最重要的公共服務之一就是報時timekeeping，但是很多人并沒有意識到這一點。大多數公共時間服務器都是由志愿者管理，以滿足不斷增長的需求。這里學習一下如何運行你自己的時間服務器，為基礎公共利益做貢獻。（查看在Linux上使用NTP保持精確時間去學習如何設置一臺局域網時間服務器）

著名的時間服務器濫用事件

就像現實生活中任何一件事情一樣，即便是像時間服務器這樣的公益項目，也會遭受不稱職的或者惡意的濫用。

消費類網絡設備的供應商因制造了大混亂而臭名昭著。我回想起的第一件事發生在2003年，那時，NetGear在它們的路由器中硬編碼了威斯康星大學的NTP時間服務器地址。使得時間服務器的查詢請求突然增加，隨著NetGear賣出越來越多的路由器，這種情況越發嚴重。更有意思的是，路由器的程序設置是每秒鐘發送一次請求，這將使服務器難堪重負。后來Netgear發布了升級固件，但是，升級他們的設備的用戶很少，并且他們的其中一些用戶的設備，到今天為止，還在不停地每秒鐘查詢一次威斯康星大學的NTP服務器。Netgear給威斯康星大學捐獻了一些錢，以幫助彌補他們帶來的成本增加，直到這些路由器全部淘汰。類似的事件還有D-Link、Snapchat、TP-Link等等。

對NTP協議進行反射和放大，已經成為發起DDoS攻擊的一個選擇。當攻擊者使用一個偽造的目標受害者的源地址向時間服務器發送請求，稱為反射攻擊；攻擊者發送請求到多個服務器，這些服務器將回復請求，這樣就使偽造的源地址受到轟炸。放大攻擊是指一個很小的請求收到大量的回復信息。例如，在Linux上，ntpq命令是一個查詢你的NTP服務器并驗證它們的系統時間是否正確的很有用的工具。一些回復，比如，對端列表，是非常大的。組合使用反射和放大，攻擊者可以將10倍甚至更多帶寬的數據量發送到被攻擊者。

那么，如何保護提供公益服務的公共NTP服務器呢？從使用NTP4.2.7p26或者更新的版本開始，它們可以幫助你的Linux發行版不會發生前面所說的這種問題，因為它們都是在2010年以后發布的。這個發行版都默認禁用了最常見的濫用攻擊。目前，最新版本是4.2.8p10，它發布于2017年。

你可以采用的另一個措施是，在你的網絡上啟用入站和出站過濾器。阻塞宣稱來自你的網絡的數據包進入你的網絡，以及****發送到偽造返回地址的出站數據包。入站過濾器可以幫助你，而出站過濾器則幫助你和其他人。閱讀BCP38.info了解更多信息。

層級為0、1、2的時間服務器

NTP有超過30年的歷史了，它是至今還在使用的最老的因特網協議之一。它的用途是保持計算機與世界標準時間（UTC）的同步。NTP網絡是分層組織的，并且同層的設備是對等的。層次Stratum0包含主報時設備，比如，原子鐘。層級1的時間服務器與層級0的設備同步。層級2的設備與層級1的設備同步，層級3的設備與層級2的設備同步。NTP協議支持16個層級，現實中并沒有使用那么多的層級。同一個層級的服務器是相互對等的。

過去很長一段時間內，我們都為客戶端選擇配置單一的NTP服務器，而現在更好的做法是使用NTP服務器地址池，它使用輪詢的DNS信息去共享負載。池地址只是為客戶端服務的，比如單一的PC和你的本地局域網NTP服務器。當你運行一臺自己的公共服務器時，你不用使用這些池地址。

公共NTP服務器配置

運行一臺公共NTP服務器只有兩步：設置你的服務器，然后申請加入到NTP服務器池。運行一臺公共的NTP服務器是一種很高尚的行為，但是你得先知道這意味著什么。加入NTP服務器池是一種長期責任，因為即使你加入服務器池后，運行了很短的時間馬上退出，然后接下來的很多年你仍然會接收到請求。

你需要一個靜態的公共IP地址，一個至少512Kb/s帶寬的、可靠的、持久的因特網連接。NTP使用的是UDP的123端口。它對機器本身要求并不高，很多管理員在其它的面向公共的服務器（比如，Web服務器）上順帶架設了NTP服務。

配置一臺公共的NTP服務器與配置一臺用于局域網的NTP服務器是一樣的，只需要幾個配置。我們從閱讀協議規則開始。遵守規則并注意你的行為；幾乎每個時間服務器的維護者都是像你這樣的志愿者。然后，從StratumTwoTimeServers中選擇4到7個層級2的上游服務器。選擇的時候，選取地理位置上靠近（小于300英里的）你的因特網服務提供商的上游服務器，閱讀他們的訪問規則，然后，使用ping和mtr去找到延遲和跳數最小的服務器。

以下的/etc/ntp.conf配置示例文件，包括了IPv4和IPv6，以及基本的安全防護：

　　#stratum2serverlist
　　serverservername_1iburst
　　serverservername_2iburst
　　serverservername_3iburst
　　serverservername_4iburst
　　serverservername_5iburst
　　#accessrestrictions
　　restrict-4defaultkodnoquerynomodifynotrapnopeerlimited
　　restrict-6defaultkodnoquerynomodifynotrapnopeerlimited
　　#Allowntpqandntpdcqueriesonlyfromlocalhost
　　restrict127.0.0.1
　　restrict::1

啟動你的NTP服務器，讓它運行幾分鐘，然后測試它對遠程服務器的查詢：

　　$ntpq-p
　　remoterefidsttwhenpollreachdelayoffsetjitter
=================================================================
　　+tock.no-such-ag200.98.196.2122u3664798.65488.43965.123
　　+PBX.cytranet.ne45.33.84.2083u3764772.419113.535129.313
　　*eterna.binary.n199.102.46.702u3964792.93398.47556.778
　　+time.mclarkdev.132.236.56.2503u37645111.05988.02974.919

目前表現很好。現在從另一臺PC上使用你的NTP服務器名字進行測試。以下的示例是一個正確的輸出。如果有不正確的地方，你將看到一些錯誤信息。

　　$ntpdate-qyourservername
　　server66.96.99.10,stratum2,offset0.017690,delay0.12794
　　server98.191.213.2,stratum1,offset0.014798,delay0.22887
　　server173.49.198.27,stratum2,offset0.020665,delay0.15012
　　server129.6.15.28,stratum1,offset-0.018846,delay0.20966
　　26Jan11:13:54ntpdate[17293]:adjusttimeserver98.191.213.2offset0.014798sec

一旦你的服務器運行的很好，你就可以向manage.ntppool.org申請加入池中。

查看官方的手冊分布式網絡時間服務器（NTP）學習所有的命令、配置選項、以及高級特性，比如，管理、查詢、和驗證。訪問以下的站點學習關于運行一臺時間服務器所需要的一切東西。

最后想要了解更多關于Linux發展前景趨勢，請關注扣丁學堂Linux培訓官網、微信等平臺，扣丁學堂IT職業在線學習教育平臺為您提供權威的Linux視頻教程系統，通過千鋒扣丁學堂金牌講師在線錄制的Linux視頻教程課程，讓你快速掌握Linux從入門到精通開發實戰技能。扣丁學堂Linux技術交流群：692395686。微信號：codingbb

*博客內容為網友個人發布，僅代表博主個人觀點，如有侵權請聯系工作人員刪除。