Ntpsec

为了确保 NTPsec 的正常运行，我们还应该禁用本地时间同步服务。这也适用于其他服务（如 OpenNTPD、Chrony 等）。

systemctl stop systemd-timesyncd.service && systemctl disable systemd-timesyncd.service

如果改用 NTP 服务（例如 NTPD），我们可以按如下方式将其删除

apt autoremove ntp

安装 NTPsec

apt install ntpsec

NTPsec 配置路径 /etc/ntp.conf

配置参考

# /etc/ntpsec/ntp.conf，ntpd的配置；有关帮助，请参阅ntp.conf(5)

driftfile /var/lib/ntpsec/ntp.drift
leapfile /usr/share/zoneinfo/leap-seconds.list

# 要作为服务器启用网络时间安全支持，请获取证书
# （例如使用Let's Encrypt），配置下面的路径，并取消注释：
# nts cert CERT_FILE
# nts key KEY_FILE
# nts enable

# 您必须创建 /var/log/ntpsec （由 ntpsec:ntpsec 拥有）以启用日志记录。
statsdir /var/log/ntpstats/

statistics loopstats peerstats clockstats
filegen loopstats file loopstats type day enable
filegen peerstats file peerstats type day enable
filegen clockstats file clockstats type day enable

logfile /var/log/ntpd.log
logconfig =syncall +clockall +peerall +sysall


# 这应该是 maxclock 7，但池条目计入 maxclock。
tos maxclock 11

# 如果您有参考时钟并希望它能够自行纠正时钟（例如，如果系统未连接到网络），
# 请将此项注释掉。
tos minclock 4 minsane 3

# 指定一个或多个NTP服务器。

# 支持网络时间安全的公共NTP服务器：
server time.cloudflare.com nts iburst

# pool.ntp.org 映射到约 1000 个低层NTP服务器。每次启动时，您的服务器都会选择
# 不同的一组。请考虑加入池：<https://www.pool.ntp.org/join.html>
pool 0.debian.pool.ntp.org iburst
pool 1.debian.pool.ntp.org iburst
pool 2.debian.pool.ntp.org iburst
pool 3.debian.pool.ntp.org iburst


# 访问控制配置；有关详细信息，请参阅 /usr/share/doc/ntpsec-doc/html/accopt.html
#
# 请注意，“restrict”适用于服务器和客户端，因此可能打算阻止来自某些客户端的请求的配置，
# 也可能阻止来自您自己的上游服务器的回复。

# 默认情况下，与所有人交换时间，但不允许配置。
restrict default kod nomodify nopeer noquery limited

# 本地用户可以更详细地询问ntp服务器。
restrict 127.0.0.1
restrict ::1

调试

启动 NTPsec 服务

systemctl start ntpd

查看 NTPsec 状态

systemctl status ntpd

查看 NTPsec 日志输出

ntpd -n -d

查看 NTPsec 对等体

ntpq -p

错误输出

查看ntpd -n -d ，关于CONFIG: Cannot open logfile /var/log/ntpd.log: Permission denied解决办法

touch /var/log/ntpd.log
apt-get install apparmor-utils -y 
aa-complain /usr/sbin/ntpd
systemctl restart ntpd

修改时间

查看时区列表

timedatectl list-timezones

修改时区

timedatectl set-timezone Etc/GMT-8

查看时间

date