Linux如何配置系统时间同步？_Linuxchrony与ntp服务配置方法-LINUX-PHP中文网

在linux系统中，确保时间同步主要通过chrony或ntp服务实现，二者均可与外部时间源同步以避免因时间偏差引发问题。使用chrony时，安装后配置/etc/chrony.conf文件，添加如阿里云ntp服务器，并启动服务；而ntp的配置类似，修改/etc/ntp.conf并启用ntpd服务。两者均需开放防火墙udp 123端口，且可通过命令如chronyc sources -v、ntpq -p等验证同步状态。时间不同步可能导致日志混乱、ssl证书校验失败、分布式数据不一致、认证机制异常及定时任务执行错误等问题。选择上，chrony因其快速同步、低资源占用和良好的网络适应性更适用于现代虚拟化和云环境，而ntp则适合对时间精度要求不极致的老旧系统。排查问题时，应检查服务状态、网络连通性、防火墙设置、配置文件正确性、ntp源可用性及查看日志信息。

Linux如何配置系统时间同步？_Linuxchrony与ntp服务配置方法

在Linux系统里，要让时间走得准，主要就是通过时间同步服务来搞定，最常用也最靠谱的就是chrony和NTP。它们能让你的服务器时间自动和外部标准时间源对齐，避免各种因为时间不准引发的奇奇怪怪的问题。

解决方案

搞定Linux系统的时间同步，无论是用chrony还是NTP，核心思路都是一样的：选一个时间源，然后让服务去跟它对齐。

使用chrony进行时间同步：

chrony通常被认为是NTP的现代替代品，尤其在网络环境不稳定或者虚拟机上，它的表现会更出色。

安装chrony： 在基于RPM的系统（如CentOS, RHEL, Fedora）： sudo yum install chrony -y 在基于DEB的系统（如Ubuntu, Debian）： sudo apt install chrony -y

配置chrony： 主配置文件是/etc/chrony.conf。打开它，你会看到一些默认配置。通常，你需要确保有可用的NTP服务器池。可以替换或添加你信任的NTP服务器，比如阿里云的NTP服务：

# pool 2.pool.ntp.org iburst # 默认的全球NTP池，可以注释掉或保留
pool ntp.aliyun.com iburst # 使用阿里云的NTP服务器
pool ntp1.aliyun.com iburst
pool ntp2.aliyun.com iburst

driftfile /var/lib/chrony/chrony.drift
makestep 1.0 3 # 如果时间偏差超过1秒，会在3次更新内逐步调整
rtcsync # 启用实时时钟（RTC）同步，让硬件时间也保持准确
logdir /var/log/chrony # 日志目录

登录后复制

iburst 选项能让chrony在启动时，或者当一个NTP服务器变得可用时，快速发送一系列查询包，加速初始同步过程。

启动并启用chrony服务：sudo systemctl enable chronyd --now 这会启动chrony服务，并设置它在系统启动时自动运行。
检查chrony状态：chronyc sources -v 可以查看chrony正在同步的NTP源及其状态。 chronyc tracking 可以查看当前的同步信息，包括系统时间相对于NTP源的偏移量。 timedatectl status 也能快速看到当前时间同步状态，以及是否启用NTP（这里指的是chrony或ntp服务）。

使用NTP服务进行时间同步：

NTP是老牌且广泛使用的协议，非常稳定，但可能在某些极端网络条件下表现不如chrony灵活。

安装NTP： 在基于RPM的系统： sudo yum install ntp -y 在基于DEB的系统： sudo apt install ntp -y

配置NTP： 主配置文件是/etc/ntp.conf。类似chrony，你需要指定NTP服务器。

# pool 0.centos.pool.ntp.org iburst # 默认的NTP池，可以替换
server ntp.aliyun.com iburst # 使用阿里云的NTP服务器
server ntp1.aliyun.com iburst
server ntp2.aliyun.com iburst

driftfile /var/lib/ntp/ntp.drift # 漂移文件，记录系统时钟的漂移率
logfile /var/log/ntp.log # 日志文件

# 限制访问，提升安全性
restrict default nomodify notrap nopeer noquery
restrict -6 default nomodify notrap nopeer noquery
restrict 127.0.0.1
restrict ::1

登录后复制

启动并启用NTP服务：sudo systemctl enable ntpd --now
检查NTP状态：ntpq -p 可以列出NTP服务器列表，以及它们的状态、延迟、偏移量等信息。 ntpstat 可以快速查看系统是否与NTP服务器同步。

防火墙配置：

无论是chrony还是NTP，它们都使用UDP端口123。如果你的系统启用了防火墙（如firewalld或ufw），你需要允许这个端口的流量。

对于firewalld：sudo firewall-cmd --add-service=ntp --permanentsudo firewall-cmd --reload

对于ufw：sudo ufw allow ntpsudo ufw reload

Linux系统时间同步到底有多重要，不同步会出什么问题？

说实话，我见过不少因为时间不同步引发的“血案”。一开始可能觉得不就是个时间嘛，差几秒几十秒能怎样？但当系统变得复杂，或者涉及到跨机器协作时，时间不一致简直是灾难。

首先，最直观的影响就是日志混乱。当你的服务跑在多台机器上，如果它们的时间不一致，日志里的时间戳就会乱七八糟。排查问题的时候，你根本无法准确地串联起事件发生的顺序，这对于故障定位简直是噩梦。比如一个请求从前端到后端，再到数据库，每个环节的日志时间都对不上，那怎么分析用户请求的完整链路呢？

其次，SSL/TLS证书校验会出问题。HTTPS连接的安全性依赖于证书的有效期。如果客户端或者服务器的时间偏差太大，超出了证书的有效范围，那么SSL握手就会失败，网站无法访问，API调用也会中断。这在生产环境里，轻则影响用户体验，重则直接导致业务中断。

再者，分布式系统的数据一致性是个大问题。很多分布式数据库、消息队列或者分布式事务系统，它们内部会依赖精确的时间戳来保证数据的一致性、事件的顺序性。比如，如果两个节点的时间差了几秒，一个“后发生”的事件可能因为时间戳“更早”而被错误地处理，导致数据错乱或者逻辑错误。这在金融、电商等对数据一致性要求极高的场景下，是绝对不能接受的。

还有，认证和授权机制也常常对时间敏感。比如Kerberos认证协议，它就是基于时间戳来防止重放攻击的。如果客户端和KDC（密钥分发中心）的时间偏差超过了允许的阈值，认证就会失败。这直接导致用户无法登录，服务无法访问。

最后，别忘了定时任务（Cron jobs）。你设定一个任务每天凌晨1点跑，结果服务器时间慢了半小时，那任务就晚了半小时才执行。对于一些时间窗口敏感的批处理任务，这可能导致数据未能及时处理，影响后续业务流程。

所以，时间同步这事，看起来小，但真的能牵一发而动全身。它就像是所有系统运行的“节拍器”，节拍器乱了，整个交响乐就全毁了。

琅琅配音

全能AI配音神器

208

查看详情

chrony和NTP服务在实际应用中，我们该怎么选，它们俩到底有啥不一样？

在选择chrony还是NTP时，我个人会倾向于chrony，尤其是在新的部署或者云环境、虚拟机场景下。但NTP作为经典，依然有它的用武之地。它们俩的区别，主要体现在以下几个方面：

NTP（Network Time Protocol）

优点： 历史悠久，非常成熟和稳定，兼容性好，几乎所有操作系统都支持。它的算法经过了长时间的考验，非常可靠。
缺点：
- 同步速度： 在系统时间与NTP服务器时间偏差较大时，NTP会非常缓慢地调整时间，以避免时间跳变对系统造成影响。这在某些场景下，比如虚拟机快照恢复或者网络中断后恢复，可能导致时间长时间不准确。
- 资源占用： 相较于chrony，NTPD守护进程的资源占用略高一些。
- 闰秒处理： NTP对闰秒的处理相对复杂，需要手动配置或依赖NTP服务器的信号。

chrony

优点：
- 同步速度快： 这是我最喜欢chrony的地方。它能更快地收敛时间，尤其是在系统时间偏差较大时，可以通过makestep配置快速调整时间，而不会像NTP那样过于谨慎。这对于虚拟机环境，或者网络波动频繁的场景非常有利。
- 轻量级： 资源占用更低，对于资源受限的设备或大量虚拟机来说，这是个不小的优势。
- 网络适应性强： 在网络连接不稳定、间歇性连接或者带宽受限的环境下，chrony的表现更好。它能更好地适应时钟源不可用的情况，并在源恢复后快速同步。
- 闰秒处理： 对闰秒的处理更灵活，通常能自动处理。
- 更精确： 在某些情况下，chrony能提供更精确的时间同步。
缺点： 相对NTP来说，它“年轻”一些，虽然现在已经非常成熟和广泛应用。

我的选择偏好：

如果是一个全新的Linux服务器部署，尤其是在虚拟化环境（VMware, KVM, Docker容器）或者云平台（AWS, Azure, 阿里云）上，我几乎总是推荐使用chrony。它的快速同步和低资源占用特性，非常符合这些现代基础设施的需求。设想一下，一台虚拟机因为某些原因时间漂移了几个小时，用chrony可能几分钟就追回来了，而NTP可能需要更长的时间。

当然，如果你维护的是一些老旧的系统，或者对时间精度要求没那么极致，NTP依然是个可靠的选择。但对于追求效率和稳定性的新部署，chrony无疑是更好的选择。

配置完时间同步服务后，怎么确认它真的在工作，以及遇到问题了该怎么排查？

配置好了不代表万事大吉，验证和排查才是真正的技术活。我通常会这么做：

确认服务状态：

无论是chrony还是NTP，第一步都是检查服务是否在运行。

chrony： sudo systemctl status chronyd 看到active (running)就说明服务正常跑着。
NTP： sudo systemctl status ntpd 同样，看到active (running)表示正常。

如果服务没跑起来，或者状态不正常，先看看journalctl -u chronyd或者journalctl -u ntpd的日志，通常能找到启动失败的原因。

检查同步状态：

这是最关键的一步，看服务是不是真的在和外部时间源同步，以及同步得怎么样。

对于chrony：
- chronyc sources -v：这个命令会列出chrony正在使用的NTP源，以及它们的同步状态。你会看到星号*表示当前正在同步的源，#表示当前是参考源，?表示源不可达，x表示源被排除。Reach字段表示最近8次查询的成功率，Offset表示与源的时间偏移量，这个值越小越好。
- chronyc tracking：这个命令会显示更详细的同步信息，包括当前参考ID、层级（Stratum）、系统与参考源的偏移量（System time），以及频率偏移（Frequency）等。Reference ID和Stratum能告诉你当前同步到的时间源信息。
对于NTP：
- ntpq -p：这个命令会列出NTP服务器列表，以及它们的状态。remote是NTP服务器地址，refid是参考ID，st是层级，when是上次同步多久前，poll是查询间隔，reach是可达性，delay是网络延迟，offset是时间偏移，jitter是抖动。同样，offset越小越好。*表示当前正在同步的源，+表示备用源。
- ntpstat：这是一个简洁的命令，会告诉你系统时间是否与NTP服务器同步，以及同步的精度。如果显示synchronised to NTP server，那就是好消息。

常见问题与排查：

服务无法启动：
- 检查配置文件： chrony.conf或ntp.conf里有没有语法错误？有没有拼写错误？
- 权限问题： 配置文件或日志目录权限是否正确？
- 端口冲突： 理论上不太可能，但偶尔会遇到其他服务占用了UDP 123端口。
无法同步（offset很大，reach很低，或者源显示? x）：
- 网络连通性：
  - ping一下你在配置文件里写的NTP服务器地址，看看能不能通。
  - telnet ntp.aliyun.com 123 (虽然NTP是UDP，但有时能通过TCP连接尝试判断端口是否开放，虽然不完全准确)。
  - 最直接的，检查你的服务器能否访问外网，DNS解析是否正常。
- 防火墙问题： 这是最常见的坑。确保UDP 123端口对外是开放的。前面提到的firewall-cmd或ufw命令要执行到位。
- NTP源不可用： 你配置的NTP服务器可能暂时挂了或者响应很慢。可以尝试更换为其他公共NTP源，比如pool.ntp.org或者国内的ntp.aliyun.com，cn.pool.ntp.org等。
- 系统时间偏差过大： 如果系统时间与NTP源偏差太大（比如几小时甚至几天），NTP服务可能会拒绝同步，或者需要很长时间才能追上。这时，你可以考虑先手动调整一下时间到大致正确：sudo date -s "YYYY-MM-DD HH:MM:SS"，然后再启动NTP服务。chrony的makestep指令就是为了处理这种情况。
日志信息： 别忘了查看系统日志。journalctl -u chronyd或journalctl -u ntpd会提供很多有用的信息，比如服务启动失败的原因、同步过程中遇到的错误等。