一、概述

NTP服务器的阶层概念

网络时间按照NTP服务器的等级进行传播，根据离基准时间的远近将不同服务器归纳到不同的层中（Stratum），单个Stratum层的总数限制在15

0层（Stratum 0）：表示高精度设备，例如原子钟、GPS时钟等，0层也称为参考时钟

1层（Stratum 1）：这些设备和0层的设备相连，误差仅为微秒

2层（Stratum 2）：这些设备和1层的设备通过网络相连

依次类推…，时间是按NTP的层级进行传播的（Peer之间是同层级传播）

Ubuntu/CentOS 配置部署时间同步、NTP服务（chronyd，ntpd，ntpdate）插图

NTP服务为C/S架构，NTP客户端请求NTP服务端，通过交互往返的数据包，客户端能够根据这个结果计算出准确的时间，客户端为了保证计算结果的精确度、可靠度，一般建议NTP服务客户端配置最少3个NTP服务器地址

列举部分NTP协议的软件实现

ntpdate：运行一次ntpdate命令，进行一次时间同步（该命令不是守护进程设计）
ntp：NTP协议的实现，可充当NTP Client、NTP Server（守护进程设计）
chrony：一个较新的NTP协议的实现，可充当NTP Client、NTP Server，Chrony相比ntp来说同步时间速度更快，精度更准，也是目前推荐的实现（守护进程设计）

二、ntpdate命令

ntpdate命令是一个客户端NTP程序，该程序并不是守护进程设计，ntpdate软件的绝大部分功能都已在ntpd中有包含，且ntpdate会逐渐进行退役

ntpdate设计用来通过指定的ntp服务器获取时间，并设置本地的时间，ntpdate的准确性、可靠性取决于服务器的数量，轮询查询的次数、间隔（该命令需要root权限执行）

#安装ntpdate CentOS中执行 yum install ntpdate Ubuntu中执行 apt install ntpdate #ntpdate语法如下 ntpdate [ -46bBdqsuv ] [ -a key ] [ -e authdelay] [ -k keyfile ] [ -o version ] [ -p samples ] [ -t timeout ] [ -U user_name] server [ ... ] #ntpdate命令选项解释如下：（可通过man ntpdate查看） -4 仅使用IPv4 -6 仅使用IPv6 -a key 启用认证，并指定认证需要的密钥（默认禁用该功能） -B 强制每次都使用adjtime()系统调用调整时间，即使偏移量+-500ms，默认情况下+-500ms使用settimeofday()，该情况下同步时间可能会超过1-2小时 -b 强制使用settimeofday()系统调用调整时间，而不是使用adjtime()调用来设置时间，在启动脚本中调用可以使用此选项 -d 启用调试模式，ntpdate将会完成所有动作，但是不修改本地时间，打印的输出信息可能会对调试很有帮助 -e authdelay 指定身份验证功能的处理延迟为authdelay，以秒和分为单位，给数字通常足够小，对于大多数用途来说可以忽略不记 -k keyfile 指定身份验证的密钥路径，默认为/etc/ntp/keys，该文件应该采用ntpd中所描述的格式 -o version 指定传出数据包的ntpd整数形式的版本号，可以为1、2，默认为4，该选项允许与较旧的NTP版本一起使用 -p samples 指定从每个服务器获取的样本数，可以是1-8，默认为4 -q 仅查询，不设置clock -s 从标准输出转义日志输出到syslog，这主要是为了方便cron脚本而设计 -t timeout 指定从服务器收到响应的超时时间，可以是秒，分，该值四舍五入为0.2秒的倍数，默认值为1s -u ntpdate为传出数据包使用非特权端口，当处于防火墙背后且知名端口被防火墙阻断时很有用，-d选项始终使用非特权端口 -v 显示更多详细信息 -U user_name ntpdate不使用root权限，并将用户ID更改为user_name，并将GroupID更改为server_user的主要组

ntpdate可以根据需要来手动设置时间，或者设置开机脚本达到每次启动时运行一次，也可以使用cron脚本来周期性运行ntpdate命令（带cron脚本的ntpdate不能替代ntpd，ntpd使用了很多复杂的算法来最大限度提高时间的准确性、可靠性，ntpdate不会约束本地主机的时钟频率，ntpdate的准确性是有限的）

使用ntpdate和NTP服务器同步一次时间 [root@ ~]# ntpdate 172.16.32.254 6 May 10:54:35 ntpdate[2614]: adjust time server 172.16.32.254 offset 0.031896 sec 将同步好的Linux Kernel时间写入BIOS硬件时钟，以便重启后保持时间准确 hwclock -w （可选）可以在cron中设置每2个小时运行一次 0 */2 * * * root /usr/sbin/ntpdate 172.16.32.254 > /dev/null 2>&1

若本机上运行了ntpd服务的话，无法再通过ntpdate命令来设置日期

三、ntpd守护进程、服务

使用ntpd守护能够自动调整时间

#安装ntpd守护进程 CentOS系统中执行 yum install ntp Ubuntu系统中执行 apt install ntp

安装完成之后，该服务可用systemd进行管理

#在CentOS中ntp服务的服务名和Ubuntu中有点不一样 #CentOS中该service文件为 /usr/lib/systemd/system/ntpd.service #Ubuntu中该service文件为 /lib/systemd/system/ntp.service #当使用systemd进行管理的时候，注意名称区别（CentOS中服务名带d，Ubuntu中不带） systemctl enable ntpd.service systemctl enable ntp.service systemctl start ntpd.service systemctl start ntp.service

3.1 ntpd配置文件

ntpd的服务配置文件路径为/etc/ntp.conf，该文件的默认配置如下：

#为了方便查看，这里把配置文件中一些注释行删除 driftfile /var/lib/ntp/drift restrict default nomodify notrap nopeer noquery restrict 127.0.0.1 restrict ::1 # Hosts on local network are less restricted. #restrict 192.168.1.0 mask 255.255.255.0 nomodify notrap #默认配置中配置了4个server字段，已指定了4台NTP服务器的地址 server 0.centos.pool.ntp.org iburst server 1.centos.pool.ntp.org iburst server 2.centos.pool.ntp.org iburst server 3.centos.pool.ntp.org iburst includefile /etc/ntp/crypto/pw keys /etc/ntp/keys disable monitor

该默认配置已经将ntp设置为客户端模式，自动向server字段中配置的服务器进行时间同步

配置文件中的restrict字段的解释：指定可以和本机NTP服务通信的IP地址或网段，如果没有指定任何选项，那么表示客户端在访问本机提供的NTP服务器没有任何限制

ignore：关闭所有的NTP服务
nomodiy：表示客户端不能更改NTP服务器的时间参数，但可以通过NTP服务器校对时间
noquery：不提供NTP服务，
notrap：不提供trap远程事件登陆（Remote Event Logging）的功能，拒绝任何被发送的控制包
notrust：拒绝没有通过认证的客户端
kod：kod技术可以阻止kiss of death包（一种DOS攻击）对服务器的破坏，kod用来发送特定的回应包，以减慢那些超过规定速度界限的客户机
nopeer：不和其他同一层的NTP服务器进行时间同步

server字段中的iburst表示发送到服务器的前4个请求之间的间隔将为2s或者更短，表示在初次同步时能进行快速同步时间

3.2 ntpd作为客户端运行，自定义ntpd上层NTP服务器

假设需要自定义本机的上层NTP server，直接修改默认的服务器即可，例如这里配置阿里云公共NTP服务器阿里云NTP服务器 (aliyun.com)

#为了方便查看，这里把配置文件中一些注释行删除 driftfile /var/lib/ntp/drift restrict default nomodify notrap nopeer noquery restrict 127.0.0.1 restrict ::1 # Hosts on local network are less restricted. #restrict 192.168.1.0 mask 255.255.255.0 nomodify notrap #指定server为阿里云公开NTP服务器（这里的server可以是ip地址、域名） server ntp.aliyun.com iburst server ntp1.aliyun.com iburst server ntp2.aliyun.com iburst server ntp3.aliyun.com iburst includefile /etc/ntp/crypto/pw keys /etc/ntp/keys disable monitor

修改配置文件后，执行service ntpd restart重启ntp服务即可（注意在Ubuntu中服务名称不带d，ntp）

可以通过ntpstat命令查看本机上一次和NTP服务器时间同步的情况

[root@localhost ~]# ntpstat synchronised to NTP server (120.25.115.20) at stratum 3 //进行校对的NTPserver time correct to within 956 ms //本地主机和上层NTP时间差 polling server every 64 s //下次同步时间

也可以使用ntpd -p命令查看本机和上层NTP服务器通信的情况

[root@localhost ~]# ntpq -p remote refid st t when poll reach delay offset jitter ====================================================================== *120.25.115.20 10.137.53.7 2 u 29 64 3 23.546 6.034 1.098 +203.107.6.88 10.137.38.86 2 u 30 64 3 29.517 6.789 0.334 #一些字段解释 remote：本地主机所连接的上层服务器 refid：上层NTP服务器的NTP服务器 st：上层NTP服务器层级 when：上一次与上层NTP服务器进行时间校对的时间

3.3 ntpd运行为客户端，向上层NTP服务同步时间；且同时ntpd运行为服务端，为本地子网中的客户端提供NTP时间同步服务

配置本机NTP服务向本地子网提供NTP授时服务，取消注释配置文件中的restrict字段，并修改该子网，可以配置多个，配置完成后，重启ntpd服务service ntpd restart，该配置实现了本机从指定的上层NTP服务器（例如这里本机上层NTP服务器配置的是阿里云公共NTP服务器）获取时间，并向本地子网提供时间同步服务

#为了方便查看，这里把配置文件中一些注释行删除 driftfile /var/lib/ntp/drift restrict default nomodify notrap nopeer noquery restrict 127.0.0.1 restrict ::1 #允许向特定的本地子网提供NTP服务 restrict 192.168.0.0 mask 255.255.0.0 nomodify notrap restrict 172.16.0.0 mask 255.240.0.0 nomodify notrap restrict 10.0.0.0 mask 255.0.0.0 nomodify notrap #指定server为阿里云公开NTP服务器（这里的server可以是ip地址、域名） server ntp.aliyun.com iburst server ntp1.aliyun.com iburst server ntp2.aliyun.com iburst server ntp3.aliyun.com iburst includefile /etc/ntp/crypto/pw keys /etc/ntp/keys disable monitor

整体来说，一般情况下，配置文件的修改较为简洁，大体分为2个部分：上层NTP服务器配置，本地子网授权配置

四、Chronyd守护进程、服务

Chrony是NTP比较新的实现，chrony相比ntp有着较高的时间同步效率、准确度，推荐使用chrony

#安装chrony CentOS中执行 yum install chrony Ubuntu中执行 apt-get install chrony #安装完成后可以用systemd管理，但是他们之间的服务名称有差别 #在CentOS中service文件为 /usr/lib/systemd/system/chronyd.service #在Ubuntu中service文件为 /lib/systemd/system/chrony.service #管理chrony服务（以CentOS为例） systemctl enable chronyd.service systemctl start chronyd

4.1 chronyd配置文件

chronyd的配置文件路径为/etc/chrony.conf，该文件的默认配置如下：

#为了方便查看，这里删除一些注释行 #默认配置中pool指令已指定了一台上层NTP服务器 pool 2.centos.pool.ntp.org iburst driftfile /var/lib/chrony/drift makestep 1.0 3 rtcsync # Allow NTP client access from local network. #allow 192.168.0.0/16 # Serve time even if not synchronized to a time source. #local stratum 10 keyfile /etc/chrony.keys leapsectz right/UTC logdir /var/log/chrony

该默认配置文件中的pool指令已经指定了一个上层NTP服务器，不做任何修改的话，chrony服务能够作为NTP客户端向上层NTP服务器进行时间同步

4.2 Chronyd作为NTP客户端，并指定上层NTP服务器

这里我们指定阿里云NTP服务器 (aliyun.com)作为我们服务器的上层NTP服务器，注释掉默认配置文件中的pool指令部分，使用server指令指定上层阿里云NTP服务器，配置如下：（这里的server指令后面可以跟上域名、IP地址）

#为了方便查看，这里删除一些注释行 #默认配置中pool指令已指定了一台上层NTP服务器 #pool 2.centos.pool.ntp.org iburst #指定上层NTP服务器为阿里云NTP服务器 server ntp.aliyun.com iburst server ntp1.aliyun.com iburst server ntp2.aliyun.com iburst #（可选配置）本机向上层NTP服务器请求数据时，可进行限制的一些配置 #acquisitionport 1123 固定本机请求的源端口（对于穿越防火墙时，有利于防火墙统一配置策略） #bindacqaddress 192.168.1.1 固定本机请求数据包使用的源IP地址 #bindacqdevice eth0 固定本机请求数据包的源网络接口 driftfile /var/lib/chrony/drift makestep 1.0 3 rtcsync # Allow NTP client access from local network. #allow 192.168.0.0/16 # Serve time even if not synchronized to a time source. #local stratum 10 keyfile /etc/chrony.keys leapsectz right/UTC logdir /var/log/chrony

4.3 Chronyd作为客户端运行，和上层NTP同步时间；且Chronyd作为服务端运行，向本地子网提供NTP服务

Chronyd在和上层NTP进行同步时间同时，Chronyd作为服务端向本地子网提供NTP时间同步服务，需要在配置文件中配置allow指令，通过allow指令可以允许特定的本地子网向本机进行NTP时间同步，在allow范围之外的主机、子网将无法和本机进行NTP时间同步

#为了方便查看，这里删除一些注释行 #默认配置中pool指令已指定了一台上层NTP服务器 #pool 2.centos.pool.ntp.org iburst #指定上层NTP服务器为阿里云NTP服务器 server ntp.aliyun.com iburst server ntp1.aliyun.com iburst server ntp2.aliyun.com iburst #（可选配置）本机向上层NTP服务器请求数据时，可进行限制的一些配置 #acquisitionport 1123 固定本机请求的源端口（对于穿越防火墙时，有利于防火墙统一配置策略） #bindacqaddress 192.168.1.1 固定本机请求数据包使用的源IP地址 #bindacqdevice eth0 固定本机请求数据包的源网络接口 driftfile /var/lib/chrony/drift makestep 1.0 3 rtcsync #允许特定的本地子网向本机进行NTP时间同步 allow 192.168.0.0/16 allow 172.16.0.0/12 allow 10.0.0.0/8 allow all //允许所有 allow 0/0 //允许所有IPv4 #（可选配置）定义本机chronyd服务监听的IP、端口、网卡 #bindaddress 192.168.1.1 #binddevice eth0 #port 123 # Serve time even if not synchronized to a time source. #local stratum 10 keyfile /etc/chrony.keys leapsectz right/UTC logdir /var/log/chrony

特定时候，为了安全等因素考虑，可以通过port命令修改chronyd提供的NTP服务监听的端口，通过binddevice命令限制chronyd监听的网卡，若本机上有多个IP地址，可以通过bindaddress命令绑定本机监听的IP地址

4.4 在隔离的网络中，使用chronyd作为NTP服务端，为本地子网同步时间

某些时刻，在一个隔离的网络中（无互联网连接），需要本地子网中的所有主机时间一致（准不准不重要），这里通过local命令，配置即使本机上的chronyd上层NTP服务器不可达的情况下，仍然将本机的时间同步给本地子网中的客户端，配置如下：

#为了方便查看，这里删除一些注释行 #默认配置中pool指令已指定了一台上层NTP服务器 #pool 2.centos.pool.ntp.org iburst #指定上层NTP服务器为阿里云NTP服务器 server ntp.aliyun.com iburst server ntp1.aliyun.com iburst server ntp2.aliyun.com iburst #（可选配置）本机向上层NTP服务器请求数据时，可进行限制的一些配置 #acquisitionport 1123 固定本机请求的源端口（对于穿越防火墙时，有利于防火墙统一配置策略） #bindacqaddress 192.168.1.1 固定本机请求数据包使用的源IP地址 #bindacqdevice eth0 固定本机请求数据包的源网络接口 driftfile /var/lib/chrony/drift makestep 1.0 3 rtcsync #允许特定的本地子网向本机进行NTP时间同步 allow 192.168.0.0/16 allow 172.16.0.0/12 allow 10.0.0.0/8 allow all //允许所有 allow 0/0 //允许所有IPv4 #（可选配置）定义本机chronyd服务监听的IP、端口、网卡 #bindaddress 192.168.1.1 #binddevice eth0 #port 123 #无论自己时间对不对都将自己的时间同步给本地子网中的客户端（可用于隔离的网络中） local #指定本地的NTP层级，用于报给给客户端 local stratum 8 keyfile /etc/chrony.keys leapsectz right/UTC logdir /var/log/chrony

上面配置中通过local、local stratum 8指令指定了隔离网络中依然向本地子网提供NTP服务，并把本机的时间同步给客户端，并向客户端报告本机的NTP层级为8（该层级你可以手动进行指定，这里我配置为8）

修改配置后，记得重启chronyd服务

上面配置文件中存在2种情况：

同时存在local字段配置和server字段配置：这种情况下，当本机的上层NTP服务器可达时，本机通过chrony运行为客户端模式上上层NTP服务器同步时间，且同时运行为服务端模式，向本地子网提供NTP服务；该情况下，配置中的local指令会被忽略，本地子网中的客户端查看到的本地服务器的NTP层级为该服务器上层级别+1，例如本地服务器中配置的上层NTP服务器为2层，那么本地子网中的客户端查询到的本地服务器的层级则为2+1=3层，配置中的local stratum 8不生效
仅存在local字段配置：该chronyd仅作为服务端，无论本机的时间对不对，都将本机的时间同步给本地子网中的主机，这时，本地子网中的主机查询到的本地NTP服务器层级则为local startum 8中配置的层级

上面这2种情况下，allow字段都需要存在

4.5 chronyc命令解释

该命令是chronyd守护进程的命令行控制界面，chronyc有2个有用的选项如下：

chronyc 命令 -h host 指定联系到运行chronyd的主机上 -p port 指定chronyd用于监控连接的端口号，默认为udp323 连接到指定机器上的chronyd服务端 chronyc -h 192.168.1.1 -p 1123 不加这2个参数默认表示连接到本机的chronyd上

该命令有一些有用的选项来监控chronyd服务端的状态信息，这里选取了几个，下面进行简单的介绍

source指令：该命令用于显示chronyd中的服务器状态，语法为sources [-a][-v]，加上[-a]选项的话，表示所有源都会显示（all），包括未知的源，示例如下：

[root@us2 ~]# chronyc -a sources 210 Number of sources = 2 MS Name/IP address Stratum Poll Reach LastRx Last sample ========================================================================== ^* 120.25.115.20 2 6 17 6 +1317us[+7993us] +/- 16ms ^- 203.107.6.88 2 6 17 5 -6810us[-6810us] +/- 43ms 相关字段解释： M列：表示源的模式，^表示server，=表示peer，#表示本地连接的参考时钟 S列：表示源的选择状态 *表示当前用于同步时间的最佳源 +表示用于同步的其他源，这些源和最佳源相结合 -表示被认为可以选择用于同步但是当前未选择的源 x表示认为是虚假信息的来源（即他的时间和大多数其他来源、或使用trust选项指定的来源不一致） ~表示其时间有太多可变性 ?表示由于其他原因不能选择用于同步的源（例如无法访问，未同步，没有足够的测量值等） Stratum列：该服务器的NTP层级（这里显示阿里云的NTP服务器层级为2） Poll列：源的轮询速率，表示2的几次方，这里6表示2的6次方，为64，表示每64秒进行一次NTP测量

sourcestats指令：用来查看有关chronyd当前正在检查的每个源的时间偏移量，等估计过程等信息，语法格式为sourcestats [-a][-v]，使用[-a]选项的话，会显示所有源

[root@us2 ~]# chronyc -a sourcestats 210 Number of sources = 2 Name/IP Address NP NR Span Frequency Freq Skew Offset Std Dev ========================================================================== 120.25.115.20 23 13 28m +0.003 1.263 +345ns 693us 203.107.6.88 8 7 583 -1.166 5.425 -9714us 512us 相关字段的解释： NP：当前为服务器保留的样本数，通过对这些点执行线性回归来估计漂移率、电流漂移 NR：最后一次回归后具有相同符号的残差的运行次数，如果这个数字相对于样本数开始变得太小，如果运行次数太少，chronyd丢弃样本并重新运行回归，直到运行次数变得可以接受 Span列：旧样本和最新样本之间的间隔时间，如果未显示单位表示默认单位为s Frequency列：服务器的估计剩余频率 Freq Skew列：Freq估计误差范围 Offset列：源的估计偏移量 Std Dev列：估计的样本标准差

clients命令：该命令用于列出通过NTP、NTS-KE端口访问本机NTP服务的客户端列表（不包括UNIX套接字的访问），仅记录通过访问检查指令的主机（使用allow、deny、cmdallow、cmddeny命令或配置文件指令设置的主机）

[root@us2 ~]# chronyc -n clients Hostname NTP Drop Int IntL Last Cmd Drop Int Last ========================================================================= 192.168.111.23 5 0 4 - 61 0 0 - - 相关列的解释： NTP列：从客户端收到的NTP数据包数量 Drop列：为了限制响应速率而丢弃的NTP数据包数量 Int列：NTP数据包之间的平均间隔 IntL列：限制响应速率后NTP包之间的平均间隔 Last列：自收最后一个NTP数据包以来的时间 Cmd列：从客户端接收到的命令包或NTS-KE连接数 Drop列：为限制响应速率而丢弃的命令包或NTS-KE连接数 Int列：命令包或NTS-KE连接之间的平均间隔 Last列：自收到最后一个命令包或NTS-KE连接以来的时间

4.6 chronyd命令解释

该命令为chrony的守护进程，该程序在启动的时候，如果没有在命令行指定配置文件，那么程序会从默认位置/etc/chrony.conf读取配置文件，输出的信息、告警记录到syslog中

chronyd命令解释： -4 主机名将仅解析为IPv4地址，并且仅创建IPv4套接字 -6 主机名将仅解析为IPv6地址，并且仅创建IPv6套接字 -f file 指定配置文件的位置（/etc/chrony.conf） -n 在此模式下运行时，程序将不会与终端分离 -d 在这种模式下运行时，程序不会将自身与终端分离，并且所有消息都将被写入终端，而不是syslog，当chronyd使用调试支持进行编译时，此选项可以使用两次来打印调试消息，该模式主要用于调试 -l file 此选项指定应用于记录日志的文件，而不是syslog或terminal -q 在此模式下运行时，chronyd将设置系统时钟一次并退出。它不会从终端分离 -Q 该选项与-q选项相似，不同之处在于它仅打印偏移量而不对时钟进行任何更正，并且允许chronyd在没有root特权的情况下启动 -p chronyd会输出配置并退出，该选项常常用于验证配置文件语法 -r 删除之前保存的每个NTP源的历史测量文件，这些文件是由dumpdir指令配置的 -s 将系统时钟设置为计算机的RTC或由driftfile指令指定的文件的最后的修改时间，RTC仅在Linux上受支持 -U 禁用对root权限的检查，并以非root用户下启动chronyd