форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Открытые системы на сервере (Системное и пользовательское ПО / Linux)
Изначальное сообщение		[ Отслеживать ]

"NTP работает только после переустановки"	+/–
Сообщение от kislik (ok) on 27-Май-14, 19:32
( Сразу оговорюсь, что гуглил проблему, но не смог найти решения. ) Есть сервера (Debian 6;7) На них установлен пакет ntp *Задача: синхронизация времени с сервером ntp *Проблема: сервера с правильным конфигом, который работает на моем локальном компе(конфиг), не всегда работает на рабочих серверах, при чем если выполнить "apt-get install --reinstall ntp" то конфиг подцепится (иногда) и работает но если остановить "service ntp stop" а затем заного запустить "service ntp start" то ntp не работает. *Мой конфиг (/etc/ntp.conf) driftfile /var/lib/ntp/ntp.drift # Sync server server ntp1.demos.net iburst prefer server 0.debian.pool.ntp.org iburst # Restrict connections restrict default ignore # Local users may interrogate the ntp server more closely. restrict localhost restrict ::1 # Permission to connect restrict ntp1.demos.net restrict 0.debian.pool.ntp.org *Логи (tail -f /var/log/syslog |grep ntp) May 27 19:29:03 asrv91 ntpd[19435]: ntpd exiting on signal 15 May 27 19:29:07 asrv91 ntpd[21000]: ntpd 4.2.6p2@1.2194-o Sun Oct 17 13:35:13 UTC 2010 (1) May 27 19:29:07 asrv91 ntpd[21001]: proto: precision = 0.102 usec May 27 19:29:07 asrv91 ntpd[21001]: Listen and drop on 0 v4wildcard 0.0.0.0 UDP 123 May 27 19:29:07 asrv91 ntpd[21001]: Listen and drop on 1 v6wildcard :: UDP 123 May 27 19:29:07 asrv91 ntpd[21001]: Listen normally on 2 lo 127.0.0.1 UDP 123 May 27 19:29:07 asrv91 ntpd[21001]: Listen normally on 3 eth0 188.72.80.212 UDP 123 May 27 19:29:07 asrv91 ntpd[21001]: Listen normally on 4 eth1 192.168.13.25 UDP 123 *Вывод команды ntpq -p      remote           refid      st t when poll reach   delay   offset  jitter ============================================================================== mx.demos.su     .INIT.          16 u    -   64    0    0.000    0.000   0.000 luntik.ircclub. .INIT.          16 u    -   64    0    0.000    0.000   0.000
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "NTP работает только после переустановки"	+/–
Сообщение от DN (ok) on 27-Май-14, 23:25
> server ntp1.demos.net iburst prefer > server 0.debian.pool.ntp.org iburst > # Restrict connections > restrict default ignore > # Local users may interrogate the ntp server more closely. > restrict localhost > restrict ::1 > # Permission to connect > restrict ntp1.demos.net > restrict 0.debian.pool.ntp.org В restrict нельзя писать доменные имена, только IP . Замените ntp1.demos.net и 0.debian.pool.ntp.org на несколько ресолвенных IP. В server ntp1.demos.net строках тоже замените на IP : # server ntp1.demos.net server 194.87.0.32 iburst prefer restrict 194.87.0.32 mask 255.255.255.255 nomodify noquery notrap nopeer # server 0.debian.pool.ntp.org server 95.104.193.133 iburst .... # That this source worked, only if all the others will fall off. server 127.127.1.0                                               restrict 127.127.1.0 mask 255.255.255.255 nomodify noquery notrap fudge 127.127.1.0 stratum 10 refid LCL                           > *Вывод команды ntpq -p >      remote       refid      st t when poll reach   delay   offset  jitter > ============================================================================== >  mx.demos.su     .INIT.      16 u    -  64    0    0.000   0.000   0.000                                              ^^^^^^ Значение reach 0 . Смотрите, хотят ли ntp пакеты (udp 153 port).
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "NTP работает только после переустановки"	+/–
	Сообщение от kislik (ok) on 28-Май-14, 01:08
	>> *Вывод команды ntpq -p >>      remote       refid      st t when poll reach   delay   offset  jitter >> ============================================================================== >>  mx.demos.su     .INIT.      16 u    -  64    0    0.000   0.000   0.000 >             >             >             >             > ^^^^^^ > Значение reach 0 . Смотрите, хотят ли ntp пакеты (udp 153 port). Да, спасибо, попробую обязательно! Тоже были мысли по поводу restrict, но смущало то что на других серверах работает все :-) А по поводу порта, вы имеете в виду (udp 123 port) ?
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	3. "NTP работает только после переустановки"	+/–
	Сообщение от DN (ok) on 28-Май-14, 03:07
	> Да, спасибо, попробую обязательно! Тоже были мысли по поводу restrict, но смущало > то что на других серверах работает все :-) > А по поводу порта, вы имеете в виду (udp 123 port) ? Да, это описка.
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	4. "NTP работает только после переустановки"	+/–
	Сообщение от kislik (ok) on 28-Май-14, 12:39
	>> Да, спасибо, попробую обязательно! Тоже были мысли по поводу restrict, но смущало >> то что на других серверах работает все :-) >> А по поводу порта, вы имеете в виду (udp 123 port) ? > Да, это описка. Все получилось! Убрал доменные имена, отгрепал в пулах с помощью ntpdate нужные мне ipшники и записал их в конфиг. Но есть пару вопросов, для полного понимания. До этого во всех примерах настройки была строка: restrict        default ignore Если ее вставить в конфиг, то все перестанет работать, ее роль ( этой строки ) теперь выполняют префиксы - "nomodify noquery notrap nopeer" ?
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	5. "NTP работает только после переустановки"	+/–
	Сообщение от DN (ok) on 28-Май-14, 13:21
	> Но есть пару вопросов, для полного понимания. До этого во всех примерах > настройки была строка: > restrict        default ignore > Если ее вставить в конфиг, то все перестанет работать, ее роль ( > этой строки ) теперь выполняют префиксы - "nomodify noquery notrap nopeer" > ? Как не работает при restrict default ignore ? Должно работать. Вы ntpq на хост 127.0.0.1 делаете? Включите временно logconfig =all Обратите внимание ещё на: enable auth controlkey requestkey keys trustedkey restrict default ignore   restrict -6 default ignore По моему ясно, игнорировать все по умолчанию. restrict 127.0.0.1         Для 127.0.0.1 без опций - все разрешено, в том числе mode-6 и mode-7 Значение опций в restrict подробно описано в man ntp.conf . Еще обратите внимание на опцию notrust , значение которой "Deny packets that are not cryptographically authenticated" для ntpd ver. 4.2 и старше. Для ntpd ver. 4.1 и ранее - "Don't trust this host/subnet for time."
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	6. "NTP работает только после переустановки"	+/–
	Сообщение от kislik (ok) on 28-Май-14, 16:51
	>[оверквотинг удален] > По моему ясно, игнорировать все по умолчанию. > restrict 127.0.0.1 > Для 127.0.0.1 без опций - все разрешено, в том числе mode-6 и > mode-7 > Значение опций в restrict подробно описано в man ntp.conf . > Еще обратите внимание на опцию notrust , значение которой > "Deny packets that are not cryptographically authenticated" для ntpd ver. 4.2 и > старше. > Для ntpd ver. 4.1 и ранее - "Don't trust this host/subnet for > time." * Вот такой конфиг получился, работает если "restrict default ignore" убрать =) driftfile /var/lib/ntp/ntp.drift logfile /var/log/ntp.log logconfig =all # Sync server server 91.226.136.136 iburst server 91.207.136.44  iburst server 95.104.193.133 iburst server 62.76.96.4     iburst server 91.207.136.55  iburst restrict default ignore # Permission to connect restrict 91.226.136.136  nomodify notrust noquery notrap nopeer restrict 91.207.136.44   nomodify noquery notrap nopeer restrict 95.104.193.133  nomodify noquery notrap nopeer restrict 62.76.96.4      nomodify noquery notrap nopeer restrict 91.207.136.55   nomodify noquery notrap nopeer # That this source worked, only if all the others will fall off. server 127.0.0.1 restrict 127.0.0.1 mask 255.255.255.255 nomodify noquery notrap fudge 127.0.0.1    stratum 10 refid LCL
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	7. "NTP работает только после переустановки"	+/–
	Сообщение от kislik (ok) on 28-Май-14, 17:00
	Конечный результат направлен в общем на то чтобы сервер только синхронизировался и ничего не отдавал (работал только как клиент) +)
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	8. "NTP работает только после переустановки"	+/–
	Сообщение от DN (ok) on 28-Май-14, 23:31
	> Конечный результат направлен в общем на то чтобы сервер только синхронизировался и > ничего не отдавал (работал только как клиент) +) Вы уже проверили результат вашей настройки? Из man ntp.conf : Access Control Commands                                      restrict numeric_address [mask numeric_mask] [flag ...] ... A default entry (address 0.0.0.0, mask 0.0.0.0) is always         included and, given the sort algorithm, is always the first entry in the list. ... In the current implementation, flag always restricts access, i.e., an entry with no flags indicates that free access to the server is to be given. Вы включили restrict для всех IP вашего сервера? Если это не так, то необходимы следующие строки: restrict default ignore   restrict -6 default ignore
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

	9. "NTP работает только после переустановки"	+/–
	Сообщение от kislik (ok) on 30-Май-14, 12:35
	>[оверквотинг удален] > in the list. > ... > In the current implementation, flag always restricts access, > i.e., an entry with no flags indicates that free access to the > server > is to be given. > Вы включили restrict для всех IP вашего сервера? > Если это не так, то необходимы следующие строки: > restrict default ignore > restrict -6 default ignore Если кладя руку на сердце, нет не понимаю =) ведь строка restrict -6 default ignore запрещает все? Или нет?  что такое -6 кол.во разрешенных коннектов? В итоге убрать ли мне эту строку или она неоюходима? =) (Объясните на пальцах, как ребенку только проще)  =))
	Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

	11. "NTP работает только после переустановки"	+/–
	Сообщение от DN (ok) on 31-Май-14, 01:45
	> Если кладя руку на сердце, нет не понимаю =) ведь строка restrict > -6 default ignore > запрещает все? Или нет?  что такое -6 кол.во разрешенных коннектов? > В итоге убрать ли мне эту строку или она неоюходима? =) > (Объясните на пальцах, как ребенку только проще)  =)) # Default policy IPv4 restrict -4 default ignore # Default policy IPv6 restrict -6 default ignore # allow NTP messages from the loopback address, useful for debugging restrict 127.0.0.1 restrict ::1 Далее включаете restrict для того, что Вам нужно для серверов, peers, клиентов. Примеры для хорошей практики. https://commons.lbl.gov/display/cpp/Configuring+ntpd http://www.team-cymru.org/ReadingRoom/Templates/secure-ntp-t...
	Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

	10. "NTP работает только после переустановки"	+/–
	Сообщение от kislik (ok) on 30-Май-14, 13:34
	Не понимал адреса в верхнем примере оказалось: Некоторые программы активно эксплуатируют такую многозначность: например, сервер точного времени ntpd использует адрес 127.127.1.0 для обращения к собственным часам компьютера. =)
	Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема