通过 timedatectl status 查看 ntp service 状态可确认是否启用 systemd-timesyncd;若需部署内网 ntp 服务器,应安装 chrony 并配置 bindaddress、allow 等参数,禁用 systemd-timesyncd 后重启服务,并确保防火墙放行 udp 123 端口。
怎么确认系统用的是 systemd-timesyncd 还是 ntpd/chrony
很多 Linux 发行版默认启用了 systemd-timesyncd,它是个轻量 NTP 客户端,但不能当服务器用。如果你执行 timedatectl status 看到 NTP service: active,别急着以为能对外授时——那只是它在同步自己,不是在服务别人。
真正能当内网 NTP 服务器的,目前主流就两个:chrony(推荐)和 ntpd(老旧,已不建议新部署)。chrony 对虚拟机、断连、网络抖动更友好,启动快,精度不输 ntpd,且配置简单。
- 检查是否装了 chrony:
chronyd --version或which chronyd - 如果只有
systemd-timesyncd,得先禁用:sudo systemctl stop systemd-timesyncd && sudo systemctl disable systemd-timesyncd - Ubuntu/Debian 装 chrony:
sudo apt install chrony;CentOS/RHEL:sudo yum install chrony或sudo dnf install chrony
chrony.conf 怎么改才能对外提供时间服务
默认的 /etc/chrony/chrony.conf 是客户端配置,关键是要加一条 allow 指令,并确保监听地址不是 127.0.0.1。否则内网其他机器发请求会直接被拒绝或超时。
常见错误是只加了 allow 192.168.1.0/24 却没改 bindcmdaddress 和 bindaddress,结果 chronyd 仍只监听本地回环,外部根本连不上。
- 打开配置文件:
sudo nano /etc/chrony/chrony.conf - 注释掉或删掉原有的
pool或server行(这是客户端行为,服务器不需要主动去同步别人) - 加上这三行(按需调整网段):
bindaddress 0.0.0.0 bindcmdaddress 0.0.0.0 allow 192.168.10.0/24
-
bindaddress 0.0.0.0让 chronyd 监听所有接口;allow控制谁可以查询时间;bindcmdaddress是为chronyc命令本地管理留的,也放开更省事 - 重启服务:
sudo systemctl restart chronyd,再用ss -tuln | grep :123确认 UDP 123 端口已在监听
客户端怎么正确指向你的内网 NTP 服务器
客户端如果还配着公网 NTP 池(比如 pool.ntp.org),或者同时写了多个 server,chrony 默认会做“选择最优源”,可能跳过你的内网服务器。要让它**强制只用内网源**,就得关掉兜底行为。
另一个坑是防火墙:很多发行版默认关 UDP 123,服务器和客户端都要检查 ufw 或 firewalld 是否放行。
- 客户端配置(
/etc/chrony/chrony.conf):pool 192.168.10.1 iburst # 删掉所有其他 server/pool 行 # 加上这行,避免 fallback 到公网 rtcsync makestep 1 -1
-
iburst加速初始同步;makestep允许大步调时(否则时钟偏差 > 5 秒会拒绝校正) - 检查客户端时间状态:
chronyc tracking(看“System time”是否在同步)、chronyc sources -v(确认来源是你配的 IP) - 防火墙放行(以 ufw 为例):
sudo ufw allow 123/udp
为什么客户端显示“LastRx: never”或“Offline”
这不是 chrony 自己的问题,而是典型网络层阻断。UDP 包无声无息丢了,chrony 日志里往往只写一句 Source XXX.XXX.XXX.XXX not responding,让人误以为配置错了。
最容易被忽略的是:宿主机开了防火墙、云服务器安全组没开 UDP 123、虚拟机桥接模式下网卡未桥接到物理网络、甚至交换机 ACL 限制了 NTP 流量。
- 先在服务器本机测通不通:
chronyc -h 127.0.0.1 sources—— 如果这都失败,说明 chronyd 没跑起来或 bind 失败 - 再从客户端 ping 服务器 IP,确认三层可达;然后用
nc -u -zv 192.168.10.1 123(部分 nc 不支持 UDP,可换timeout 2 bash -c 'echo >/dev/udp/192.168.10.1/123' 2>/dev/null && echo ok || echo fail) - 查服务器端收包:
sudo tcpdump -i any -n udp port 123,看客户端请求是否真到了 - chrony 默认不记详细日志,如需排查,临时加
logdir /var/log/chrony和log measurements statistics tracking,再重启
内网授时看着简单,实际卡点全在“谁拦了 UDP 包”。配置写对了,网络链路一通,基本就稳了。
