ntp.conf 文件

在线编辑

用途

控制网络时间协议 (NTP) ntpd 守护程序的操作和行为。

描述

ntp.conf 文件是用于控制 ntpd 守护程序的基本配置文件。

配置选项

用于配置 ntpd 守护程序的两类命令是配置命令和辅助命令。 辅助命令用于指定用于控制各种相关操作的环境变量。

配置命令
配置命令用于配置与远程服务器,同级或参考时钟的关联。
server address [options ...]
peer address [options ...]
broadcast address [options ...]
manycastclient address [options ...]
这四个命令指定要使用的时间服务器名称或地址以及操作方式。 该地址可以是 DNS 名称,也可以是采用点分四表示法的 IP 地址。 可以在 " 关联管理 " 页面中找到有关关联行为的其他信息。
命令 描述
server 对于类型 sr 地址 (仅适用于) ,此命令通常会调动与指定远程服务器或本地参考时钟的持久客户机方式关联。 如果指定了 preempt 标志,那么将改为调动 peerutable 关联。 在客户机方式下,客户机时钟可以同步到远程服务器或本地参考时钟,但远程服务器永远无法同步到客户机时钟。 此命令不得用于类型 bm 地址。
peer 对于类型 s 地址 (仅适用于) ,此命令将动员与指定远程同级的持久对称-活动方式关联。 在此方式下,可以将本地时钟同步到远程同级,也可以将远程同级同步到本地时钟。 此命令在服务器网络中很有用,根据各种故障场景,本地或远程同级可能是更好的时间源。 此命令不得用于类型 bmr 地址。
broadcast 对于类型 bm 地址 (仅适用于) ,此命令将动员持久广播方式关联。 可以使用多个命令来指定多个本地广播接口 (子网) 和多个多点广播组。 本地广播消息仅转至与指定子网关联的接口,而多点广播消息转至所有接口。 在广播方式下,本地服务器以指定的地址向客户机群发送定期广播消息。 指定的地址通常是一个或多个本地网络上的广播地址或分配给 NTP 的多点广播地址。 IANA 将多点广播组地址 IPv4 224.0.1.1IPv6 ff05::101 (本地站点) 专门分配给 NTP ,但其他不冲突的地址可用于包含管理边界内的消息。 通常,此规范仅适用于作为发送方的本地服务器; 对于作为广播客户机的操作,请参阅 broadcastclientmulticastclient 命令。
manycastclient 对于类型 m 地址 (仅限) ,此命令将为指定的多点广播组地址调动 preemptable manycast 客户机方式关联。 在此方式下,必须提供与 manycastserver 命令中用于指定的 manycast 服务器的地址相匹配的特定地址。 不得使用 IANA 分配的 NTP 多点广播地址 224.0.1.1 ,除非采用特定方法来限制应答的范围,并避免在原始发件人处可能发生大规模内爆。 manycastclient 命令指定主机将以客户机方式与作为广播或多点广播消息结果发现的远程服务器一起运行。 客户机将请求消息广播到与指定地址相关联的组地址,并且已启用的服务器响应这些消息。 客户机选择提供最佳时间的服务器,并继续使用服务器命令。 将废弃其余服务器。
命令选项
选项 描述
autokey 发送到服务器或同级并从其接收的所有包都将包含使用 " 认证选项 " 页面中描述的自动密钥方案加密的认证字段。 此选项对所有命令都有效。
burst 当服务器可访问时,发送包含 8 个包的脉冲串,而不是通常的 8 个包。 包间隔通常是 2 秒。 但是,可以使用 calldelay 命令来更改第一个和第二个包之间的间隔,以允许更多时间来完成调制解调器或 ISDN 呼叫。 此选项仅对 server 命令有效,当 maxpoll 选项为 11 或更大时,此选项是此命令的建议选项。
iburst 当服务器不可访问时,发送一个包含 8 个包的脉冲串,而不是通常的一个包。 包间隔通常是 2 秒。 但是,可以使用 calldelay 命令来更改第一个和第二个包之间的间隔,以允许更多时间来完成调制解调器或 ISDN 呼叫。 此选项仅对 server 命令有效,并且是此命令的建议选项。
key 发送到服务器或同级并从其接收的所有包都将包含使用指定密钥标识加密的认证字段,其值从 1 到 65534 (含)。 缺省值是不包含任何加密字段。 此选项对所有命令都有效。
minpoll 或者 maxpoll 这些选项指定 NTP 消息的最小和最大轮询时间间隔 (以秒为 2 的幂)。 最大轮询时间间隔缺省为 10 (1,024 秒) ,但可以使用 maxpoll 选项将其增大到更大的限制 17 (36.4 小时)。 缺省最小轮询时间间隔为 6 (64 秒)。 但是,可以通过使用 minpoll 选项将其减小到最小限制 4 (16s)。 这些选项仅对 serverpeer 命令有效。
noselect 将服务器标记为未使用,但显示用途除外。 选择算法会废弃服务器。 此选项仅对服务器和同级命令有效。
preempt 将关联指定为 preemptable 而不是缺省持久性。 此选项仅对 server 命令有效。
prefer 将服务器标记为首选。 如果在一组主机中所有其他参数都相等,那么将选择标记为首选的主机以在一组正确操作的主机之间进行同步。 有关更多信息,请参阅 缓解规则和首选关键字 页面。 此选项仅对服务器和同级命令有效。
true 强制关联采用 truechimer 状态; 即,始终在选择和聚类算法之后。 此选项可与任何关联配合使用。 但是,对于具有大型串口抖动和精确脉冲/秒 (PPS) 信号的参考时钟,它的功能最佳。
注: 此选项会使设计为强制类型转换的算法失败 falsetickers ,并且可以允许这些源设置系统时钟。 此选项仅对服务器和同级命令有效。
ttl 特尔 此选项仅用于广播服务器和 manycast 客户机方式。 它指定使用 manycast 客户机包和要在广播服务器和多点广播服务器上使用的 ttl 的扩展环搜索的最大生存时间 (ttl)。 选择合适的值,默认为 127 ,是黑色艺术的东西,必须和网络管理员协调。
version 版本 指定要用于传出 NTP 包的版本号。 版本 1-4 是选项,版本 4 是缺省值。 此选项仅对服务器,同级和广播命令有效。
辅助命令
命令 脱碳
broadcastclient [novolley] 此命令允许将广播服务器消息接收到任何本地接口 (类型 b) 地址。 在第一次接收消息时,广播客户机通过使用与服务器的短暂客户机或服务器交换来测量名义服务器传播延迟,然后以仅侦听方式继续。 如果存在 novolley 关键字,那么将不使用 Exchange ,并且将使用 broadcastdelay 命令中指定的值,或者如果未使用 broadcastdelay 命令,那么将使用缺省值 4.0 毫秒。
注: 要避免在此方式下发生意外或恶意中断,服务器和客户机都必须使用对称密钥或公用密钥认证进行操作,如 " 认证选项 " 页面中所述。 novolley 关键字与公用密钥认证不兼容。
manycastserver address [...] 此命令允许将 manycast 客户机消息接收到指定的一个或多个多点广播组地址 (类型 m)。 至少需要一个地址。 不得使用 IANA 分配的 NTP 多点广播地址 224.0.1.1 ,除非采取特定方法来限制应答的范围并避免在原始发件人处可能发生大规模内爆。
注: 要避免在此方式下发生意外或恶意中断,服务器和客户机都必须使用对称密钥或公用密钥认证进行操作,如 " 认证选项 " 页面中所述。
multicastclient address [...] 此命令允许将多点广播服务器消息接收到指定的一个或多个多点广播组地址 (类型 m)。 在第一次接收消息时,多点广播客户机通过使用与服务器的短暂客户机或服务器交换来测量名义服务器传播延迟。 然后,多点广播客户机进入广播客户机方式,在广播客户机方式下,多点广播客户机同步到成功的多点广播消息。
注: 为了避免在此方式下发生意外或恶意中断,服务器和客户机都必须使用对称密钥或公用密钥认证进行操作。

配置访问控制选项

ntpd 守护程序实现基于通用地址或基于掩码的限制列表。 该列表包含先通过增加地址值再通过增加掩码值排序的地址或匹配项。 当掩码和包源地址的按位 AND 等于掩码和列表中的地址的按位 AND 时,将发生匹配。 搜索列表的顺序是找到最后一个匹配项,该匹配项定义了与条目关联的限制标志。

虽然此设施可能有助于避免不需要的,损坏的或恶意的客户机造成无辜服务器的情况,但不能将其视为 NTP 认证设施的替代方法。 确定的 cracker 可以轻松地规避基于源地址的限制。

可以拒绝客户机服务,因为这些客户机显式包含在 restrict 命令创建的限制列表中,或者由于加密或速率限制违例而隐式包含这些客户机。 加密违例包括证书或身份验证失败。 速率限制违例是由有缺陷的 NTP 实现导致的,这些实现以滥用速率发送包。 某些违例导致仅对有问题的包拒绝服务。 某些违例会导致定时时间段内的拒绝服务,而某些违例会导致无限期的拒绝服务。 当无限期拒绝客户机或网络访问时,当前除去限制的唯一方法是重新启动服务器。

命令 描述
discard [ average avg ] [ minimum min ] [ monitor prob ] 设置用于保护服务器免受客户机滥用的有限设施的参数。 average 子命令指定最小平均包间距,而 minimum 子命令指定最小包间距。 将废弃违反这些最小值的包,如果已启用,那么将返回一个 iss-o '-死亡包。 缺省最小平均值为 5 ,缺省最小值为 2。 Monitor 子命令指定溢出速率控制窗口的包的废弃概率。
restrict address [mask mask] [flag] [...] 以点分四格式表示的地址参数是主机或网络的地址。 或者,地址参数可以是有效的主机 DNS 名称。 以点分四格式表示的 mask 参数缺省为 255.255.255.255,这意味着该地址被视为单个主机的地址。 缺省条目 (地址 0.0.0.0,掩码 0.0.0.0) 始终包含在内,并且始终是列表中的第一个条目。 文本字符串缺省值 (不带掩码选项) 可用于指示缺省条目。

在当前实现中,标志始终限制访问权。 不带标志的条目指示将授予对服务器的自由访问权。 这些标志不是正交的,因此更具限制性的标志通常会使限制性较小的标志成为冗余的标志。 这些标志通常可分为两类: 限制时间服务的标志和限制参考查询的标志以及尝试对服务器执行运行时重新配置的标志。 可以指定下列一个或多个标志:

标志 描述
ignore 拒绝所有种类的包,包括 ntpqntpdc 查询。
kod 如果在发生访问违例时设置此标志,那么将发送 kiss-o '-死亡 (KoD) 包。 KoD 包的速率限制为每秒不超过 1 个。 如果另一个 KoD 信息包在最后一个信息包之后的一秒内出现,那么将删除该信息包。
limited 如果包间距违反了 discard 命令中指定的最小限制,那么拒绝服务。 通过使用 ntpd 命令的监视功能来保留客户机的历史记录。 如果存在带有受限标志的限制条目,那么监视始终处于活动状态。
lowpriotrap 将匹配主机设置的陷阱声明为低优先级。 服务器可维护的陷阱数存在限制。 当前限制为 3。 陷阱以先到先得的方式分配。 如果为请求者分配的陷阱超过服务器的最大限制,那么将拒绝服务。 此标志通过允许低优先级陷阱被以后的正常优先级陷阱请求覆盖来修改分配算法。
nomodify 拒绝尝试修改服务器状态 (即,运行时重新配置) 的 ntpqntpdc 查询。 允许返回信息的查询。
noquery 拒绝 ntpqntpdc 查询。 时间服务不受影响。
nopeer 拒绝将导致调动新关联的包。 当已配置的关联不存在时,此标志包括广播,对称-活动和 manycast 客户机包。
noserve 拒绝除 ntpqntpdc 查询以外的所有包。
notrap 拒绝向匹配主机提供方式 6 的控制消息陷阱服务。 陷阱服务是 ntpdq 控制消息协议的子系统,旨在供远程事件记录程序使用。
notrust 除非以加密方式认证包,否则拒绝包。
ntpport 此标志是匹配算法修饰符,而不是限制标志。 仅当包中的源端口是标准 NTP UDP 端口 (123) 时,其存在才会导致限制条目匹配。 可以同时指定 ntpportnon-ntpportntpport 被视为更具体,并在列表中稍后进行排序。
version 拒绝与当前 NTP 版本不匹配的包。

在启动时,会将带有每个本地主机接口地址的标志 ignore , interface 和 ntpport 的缺省限制列表条目插入到表中,以防止服务器尝试同步到它自己的时间。 缺省条目也始终存在,但如果未对其进行配置。 没有与缺省条目关联的标志。 除您自己的 NTP 服务器外,其他所有服务器都不受限制。

配置认证选项

认证支持允许 NTP 客户机验证服务器实际上是已知的可信服务,而不是有意或有意伪装成该服务器的入侵者。 NTPv3 规范 RFC-1305 定义了一种方案,用于为接收到的 NTP 包提供加密认证。 最初,它是通过使用以密码分组链接 (CBC) 方式运行的数据加密标准 (DES) 算法 (通常称为 DES-CBC) 完成的。 后来,使用通常称为 keyed-MD5的专用密钥将其替换为 RSA 消息紧急 5 (MD5) 算法。 算法计算消息摘要或单向散列,可用于验证服务器是否具有正确的专用密钥和密钥标识。

NTPv4 保留 NTPv3 方案 (正确描述为对称密钥密码术) ,此外,还提供基于公用密钥密码术的新 Autokey 方案。 公用密钥密码术被认为比对称密钥密码术更安全,因为安全性是基于每个主机生成的专用值,从不透露。 除后面描述的组密钥外,所有密钥分发和管理功能仅涉及可大大简化密钥分发和存储的公共值。 公用密钥管理基于 X.509 证书,这些证书可以由商业服务提供,也可以由 OpenSSL 软件库或 NTPv4 分发版中的实用程序生成。

命令 描述
autokey [logsec] 指定与 Autokey 协议一起使用的会话密钥列表的重新生成时间间隔。 每个关联的密钥列表大小取决于此时间间隔和当前轮询时间间隔。 缺省值为 12 (4096 秒或大约 1.1 小时)。 对于超过指定时间间隔的轮询时间间隔,将为发送的每条消息重新生成具有单个条目的会话密钥列表。
controlkey key 指定要与 ntpq 实用程序配合使用的密钥标识,该实用程序使用 RFC-1305中定义的标准协议。 密钥参数是可信密钥的密钥标识,其中值可以在范围 1 到 65,534 (含) 之间。
crypto [cert 文件] [leap 文件] [randfile 文件] [host 文件] [sign 文件] [ident 方案] [iffpar 文件] [gqpar 文件] [mvpar 文件] [pw 密码] 此命令需要 OpenSSL 库。 它将激活公用密钥密码术,选择消息摘要和签名加密方案,并装入先前描述的必需的专用值和公用值。 如果未指定一个或多个文件,那么将如前所述使用缺省名称。 除非指定文件的完整路径和名称,否则文件的位置相对于 keysdir 命令或缺省 /usr/local/etc 目录中指定的密钥目录。

以下是子命令。

子命令 描述
cert 文件 指定所需主机公用证书文件的位置。 此子命令将覆盖 keys 目录中的链接 ntpkey_cert_hostname
gqpar 文件 指定客户机 GQ 参数文件的位置。 此子命令将覆盖 keys 目录中的链接 ntpkey_gq_hostname
host 文件 指定所需主机密钥文件的位置。 此子命令将覆盖 keys 目录中的链接 ntpkey_key_hostname
ident 方案 请求服务器身份方案,可以是 IFF , GQ 或 MV。 当主机不是从属客户机的服务器时,将使用此子命令。
iffpar 文件 指定可选 IFF 参数文件的位置。 此子命令将覆盖 keys 目录中的链接 ntpkey_iff_hostname
leap 文件 指定客户机 leapsecond 文件的位置。 此子命令将覆盖 keys 目录中的链接 ntpkey_leap
mv 请求 MV 服务器身份方案。
mvpar 文件 指定客户机 MV 参数文件的位置。 此子命令将覆盖 keys 目录中的链接 ntpkey_mv_hostname
pw 密码 指定用于解密包含专用密钥和身份参数的文件的密码。 仅当这些文件已加密时,才需要此参数。
randfile 文件 指定 OpenSSL 库所使用的随机种子文件的位置。 缺省值在前面的主文本中进行了描述。
sign 文件 指定可选签名密钥文件的位置。 此子命令将覆盖 keys 目录中的链接 ntpkey_sign_hostname 。 如果找不到此文件,那么主机密钥也是签名密钥。
keys 密钥文件 指定 MD5 密钥文件的完整路径和位置,该文件包含 ntpdntpqntpdc 在使用对称密钥密码术时使用的密钥和密钥标识。 此子命令具有与 -k 命令行选项相同的操作。
keysdir 路径 此命令指定密钥,参数和证书的缺省目录路径。 缺省值为 /usr/local/etc/ 目录。
requestkey 指定要与 ntpdc 实用程序配合使用的密钥标识,该程序使用特定于此 ntpd实现的专有协议。 密钥参数是可信密钥的密钥标识,其中值可以在范围 1 到 65,534 (含) 之间。
revoke [日志安全 ] 指定自动密钥方案所使用的某些加密值的重新随机化之间的时间间隔 (以秒为单位)。2 需要经常更新这些值,以转移对方案算法的暴力攻击; 但是,更新某些值是一项相对昂贵的操作。 缺省时间间隔为 16 (65,536 秒或约 18 小时)。 对于超过指定时间间隔的轮询时间间隔,将针对发送的每条消息更新值。
trustedkey [...] 指定用于使用对称密钥密码术认证同级以及用于 ntpqntpdc 程序使用的密钥的可信密钥标识。 认证过程要求本地和远程服务器为此目的共享相同的密钥和密钥标识,尽管不同的密钥可以用于不同的服务器。 关键参数是值从 1 到 65,534 的 32 位无符号整数。

配置监视选项

ntpd 包含一个全面的监视设施,适用于服务器和客户机时间保持性能的持续长期记录。 请参阅稍后说明的 statistics 命令,以获取当前支持的每种统计信息类型的列表和示例。 统计信息文件通过使用此分发的 ./scripts 目录中的文件生成集和脚本进行管理。 通过使用这些工具和 UNIX cron 作业,可以自动汇总和归档数据以进行回顾性分析。

命令 描述
statistics 名称 [...] 允许写入统计信息记录。 目前,支持六种名称统计信息。
clockstats 启用时钟驱动程序统计信息的记录。 从时钟驱动程序接收到的每个更新都会将以下格式的行追加到名为 clockstats 的文件生成集:
49213 525.624 127.127.4.1 93 226 00:08:29.606 D
前两个字段显示日期 (修改的儒略日) 和时间 (经过 UTC 午夜的秒数和小数)。 下一个字段以点分四表示法显示时钟地址。 最后一个字段以解码的 ASCII 格式显示从时钟接收的最后一个时间码,其中有意义。 在某些时钟驱动程序中,还可以收集和显示大量附加信息。 请参阅特定于每个时钟的信息以获取更多详细信息。
cryptostats 此选项需要 OpenSSL 加密软件库。 它允许记录加密公用密钥协议信息。 协议模块接收到的每条消息都会将以下格式的行追加到名为 cryptostats 的文件生成集:
49213 525.624 127.127.4.1 message
前两个字段显示日期 (修改的儒略日) 和时间 (经过 UTC 午夜的秒数和小数)。 下一个字段以点分四表示法显示对等地址。 最终消息字段包括消息类型和某些辅助信息。 有关更多信息,请参阅 " 认证选项 " 页面。
loopstats 启用循环过滤器统计信息的记录。 每次更新本地时钟时,都会将以下格式的行输出到名为 loopstats 的文件生成集:
50935 75440.031 0.000006019 13.778190 0.000351733 0.0133806 6
前两个字段显示日期 (修改的儒略日) 和时间 (经过 UTC 午夜的秒数和小数)。 接下来的五个字段显示时间偏移 (秒) ,频率偏移 (每百万 PPM 部分) , RMS 抖动 (秒) , Allan 偏差 (PPM) 和时钟规程时间常量。
peerstats 启用对等统计信息的记录。 它包含 NTP 服务器的所有同级的统计信息记录以及存在和配置的特殊信号的统计信息记录。 每个有效更新都将以下格式的行追加到名为 peerstats 的文件生成集的当前元素中:
48773 10847.650 127.127.4.1 9714 -0.001605376 0.000000000 0.001424877   0.000958674
前两个字段显示日期 (修改的儒略日) 和时间 (经过 UTC 午夜的秒数和小数)。 接下来的两个字段以点分四表示法和状态显示对等地址。 状态字段以十六进制编码,格式如 NTP 规范 RFC 1305 的附录 B 中所述。 最后四个字段显示偏移,延迟,离散和 RMS 抖动,均以秒为单位。
rawstats 启用原始时间戳记统计信息的记录。 它包含 NTP 服务器的所有同级的统计信息记录以及存在和配置的特殊信号的统计信息记录。 从对等或时钟驱动程序接收到的每条 NTP 消息都会将以下格式的行附加到名为 rawstats 的文件生成集:
50928 2132.543 128.4.1.1 128.4.1.20 3102453281.584327000   
 3102453281.58622800031 02453332.540806000 3102453332.541458000
前两个字段显示日期 (修改的儒略日) 和时间 (经过 UTC 午夜的秒数和小数)。 接下来的两个字段显示远程对等地址或时钟地址,后跟以点分四表示法表示的本地地址。 最后四个字段按顺序显示原始 NTP 时间戳记,接收 NTP 时间戳记,传输 NTP 时间戳记和最终 NTP 时间戳记。 时间戳记值是由各种数据平滑和缓解算法在处理之前接收到的时间戳记值。
sysstats 启用定期记录 ntpd 统计信息计数器。 每小时会将以下格式的行追加到名为 sysstats 的文件生成集:
50928 2132.543 36000 81965 0 9546 56 71793 512 540 10 147
前两个字段显示日期 (修改的儒略日) 和时间 (经过 UTC 午夜的秒数和小数)。 其余十个字段显示自上次生成行以来累积的统计信息计数器值。
            Time since restart 36000
                        Time in hours since the system was last rebooted.
            Packets received 81965
                        Total number of packets received.
            Packets processed 0
                        Number of packets received in response to previous packets sent
            Current version 9546
                        Number of packets matching the current NTP version.
            Previous version 56
                        Number of packets matching the previous NTP version.
            Bad version 71793
                        Number of packets matching neither NTP version.
            Access denied 512
                        Number of packets denied access for any reason.
            Bad length or format 540
                        Number of packets with invalid length, format or port number.
            Bad authentication 10
                        Number of packets not verified as authentic.
            Rate exceeded 147
              Number of packets discarded due to rate limitation.
timingstats 仅在使用进程时间调试支持 "(--enable-debug-timing编译 deamon 时可用 - 性能成本)。 支持记录各种所选代码路径的 ntpd 处理时间信息:
53876 36.920 10.0.3.5 1 0.000014592  input processing delay
前两个字段显示日期 (修改的儒略日) 和时间 (经过 UTC 午夜的秒数和小数)。 下一个字段是潜在的对等地址或 REFCLOCK (取决于关联的 io 源)。 接着是代码路径中已处理事件数的事件计数。 第五个字段是事件的总花费时间。 该行的其余部分表示代码路径描述 statsdir directory_path
statsdir 目录路径 指示必须在其中创建统计信息文件的目录的完整路径。 此关键字允许对文件生成集修改 (否则为常量) filegen 文件名前缀,这对于处理统计信息日志很有用。
filegen name [file filename ] [type typename ] [ ] [ ]link | nolinkenable | disable 配置生成文件集名称的设置。 生成文件集提供了一种方法来处理在服务器生存期内不断增长的文件。 服务器统计信息是此类文件的典型示例。 生成文件集提供对一组用于存储实际数据的文件的访问权。 在任何时候,最多会将集合的一个元素写入其中。 给定的类型指定将数据定向到集合的新元素的时间和方式。 这样,存储在文件集未使用的元素中的信息可用于管理操作,而不会有干扰 ntpd 操作的风险。 可以将其移除以释放空间用于生成的新数据。
注: 可以从在远程位置运行的 ntpdc 程序发送此命令。
name
它是统计信息记录的类型,如 statistics 命令中所示。
file 文件名
它是统计信息记录的文件名。 集合成员的 filename 由三个并置元素 prefixfilenamesuffix构建:
prefix
此元素是常量文件名路径。 不需要使用 filegen 选项对其进行修改。 它由指定为编译时常量的服务器定义。 但是,可以在其他命令的帮助下针对个别文件生成集进行配置。 例如,可以使用先前说明的 statsdir 选项来配置用于 loopstatspeerstats 生成的前缀。
filename
此字符串直接与前面提到的前缀并置 (无中间/(斜杠))。 可以使用 filegen 语句的文件自变量对其进行修改。 此组件中不允许使用任何元素来防止文件名引用由前缀表示的文件系统层次结构外部的部分。
suffix
此部分反映文件集的各个元素。 它根据文件集的类型生成。
type 类型
文件生成集以其类型为特征。 支持以下类型:
文件集是单个纯文件。
pid
每个 ntpd 服务器的实体都使用一个文件集元素。 此类型不会在运行时对文件集成员执行任何更改。 但是,它提供了一种更简单的方法来分隔属于不同 ntpd 服务器实体的文件。 通过将 . (点) 附加到并置的 prefixfilename 字符串,并附加 ntpd 服务器进程的进程标识的十进制表示,构建集成员文件名。
每天创建一个文件生成集元素。 一天定义为 00:00 到 24:00 UTC 之间的时间段。 文件集成员后缀由 . (点) 和格式为 YYYYMMdd 的日期规范组成。 YYYY 是 4 数字的年号 (例如, 1992)。 MM 是两位数的月数。 dd 是一个两位数的日数。 因此, 1992 年 12 月 10 日写入的所有信息都将在名为 prefix filename.19921210的文件中结束。
命令 描述
filegen name [file filename ] [type typename ] [ ] [ ]link | nolinkenable | disable
week
任何文件集成员都包含与一年中某一周相关的数据。 术语 "周" 由计算年月日模 7 定义。 通过将以下后缀附加到文件集文件名库来区分此类文件生成集的元素: A 点, 4 位的年号,字母 W 和 2 位的周号。 例如,1992 年 1 月 10 日的信息将被存入后缀为 1992W1 的文件中。
month
每月生成一代文件集元素。 文件名后缀由一个点,一个 4 数字的年号和一个 2 数字的月份组成。
year
每年生成一代文件元素。 filename 后缀由一个点和一个 4 数字的年号组成。
age
此类型的文件生成集每 24 小时对服务器操作的文件集的新元素进行更改。 filename 后缀由点,字母 a 和 8 数字组成。 此数字被视为服务器在相应的 24 小时周期开始时运行的秒数。 仅通过指定 enable 来将信息写入文件生成; 通过指定 disable 来阻止输出。
link | nolink
可以方便地通过固定名称访问文件生成集的当前元素。 通过指定 link 来启用此功能,并使用 nolink来禁用此功能。 如果指定了链接,那么将创建从当前文件集元素到不带后缀的文件的硬链接。 当已有具有此名称的文件且此文件的链接数为 1 时,将其重命名为附加一个点,字母 C 和 ntpd 服务器进程的 pid。 当链接数大于 1 时,将取消该文件的链接。 它允许以常量名访问当前文件。
enable | disable
启用或禁用记录功能。

其他配置选项

命令 选项
broadcastdelay seconds 广播和多点广播方式需要特殊校准以确定本地和远程服务器之间的网络延迟。 通常,它由客户机与服务器之间的初始协议交换自动完成。 例如,有时,校准过程可能由于网络或服务器访问控制而失败。 此命令指定在这些情况下要使用的缺省延迟。 通常 (对于以太网) , 0.003 到 0.007 秒之间的数字是合适的。 当不使用此命令时,缺省值为 0.004 秒。
calldelay delay 此选项控制以突发或 iburst 方式发送的第一个和第二个包之间的延迟 (以秒为单位) ,以允许调制解调器或 ISDN 呼叫有更多时间完成。
driftfile driftfile [ minutes [ tolerance ]] 此命令指定用于记录本地时钟振荡器频率的文件的完整路径和名称。 此命令具有与 -f command link e 选项相同的操作。 如果该文件存在,那么将在启动时读取该文件以设置初始频率,然后使用守护程序计算的当前频率每小时更新一次。 如果指定了文件名,但文件本身不存在,那么它以初始频率 0 开始,并在第一次写入时创建文件。 如果未提供此命令,那么守护程序将以初始频率零启动。

文件格式由包含单个浮点数的单行组成,该浮点数记录以每百万分 (PPM) 为单位测量的频率偏移量。 通过首先将当前漂移值写入临时文件,然后重命名此文件以替换旧版本来更新该文件。 这意味着 ntpd 必须对漂移文件所在的目录具有写许可权,并且必须避免文件系统链接 (符号链接或其他链接)。

这两个可选值确定文件的写入频率,并且在需要避免不必要的磁盘旋转时很有用。 参数 minutes 是写入文件的频率。 如果省略或小于 1 ,那么时间间隔为 60 分钟 (1 小时)。 参数容差是跳过写入新值的阈值。 如果新值在写入的最后一个值的容差百分比内 (与 3 位小数比较) ,那么将跳过写入。 缺省值为 0.0,这意味着除非当前值和先前值相同,否则将执行写操作。 0.1 的公差大致相当于小数点后两位的差值。
enable [ auth | bclient | calibrate | kernel | monitor | ntp | pps | stats] 和 disable [ auth | bclient | calibrate | kernel | monitor | ntp | pps | stats] 提供启用或禁用各种系统选项的方法。 未提及的标志不受影响。 可以使用 ntpdc 实用程序远程控制所有这些标志。
auth
仅当使用公用密钥或专用密钥密码术正确认证同级时,才允许服务器与未配置的同级同步。 此标志的缺省值为 enable
bclient
使服务器能够侦听来自广播或多点广播服务器的消息,如具有缺省地址的 multicastclient 命令中所示。 此标志的缺省值为 disable
calibrate
为参考时钟启用校准功能。 此标志的缺省值为 disable
kernel
启用内核时间规程 (如果可用)。 如果支持可用,那么此标志的缺省值为 enable ,否则为 disable
monitor
启用监视设施。 有关更多信息,请参阅 ntpdc 程序和 monlist 命令。 此标志的缺省值为 enable
ntp
启用时间和频率规程。 实际上,此开关将打开并关闭反馈循环,这对于测试很有用。 此标志的缺省值为 enable
pps
当频率和时间受到精确时间内核修改的约束时,启用脉冲每秒 (PPS) 信号。 此标志的缺省值为 disable
stats
启用统计信息工具。 此标志的缺省值为 disable
includefile includefile 此命令允许从单独的文件中包含更多配置命令。 includefiles 命令可以嵌套深度为 5。 到达任何 includefile 命令的末尾时,将在先前的配置文件中继续处理。 此选项对于在多个主机上运行 ntpd 的站点很有用,这些站点具有 (大部分) 公共选项 (例如,限制列表)。
logconfig configkeyword 此命令控制写入系统 syslog 设施或备用日志文件的输出的数量和类型。 所有 configkeyword 关键字都可以以 = , + 和-作为前缀,其中 = 设置 syslogmask, + 添加和-除去消息。 可以在四个类 (clock, peer, sys and sync) 中控制 syslog 消息。 在这些类中,可以控制的四种类型的消息是参考消息 (info) ,事件消息 (events) ,统计信息消息 (statistics) 和状态消息 (status)。 通过将消息类与事件类并置来构成配置关键字。 可以使用所有前缀来代替消息类。 消息类还可以后跟 all 关键字以启用或禁用相应消息类的所有消息。 缺省情况下, logconfig 输出设置为 allsync。 因此,最小日志配置可能如下所示:
 logconfig=syncstatus +sysevents
这将列出 ntpd 和主要系统事件的同步状态。 对于简单引用服务器,以下最小消息配置可能很有用:
 logconfig=allsync +allclock
此配置列示所有时钟信息和同步信息。 将禁止有关同级,系统事件等的所有其他事件和消息。
logfile logfile 此命令指定要用于替代缺省系统 syslog 工具的备用日志文件的位置。 此命令具有与 -l 命令行选项相同的操作。
phone dial1 dial2 ... 此命令与 ACTS 调制解调器驱动程序 (类型 18) 配合使用。 参数由用于拨打 USNO , NIST 或欧洲时间服务的最多 10 个电话号码组成。 Hayes 命令 ATDT 通常作为前缀添加到数字中,这也可以包含其他调制解调器控制代码。
setvar 变量 [default] 此命令将创建新的系统变量。 这些变量可用于分发其他信息,例如访问策略。 如果表单名称 = 值的变量后跟缺省关键字,那么该变量将作为缺省系统变量 (ntpq rv 命令) 的一部分列出。 这些附加变量仅用于参考目的。 它们与其他可以列出的协议无关。 已知协议变量将覆盖使用 setvar 机制定义的任何变量。 一个组中所有变量的名称包含在三个唯一变量中。 sys_var_list 保存所有系统变量的名称。 peer_var_list 保存所有对等变量的名称, clock_var_list 保存参考时钟变量的名称。
tinker [ allan allan | dispersion 离散 | freq freq | huffpuff huffpuff | panic 崩溃 | step 步骤 | stepout 步进输出 ] 此命令可用于在特殊情况下更改多个系统变量。 它必须在配置文件中出现在任何其他配置选项之前。 对这些变量的缺省值进行了精心优化,以实现广泛的网络速度和可靠性期望。 通常,它们以难以预测的复杂方式进行交互,并且某些组合可能会导致一些令人讨厌的行为。 需要很少更改缺省值。 以下是可用于 tinker 命令的选项:
allan 艾伦
自变量成为 Allan 截距的新值,它是 PLL/FLL 时钟规程算法的参数。 该值以秒为单位,缺省值为 1500 秒,这适用于大多数计算机时钟。
dispersion 离散
自变量成为 Allan 截距的新值,它是 PLL/FLL 时钟规程算法的参数。 该值以秒为单位,缺省值为 1500 秒,这适用于大多数计算机时钟。
freq 自由
该自变量将成为频率偏移量的初始值 (以部分计)-每百万。 freq 参数覆盖频率文件中的值 (如果存在) ,并避免初始训练状态 (如果不存在)。
huffpuff 愠怒
该自变量将成为实验性 huff-n '-puff 过滤器范围的新值,这将确定算法搜索最小延迟的最近时间间隔。 最小限制为 900 秒 (15 米) ,但更合理的值为 7200 (2 小时)。 没有为此选项设置缺省值,因为除非使用 huffpuff 参数运行该命令,否则将禁用过滤器。
panic 紧急
参数为应急阈值,缺省情况下为 1000 秒。 如果设置为零,那么将禁用紧急检查,并接受任何值的时钟偏移量。
step 步骤
参数是步骤阈值,缺省情况下为 0.128 秒。 它可以设置为任何正数 (以秒计)。 如果设置为零,那么从不进行步骤调整。
注: 如果步骤阈值设置为零或大于缺省值,那么将禁用内核时间规程。
stepout 逐步输出
参数为 stepout 超时,缺省情况下为 900 秒。 它可以设置为任何正数 (以秒计)。 如果设置为零,那么不会抑制 stepout 脉冲。
此命令按递增顺序指定 TTL 值的列表。 最多可指定 8 个值。 在 manycast 方式下,这些值依次在展开环搜索中使用。 缺省值为从 31 开始的 32 的 8 个倍数。
trap host_address [port port_number ] [interface interface_address ] 此命令在提供的主机地址和用于发送具有指定本地接口地址的消息的端口号上配置陷阱接收器。 如果未指定端口号,那么将使用值 18447。 如果未指定接口地址,那么将使用消息所通过的本地接口的源地址来发送消息。 在多宿主主机上,使用的接口可能因路由更改而有所不同。 陷阱接收器通常将来自服务器的事件消息和其他信息记录在日志文件中。 虽然此类监视器程序也可能动态地请求它们自己的陷阱,但配置陷阱接收器可确保在服务器启动时不会丢失任何消息。
ttl hop ... 此命令按递增顺序指定 TTL 值的列表。 最多可指定 8 个值。 在 manycast 方式下,这些值依次在展开环搜索中使用。 缺省值为从 31 开始的 32 的 8 个倍数。

文件

/etc/ntp.conf
指定文件路径。