Linux如何配置系统时间同步？_Linuxchrony与ntp服务配置方法

在linux系统中，确保时间同步主要通过chrony或ntp服务实现，同时要求与外部时间源同步因时间偏差引发问题。使用chrony时，安装后配置/etc/chrony.conf文件，添加如阿里云ntp服务器，并启动服务；而ntp的配置类似，修改/etc/ntp.conf并启用ntpd服务。双方均需开放防火墙udp 123端口，且可通过命令如chronycsources -v、ntpq -p等同步状态。时间不同步可能导致日志混乱、ssl证书校验失败、扭转验证数据间歇、认证机制异常及定时任务执行错误等问题。选择上，chrony完善快速同步、低资源占用和良好的网络消耗更适用于现代虚拟化和云环境，而ntp则适合对时间精度要求不极限的旧系统。排查问题时，应检查配置状态、网络解除性、防火墙设置、文件正确性、ntp源可用性及日志信息。

在Linux系统里，要让时间走得准，主要就是通过时间同步服务来搞定，最常用也最靠谱的就是chrony和NTP。它们可以让你的服务器时间自动和外部标准时间源同步，避免因为各种时间不准引发的奇奇怪怪的问题。解决方案

搞定Linux系统的时间同步，无论是用ch rony还是NTP，核心思路都是一样的：选择一个时间源，然后让服务去跟它同步。

使用chrony进行时间同步：

chrony通常被认为是NTP的现代替代品，尤其是在网络环境中断或者虚拟机上，它的表现会更加出色。

安装chrony：在基于RPM的系统（如CentOS， RHEL，Fedora）：sudo yum install chrony -y 基于DEB的系统（如Ubuntu，Debian）：sudo apt install chrony -y

配置chrony：主配置文件是/etc/chrony.conf。打开它，你会看到一些默认配置。通常，你需要确保有可用的NTP池服务器。替换或添加你信任的NTP服务器，比如阿里云的NTP服务器：# pool 2.pool.ntp.org iburst #默认的全球NTP池，可以注释或保留pool ntp.aliyun.com iburst #使用阿里云的NTP服务器池ntp1.aliyun.com iburstpool ntp2.aliyun.com iburstdriftfile /var/lib/chrony/chrony.driftmakestep 1.0 3 #如果时间偏差超过1秒，会在3次更新内阶段调整rtcsync #实现实时时钟（RTC）同步，让硬件时间也保持准确logdir /var/log/chrony #日志目录登录后复制

iburst 选项允许chrony在启动时，或者当一个NTP服务器连接可用时，快速发送一系列查询包，加速初始同步过程。

启动并启用chrony服务：sudo systemctl enable chronyd --now这会启动chrony服务，并设置在系统启动时自动运行。

检查chrony状态：chronycsources -v 可以查看chrony正在同步的NTP源及其状态。

chronyc跟踪可以查看当前的同步信息，包括系统时间相对于NTP源的偏移量。timedatectl status也能看到快速当前时间同步状态，以及是否启用NTP（这里指的是chrony或ntp服务）。

使用NTP服务时间进行同步：

NTP是老牌且广泛使用的协议，非常稳定，但可能在某些终端网络条件下表现不如chrony灵活。

安装NTP：在基于RPM的系统：sudo yum install ntp -y在基于DEB的系统：sudo apt install ntp -y

配置NTP：主配置文件是/etc/ntp.conf。类似chrony，需要指定NTP服务器。# pool 0.centos.pool.ntp.org iburst # 默认的NTP池，可以替换server ntp.aliyun.com iburst # 使用阿里云的NTP服务器server ntp1.aliyun.com iburstserver ntp2.aliyun.com iburstdriftfile /var/lib/ntp/ntp.drift # 等待文件，记录系统时钟的等待率logfile /var/log/ntp.log # 日志文件#限制访问，提升安全性restrict default nomodify notrap nopeer noqueryrestrict -6 default nomodify notrap nopeer noqueryrestrict 127.0.0.1restrict ：：1后复制登录

启动并启用NTP服务：sudo systemctl enable ntpd --now

检查NTP状态：ntpq -p 可以列出NTP服务器列表，以及它们的状态、延迟、偏移量等信息。ntpstat快速可以查看系统是否与NTP服务器同步。

防火墙配置：

无论是chrony还是NTP，它们都使用UDP端口123。如果你的系统启用了防火墙（如firewalld或ufw），你需要允许这个端口的流量。

对于firewalld：sudofirewall-cmd --add-service=ntp --permanentsudofirewall-cmd --reload

对于ufw：sudo ufw allowed ntpsudo ufw reloadLinux系统时间同步到底有多重要，不同步会出什么问题？

说实话，我遇到过明显因为时间不同步引发的“血案”。一开始可能觉得不就是一个时间嘛，差几几十能怎么样？但是当系统整合秒复杂，或者到跨机器协作时，时间简直就是灾难。

首先，最直观的影响就是日志混乱。当你的服务运行在多台机器上时，如如果它们的时间不一致，日志里的时钟就会乱七八糟。排查问题的时候，你根本无法准确地串起事件发生的顺序，这对于故障定位是噩梦。比如一个请求从前端到远程，再到数据库，中间每个日志时间都对不上，那怎么分析请求的完整顺序呢？

其次，SSL/TLS 证书连接的安全性依赖会出问题。HTTPS 的安全性依赖于证书的有效。

如果客户端服务器的时间近似，超出了证书的有效范围，那么SSL握手就会失败，网站无法访问，API调用也可能中断。这在生产环境里，轻则影响用户体验，重则直接导致业务中断。

再者，分配式系统的数据一致性是个大问题。很多数据库、消息队列或者交叉事务系统，它们内部会依赖精确的时间来保证数据的一致性、事件的顺序性。比如，因为两个节点的时间差了几秒，一个“后”的事件可能发生时间比较“早”而被错误地处理，导致数据错乱或者逻辑错误。这在金融、电商等对数据一致性要求极高的场景下，是绝对不能接受的。

还有，认证和授权机制也常常对时间敏感。比如Kerberos认证协议，它就是基于定时器来防止重放攻击的。如果客户端和KDC（按键分发中心）的时间偏差超过了允许的阈值，认证就会失败。这直接导致用户无法登录，服务无法访问。

最后，别忘记定时任务（Cron）你每天凌晨1点跑设定一个任务，服务器结果时间慢了半小时，那任务就晚了半小时才执行。对于一些时间敏感的批处理任务，这可能会导致数据未能及时处理，影响后续业务流程。

所以，时间同步这件事，看上去很小，但真的能牵一发而动全身。这就好像是所有系统运行的“节拍器”，节拍器乱了，整个交响乐就全了了。chrony和NTP服务在实际应用中，我们该如何选择，他们俩到底有啥不一样？

在选择chrony还是NTP时，我个人会倾向于chrony，尤其是在新的部署或者云环境、虚拟机场景下。但NTP作为经典，仍然有的用武之地。他们俩的区别，主要体现在以下几个方面：

NTP（网络） Time Protocol）优点：历史悠久，非常成熟和稳定，兼容性好，几乎所有操作系统都支持。它的算法经过了长时间的考验，非常可靠。缺点：同步速度： 在时间与NTP服务器时间递增时，NTP会非常缓慢地调整时间，队列时间跳变对系统造成影响。这在某些情况下，比如虚拟机快照恢复或者网络中断后恢复，可能导致时间长时间不准确。资源占用：最近于chrony，NTPD监控进程的资源占用略高。闰秒处理：NTP对闰秒的处理相对复杂，需要手动配置依赖或NTP服务器的信号。

chrony优点：同步快：这是我最喜欢慢性的地方。它能更快地收敛时间，尤其是在系统时间增加较快时，可以通过makestep配置调整时间，而不是像NTP那样过于严格。这对于虚拟机环境，或者网络频繁中断的场景非常有利。轻量级：资源占用增量，对于资源确定的设备或大量虚拟机来说，这是不小的优势。在网络连接快速间歇、间歇性连接或者带宽限定的环境下，计时的表现更好。它能够更好地适应时钟源不可用的情况，并在恢复源后同步。 闰秒处理：对闰秒的处理更灵活，通常能自动处理。更精确： 在某些情况下，chrony能够提供更精确的时间同步。缺点：相对NTP来说，它“年轻”一些，虽然现在已经非常成熟和广泛应用。

如果偏好的话我的选择：

是一个全新的Linux服务器部署，尤其是在虚拟化环境（VMware，KVM，Docker容器）或者云平台（AWS，Azure，阿里云）上，我几乎总是推荐使用chrony。

它的快速同步和低资源占用的特性，非常符合这些现代基础设施的需求。想想一下，一台虚拟机因为某些原因时间差不多了几个小时，用回来可能有几个就追了，而NTP可能需要更长的时间。

当然，如果你维护的是一些旧旧的系统，或者对时间精度要求没那么高，NTP依然是个可靠的选择。但为了追求效率和稳定性的新部署，chrony无疑是更好的选择。配置完成时间同步服务后，怎么确认它真的在工作，以及遇到问题了如何排查？

配置好了并不代表万事大吉，验证和排查才是真正的技术活。我通常会看到：

确认服务状态：

无论是chrony还是NTP，第一步都是检查服务是否在运行。chrony： sudo systemctl status chronydactive (running)就说明服务正常运行着。NTP： sudo systemctl status ntpd 同样，看到active (running)表示正常。

如果服务没跑起来，或者状态不正常，先看看journalctl -u chronyd或者journalctl -u ntpd的日志，通常能找到启动失败的原因。

检查同步状态：

这是最关键的一步，看服务是不是真的在和外部时间源同步，以及同步得怎么样。

Fory：chronyc ports -v：这个命令会上市chrony正在使用的NTP源，以及它们的同步状态。你会星号*表示当前正在同步的源，#表示当前是源，?表示成功源不严重，x表示源被排除。Reach字段表示最近8次的速率，Offset表示与源的时间偏移量，这个值越小越好。chronyc跟踪：这个命令会显示更详细的同步信息，当前参考ID、其他（Stratum）、系统与源的偏移量（System）时间），以及频率偏移（Frequency）等。参考ID和Stratum可以告诉你当前同步到的源信息。

对于NTP：ntpq -p：这个命令会排队的NTP服务器列表，以及它们的状态。remote是NTP服务器地址，refid是参考ID，st是约定的，上次同步是什么时候多久前，poll是间隔，reach是可达性，delay是网络延迟，offset是时间偏移，jitter是接近。同样，offset越小时间越好。*表示当前正在同步的源， ntpstat：这是一个简洁的命令，会告诉你系统是否与NTP服务器同步，以及同步的精度。如果显示与NTP服务器同步，那就是好消息。

常见问题与排查：

服务无法启动：检查配置文件：chrony.conf或ntp.conf里有没有语法错误？有没有语法错误权限问题：配置文件或日志目录权限是否？正确端口冲突：理论上不太可能，但偶尔会遇到其他服务占用了 UDP 123端口。

无法同步（偏移很大，达到很低，或者源显示？ x）：网络模拟性：ping一下你在配置文件里写的NTP服务器地址，看看能不能通。telnet ntp.aliyun.com 123（虽然NTP是UDP，但有时可以通过TCP连接尝试判断端口是否开放，虽然不完全准确）。

最直接的，检查你的服务器能否访问外网，DNS解析是否正常。防火墙问题：最常见的坑。确保UDP 123端口对外是开放的。前面提到的firewall-cmd或ufw要命令满足。NTP源不可用：你配置的NTP服务器可能暂时挂了或者响应很慢。可以尝试更换为其他公共NTP源，比如pool.ntp.org或者国内的ntp.aliyun.com，cn.pool.ntp.org等。系统时间明显过大：如果系统时间与NTP源精准（比如几小时甚至几天），NTP服务可能会拒绝同步，或者需要很长时间才能追上。最近，你可以先手动调整一下时间到大致正确：sudo date -s "YYYY-MM-DD HH：MM：SS"，然后再启动NTP服务。chrony的makestep指令就是为了处理这种情况。

日志信息：别忘了查看系统日志。journalctl -u chronyd或journalctl -u ntpd会提供很多有用的信息，比如服务启动失败的原因、同步过程中遇到的错误等。

总之，同步时间是个活动，配置好后一定要验证。一旦出现问题，从服务状态、网络重置性、防火墙、配置文件、NTP源可用性这几个方面逐一排查，通常可以找到问题结所在。

以上就是Linux如何配置系统时间同步？_Linuxchrony与ntp服务配置方法的详细内容，更多请关注乐哥常识网其他相关文章！