更多内容可移驾至我的独立Blog: http://www.justfbt.com/
NTP服务器
参考:http://www.linuxidc.com/Linux/2013-11/92275p2.htm
其实,此时我们用/usr/sbin/ntpd start
已经可以向客户端提供时间更新服务了。但是,这样是满足不了企业安全性需求的。下面将为大家讲解ntp的主配置文件设定。
1)解决NTP服务器校准时间时的传送延迟
使用driftfile
参数设置: driftfile 文件名
用途:将与上级时间服务器联系时所花费的时间,记录在driftfile参数后面指定的文件内
注意:driftfile后面必须接完整的文件路径,不能是链接文件,并且必须要有ntpd守护进程可以写入的权限。
对应默认配置项:
1 driftfile /var/lib/ntp/drift
2)权限的控制主要靠restrict这个参数
要的语法为:restrict IP mask
掩码 参数
IP规定了允许或不允许访问的地址(此处若为default,即为0.0.0.0所有ip),配合掩码可以对某一网段进行限制。
参数包括:
ignore
:关闭所有NTP服务
nomodify
:客户端不能修改服务端的时间,但可以作为客户端的校正服务器
noquery
:不提供时间查询,即用户端不能使用ntpq,ntpc等命令来查询ntp服务器
nopeer
:不与同一层的其他服务器进行时间同步
kod
:kod技术可以阻止“kiss of death”包(一种DOS攻击)对服务器的破坏
notrap
:不提供trap远端事件登陆的功能
notrust
:客户端除非通过认证,否则指定的网段为不信任网段 #ntp4.2之后的版本,已经默认没有这个参数,如果你添加了,会报错的。
对应默认配置项:
restrict default kod nomodify notrap nopeer noquery #默认对所有client拒绝所有的操作
restrict -6 default kod nomodify notrap nopeer noquery
restrict 127.0.0.1 #允许本机地址的一切操作
restrict -6 ::1
3)用server这个参数设定上级时间服务器
语法为: server IP地址或域名 [prefer]
IP地址或域名即为该NTP服务器指定的上级NTP服务器。当指定多个NTP服务器时,使用prefer参数的服务器优先级最高,如果都没有使用prefer参数,那么服务器的优先级则按从上到下的顺序依次由高到低。在指定上层服务器后,至少15min才会与上层NTP服务器进行时间校对。
对应默认配置项:
server 0.centos.pool.ntp.org
server 1.centos.pool.ntp.org
server 2.centos.pool.ntp.org
下面我们要对配置文件进行精简和更改,更改之后的配置文件如下:
[root@c64-server-1 ~]# cat /etc/ntp.conf
driftfile /var/lib/ntp/drift
restrict default kod nomodify notrap nopeer noquery notrust #默认对所有client拒绝所有的操作
restrict 127.0.0.1 #允许本机地址的一切操作
restrict 192.168.1.0 mask 255.255.255.0 nomodify #允许局域网内所有client连接到这台服务器同步时间.但是拒绝让他们修改服务器上的时间
server 1.cn.pool.ntp.org perfer #指定该上级NTP服务器为最优先
server 3.asia.pool.ntp.org #这个上级NTP服务器是在官网找到离上海最近的NTP服务器
server 0.asia.pool.ntp.org #这里我们也可以用上海交大之类提供的公益性NTP服务器
includefile /etc/ntp/crypto/pw
keys /etc/ntp/keys
配置完成之后,我们就可以启动服务
# /etc/init.d/ntpd start
Starting ntpd: [ OK ]