Настройка NTP на сервере Ubuntu Linux

Network Time Protocol — протокол синхронизации времени, который позволяет привести системные часы на серверах и пользовательских устройствах к эталонному времени UTC с учетом сетевых задержек. 

Протокол NTP устроен по иерархическому принципу. NTP-серверы распределяются по уровням (stratum):

• Stratum 0 — источники эталонного времени. Они получают показатели с атомных часов, радиопередатчиков, систем спутниковой навигации;

• Stratum 1 — серверы, которые напрямую взаимосвязаны со Stratum 0;

• Stratum 2, 3, 4 и т.д. — серверы, которые синхронизируются со Stratum 1. 

Протокол работает поверх протокола UDP на порту 123 по клиент-серверной модели. NTP-клиент отправляет к серверу запросы, фиксируя время отправки. Сервер принимает запрос и посылает ответ. Клиент получает ответ и фиксирует время. Выходит, что в процессе обмена используются такие метки, как: 

• момент запроса клиента;

• время получения запроса сервером;

• момент направления ответа от сервера; 

• время получения ответа клиентом.  

Эти метки нужны клиенту для расчета сетевых задержек и смещения локальных часов. Показатели вычисляются с учетом времени в пути запроса и ответа. 

Если расхождение по времени маленькое, система постепенно меняет частоту системных часов и плавно подтягивает нужные показатели. При значительной разнице корректировка происходит одномоментно. После этого запускается процесс регулярной синхронизации. 

Для работы NTP-сервера на современных версиях Ubuntu (начиная с 20.04) потребуется пакет chrony, который включает демон chronyd, конфигурационные файлы и инструменты управления. Он часто предустановлен по умолчанию. Если его нет, установите из официальных репозиториев:

При использовании chrony конфликта с systemd-timesyncd, как правило, не возникает, так как chrony автоматически становится основным сервисом синхронизации, а systemd-timesyncd останавливается. Однако для гарантии можно проверить и отключить его:

Если в системе остался пакет ntp, его необходимо полностью удалить (sudo apt purge ntp), чтобы избежать конфликтов с chrony.

В конфигурационном файле нужно задать источники времени, правила доступа для пользователей и основные параметры безопасности. Рассказываем, каких настроек будет достаточно для запуска сервера. 

Основная конфигурация

Основной конфигурационный файл находится по пути /etc/chrony/chrony.conf. Для удобства поддержки рекомендуется создавать отдельные файлы в директории /etc/chrony/conf.d/, например, sudo nano /etc/chrony/conf.d/local-server.conf.

Пример содержимого конфигурационного файла: 

Параметр driftfile по-прежнему актуален. Для управления доступом клиентов используется директива allow, а не restrict. Остальные ограничения (nopeer, noquery и т.д.) в классическом виде не применяются — безопасность обеспечивается через allow и настройки брандмауэра.

После настроек перезапустите службу с помощью команды:

Выбор приоритетных серверов

Рекомендуется использовать несколько внешних источников времени. Директива pool автоматически выбирает из пула доступные серверы. Либо можно обозначить их вручную. Пример:

Приоритетный сервер выбирается с помощью параметра prefer:

При равных условиях сервер prefer будет служить основным источником времени для синхронизации. 

Настройка безопасности

Настройки безопасности включают несколько аспектов:

1. Ограничение доступа: В chrony доступ клиентов регулируется директивой allow. Ограничьте доступ только доверенными подсетями:

По умолчанию доступ запрещен всем.

2. Брандмауэр: Откройте UDP-порт 123 в брандмауэре только для доверенных сетей.

3. Аутентификация (NTS): Современные версии chrony (и Ubuntu 22.04+) поддерживают протокол Network Time Security (NTS) для шифрования и аутентификации NTP-трафика. Это предотвращает атаки "человек посередине" и подмену времени. Для использования NTS с публичными пулами (например, Cloudflare) укажите в конфигурации:

Для корпоративных серверов также можно настроить NTS.

Необходимо подключить клиентские устройства к настроенному NTP-серверу. Подсказываем, как обеспечить постоянную и однократную синхронизацию.

Синхронизация клиентских устройств

На клиентской машине также должен быть установлен chrony. Откройте конфигурационный файл:

Закомментируйте или удалите строки с общедоступными серверами pool или server, укажите адрес вашего внутреннего NTP-сервера, например:

Параметр iburst поможет обеспечить быструю начальную синхронизацию при первом запуске.

После настроек перезапустите службу:

Убедитесь, что все правильно работает:

Проверьте, что клиент синхронизируется с сервером, используя команду chronyc:

Эта команда отобразит перечень серверов. У активных источников синхронизации в столбце S будет символ ^* (или *+). Для просмотра детальной информации о текущем состоянии используйте:

Принудительная однократная синхронизация

Если вам нужно немедленно и принудительно синхронизировать время (например, при сильном расхождении), не дожидаясь медленной подстройки демоном chronyd, используйте встроенную команду chronyc:

Эта команда заставит chronyd выполнить коррекцию времени скачком (step), если это разрешено в конфигурации. Останавливать службу chrony при этом не нужно. Утилита ntpdate устарела и не рекомендуется к использованию в современных версиях Ubuntu.

После установки и настройки NTP убедитесь, что служба работает, и сервер Ubuntu Linux синхронизируется с источниками точного времени. Периодически могут возникать ошибки, которые нужно быстро исправлять. Подсказываем проверенные решения.  

Проверка работы NTP-сервера

После всех настроек еще раз убедитесь, что служба запущена и правильно работает. Выполните команду: 

Если видите active или running, значит, служба работает. Если нет, выполните:

Устранение ошибок 

Типичные ошибки и способы их устранения: 

Резюме

Настроенный NTP-сервер Ubuntu поможет прийти к единому системному времени, что упростит работу кластеров, проверку логов и проведение аудита. Чтобы синхронизация выполнялась корректно и без сложного администрирования, достаточно выставить верные базовые настройки и периодически проверять доступы к источникам времени.