我运行 lynis 1.5.6 并收到以下日志消息。
Performing test ID TIME-3120 (Check unreliable NTP peers)
Test: Checking unreliable ntp peers
Result: Found one or more unreliable peers (marked with a minus or dash sign)
Unreliable peer: 50.7.96.4
Suggestion: Check ntpq peers output for unreliable ntp peers and correct/replace them [TIME-3120]
我跑了
sudo ntpq -i 它给出了解释的命令这里。但是,它没有说明如何纠正或更换对等点。
我做了建议的更改这里但仍然得到了lynis的建议。我查看了 /var/log/ntpstats ,那里什么也没有。我确实将不可靠的对等点指定为 50.7.0.147,根据 isc.sans.edu,这是 Abovenet Communications。
莱尼斯的这个建议可以被忽略吗?
答案1
您可以忽略该警告。老实说,这并不是对对等状态代码的准确描述。减号并不意味着服务器不可靠。这意味着该对等点被集群算法丢弃了。这是时钟选择算法的正常副产品。
另一个答案建议使用池项目中的服务器。池项目监视服务器并删除那些出现故障的服务器。然而它不会消除对等状态代码中带有负号的服务器。此外,作为客户,您无法控制池项目随机分配给您的服务器。给定一个不错的对等点列表,一台服务器很可能会被集群算法拒绝。这可能是由于多种原因造成的,例如延迟峰值或温度变化。这是我刚刚启动的机器上的 ntpqq 广告牌。我有我的本地 ntp 服务器(第 1 层 GPS)、另一个离我很近的第 1 层服务器以及池项目为我随机选择的四台服务器。
dfc@jumbo:~$ ntpq -p
remote refid st t when poll reach delay offset jitter
==============================================================================
*ronin.llamahaus .GPS. 1 u 58 64 7 0.187 -0.168 0.789
+clock1.alb1.ino .CDMA. 1 u 59 64 7 37.231 6.703 3.304
+pool-test.ntp.o 204.123.2.5 2 u 60 64 7 77.727 1.775 1.139
-defiance.terran 209.118.204.201 3 u 59 64 7 50.638 10.097 1.630
-ponderosa.piney 209.51.161.238 2 u 57 64 7 37.756 9.511 2.780
+greenwix.netlob 216.218.254.202 2 u 56 64 7 87.031 -2.368 1.846
有两台服务器前面带有减号,它们是池服务器。 ntp 没有选择那些来同步时间。带星号的服务器是我与之同步的对等服务器,带加号的服务器是其他候选服务器。
TLDR:忽略 lynis 的警告。如果您想了解更多信息,请查看 ntp.org 的文档对等状态代码。
答案2
您使用了多少个同行?如果您使用三台(或更多)服务器,那么 NTP 可以智能地判断其中一台服务器是否与其他服务器不同步,并且它将停止使用它,直到它再次变得“正常”。
我建议从这里选择服务器:
如果您不控制服务器的异常行为,您可能无能为力。只需选择不同的服务器即可。