时间是由计算机内的石英晶体振荡电路以;NetworkTimeProtocol(NTP);通常情况下,时间同步是按以下步骤进行的:;(1):NTP客 户端向NTP服务器发出一个时间请;(2):当服务器接收到该包时;(3):客户端在接收到响应包时再填入包返回时的时;(4):客户端使用时钟偏移来调 整本地时钟,以使其;1、网络时
一、NTP(网络时间协议)
计算机的系统时间是 由计算机内的石英晶体振荡电路以固定的振荡频率产生的,由于晶振在制作过程中会有少许误差,导致所产生的系统时间与全球时间(UTC)存在偏差,时间一 长,偏差就会越来越大,严重时会给网络应用带来灾难性的后果,因此就需要对网络中的计算机的系统时间进行校正(也称时间同步)。
Network Time Protocol(NTP)是用来使计算机时间同步化的一种协议,它可以使计算机系统与NTP服务器或时钟源(如石英钟,GPS等等)进行同步化的一种协议,它可以提供高精准度的时间校正(LAN上与标准间差小于1毫秒,WAN上几十毫秒)
通常情况下,时间同步是按以下步骤进行的:
(1):NTP客户端向NTP服务器发出一个时间请求包(UDP包),其中包含了该包离开客户端时的时间戳。
(2):当服务器接收到该包时。填入包到达时的时间戳、包离开时的时间戳等信息,然后立即把包返回给客户端
(3):客户端在接收到响应包时再填入包返回时的时间戳,然后利用这些时间参数计算出两个关参数,即包往返的延迟、客户端与服务器之间的时钟偏移
(4):客户端使用时钟偏移来调整本地时钟,以使其时间与服务器时间一致
1、网络时间服务器的安装与配置
(1)检查是否安装NTP服务器软件包:#rpm -q ntp 默认是安装的,若未安装则通过RPM命令或YUM进行安装
(2)编辑配置文件/etc/ntp.conf
NTP服务的主要配置文件是/etc/ntp.conf。其中已经有了一些默认设置。如下图所示:
restrict default kod nomodify notrap nopeer noquery 限制其他计算机查询、修改本机上的NTP服务,其中default表示所有IP
restrict -6 default kod nomodify notrap nopeer noquery 应用于IPV6地址的主机
restrict 127.0.0.1 开放本机内部接口,用于反馈;以便于在本地对NTP服务进行监控及配置
restrict 192.168.1.0 mask 255.255.255.0 nomodify notrap 开放这个网段,不能修改;即允许192.168.1.0/24网段的NTP客户端都可以用本机的NTP服务器进行网络校时,但不允许它们修改本机的NTP 服务配置
server 0.rhel.pool.ntp.org
server 1.rhel.pool.ntp.org
server 2.rhel.pool.ntp.org
这些是网络中真正服务器,这里的server参数用来指定上层的NTP服务器,默认指定internet上的时间服务器池中的时间服务器作为上层NTP服务器
配置使用网络时间,主要是通过修改配置文件/etc/ntp.conf来实现的
ntp服务器默认监听UTP 123端口
开放防火墙123端口 # iptables -I INPUT -p udp --dport 123 -j ACCEPT
例 如:在某个局域网中,架设一台本地的NTP服务器(IP:192.168.0.1),并让它与外部时间服务器同步,那么它的时间就成为了整个内部网络的标 准时间。本地的NTP服务器不对internet提供公开的NTP服务,仅对内部子网192.168.0.0/24提供NTP服务,并且内部网络的网络校 时不需要认证机制。要实现上述功能,需要对/etc/ntp.conf文件做下面的修改。 首先确定自己的时区:
date命令可以查看当前系统时间,中国的时区为CST。使用tzselect命令进行配置(时区选择,交换式配置方式
或者选择Shanghai然后建立一个软连接,如下所示:
ln -sf /usr/share/zoneinfo/posix/Asia/Shanghai /etc/localtime #localtime为系统时区
修改权限设置的语句格式为:
1、restrict IP地址或域名 [mask 子网掩码][选项]
该语名用来设置其他计算机对本机NTP服务的访问权限,其中,IP地址或域名参数可以是default,表示所有计算机
常用选项:
ignore:表示禁止所有的NTP请求包进入
nomodify:表示禁止其他计算机更改本机NTP服务的设置,但可以通过本NTP服务器进行网
络校时
notrust:表示禁止所有未通过认证的NTP包进入
noquery:表示禁止其他计算机查询本机NTP服务的状态
notrap: 不提供trap远程登录
nopeer: 提供时间服务,但不做为对等体
kod: 向不安全的访问者发送Kiss-Of-Death报文
如果没有设置任何选项,就表示该计算机(或网段)没有任何限制。
若想对内部子网192.168.0.0/24提供NTP服务,则可以在ntp.conf文件中添加如下配置: restrict 192.168.0.0 mask 255.255.255.0 nomodify notrap
2、配置选项 server
作用:指定上层NTP服务器,以及一些连接选项
server [host] [key n] [version n] [prefex] [mode n] [minpoll n] [maxpoll n] [iburst] 如:
server 0.rhel.poll.ntp.org
server 1.rhel.poll.ntp.org
启动ntp服务:service ntpd start
开机启动服务:chkconfig ntpd on
3、配置时间同步客户机:
方法1:从“系统”?“管理”?菜单中,打开“日期和时间”管理工具
方法2:手工执行 ntpdate <ntp server> 来同步 或者利用crontab来执行
crontab -e
0 21 * * * /usr/sbin/ntpdate 192.168.0.1 ; /sbin/hwclock -w
每天晚上9点进行同步
其中hwclock –w或hwclock systohc 命令修正系统硬件时间,这样系统重启后,才能显示出正确的时间
附:
在ntp客户端运行ntpdate serverIP,出现no server suitable for synchronization found的错误。
在ntp客户端用ntpdate -d serverIP查看,发现有“Server dropped: strata too high”的错误,并且显示“stratum 16”。而正常情况下stratum这个值得范围是“0~15”。
这是因为NTP server还没有和其自身或者它的server同步上。
以下的定义是让NTP Server和其自身保持同步,如果在/ntp.conf中定义的server都不可用时,将使用local时间作为ntp服务提供给ntp客户端。
server 127.127.1.0
fudge 127.127.1.0 stratum 10
在ntp server上重新启动ntp服务后,ntp server自身或者与其server的同步的需要一个时间段,这个过程可能是5分钟,在这个时间之内在客户端运行ntpdate命令时会产生no server suitable for synchronization found的错误。
那么如何知道何时ntp server完成了和自身同步的过程呢?
在ntp server上使用命令:
# watch ntpq -p
出现画面:
注意LOCAL的这个就是与自身同步的ntp server。
注意reach这个值,在启动ntp server服务后,这个值就从0开始不断增加,当增加到17的时候,从0到17是5次的变更,每一次是poll的值的秒数,是64秒*5=320秒的时间。 在ntp client上使用命令:查看时间同步状态
几个ntp命令:
#/usr/sbin/ntpdate -u 192.168.0.1 校对时间
#/usr/sbin/ntpdate -q 192.168.0.1 查询不更新
#hwclock --systohc 将机器硬件时钟同步为系统时钟
二、WEB服务
常用的配置参数
ServerRoot:服务目录
ServerAdmin:管理员邮箱
User:运行服务的用户身份
Group:运行服务的组身份
ServerName:网站服务器的域名
DocumentRoot:网页文档的根目录
Listen:监听的IP地址、端口号
PidFile:保存httpd进程PID号的文件
DirectoryIndex:默认的索引页文件
ErrorLog:错误日志文件的位置
CustomLog:访问日志文件的位置
LogLevel:记录日志的级别,默认为
warn
Timeout:网络连接超时,默认为300秒
KeepAlive:是否保持连接,可选On或
Off
MaxKeepAliveRequests:每次连接最多请求文件数
KeepAliveTimeout:保持连接状态时的超时时间
Include:需要包含进来的其他配置文件
1、使用SSL加固Apache
SSL概述:
使用具有SSL功能的Web服务器,可以提高网站的安全性能。SSL协议工作在Linux TCP/IP协议和HTTP协议之间。
SSL 使用加密方法来保护Web服务器和浏览器之间的信息流。SSL不仅用于加密在互联网上传递的数据流,而且还提供双方身份验证。这样就可以安全地在线购物而 不必担心别人窃取信用卡的信息。这种特性使得SSL适用于那些交换重要信息的地方,像电子商务和基于Web的邮件。
① 用户使用浏览器,访问Web服务器站点,发出SSL握手信号;
② Web服务器发出回应,并出示服务器证书(公钥),显示系统Web服务器站点身份; ③ 浏览器验证服务器证书,并生成一个随机的会话密钥,密钥长度达到128位; ④ 浏览器用Web服务器的公钥加密该会话密钥;