怎么测试linux下搭建的ntp服务器
三、什么是NTP 为了实现时间同步,我们就需要用户NTP(Network Time Protocol)这个协议。
如图1所示。
简单地说,NTP是用来使系统和一个精确的时间源保持时间同步的协议。
笔者建议管理员最好在自己管理的网络中建立至少一台时间服务器来同步本地时间。
如 果在一个公司的局域网中,如果让每个员工通过手动的方式每隔一段时间去校准时间,不但不利于管理,而且校准目标时间源也不一定准确。
公司局域网络中不同计 算机的时间偏差尤其是客户机/服务器之间的时间偏差,就会对一些要求时间同步的服务产生影响。
比如,为了管理方便,服务器设置了一到下班时间便 账号过期,用户无法访问Internet网络。
而如果你的电脑时间与服务器的时间不同步,当你为你下班时间未到,正准备发送邮件时,或许在服务器的时间 上,你的账号便过期了,从而导到无法发送邮件。
解决这种问题的方法很简单,就是建立一个能提供精确时间的服务器,局域网内的所有电脑统一通过这台时间服务 器进行时间同步、校准。
四、NTP服务器安装 现在,我们就来介绍一下,如何在Linux系统下,建立一个NTP服务器吧。
在本文中,我们采用的是Fedora 2操作系统作为例子 (其它版本Linux也可以,系统的配置类似)。
使用 RPM 安装 首先输入如下指令 rpm -q ntp 查询本机是否安装了NTP软件包。
如果没有安装的话,找到您的 Linux 的安装光盘,mount 上后,查找以NTP开头的软件包名,然后安装上去,就可以了! rpm –ivh ntp-4.1.2-5.i386.rpm 五、NTP服务的设置 1.NTP软件包的结构 NTP服务的配置文件: /etc/ntp.conf :这个是 NTP 服务的主要配置文件,不同的Linux版本文件所在的目录可能会不同! 与NTP服务有关的Linux 系统文件及目录: /usr/share/zoneinfo:这是个目录,在这个目录下是规定了各主要时区的时间设定文件,例如中国大陆地区的时区设置文件是 /usr/share/zoneinfo/Asia/Shanghai 。
/etc /sysconfig/clock:这个文件是Linux 的主要时区设定文件。
每次启动后,Linux 会自动读取这个文件来设定系统预设要显示的时间!比如这个文件内容为“ZONE=Asia/Shanghai”,这表示我们的时间设定使用 /usr/share/zoneinfo/Asia/Shanghai 这个文件! /etc/localtime:这个文件是本地系 统的时间设定文件! 假设clock 文件里面规定了使用的时间设定文件为 /usr/share/zoneinfo/Asia/Shanghai, Linux 系统就会将 Shanghai那个文件复制一份为 /etc/localtime ,所以系统的时间显示就会以 Shanghai 那个时间设定文件为准。
假设这台主机到了美国纽约,您只要将 /etc/sysconfig/clock 里面的ZONE 设定成为ZONE="America/New_York" 并且将/usr/share/zoneinfo/America/New_York复制成为 /etc/localtime ,其它什么设置都不需要改动,系统的显示时间就是美国纽约当地的时间了! 与 NTP 及系统时间有关的执行文件: /bin/date: Linux 系统上面的日期与时间修改及输出命令。
/sbin /hwclock:因为主机的 BIOS 时间与 Linux 系统时间是分开的,所以使用 date 这个指令调整了时间之后,只是调整了linux的系统时间,还需要使用 hwclock 才能将修改过后的时间写入 BIOS。
这个命令必须root用户才能执行 。
/usr/sbin/ntpd:NTP服务的守护进程文件,需要启动它才能提供NTP服务。
/usr/sbin/ntpdate:NTP客户端用来连接NTP服务器命令文件。
2.NTP服务端的设置 编辑 /etc/ntp.conf 文件 关于权限设定部分 权限的设定主要以 restrict 这个参数来设定,主要的语法为: restrict IP地址 mask 子网掩码 参数 其中 IP 可以是IP地址,也可以是 default ,default 就是指所有的IP 参数有以下几个: ignore :关闭所有的 NTP 联机服务 nomodify:客户端不能更改服务端的时间参数,但是客户端可以通过服务端进行网络校时。
notrust :客户端除非通过认证,否则该客户端来源将被视为不信任子网 noquery :不提供客户端的时间查询 注意:如果参数没有设定,那就表示该 IP (或子网)没有任何限制! 上级时间服务器的设定 由于我们配置的NTP 服务器需要网络上面时间比较准确的NTP服务器来更新自己的时间,所以在我们的 NTP 服务器上面要配置一部上级时间服务器来进行校准!在 Internet 上面提供了许多时间服务器,从下面地址找一个离你最近的 http://www.eecis.udel.edu/~mills/ntp/clock1a.html 用server这个参数设定上级时间服务器,语法为: server IP地址或域名 [prefer] IP地址或域名就是我们指定的上级时间服务器,如果 Server 参数最后加上 prefer,表示我们的 NTP 服务器主要以该部主机时间进行校准。
解决NTP服务器校准时间时的传送延迟 使用driftfile参数设置: driftfile 文件名 在与上级时间服务器联系时所花费的时间,记录在driftfile参数后面的文件内。
注意: driftfile 后面接的文件需要使用完整的路径文件名,不能是链接文件,并且文件的权限需要设定成 ntpd守护进程可以写入。
ntp.conf文件举例: 设置要求:不对 Internet 提供服务,仅对内部子网 192.168.0.0/24 提供服务,NTP 服务器的上级时间主机为:clock.nc.fukuoka-u.ac.jp和ntp.nasa.gov,内部子网的客户端不能修改NTP服务器的时间参...
新服务器做数据库服务器用,如何测试
展开全部 通过在新服务器上检查这些步骤,您可以确保它们至少具有针对最常见攻击的基本保护。
1 - 用户配置如果它不是您的操作系统设置的一部分,您要做的第一件事就是更改root密码。
这应该是不言而喻的,但在例行服务器设置期间可能会被忽略。
密码应至少为8个字符,使用大写和小写字母,数字和符号的组合。
如果要使用本地帐户,还应设置密码策略,以指定老化,锁定,历史记录和复杂性要求。
在大多数情况下,您应该完全禁用root用户,并为需要提升权限的用户创建具有sudo访问权限的非特权用户帐户。
2 - 网络配置您需要做的最基本配置之一是通过为服务器分配IP地址和主机名来启用网络连接。
对于大多数服务器,您将需要使用静态IP,因此客户端始终可以在同一地址找到资源。
如果您的网络使用VLAN,请考虑服务器段的隔离程度以及最适合的位置。
如果您不使用IPv6,请将其关闭。
设置主机名,域和DNS服务器信息。
应使用两个或多个DNS服务器进行冗余,您应该测试nslookup以确保名称解析正常工作。
3 - 软件包管理据推测,您正在为特定目的设置新服务器,因此如果它们不属于您正在使用的分发版,请确保安装可能需要的任何软件包。
这些可以是PHP,MongoDB,ngnix等应用程序包,也可以是pear等支持包。
同样,应删除系统上安装的任何无关软件包以缩小服务器占用空间。
所有这一切都应该通过您的分销包管理解决方案来完成,例如yum或apt,以便在未来更轻松地进行管理。
4 - 更新安装和配置一旦在服务器上安装了正确的软件包,就应该确保一切都已更新。
不仅包括您安装的软件包,还包括内核和默认软件包。
除非您需要特定版本,否则应始终使用最新的生产版本来保证系统的安全。
通常,您的包管理解决方案将提供最新的支持版本。
您还应该考虑在程序包管理工具中设置自动更新,如果这样做适用于您在此服务器上托管的服务 5 - NTP配置配置服务器以将其时间同步到NTP服务器。
如果您的环境具有这些服务器,则可以是内部NTP 服务器,也可以是可供任何人使用的外部时间服务器。
重要的是防止时钟漂移,服务器的时钟偏离实际时间。
这可能会导致许多问题,包括在授予访问权限之前测量服务器和身份验证基础结构之间的时间偏差的身份验证问题。
这应该是一个简单的调整,但它是可靠基础设施的关键点。
6 - 防火墙和iptables根据你的发行版,iptables可能已被完全锁定并要求你打开你需要的东西,但无论默认配置如何,你都应该看看它并确保它按照你想要的方式设置。
请记住始终使用最小权限原则,并且只打开那些服务器上的服务绝对需要的端口。
如果您的服务器位于某种专用防火墙后面,请务必否认所有内容,但也有必要。
假设您的iptables /防火墙在默认情况下是限制性的,请不要忘记打开您的服务器完成其工作所需的内容!7 - 保护SSHSSH是Linux发行版的主要远程访问方法,因此应该得到适当的保护。
您应该远程禁用root的远程SSH功能,即使您禁用了该帐户,以防万一由于某种原因在服务器上启用了root,它仍然无法远程利用。
如果您有一组将要连接的固定客户端IP,您还可以将SSH限制为某些IP范围。
或者,您可以更改默认的SSH端口以“隐藏”它,但老实说,简单的扫描会向想要找到它的任何人显示新的开放端口。
最后,您可以完全禁用密码身份验证,并使用基于证书的身份验证来进一步降低SSH利用的可能性。
8 - 守护程序配置您已经清理了软件包,但在重新启动时将正确的应用程序设置为自动启动也很重要。
务必关闭任何不需要的守护进程。
安全服务器的一个关键是尽可能减少活动占用空间,因此可用于攻击的唯一表面区域是应用程序所需的区域。
完成此操作后,应尽可能加强剩余服务以确保弹性。
9 - SELinux和进一步硬化如果您曾经使用过Red Hat发行版,那么您可能熟悉SELinux,这是一种保护系统免受各种操作影响的内核强化工具。
SELinux非常善于防止未经授权的使用和访问系统资源。
它在打破应用程序方面也很出色,因此请确保在启用SELinux的情况下测试配置,并使用日志确保没有任何合法内容被阻止。
除此之外,您还需要研究强化MySQL或Apache等任何应用程序,因为每个应用程序都有一套最佳实践可供遵循。
10 - 日志记录最后,您应确保已启用所需的日志记录级别,并且您有足够的资源。
您最终将对此服务器进行故障排除,因此请立即帮忙,并构建您需要快速解决问题的日志记录结构。
大多数软件都具有可配置的日志记录,但您需要一些试验和错误才能在信息不足和过多之间找到适当的平衡点。
有许多第三方日志记录工具可以帮助处理从聚合到可视化的所有内容,但是每个环境都需要首先考虑其需求。
然后,您可以找到有助于填充它们的工具。
这些步骤中的每一步都需要一些时间来实施,尤其是第一次。
但是,通过建立初始服务器配置例程,您可以确保环境中的新计算机具有弹性。
如果您的服务器可能是攻击的目标,则不采取任何这些步骤可能会导致相当严重的后果。
做好这些并不能保证足够安全, 但它确实使恶意行为者变得更加困难,并且需要一定程度的技术能力来克服。
如何搭建自己的NTP服务器?
思科路由器常用配置命令一览表: 1、Exec commands: 恢复一个会话 bfe 手工应急模式设置 clear 复位功能 clock 管理系统时钟 configure 进入设置模式 connect 打开一个终端 copy 从tftp服务器拷贝设置文件或把设置文件拷贝到tftp服务器上 debug 调试功能 disable 退出优先命令状态 disconnect 断开一个网络连接 enable 进入优先命令状态 erase 擦除快闪内存 exit 退出exce模式 help 交互帮助系统的描述 lat 打开一个本地传输连接 lock 锁定终端 login 以一个用户名登录 logout 退出终端 mbranch 向树形下端分支跟踪多路由广播 mrbranch 向树形上端分支跟踪反向多路由广播 name-connection 给一个存在的网络连接命名 no 关闭调试功能 pad 打开X.29 PAD连接 ping 发送回显信息 ppp 开始点到点的连接协议 reload 停机并执行冷启动 resume 恢复一个活动的网络连接 rlogin 打开远程注册连接 rsh 执行一个远端命令 send 发送信息到另外的终端行 setup 运行setup命令 show 显示正在运行系统信息 slip 开始SLIP协议 start-chat 在命令行上执行对话描述 systat 显示终端行的信息 telnet 远程登录 terminal 终端行参数 test 测试子系统内存和端口 tn3270 打开一个tin3270连接 trace 跟踪路由到目的地 undebug 退出调试功能 verify 验证检查闪烁文件的总数 where 显示活动的连接 which-route 执行OSI路由表查找并显示结果 write 把正在运行的设置写入内存、网络、或终端 x3 在PAD上设置X.3参数 xremote 进入xremote模式 2、#show ? access-expression 显示访问控制表达式 access-lists 显示访问控制表 apollo Apollo 网络信息 appletalk Apple Talk 信息 arap 显示Appletalk 远端通道统计 arp 地址解析协议表 async 访问路由接口的终端行上的信息 bridge 前向网络数据库 buffers 缓冲池统计 clns CLNS网络信息 clock 显示系统时钟 cmns 连接模式网络服务信息 compress 显示压缩状态 configuration 非易失性内存的内容 controllers 端口控制状态 debugging 调试选项状态 decnet DEC网络信息 dialer 拨号参数和统计 dnsix 显示Dnsix/DMPP信息 entry 排队终端入口 extended 扩展端口信息 flash 系统闪烁信息 flh-log 闪烁装载帮助日志缓冲区 frame-relay 帧中继信息 history 显示对话层历史命令 hosts IP域名,查找方式,名字服务,主机表 interfaces 端口状态和设置 ip IP信息 ipx Novell IPX信息 isis IS-IS路由信息 keymap 终端键盘映射 lat DEC LAT信息 line 终端行信息 llc2 IBM LLC2 环路信息 lnm IBM 局网管理 local-ack 本地认知虚环路 memory 内存统计 netbios-cache NetBios命名缓冲存贮器内存 node 显示已知LAT节点 ntp 网络时间协议 processes 活动进程统计 protocols 活动网络路由协议 queue 显示队列内容 queueing 显示队列设置 registry 功能注册信息 rhosts 远程主机文件 rif RIF存贮器入口 route-map 路由器信息 sdlle 显示sdlc-llc2转换信息 services 已知LAT服务 sessions 远程连接信息 smds SMDS信息 source-bridge 源网桥参数和统计 spanning-tree 跨越树形拓朴 stacks 进程堆栈应用 standby 热支持协议信息 stun STUN状态和设置 subsystem 显示子系统 tcp TCP连接状态 terminal 显示终端设置 tn3270 TN3270 设置 translate 协议转换信息 ttycap 终端容易表 users 显示终端行的信息 version 系统硬、软件状态 vines VINES信息 whoami 当前终端行信息 x25 X.25信息 xns XNS信息 xermote Xremote统计 3、#config ? Memory 从非易失性内存设置 Network 从TFTP网络主机设置 Overwrite-network 从TFTP网络主机设置覆盖非易失性内存 Terminal 从终端设置 4、Configure commads: Access-list 增加一个访问控制域 Apollo Apollo全局设置命令 appletalk Appletalk 全局设置命令 arap Appletalk远程进出协议 arp 设置一个静态ARP入口 async-bootp 修改系统启动参数 autonomous-system 本地所拥有的特殊自治系统成员 banner 定义注册显示信息 boot 修改系统启动时参数 bridge 透明网桥 buffers 调整系统缓冲池参数 busy-message 定义当连接主机失败时显示信息 chat-script 定义一个调制解调器对话文本 clns 全局CLNS设置子命令 clock 设置时间时钟 config-register 定义设置寄存器 decnet 全局DEC网络设置子命令 default-value 缺省字符位值 dialer-list 创建一个拨号清单入口 dnsix-nat 为审计提供DMDM服务 enable 修改优先命令口令 end 从设置模式退出 exit 从设置模式退出 frame-relay 全局帧中继设置命令 help 交互帮助系统的描述 hostname 设置系统网络名 iterface 选择设置的端口 ip 全局地址设置子命令 ipx Novell/IPX全局设置命令 keymap 定义一个新的键盘映射 lat DEC本地传输协议 line 设置终端行 lnm IBM局网管理 locaddr-priority-list 在LU地址上建立优先队列 logging 修改注册(设备)信息 login-string 定义主机指定的注册字符串 map-class 设置静态表类 map-list 设置静态表清单 menu 定义用户接口菜单 mop 设置DEC MOP服务器 netbios NETBIOS通道控制过滤 no 否定一个命令或改为缺省设置 ntp 设置NTP priority-list 建立特权列表 prompt 设置系统提示符 queue-list 建立常规队列列表 rcmd 远程命令设置命令 rcp-enable 打开Rep服务 rif 源...
如何在windows服务器中使用syslog功能
展开全部 方法/步骤: 1. 首先根据自己的windows系统的版本(32/64位),在网上下载相应的版本。
我的系统为64位版本,因此下载64位版本; 2. 然后将下载后的软件内的两个文件evtsys.dll和evtsys.exe,拷贝到系统内c:\windows\system32目录下; 3. 这一步找到命令提示符,右击选择以管理员身份运行。
详细操作如下图所示; 4. 在操作窗口内,首先输入cd c:\windows\system32 命令进入 c:\windows\system32目录下,然后执行命令evtsys –i –h 192.168.2.104 。
下面详细介绍evtsys命令参数意思。
-i 表示安装成系统服务 -h 指定log服务器的IP地址 如要设置端口,在IP地址后加上自己要设置的端口就可以了。
ip地址与端口之间要有空格隔开。
默认不写端口为514端口。
执行完以上命令后,evtsys已经安装成功,且已经成功注册到服务列表。
5. 在开始->运行 输入 gpedit.msc。
进入windows本地组策略编辑器,在该窗口内,选择Windows设置->安全设置。
打开你需要记录的windows日志。
evtsys会实时的判断是否有新的windows日志产生,然后把新产生的日志转换成syslogd可识别的格式,通过UDP 514端口发送给syslogd服务器; 6. 启动服务。
在以管理员身份运行的命令提示符窗口内,执行命令:net start evtsys即可启动服务。
接下来进行测试是否发送成功; 7. 打开syslogwatcher进行相应的设置,设置端口为514端口,接受字符码为:UTF-8码。
然后点击listen。
进行监听514端口。
查看是否有windows日志发出。
为测试效果明显,可以重启安装evtsys的机器。
(本次安装syslogwatcher与evtsys不在同一台机器,便于测试)。
如重启安装evtsys的机器仍未看到日志。
则通过以下几点进行排除。
1.确认接收日志端的系统防火墙已经关闭。
2.确认安装evtsys的机器,是否已经启动该服务,如未启动,在服务列表点击启动。
...