Durante l'installazione iniziale Debian configuriamo il fuso orario utilizzando il file . In futuro, la sincronizzazione dell'ora e del fuso orario potrà essere eseguita con i comandi:

$su $password $dpkg-riconfigura tzdata

Utilizzare le frecce per selezionare Europa e premere Entra .

Selezioniamo anche il fuso orario.

Come risultato della sincronizzazione otteniamo un universale ( GMT) E ora locale.

Il file di configurazione è archiviato in /etc/fuso orario . Puoi aprire il file usando il comando:

$gedit /etc/timezone

Inoltre nella directory si trova il file di dati corrispondente /usr/share/zoneinfo e copiato in /etc/ora locale , questo file contiene le regole che regolano la data dell'ora legale o l'ora legale per i paesi che la utilizzano.

Un computer ha due sorgenti orarie: un orologio hardware sulla scheda madre - " CMOS" e nel kernel del sistema operativo, controllato da time server in rete. In pratica, c'è un problema perché clock CMOS non è altro che un contatore e non contiene alcuna informazione sul fuso orario.

Il problema si verifica quando il computer è in rete o dispone di più sistemi (ad esempio, esegue altri sistemi tramite una macchina virtuale), quindi si verifica il caos e non è chiaro quale sia l'ora corretta.

La sincronizzazione dell'ora può sembrare non necessaria su un singolo computer, ma è molto importante su una rete. Poiché in caso di attacco è più semplice ripristinare la cronologia degli eventi su macchine diverse. I dati raccolti su più macchine non saranno di grande utilità se non sono sincronizzati.

Poiché i computer vengono avviati e riavviati regolarmente (per risparmiare energia), è conveniente sincronizzare le macchine utilizzando NTP durante il caricamento. Per fare ciò è sufficiente installare il pacchetto ntpdate; esso consente di sincronizzare rapidamente l'orologio del computer con i server dell'ora esatta collegati al World Wide Web. Installeremo ntpdate dal repository utilizzando un gestore di pacchetti Sinaptico oppure eseguendo i comandi da terminale:

$su $password $apt-get install ntpdate

Per le workstation è possibile cambiare server NTP, utilizzato se necessario mediante modifica /etc/default/ntpdate file.

Per i server, poiché vengono riavviati raramente e c'è una grande necessità di mantenere l'ora precisa, è necessario installare un server locale NTP.

Installazione dell'NTP

$ aptitude install ntp ntpdate

Nella configurazione predefinita, il server si sincronizzerà con la risorsa pool.ntp.org e fornirà tempo in risposta alle richieste provenienti dalla rete locale. Puoi personalizzarlo modificandolo /etc/ntp.conf file.

Per motivi di sicurezza, per accedere al tuo server dall'esterno, devi aggiungere al file /etc/ntp.conf le seguenti righe (queste righe potrebbero già essere presenti):

Disabilita monitoraggio restrizione default kod nomodify notrap nopeer noquery restrizioni -6 default kod nomodify notrap nopeer noquery restrizioni 127.0.0.1 restrizione -6::1

disabilitare il monitor - disabilitare le query monlist che restituiscono un elenco degli ultimi 600 client ntp. limita il kod predefinito nomodify notrap nopeer noquery

restringere -6 default kod nomodify notrap nopeer noquery - disabilitare le richieste di stato del server.

Puoi anche specificare i tuoi server per la sincronizzazione dell'ora, ad esempio gli indirizzi dei server NTP in Russia: https://www.ntp-servers.net/servers.html e modificare il file /etc/ntp.conf eseguendo il comando :

$gedit /etc/ntp.conf

Sincronizzazione una tantum

Il server viene utilizzato come esempio ntp1.stratum1.ru:

$ ntpdate ntp1.stratum1.ru

Prima della sincronizzazione

Dopo la sincronizzazione

Per organizzare la sincronizzazione temporale costante, installeremo un demone (server) ntp

Modifica il file /etc/ntp.conf o crearlo se non esiste un file di questo tipo.

$ server ntp1.stratum1.ru iburst

Avvia ntp e aggiungi il suo caricamento automatico

$ /etc/init.d/ntp start $ update-rc.d ntp defaults

Dopo aver installato un nuovo server, è necessario eseguire la stessa serie di impostazioni standard. Oggi eseguiremo la configurazione di base di un server che esegue un sistema operativo Debian. Fornirò suggerimenti pratici per piccoli miglioramenti in termini di sicurezza e facilità di amministrazione, in base alla mia esperienza personale.

Questo articolo fa parte di un'unica serie di articoli sul server.

Introduzione

Qualsiasi lavoro successivo con il server inizia molto spesso con azioni obbligatorie standard, senza le quali non sarà possibile andare avanti o sarà scomodo lavorare. Ad esempio, in ogni caso è necessario effettuare le impostazioni di rete, è consigliabile aggiornare il sistema e impostare il fuso orario. Si consiglia di configurare immediatamente l'aggiornamento automatico dell'ora, regolare i parametri sshd, installare Midnight Commander ed eseguire altre impostazioni.

Voglio parlare di questo in questo articolo. Condividerò la mia reale esperienza lavorativa. Questo non significa che devi farlo come faccio io. Potrei sbagliarmi su qualcosa, fare qualcosa non è così conveniente come potrebbe essere fatto. Questi sono solo suggerimenti che aiuteranno qualcuno a imparare qualcosa di nuovo e qualcuno potrebbe condividere con me qualcosa di nuovo o sottolineare i miei errori. Vorrei che fosse così. Con i miei materiali, non solo condivido con te le mie conoscenze, ma imparo anche qualcosa di nuovo, anche da commenti ed e-mail.

Specifica dei parametri di rete

Quindi, abbiamo un sistema appena installato. Puoi scoprire o verificare la sua versione con i comandi:

# uname -a Linux debian10 4.19.0-5-amd64 #1 SMP Debian 4.19.37-5 (2019-06-19) x86_64 GNU/Linux # lsb_release -a Nessun modulo LSB disponibile. ID distributore: Descrizione Debian: Debian GNU/Linux 10 (buster) Uscita: 10 Nome in codice: buster

Puoi visualizzare l'elenco dei pacchetti pronti per l'aggiornamento utilizzando il comando:

# elenco apt --aggiornabile

Ora eseguiamo un semplice aggiornamento di tutti i pacchetti di sistema:

Chiave aggiornamento esegue solo un aggiornamento di una versione del pacchetto a un'altra, più recente. Non installerà né rimuoverà pacchetti, anche se è necessario aggiornarne altri. Questa è l'opzione di aggiornamento più sicura e affidabile, ma potrebbe non aggiornare tutto. Ad esempio, non può essere utilizzato per aggiornare il kernel a una versione più recente.

Chiave aggiornamento dist O aggiornamento completo(questa è la stessa cosa) oltre all'aggiornamento, elabora tutte le modifiche alle dipendenze per i nuovi pacchetti e durante il funzionamento può rimuovere quelle non necessarie e installare i pacchetti necessari per l'aggiornamento. Ecco un estratto dalla documentazione riguardante queste due chiavi.

Quindi, dopo il consueto aggiornamento, eseguiamo un altro aggiornamento completo.

# apt full-upgrade Lettura degli elenchi dei pacchetti... Fatto Creazione dell'albero delle dipendenze Lettura delle informazioni sullo stato... Fatto Calcolo dell'aggiornamento... Fatto I seguenti pacchetti sono stati installati automaticamente e non sono più richiesti: dh-python guile-2.0-libs libbind9- 140 libdns162 ​​​​libicu57 libisc160 libisccc140 libisccfg140 liblvm2app2.2 liblvm2cmd2.02 liblwres141 libperl5.24 libpython3.5-minimal libpython3.5-stdlib linux-image-4.9.0-3-amd64 -distutils 3-lib2to3 python3.5 python3. 5- rinomina minima sgml-base tcpd xml-core Usa "apt autoremove" per rimuoverli. 0 aggiornati, 0 appena installati, 0 da rimuovere e 0 non aggiornati.

Mi viene chiesto di rimuovere i vecchi pacchetti che non sono più necessari. Si tratta di dipendenze da vecchie versioni del software che sono già state aggiornate e hanno ricevuto nuovi pacchetti di dipendenze, ma non ne hanno più bisogno. Cancellateli con il comando:

Questo completa l'aggiornamento del sistema. Se desideri aggiornare la versione finale, ad esempio, leggi il materiale separato.

Configurazione di ssh

Ora apportiamo alcune modifiche alle impostazioni del server ssh. Consiglio di eseguirlo su una porta non standard per evitare comunicazioni non necessarie con bot che scansionano regolarmente Internet e indovinano le password degli utenti utilizzando i dizionari.

È opinione comune che cambiare la porta ssh sia ingenuità, non sicurezza. Devi solo configurare i certificati, fail2ban o proteggere in qualche modo la porta ssh, ad esempio utilizzando le restrizioni iptables, ecc. Tuttavia, consiglio comunque di cambiare la porta con una non standard. Anche se tutto è protetto dall'indovinare la password, poiché si utilizzano certificati, le richieste non necessarie alla porta ssh sprecano risorse del server, anche se non molto grandi. Viene stabilita una connessione, vengono scambiate strette di mano, ecc. Perché ne hai bisogno?

Per impostazione predefinita, in Debian, così come in qualsiasi altra distribuzione Linux, il server ssh funziona sulla porta 22. Cambiamo questa porta, ad esempio, in 23331. Modifico anche la configurazione per consentire all'utente root di connettersi tramite ssh utilizzando una password. In Debian, immediatamente, l'utente root non può autenticarsi tramite ssh con una password. Cambiamo anche quello. Apri il file delle impostazioni:

# nano /etc/ssh/sshd_config

E modifica lì le seguenti righe. Portiamoli in forma:

Porta 23331 PermitRootLogin sì

Salva le modifiche e riavvia il server ssh con il seguente comando:

# riavvio del servizio sshd

Verifica delle modifiche:

#netstat-tulnp | grep ssh tcp 0 0 0.0.0.0:23331 0.0.0.0:* ASCOLTA 925/sshd tcp6 0 0:::23331:::* ASCOLTA 925/sshd

Va tutto bene, il server è in ascolto sulla porta 23331. Ora la nuova connessione verrà stabilita solo sulla porta 23331. Allo stesso tempo, dopo aver riavviato ssh, la vecchia connessione non verrà interrotta.

So che molte persone si oppongono alla connessione come root al server. Presumibilmente non è sicuro, ecc. ecc. Queste argomentazioni non mi sembrano convincenti. Non capisco quale potrebbe essere il problema se ho una normale password di root complessa che non può essere indovinata o violata. Mai in tutto il mio lavoro come amministratore di sistema ho avuto problemi con questo punto. Ma lavorare in questo modo è molto più conveniente, soprattutto quando è necessario connettersi rapidamente da qualche parte a causa di circostanze di forza maggiore.

Separatamente, ho discusso l'argomento della connessione a un server come root in un articolo su . Se qualcuno è interessato, vai lì e condividi la tua opinione su questo argomento.

Installazione delle utilità mc, htop, iftop

Il passaggio successivo consiste nel configurare alcune utilità utili che utilizzo regolarmente nel mio lavoro quotidiano. Il primo di questi è il noto file manager a due pannelli Midnight Commander. Installiamo mc al nostro server:

# apt installa mc

E immediatamente attivo l'evidenziazione della sintassi per tutti i file che non sono esplicitamente designati nel file /usr/share/mc/syntax/Sintassi sintassi per gli script sh e bash. Questa sintassi universale va bene per i file di configurazione con cui devi lavorare molto spesso sul server. Sovrascrivere il file sintassi.sconosciuta. Questo è il modello che verrà applicato ai file .conf e .cf, poiché non esiste una sintassi esplicita ad essi allegata.

# cp /usr/share/mc/syntax/sh.syntax /usr/share/mc/syntax/unknown.syntax

L'ho impostato immediatamente come editor predefinito mcedit. Per fare ciò, lo seleziono semplicemente dal menu la prima volta che modifico un file. Se questo menu non ti appare, puoi richiamarlo tu stesso e selezionare l'editor predefinito richiesto:

# select-editor Seleziona un editor. Per modificare in seguito, esegui "select-editor".<---- easiest 2. /usr/bin/mcedit 3. /usr/bin/vim.tiny Choose 1-3 : 2

1. /bin/nano

# apt installa htop Un'utilità utile che ti consente di monitorare il carico della rete in tempo reale è iftop

. Lo consiglio vivamente Non ho mai trovato uno strumento più semplice e conveniente, anche se ho provato molte cose simili. Installa iftop sul server:

# apt installa iftop

Impostazione e aggiornamento dell'ora in Debian

Ora controlliamo il fuso orario e l'ora impostati e abilitiamo la sincronizzazione automatica dell'ora dal server remoto. Ho discusso questo problema in modo molto dettagliato in un articolo separato -. Puoi scoprire la data, l'ora, il fuso orario con il comando:

data

Se tutto è specificato correttamente, non è necessario modificare nulla. Se hai l'ora sbagliata o il fuso orario specificato non corrisponde al tuo, puoi configurarlo come segue. Innanzitutto, aggiorniamo i fusi orari:

# apt installa tzdata

Selezioniamo ora il fuso orario corretto utilizzando il comando:

# dpkg-riconfigura tzdata

Quando selezioni gli elementi appropriati della procedura guidata, indica il tuo fuso orario.

# apt installa ntpdate

E sincronizza l'ora:

# ntpdate-debian 12 ago 14:30:21 ntpdate: regola il time server 89.109.251.21 offset 0.004529 sec

Ciò significa che il tuo servizio ntp è già in esecuzione. È necessario arrestarlo e aggiornare manualmente l'ora. Anche se funziona, allora dovresti stare bene.

Per garantire che l'ora venga sincronizzata automaticamente senza la tua partecipazione a una determinata frequenza, viene utilizzato uno strumento ntp. Installiamolo:

# apt installa ntp

Dopo l'installazione, si avvierà da solo e sincronizzerà automaticamente l'orologio del server. Controlliamo se il servizio ntpd è avviato:

#netstat-tulnp | GREP NTP UDP 0 0 10.20.1.16:123 0.0.0.0:* 8855/NTPD UDP 0 0 127.0.0.1:123 0.0.0.0:* 8855/NTPD UDP 0 0 0.0.0.0:123 0.0.0.0:* 8855/NTP d udp6 0 0 fe80::cce1:23ff:fe4:123:::* 8855/ntpd udp6 0 0::1:123:::* 8855/ntpd udp6 0 0:::123:::* 8855/ntpd

Configurazione del firewall (iptables) in Debian

Il firewall predefinito in Debian è iptables, lo configureremo. Inizialmente, il firewall è completamente aperto e consente il passaggio di tutto il traffico. Puoi controllare l'elenco delle regole di iptables con il seguente comando:

# iptables -L -v -n Catena INPUT (policy ACCEPT 0 pacchetti, 0 byte) pkts byte target prot opt ​​in out source destinazione Catena FORWARD (policy ACCEPT 0 packets, 0 byte) pkts byte target prot opt ​​in out destinazione sorgente Catena OUTPUT (politica ACCEPT 0 pacchetti, 0 byte) pkts byte target prot opt ​​in out destinazione sorgente

Vorrei attirare l'attenzione sul fatto che non è necessario configurare un firewall senza accesso diretto alla console del server. Soprattutto se non sei molto informato a riguardo e copi i comandi dal sito. La possibilità di commettere un errore è molto alta. Perderai semplicemente l'accesso remoto al server.

Creiamo un file con le regole iptables:

# mcedit /etc/iptables.sh

Verifica che le regole siano scritte nel file /etc/iptables_rules. Se non sono presenti, li annotiamo manualmente.

# /sbin/iptables-save > /etc/iptables_rules

Le regole sono state applicate e scritte nel file /etc/iptables_rules. Ora dobbiamo assicurarci che vengano applicati all'avvio del server. Per fare questo facciamo quanto segue. Apertura del file /etc/rete/interfacce e aggiungi la riga pre-up iptables-restore< /etc/iptables_rules Должно получиться вот так:

# cat /etc/network/interfacesallow-hotplug eth0 iface eth0 inet dhcp pre-up iptables-restore< /etc/iptables_rules

Per verificare, riavvia il server e guarda le regole di iptables. Il set di regole configurato dal file dovrebbe essere caricato /etc/iptables_rules.

Impostazione dei registri cron

Per impostazione predefinita, Debian non ha un file di registro separato per gli eventi cron, vengono tutti inseriti in un registro comune; /var/log/syslog. Personalmente non mi piace molto, preferisco inviare questi eventi in un file separato. Ne ho scritto separatamente -. Ti consiglio di seguire il collegamento e configurarlo se ne hai bisogno. È molto breve e riguarda solo il punto, non copierò qui queste informazioni.

Schermata di installazione e configurazione

Sono abituato a utilizzare l'utilità della console dello schermo nel mio lavoro. Inizialmente, è stato concepito come uno strumento che ti consente di eseguire qualcosa in remoto nella console, disconnetterti dal server e, allo stesso tempo, tutto ciò che è in esecuzione nella console continuerà a funzionare. Puoi facilmente tornare alla stessa sessione e continuare a lavorare.

All'inizio, è esattamente così che ho usato questa utilità. Raramente l'ho avviato, a meno che non lo dimenticassi, quando era in esecuzione un lungo processo, che era un peccato interrompere a causa di una perdita accidentale di connessione o della necessità di disconnettere il laptop dalla rete e spostarlo da qualche parte.

Successivamente ho deciso di dare un'occhiata più da vicino a questo strumento e ho scoperto che ha diversi punti utili che possono essere utilizzati nel lavoro quotidiano. Ecco come utilizzo l'utilità dello schermo. Quando mi collego al server, avvio la schermata con tre finestre 1, 2, 3. La prima finestra va automaticamente nella directory /, la seconda in /etc, la terza in /var/log. Ho chiamato queste finestre in modo significativo: Main, etc, logs, rispettivamente. In basso c'è la barra di stato, che visualizza un elenco di tutte le finestre aperte ed evidenzia la finestra attiva.

Utilizzando i tasti di scelta rapida posso passare da una finestra all'altra molto rapidamente, se necessario. Ecco come appare la mia finestra di connessione ssh funzionante:

Passo da una finestra all'altra utilizzando i tasti di scelta rapida standard sullo schermo: ctrl+a 1, ctrl+a 2, ctrl+a 3. Ho modificato appositamente la numerazione in modo che non inizi dallo 0 predefinito, ma da 1. Ciò rende più comodo il passaggio finestre sulla tastiera. Il pulsante 0 è troppo lontano da 1 e 2.

Per impostare lo schermo in modo che funzioni nello stesso modo in cui lo faccio io, basta seguire alcuni semplici passaggi. Per prima cosa installiamo la schermata:

# schermata di installazione apt

Crea nel catalogo /radice file di configurazione .screenrc il seguente contenuto:

# mcedit /root/.screenrc #Visualizza la riga di stato hardstatus semprelastline "%-Lw%(= BW)%50>%n%f* %t%(-)%+Lw%<" # Добавляем некоторые настройки startup_message off defscrollback 1000 defutf8 on shell -$SHELL # Создаем несколько окон chdir screen -t Main 1 chdir /etc screen -t etc 2 chdir /var/log screen -t logs 3 # Активное первое окно после запуска select 1

Per conoscere le impostazioni, i tasti di scelta rapida e le opzioni per l'utilizzo dell'utilità schermo, puoi visitare http://itman.in/ssh-screen/ Questo materiale mi ha aiutato. Scritto in modo breve, diretto e chiaro.

Conclusione

Ora puoi riavviare il server e verificare se è tutto ok. Per me va tutto bene, ho controllato :) Questo completa la configurazione di base del server Debian. Puoi iniziare a configurare i vari servizi per i quali è stato configurato. Ne parlo in articoli separati.

Permettimi di ricordarti che questo articolo fa parte di un'unica serie di articoli sul server.

Corso online "Ingegnere di rete"

Se desideri imparare a costruire e mantenere reti altamente disponibili e affidabili, ti consiglio di seguire il corso online Network Engineer di OTUS. Si tratta di un programma originale combinato con esercitazioni a distanza su apparecchiature reali e un certificato accademico Cisco! Gli studenti acquisiscono competenze pratiche nell'utilizzo delle apparecchiature utilizzando un laboratorio online remoto basato su un partner di formazione - RTU MIREA: router Cisco 1921, Cisco 2801, Cisco 2811; Switch Cisco 2950, ​​Cisco 2960 Caratteristiche del corso:

• Il corso contiene due project work.;
• Gli studenti sono iscritti alla Cisco Academy ufficiale (OTUS, Cisco Academy, ID 400051208) e ottengono l'accesso a tutte le parti del corso CCNA Routing and Switching;
• Gli studenti potranno sostenere l’esame e ricevere, insieme al certificato OTUS, un certificato per il corso “CCNA Routing and Switching: Scaling Networks”;

Mettiti alla prova con il test d'ingresso e consulta il programma per maggiori dettagli.

L'ora esatta su un computer è una cosa carina... ma secondo me molte persone non provano nemmeno a usarlo... nella migliore delle ipotesi, la regolazione manuale.. :(
Linux ha un meraviglioso servizio ntp, ma molte persone non riescono a configurarlo, è necessario leggere una certa quantità di documentazione per capire “come funziona” (c)
Cercherò di spiegare brevemente come impostare e utilizzare questo servizio, principalmente per coloro che non vogliono o non possono dedicare molto tempo a questo.
A cosa serve?
Con un servizio correttamente configurato sul server, sarai in grado di sincronizzare localmente gli orologi su tutti i computer della rete locale, sia OS Linux che Windows.
La cosa bella è che non è necessario accedere costantemente a Internet; quando il server lo ha, effettuerà una correzione temporale, il resto riceverà la sincronizzazione localmente da esso.
Inoltre, molto spesso sui vecchi computer, le batterie delle schede madri sono già scariche e il tempo sta per scadere, all'avvio del computer l'ora verrà regolata automaticamente..
Cosa è necessario installare?
Il repository Debian standard ha pacchetti: ntp e ntpdate
apt-get installa ntp ntpdate
In linea di principio, dopo l'installazione, il server inizia a funzionare immediatamente.
ma non sarai in grado di sincronizzarti con esso..
Per fare ciò, devi correggere qualcosa in /etc/ntp.conf..
Di seguito è riportata la configurazione e i commenti, puoi apportare le tue correzioni:
#=============================================================================
# /etc/ntp.conf, configurazione per ntpd; vedere ntp.conf(5) per aiuto driftfile /var/lib/ntp/ntp.drift statsdir /var/log/ntpstats/ Statistics loopstats peerstats clockstats filegen loopstats file loopstats tipo giorno abilita filegen peerstats file peerstats tipo giorno abilita filegen clockstats file clockstats tipo giorno abilita server 0.debian.pool.ntp.org server 1.debian.pool.ntp.org server 2.debian.pool.ntp.org server 3.debian.pool.ntp.org server 2.ru.pool. server ntp.org 1.ru.pool.ntp.org server 3.europe.pool.ntp.org server 2.europe.pool.ntp.org restrizioni -4 default kod notrap nomodify nopeer noquery restrizioni 127.0.0.1 # la nostra rete limita 192.168.0.0 maschera 255.255.255.0 nomodify notrap restring 192.168.255.0 maschera 255.255.255.240 nomodify notrap # e questa è una cosa magica che imposta il livello di fiducia del server (strati) su se stesso pari a 3 # in poche parole, più alto è il livello, più basso è il numero. 0 è l'orologio atomico, #1 è sincronizzato con esso, 2 è con il primo e così via. server 127.127.1.1 fudge 127.127.1.1 strato 3 ========================== ============== =============================================

Sui computer Windows XP, ad esempio, ora puoi specificare il tuo server, o il suo ipdaares, nelle impostazioni di data e ora e sincronizzare.
con Windows 98, 200 è più difficile... serve un programma apposito, come D4,
che è sostanzialmente risolvibile...
Con Linux, quasi tutte le versioni che conosco hanno un tale servizio.. Non credo che la configurazione sia molto diversa.. :)

È importante mantenere l'ora più o meno precisa sul server. In modo che sia comodo leggere i log, in modo che il tuo server non invii ad altri lettere dal passato o dal futuro, in modo che... non importa, è solo importante e basta.
A causa di vari problemi tecnici, errori hardware, cicli di accensione, il tempo sul server potrebbe ritardare o accelerare rispetto al tempo atomico. Di solito - non più di un secondo al giorno, in pratica - un secondo al mese, o anche meno. Ma un hardware mal funzionante può far perdere molto più tempo (in generale, forti fluttuazioni nel tempo sono un motivo per pensare alla salute dell'hardware).
Esistono due modi popolari per sincronizzare l'ora in Linux: ntpdate utilizzando cron o eseguendo costantemente ntpd. Sei libero di sceglierne uno qualsiasi, scriverò di entrambi. Ma per conto mio consiglio comunque di utilizzare ntpdate secondo la corona, soprattutto se non è molto fondamentale per te mantenere costantemente l'ora sul server con un errore inferiore a 0,1 s.
Si è verificato un problema con ntpd quando una vulnerabilità rendeva possibile utilizzare i server ntpd per effettuare un attacco di amplificazione udp (quando un piccolo pacchetto inviato al proprio server consentiva di generare un grande pacchetto udp verso il server attaccato di qualcun altro) - http https://habrahabr.ru /post/209438/
Naturalmente, quella vulnerabilità è stata risolta (e hanno scritto come uscirne senza aggiornamenti ntpd), ma dov'è la garanzia che non rimangano problemi simili? E, ancora una volta, ntpd funziona ancora su udp e sono possibili attacchi di tipo simile, anche se senza un grande aumento del traffico (ma questo ti permetterà di nascondere l'aggressore, esponendo il tuo server ad un abuso). A proposito, mi sono accorto che ntpd, integrato nel modulo ipmi del server, era vulnerabile a questo attacco e si è divertito a infastidire i miei vicini in campagna =)
Pertanto, se non sei pronto a leggere costantemente le newsletter sulla sicurezza, seguire gli aggiornamenti e così via, non dovresti comunque installare ntpd.
Quindi, il primo metodo: esegui ntpdate una volta al giorno secondo la corona.
Rimuoviamo ntpd, se esiste:

root@server:~# apt-get rimuovi --purge ntpd

Imposta ntpdate:

root@server:~# apt-get installa ntpdate

E crea un file /etc/cron.d/ntpdate con il seguente contenuto:

0 6 * * * root ntpdate ntp.ubuntu.com 1>/dev/null 2>&1

Ora ogni giorno alle 6 del mattino (imposta tu stesso l'ora e la frequenza) l'orologio verrà aggiornato.

Secondo metodo: nptd.
Dobbiamo metterla al contrario:

root@server:~# apt-get installa ntpd

E scrivi nel file config /etc/ntpd.conf configurazione più o meno corretta:

disabilita l'autenticazione
disabilitare le statistiche
server0.ubuntu.pool.ntp.org
server1.ubuntu.pool.ntp.org
server2.ubuntu.pool.ntp.org
server 3.ubuntu.pool.ntp.org

Quindi lo riavviamo:

root@server:~# /etc/init.d/ntp riavviare

Questo è tutto, ora il nostro orologio è regolato in tempo reale e sincronizzato con un pool di server ntp.