• Серверная служба chronyd (пакет chrony). Включена в состав Astra Linux Special Edition РУСБ.10015-01 начиная с очередного обновления 1.7 и в Astra Linux Common Edition начиная с 2.12.43. С момента включения в состав Astra Linux является рекомендованной серверной службой времени (не путать со службой сверхточного времени PTP и с клиентской службой timedatectl, см. далее) . Может обеспечивать работу ОС в режиме как сервера точного времени, так и клиента. Является штатной службой времени для использования с контроллерами домена FreeIPA (см. Контроллер ЕПП FreeIPA в Astra Linux) начиная с версии FreeIPA 4.8.5.

• Серверная служба ntp (представлена пакетами ntp и ntpdate). Может обеспечивать работу ОС в режиме как сервера точного времени, так и клиента.

  Для синхронизации времени с внешними серверами служба ntp требует полного двустороннего доступа к сетевому порту 123 и не умеет работать с другими портами. Если по каким-то причинам порт 123 в вашей сети закрыт и не может быть открыт, то возможно применение одного из следующих решений: В Astra Linux Special Edition x.7 - использовать службу времени chronyd; Использовать локальные аппаратные источники точного времени; Выносить службу ntp на сервер межсетевого экрана, чтобы она имела открытый порт 123 с выходом в Интернет; Использовать ручную или автоматическую принудительную коррекцию времени с помощью команды ntpdate (см. ниже); Использовать серверную службу openntpd (см. ниже); Использовать клиентскую службу systemd-timesyncd (см. ниже);

  Начиная с Astra Linux Special Edition очередное обновление 1.8 в расширенном репозитории доступен пакет ntpsec, предоставляющий вариант серверной службы ntp с поддержкой аутентификации клиентов и защитного преобразования передаваемых данных.
• Серверная служба openntpd (пакет openntpd). Может обеспечивать работу ОС в режиме как сервера точного времени, так и клиента. Включена в состав Astra Linux Common Edition 2.12.26 как упрощённая альтернатива службе NTP. Может быть установлена в Astra Linux Special Edition из репозитория Astra Linux Common Edition. В отличие от службы NTP:
  • может синхронизировать время с внешними серверами не используя сетевой порт 123, что позволяет применять эту службу в сетях, в которых не работает служба ntp из-за того, что порт 123 закрыт, не изменяя политику безопасности сети;
  • не поддерживает микросекундную точность, не поддерживает авторизацию клиентов,  не поддерживает расширения протокола NTP. См. Ограничения openntpd;
  • в силу своей простоты не подвержена многим уязвимостям NTP;

• Клиентская служба timedatectl / systemd-timesyncd.service. Не представлена отдельными пакетами, встроена непосредственно в ОС.
  Предназначена для использования только на клиентских ОС, и не может работать сервером точного времени.
  Поддерживает только упрощенный протокол передачи времени, однако считается более современным вариантом для типичных клиентских применений.

  Служба systemd-timesyncd.service не будет работать, если: Обнаружит на компьютере установленную службу NTP (даже незапущенную); Обнаружит на компьютере установленную службу openntpd (даже незапущенную); Обнаружит на компьютере установленную службу chronyd (даже незапущенную); Обнаружит на компьютере установленные гостевые дополнения Oracle Virtual Box (предполагается, что на виртуальных машинах синхронизацию времени выполняет менеджер виртуальных машин).

• Служба времени высокой точности PTP (Precision Time Protocol) - описание представлено в отдельной статье.

Основные термины

При работе  с часами используются следующие понятия, связанными друг с другом через параметры временной зоны и настроек аппаратных часов:

Служба времени chrony

Начиная с Astra Linux Special Edition x.7 и Astra Linux Common Edition 2.12.43 в состав дистрибутивов включен пакет chrony (системная служба chronyd) - версия службы времени, в настоящее время рекомендованная к применению вместо службы ntp. В более старых вариантах Astra Linux пакет chrony может быть установлен из репозиториев Debian.

В частности, служба chronyd, в отличие от службы ntp:

1. Не прекращает свою работу, обнаружив слишком большое отклонение времени, а пытается исправить ситуацию;
2. Быстрее выполняет синхронизацию;
3. Работает в ситуациях, когда IP-порт 123 закрыт для исходящих запросов (т.к. для своих запросов использует непривилегированные порты, а в ntp порт 123 для исходящих запросов зашит жёстко).

При установке ОС пакет chrony по умолчанию не устанавливается и может быть установлен командой:

Настройки работы службы chronyd

Конфигурация службы chronyd находится в файле с именем /etc/chrony/chrony.conf. В файле содержатся подробные комментарии о назначении параметров настройки. После установки служба chronyd запускается с настройками "по умолчанию", однако будет при этом работать только как клиент синхронизации времени.

При использовании настройки "по умолчанию" служба chronyd будет работать только как клиент синхронизации времени. Чтобы служба начала работать как сервер времени (т.е. отвечала другим клиентам на запросы), нужно в конфигурацию добавить строчку с разрешениями, в простейшем варианте - разрешить всем:

allow

После чего перезапустить службу chronyd:

Более подробную информацию см. в документации: 

Настройка работы в изолированной сети

Для нормальной работы информационной инфраструктуры часы всех компьютеров, находящихся в одной общей сети, всегда должно быть синхронизированы. При этом если сеть изолирована от внешнего мира, то время самой сети может быть не синхронизировано с мировым временем. Технически это не приведет к нарушениям работы пока часы компьютеров синхронны.

В изолированной сети служба времени, обеспечивающая синхронизацию всех часов в этой сети, должна уметь работать без синхронизации с внешними по отношению к сети источниками точного времени.  Для поддержки такого режима работы используются локальные физические источники точного времени (спутниковые данные, атомные часы и пр.).  При отсутствии таких источников используется опция конфигурации local. Эта опции позволяет службе времени продолжать работу игнорируя отсутствие внешней синхронизации, сообщая при этом клиентам, что она синхронизирована. Пример задания значения опции:

local stratum 8

Числовое значение в опции (от 1 до 15) указывает уровень синхронизации службы, который служба сообщает клиентам. Значение 1 указывает, что служба синхронизируется с физическим источником точного времени, значение 2 указывает, что служба синхронизируется со службой уровня 1, значение 3 - со службой уровня 2 и т.д. Значения 10 и более указывают, что время синхронизировано, но недостоверно.

Отключение использования IPv6

Для того, чтобы отключить использование службой chronyd протокола IPv6 (использование отключается полностью, сокет IPv6 не создается):

1. В файле /etc/default/chrony в строку параметров DAEMON_OPTS добавить значение -4. В итоге строка должна выглядеть примерно так:

   DAEMON_OPTS="-F -1 -4"

2. Перезапустить службу chronyd:

   sudo systemctl restart chronyd

Служба времени ntp

Эта служба устанавливается при установке ОС Astra Linux, однако, в зависимости от используемой версии ОС может автоматически не запускаться. Проверить статус службы можно командой:

Если служба не запущена, включить её автоматический запуск при старте компьютера и запустить её можно командами:

После запуска, в общем случае, для использования в качестве клиентской службы, дополнительных настроек не требует.

Для управления службой в состав дистрибутивов включен графический инструмент fly-admin-ntp, который можно установить из графического менеджера пакетов, или из командной строки:

После установки графического инструмента он будет доступен в меню:

Описанные далее действия по настройке можно выполнять с помощью графического инструмента,
или непосредственно редактировать файл настроек  /etc/ntp.conf.

Свой сервер времени

При настройках "по умолчанию" служба ntpd выдает отметки времени всем, кто их запросит, но никому не разрешает управлять собой удаленно. Пример файла конфигурации службы ntp (файл /etc/ntp.conf):

Все подключения к службе ограничены, а управляющие подключения запрещены:

По умолчанию заданы следующие параметры ограничений:

• kod              — узлам, которые слишком часто отправляют запросы сначала отправить предупреждение (поцелуй смерти, kiss of death), затем отключить от сервера
• notrap       — не принимать управляющие команды
• nomodify — не принимать команды, которые могут вносить изменения состояния
• nopeer      — не синхронизироваться с хостом
• noquery    — не принимать запросы
• limited       — ограничение одновременного приема запросов

При этом управление с локального компьютера разрешено, и по необходимости можно добавить более слабые ограничения. Например, для сети 192.168.0.0 

Так как сервер времени сам выступает клиентом для получения своего точного времени, настройка источников синхронизации для сервера делается так же, как и для клиента.

После внесения изменений в конфигурацию следует перезапустить сервис:

Контроль состояния службы ntp

Для контроля состояния службы ntp предусмотрена команда ntpq, входящая в пакет сервера.
Эта команда получает состояние сервиса с помощью стандартных запросов и выводит сводку на печать.
Типичный вызов команды:

Типичный вывод команды при нормально работающем сервисе:

Где:

• первый символ в строке - статус выбора:
  • * — выбранный сервер времени;
  • + —новый сервер;
  • o — PPS-источник (источник секундных импульсов);
  • пробел — не работающий источник;
  • — x и др. — «забракованные» (ненадежные) источники.
• remote - адрес опрошенного сервера времени;
• refid - источник сигналов времени,  с которым синхронизируется опрошенный сервер.
  Это может быть другой сервер (группа (pool) серверов), а могут быть аппаратные часы.
  В приведённом примере видно, что серверы первого стратума синхронизируются по аппаратным часам;
• st - уровень (стратум) сервера. Может принимать значения от 0 до 16. Чем ниже уровень - тем точнее сервер.
  Значение стратума 16 скорее всего говорит о том, что сервер признан негодным источником;
• t - тип сервера (u - unucast, m - multicast, l - local, p - pool и т.д.);
• when - время, прошедшее с последней синхронизации (последнего ответа сервера), в секундах, если не указано иное;
• poll - интервал опроса (двоичный логарифм периода опроса в секундах);
• reach - восьмеричное значение сдвигового регистр доступности.
  Отражает доступность сервера при последних восьми опросах, при 100% доступности проходит значения 0, 1, 3, 7, 17, 37, 77, 177, 377 и далее остаётся равным 377;
• delay - задержка ответа (время между отправкой запроса и получением ответа);
• offset - смещение времени относительно локального сервера;
• jitter- дисперсия (разброс) времени прохождения пакетов при обмене с сервером

Проверка и принудительная коррекция времени с помощью команды ntpdate

Для проверки работы сервера времени и коррекции показаний времени в составе дистрибутивов предусмотрен инструмент командной строки ntpdate.

Типичные ошибки, которые можно обнаружить с помощью этой команды:

• no server suitable for synchronization found - пригодный для синхронизации сервер не найден, говорит сама за себя, типично для службы ntpd,  которая, не обнаружив возможности синхронизироваться, просто перестаёт работать;
• leap not in sync - сервер находится в состоянии незавершенной коррекции времени, его показания пока недостоверны. Обычно действий не требует, и исчезает через некоторое время, после завершения сервером коррекции показаний своих часов.

Этот же инструмент может использоваться для периодической коррекции времени (например, с помощью службы выполнения заданий по расписанию cron).

Инструмент ntpdate устанавливается по умолчанию, и может быть установлен с помощью графического менеджера пакетов или из командной строки командой:

Типичные применения:

• проверка доступности сервера времени запросом времени без коррекции показаний времени (опция -q):

  sudo ntpdate -q 0.ru.pool.ntp.org

• проверка доступности сервера времени запросом времени с подробной диагностикой (опция -d включает подробную диагностику, использует непривилегированный порт, и так же отменяет выполнение коррекции времени):

  sudo ntpdate -d 0.ru.pool.ntp.org

• коррекция времени без использования IP-порта 123 (используется непривилегированный порт). Может применяться для принудительной коррекции времени в сетях, где порт 123 закрыт:

  sudo ntpdate -u 0.ru.pool.ntp.org

  По умолчанию ntpdate использует тот же IP-порт (123) что и ntpd, и, если сервис ntpd запущен, то ntpdate при запуске сообщает, что порт занят: ntpdate[1421]: the NTP socket is in use, exiting Для того, чтобы использовать для запроса времени IP-порт, отличный от 123, следует использовать опцию -u. Так как IP-порт 123 часто закрыт по соображениям безопасности, команду ntpdate БЕЗ опции -u можно использовать для проверки доступности внешних серверов времени для службы ntpd (запросы в этом случае следует отправлять на серверы времени, указанные в конфигурационном файле службы ntpd): sudo service ntp stop sudo ntpdate -q 0.ru.pool.ntp.org sudo ntpdate -qu 0.ru.pool.ntp.org sudo service ntp start Если первая команда ntpdate (с опцией "-q") не может получить ответ от сервера, а вторая (с опцией "-qu") может, то нужно либо разблокировать доступ к IP-порту 123,  либо рассмотреть возможность замены NTP на службу, работающую через другие порты OpenNTPD, chrony, systemd-timesyncd).

• Команда ntpdate может применяться для периодической коррекции времени:

  sudo ntpdate -ubv 0.ru.pool.ntp.org

См. тж. про применение ntpdate в статье про виртуализацию

Проверка состояния службы ntp с помощью команды ntpq

Для оперативной проверки состояния локальной службы ntp можно использовать команду:

Пример вывода команды при нарушении работы службы (серверы для синхронизации недоступны):

associd=0 status=c016 leap_alarm, sync_unspec, 1 event, restart,
system peer:        0.0.0.0:0
system peer mode:   unspec
leap indicator:     11
stratum:            16
log2 precision:     -24
root delay:         0.000
root dispersion:    0.300
reference ID:       INIT
reference time:     (no time)
system jitter:      0.000000
clock jitter:       0.000
clock wander:       0.000
broadcast delay:    -50.000
symm. auth. delay:  0.000

Пример вывода команды при нормальной работе службы (синхронизация выполняется или выполнена):

associd=0 status=0614 leap_none, sync_ntp, 1 event, freq_mode,
system peer:        ntp3.vniiftri.ru:123
system peer mode:   client
leap indicator:     00
stratum:            2
log2 precision:     -24
root delay:         5.638
root dispersion:    187.866
reference ID:       89.109.251.23
reference time:     e8188920.f000d2a1  Wed, May 24 2023 16:01:20.937
system jitter:      0.000000
clock jitter:       0.997
clock wander:       0.000
broadcast delay:    -50.000
symm. auth. delay:  0.000

Передача параметров ntp через DNS

Параметры для доступа к серверу времени могут автоматически передаваться клиентам через DNS-сервер. Подробности см. в DNS-сервер BIND9

Изменение настроек клиентов

Изменение настроек может понадобиться в следующих ситуациях:

• оптимизация и локализация сетевого трафика
• работа в изолированной сети
• работа со специальными серверами времени

По умолчанию, служба настроена на работу с открытым пулом специальных серверов времени,
выбирая при запуске каждый раз новый оптимальный набор серверов со всего мира:

При желании ограничить набор серверов российскими серверами можно использовать следующие настройки:

Кроме того, можно использовать серверы ВНИИФТРИ, актуальный список которых доступен по ссылке: https://vniiftri.ru/catalog/services/sinkhronizatsiya-vremeni-cherez-ntp-servera/.

При необходимости работать в изолированной сети, или при желании ограничить свой внешний трафик, можно использовать свои локальные серверы времени:

Особенности работы в виртуальных машинах

Некоторые особенности синхронизации времени описаны в статье про виртуализацию

Служба openntpd

Может быть установлена из репозитория Astra Linux Common Edition командой:

После установки запускается автоматически, однако по умолчанию работает только как клиент, и не обслуживает запросы как сервер времени.

Конфигурация службы openntpd находится в файле /etc/openntpd/ntpd.conf. Конфигурацию службы openntpd можно рассматривать как упрощенный вариант конфигурации службы ntp. Пример конфигурации:

# $OpenBSD: ntpd.conf,v 1.14 2015/07/15 20:28:37 ajacoutot Exp $
# sample ntpd configuration file, see ntpd.conf(5)

# Addresses to listen on (ntpd does not listen by default)
listen on *
#listen on 127.0.0.1
#listen on ::1

# sync to a single server
#server ntp.example.org

# use a random selection of NTP Pool Time Servers
# see http://support.ntp.org/bin/view/Servers/NTPPoolServers
#servers pool.ntp.org

# Choose servers announced from Debian NTP Pool
servers ntp21.vniiftri.ru
#servers 0.debian.pool.ntp.org
#servers 1.debian.pool.ntp.org
#servers 2.debian.pool.ntp.org
#servers 3.debian.pool.ntp.org

# use a specific local timedelta sensor (radio clock, etc)
#sensor nmea0

# use all detected timedelta sensors
#sensor *

В примере выше служба настроена на синхронизацию с сервером ntp21.vniiftri.ru ВНИИФТРИ,  и работает в режиме сервера.
Обратите внимание на строчку, включающую прослушивание службой порта 123 для обслуживания запросов от клиентов:

# Addresses to listen on (ntpd does not listen by default)
listen on *

После внесения изменений в файл конфигурации для того, чтобы эти изменения вступили в силу, служба должна быть перезапущена:

Так как служба openntpd использует стандартный протокол NTP, для диагностики службы openntpd можно использовать описанные выше команды ntpq и ntpdate (ntpq придётся использовать с другой машины, так как эта команда входит в состав пакета ntp).

Служба systemd-timesyncd

Служба timesyncd предлагается в качестве современной "легковесной" замены ntp. Она более проста, интегрирована в ОС, но несколько ограничена в возможностях.

• В Astra Linux Special Edition 1.8 служба представлен отдельным пакетом systemd-timesyncd, который должен быть установлен отдельно. При установке этого пакета будет удален пакет chrony.
• В более ранних обновлениях служба timesyncd устанавливается автоматически при установке ОС, автоматически запускается при каждой перезагрузке ОС, однако немедленно завершает свою работу с сообщением об ошибке, обнаружив, что на компьютере присутствует служба ntp или служба chronyd, или если машина виртуальная (установлены дополнения гостевой ОС).
  • Отключить невостребованный автоматический запуск службы можно командой:

    sudo timedatectl set-ntp false

  • Включить, соответственно, командой (однако, пока присутствует служба ntp (или openntpd или chronyd), служба timesyncd всё равно  работать не будет):

    sudo timedatectl set-ntp true

    Для использования timesyncd в первую очередь необходимо полностью удалить пакеты chrony, ntp и openntpd (если они были установлены):
    

    sudo apt purge chrony sudo apt purge ntp sudo apt purge openntpd

  • После чего запустить службу timesyncd:

    sudo systemctl start systemd-timesyncd

    После чего запустить службу timesyncd:

Состояние службы можно проверить командой:

Или командой:

Примерный вывод команды:

Выбор серверов времени

Служба timesyncd по умолчанию скомпилирована для работы предопределенным набором серверов. Эти серверы перечислены в комментарии в файле /etc/systemd/timesyncd.conf. Для Astra Linux Special Edition x.7 это:

#FallbackNTP=0.ru.pool.ntp.org 1.ru.pool.ntp.org 2.ru.pool.ntp.org 3.ru.pool.ntp.org ntp3.vniiftri.ru ntp4.vniiftri.ru ntp21.vniiftri.ru vniiftri2.khv.ru ntp2.niiftri.irkutsk.ru ntp3.stratum2.ru ntp2.stratum2.ru 

 и, если в конфигурационных файлах (см. далее) не указаны иные серверы, то используются предопределенные.

Дополнительно служба timesyncd получает имена серверов времени от  службы systemd-networkd, если служба systemd-networkd предоставляет такую информацию, т.е. в конфигурационных файлах этой службы (каталоги /lib/systemd/network/,  /run/systemd/network/, /etc/systemd/network/ или файл /lib/) указаны серверы NTP, привязанные к сетевым интерфейсам (подробнее см. man systemd.network).

Дополнительные и резервные серверы могут быть указаны в собственных конфигурационных файлах службы timesyncd

Опции в конфигурационном файле:

• NTP= - разделённый пробелами основной список имён NTP-серверов. Объединяется со списком полученных от службы systemd-networkd. По умолчанию список пустой.
  
  
• FallbackNTP= разделённый пробелами список имён резервных NTP-серверов.

TIMESYNCD перебирает по очереди все серверы из основного списка, и, если не удалось связаться ни с одним из серверов, обращается к серверам из резервного списка.

Настройка режима интерпретации показаний аппаратных (RTC) часов

При установке ОС

При установке Astra Linux Common Edition 2.12 режим интерпретации показаний аппаратных часов можно выбрать в окне "Дополнительные настройки ОС", пункт "Системные часы установлены на местное время":

На установленной ОС

При использовании любой службы времени рекомендуется настраивать аппаратные часы компьютера так, чтобы они показывали не локальное, а всемирное координированное время (UTC).
Если этого не сделать, возможны проблемы с коррекцией времени и сменой сезонного локального времени.
Если RTС настроены не на UTC, а на локальное время, команда timedatectl status будет выдавать соответствующее предупреждение.

Переключение аппаратных часов на время UTC с одновременной их синхронизацией с системным временем выполняется командой:

Для переключения с одновременной синхронизацией системного времени по показаниям часов RTC можно использовать опцию  --adjust-system-clock.

Переключение аппаратных часов на локальное время можно выполнить командой:

Настройка режима интерпретации RTC в Windows

Чтобы ОС семейства Windows трактовали показания аппаратных часов как время UTC, использовать параметр реестра [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TimeZoneInformation] "RealTimeIsUniversal", установив его в единицу:


или