часы с большей точностью и может быть особенно полезен для систем, которые не подключены к сети все время.
Зачем нам нужен NTP сервер?
Чтобы все серверы в вашей организации были синхронизированы с точным временем выполнения заданий, основанных на времени.
Чтобы прояснить это, я расскажу вам сценарий.
Скажем, например, у нас есть два сервера (Server1 и Server2).
Server1 обычно выполняет пакетные задания в 10:55, а затем Server2 необходимо выполнить другое задание в 11:00 на основании отчета о завершении задания Server1.
Если обе системы используют в разное время (если одна система опережает другие, другие отстают от этой конкретной), мы не сможем это сделать.
Для этого нам нужно настроить NTP.
Надеюсь, это убрало ваши сомнения по поводу необходимости NTP.
В этой статье мы будем использовать следующую настройку, чтобы проверить работу NTP
СТОРОНА NTP-СЕРВЕРА: Как установить NTP-сервер на Linux?
Не существует разных пакетов для NTP-сервера и NTP-клиента, так как это модель клиент / сервер.
Пакет NTP доступен в официальном репозитории дистрибутива, поэтому используйте его для установки.
Для системы Fedora используйте DNF для установки ntp.
Для систем Debian / Ubuntu используйте команду APT-GET или APT для установки ntp.
Для систем на основе Arch Linux используйте Pacman для установки ntp.
Для систем RHEL / CentOS используйте команду YUM для установки ntp.
Для системы openSUSE Leap используйте Zypper для установки ntp.
Как настроить NTP-сервер на Linux?
После установки пакета NTP убедитесь, что вы раскомментировали следующую конфигурацию в файле /etc/ntp.conf на стороне сервера.
Мы разрешили только клиентам подсети 192.168.1.0/24 получать доступ к NTP-серверу.
Поскольку брандмауэр по умолчанию включен в дистрибутивах на основе RHEL 7, разрешите использование сервера / службы ntp.
Для системы на основе Debian нам нужно запустить ntp вместо ntpd.
Для systemctl систем
СТОРОНА КЛИЕНТА NTP: Как установить клиент NTP в Linux?
Как я уже упоминал ранее в этой статье.
Не существует специального пакета для NTP-сервера и клиента. Итак, установите этот же пакет на клиенте.
Для системы Fedora используйте DNF для установки ntp.
Для систем Debian / Ubuntu используйте команду APT-GET или APT для установки ntp.
Для систем на основе Arch Linux используйте Pacman для установки ntp.
Для систем RHEL / CentOS используйте команду YUM для установки ntp.
Для системы openSUSE Leap используйте Zypper для установки ntp.
Для системы на основе Debian нам нужно запустить ntp вместо ntpd.
Для systemctl систем.
Для системы на основе Debian нам нужно запустить ntp вместо ntpd.
Подождите несколько минут после перезапуска службы NTP, чтобы получить время синхронизации с NTP-сервером.
Выполните следующие команды, чтобы проверить состояние синхронизации сервера NTP в Linux.
Выполните следующую команду, чтобы получить текущий статус ntpd.
Наконец, запустите команду date
Если вы наблюдаете значительное смещение по времени на выводе NTP, выполните следующую команду, чтобы синхронизировать часы вручную с NTP-сервера.
Настройка службы синхронизации времени systemd-timesyncd в Debian GNU/Linux 9 (Stretch)
В составе обновлённой версии systemd, используемой в конфигурации по умолчанию в Debian GNU/Linux 9 имеется отдельная служба, отвечающая за синхронизацию времени локальной системы по протоколу NTP с врешними NTP-серверами - systemd-timesyncd. Поэтому, если нужно настроить синхронизацию времени, например с корпоративными NTP-серверами, нет необходимости устанавливать и настраивать специальные пакеты типа ntp (как это было в прошлых версиях Debian), а достаточно лишь выполнить настройку systemd-timesyncd.
Проверить текущее состояние службы можно командой
Служба будет запускаться в системе автоматически в том случае, если не были обнаружены исполняемые файлы других пакетов, реализующих функции синхронизации времени. Эти исполняемые файлы можно увидеть в конфигурационном файл /lib/systemd/system/systemd-timesyncd.service.d/disable-with-time-daemon.conf
Отредактируем основной конфигурационный файл systemd-timesyncd:
После правки конфигурационной файла перезапускаем службу и проверяем её состояние:
Состояние синхронизации времени можно проверить утилитой timedatectl:
Посмотреть лог службы systemd-timesyncd (как юнита systemd) можно следующей командой:
Если же всё таки возникает необходимость использования других пакетов синхронизации времени, исполняемые файлы которых отличны от тех, что перечислены в disable-with-time-daemon.conf , то можно самостоятельно остановить и отключить службу systemd-timesyncd парой простых команд:
Дополнительные источники информации:
Проверено на следующих конфигурациях:
Автор первичной редакции:
Алексей Максимов
Время публикации: 02.12.2017 14:03
Читайте также: