在Linux系統中，為了避免主機時間因為在長時間運行下所導致的時間偏差，進行時間同步(synchronize)的工作是非常必要的。Linux系統下，一般使用ntp服務來同步不同機器的時間。NTP 是網絡時間協議（Network Time Protocol）的簡稱，干嘛用的呢？就是通過網絡協議使計算機之間的時間同步化。

安裝NTP包

檢查是否安裝了ntp相關包。如果沒有安裝ntp相關包，使用rpm或yum安裝，安裝也非常簡單方便。

[root@localhost ~]#  rpm -qa | grep ntp

NTP的配置

一. 配置/etc/ntp.conf

NTP Server的主要配置文件為/etc/ntp.conf ,沒有修改過的ntp.conf文件內容如下所示，配置選項都有相關注釋信息（Linux 版本為 cenots7.3）

   
各個選項信息：

#系統時間與BIOS事件的偏差記錄

driftfile /var/lib/ntp/drift

restrict 控制相關權限。

語法為： restrict IP地址 mask 子網掩碼 參數

其中IP地址也可以是default ，default 就是指所有的IP

參數有以下幾個：

ignore  ：關閉所有的 NTP 聯機服務

nomodify：客戶端不能更改服務端的時間參數，但是客戶端可以通過服務端進行網絡校時。

notrust ：客戶端除非通過認證，否則該客戶端來源將被視為不信任子網

noquery ：不提供客戶端的時間查詢：用戶端不能使用ntpq，ntpc等命令來查詢ntp服務器

notrap ：不提供trap遠端登陸：拒絕為匹配的主機提供模式 6 控制消息陷阱服務。陷阱服務是 ntpdq 控制消息協議的子系統，用于遠程事件日志記錄程序。

nopeer ：用于阻止主機嘗試與服務器對等，并允許欺詐性服務器控制時鐘

kod ： 訪問違規時發送 KoD 包。

restrict -6 表示IPV6地址的權限設置。

1：設定NTP主機來源（其中prefer表示優先主機），10.135.68.56是本地的NTP服務器，所以優先指定從該主機同步時間。
    
2. 限制你允許的這些服務器的訪問類型,在這個例子中的服務器是不容許修改運行時配置或查詢您的Linux NTP服務器
     

restrict 192.168.1.0 mask 255.255.255.0 notrust nomodify notrap

在上例中，掩碼地址擴展為255，因此從192.168.1.1-192.168.1.254的服務器都可以使用我們的NTP服務器來同步時間

#此時表示限制向從192.168.0.1-192.168.0.254這些IP段的服務器提供NTP服務。

restrict 192.168.1.0 mask 255.255.255.0 notrust nomodify notrap noquery

#設置默認策略為允許任何主機進行時間同步

restrict default ignore

3：確保localhost（這個常用的IP地址用來指Linux服務器本身）有足夠權限.使用沒有任何限制關鍵詞的語法：

restrict 127.0.0.1

restrict -6 ::1

二.配置/etc/ntp/stpe-tickers文件
修改/etc/ntp/stpe-tickers文件，內容如下（當ntpd服務啟動時，會自動與該文件中記錄的上層NTP服務進行時間校對）
   

關于ntp.conf and step-tickers區別：

step-tickers is used by ntpdate where as ntp.conf is the configuration file for the ntpd daemon. ntpdate is initially run to set the clock before ntpd to make sure time is within 1000 sec. ntp will not run if the time difference between the server and client by more then 1000 sec ( or there about). The start up script will read step-tickers for servers to be polled by ntpdate.

三. 配置/etc/sysconfig/ntpd文件

ntp服務，默認只會同步系統時間。如果想要讓ntp同時同步硬件時間，可以設置/etc/sysconfig/ntpd文件，在/etc/sysconfig/ntpd文件中，添加 SYNC_HWCLOCK=yes 這樣，就可以讓硬件時間與系統時間一起同步。

#允許BIOS與系統時間同步，也可以通過hwclock -w 命令

SYNC_HWCLOCK=yes
四.防火墻配置

由于NTP服務需要使用到UDP端口號123，所以當系統的防火墻（Iptables）啟動的情況下，必須開放UDP端口號123。
# /sbin/iptables -I INPUT -p udp --dport 123 -j ACCEPT

#/etc/init.d/iptables restart
如果是firewall防火墻

# firewall-cmd --add-port=80123/udp –permanent
# firewall-cmd --reload

五.啟動ntp服務

1. 啟動ntp服務
#service ntpd  status

#service ntpd start

#chkconfig –list ntpd

#chkconfig ntpd on    #在運行級別2、3、4、5上設置為自動運行

2. 查看ntp服務器有無和上層ntp連通
   
3. 查看ntp服務器與上層ntp的狀態 
         
    remote   - 本機和上層ntp的ip或主機名，“+”表示優先，“*”表示次優先

refid    - 參考上一層ntp主機地址

st       - stratum階層

when     - 多少秒前曾經同步過時間

poll     - 下次更新在多少秒后

reach    - 已經向上層ntp服務器要求更新的次數

delay    - 網絡延遲

offset   - 時間補償

jitter   - 系統時間與bios時間差
4. 要查看 ntpd 進程的狀態，請運行以下命令，按 Ctrl+C 停止查看進程。

     第一列中的字符指示源的質量。星號 ( * ) 表示該源是當前引用。

remote 列出源的 IP 地址或主機名。

when   指出從輪詢源開始已過去的時間（秒）。

poll   指出輪詢間隔時間。該值會根據本地時鐘的精度相應增加。

reach  是一個八進制數字，指出源的可存取性。值 377 表示源已應答了前八個連續輪詢。

offset 是源時鐘與本地時鐘的時間差（毫秒）。

六．ntpd、ntpdate的區別

下面是網上關于ntpd與ntpdate區別的相關資料。如下所示所示：

使用之前得弄清楚一個問題，ntpd與ntpdate在更新時間時有什么區別。ntpd不僅僅是時間同步服務器，它還可以做客戶端與標準時間服務器進行同步時間，而且是平滑同步，并非ntpdate立即同步，在生產環境中慎用ntpdate，也正如此兩者不可同時運行。

時鐘的躍變，對于某些程序會導致很嚴重的問題。許多應用程序依賴連續的時鐘——畢竟，這是一項常見的假定，即，取得的時間是線性的，一些操作，例如數據庫事務，通常會地依賴這樣的事實：時間不會往回跳躍。不幸的是，ntpdate調整時間的方式就是我們所說的”躍變“：在獲得一個時間之后，ntpdate使用settimeofday(2)設置系統時間，這有幾個非常明顯的問題：

第一，這樣做不安全。ntpdate的設置依賴于ntp服務器的安全性，攻擊者可以利用一些軟件設計上的缺陷，拿下ntp服務器并令與其同步的服務器執行某些消耗性的任務。由于ntpdate采用的方式是跳變，跟隨它的服務器無法知道是否發生了異常（時間不一樣的時候，唯一的辦法是以服務器為準）。

第二，這樣做不精確。一旦ntp服務器宕機，跟隨它的服務器也就會無法同步時間。與此不同，ntpd不僅能夠校準計算機的時間，而且能夠校準計算機的時鐘。

第三，這樣做不夠優雅。由于是跳變，而不是使時間變快或變慢，依賴時序的程序會出錯（例如，如果ntpdate發現你的時間快了，則可能會經歷兩個相同的時刻，對某些應用而言，這是致命的）。因而，唯一一個可以令時間發生跳變的點，是計算機剛剛啟動，但還沒有啟動很多服務的那個時候。其余的時候，理想的做法是使用ntpd來校準時鐘，而不是調整計算機時鐘上的時間。

NTPD 在和時間服務器的同步過程中，會把 BIOS 計時器的振蕩頻率偏差——或者說 Local Clock 的自然漂移(drift)——記錄下來。這樣即使網絡有問題，本機仍然能維持一個相當精確的走時。