构建本地时间服务器

任何物理linux 机器上的标准 ntp（也可能是 ntp-server 或 ntp-simple）包都可以。不要使用虚拟机。

很多人会说别人知道你的时间是信息泄露了，但是很多其他的服务泄露了时间，如果出现任何问题，所有日志都同步了，你会受益匪浅。默认的 debian 配置锁定远程用户除了时间同步之外的任何事情，这就足够了。

至于从 pool.ntp.org 更新什么是答案，请尽可能使用适合您所在国家/地区的池。这也几乎总是 linux ntp 的默认配置。

我在设置 NTP 网络时使用的一些指南：

• 在您的网络上配置至少两个时间服务器是一个非常好的主意。将它们设置为对等点（ntp.conf 中的“peer [ipaddress]”行），如果可能，请为它们提供不同的外部 NTP 主机以进行同步。
• 配置您的客户端以使用您的所有时间服务器。万一一个人走了，他们仍然有很好的时间，并且在一个人的中断期间不会失去同步。
• 在对等服务器之间使用自动密钥或对称密钥加密。
• 在 ntp.conf 文件中设置适当的 acl 行，允许对等方相互通信，但所有其他客户端仅获得 NTP 信息而没有控制数据。

第一点是在面对互联网中断时赋予您的网络弹性。当互联网连接中断时，您的对等服务器将在彼此之间保持一致的时间，并且永远不会不同步。这意味着您的客户不会不同步。如果时间对你很重要，这是一件非常好的事情。

至于 ACL 选项，设置合理的默认值将有助于防止邪恶的发生：

restrict default ignore #deny access to general internet, just 'cause
restrict 192.168.0.0 255.255.0.0 nomodify nopeer # allow restricted access to internal
restrict 192.168.202.202 #allow TimeHost1 full access
restrict 192.168.202.203 #allow TimeHost2 full access
restrict 192.168.200.158 nopeer #allow the admin workstation to make changes

这将允许客户端使用 ntpq 之类的工具来诊断 NTP 问题，但不允许它改变任何东西。

至于自动密钥与对称密钥，这取决于您希望网络有多健壮。设置适当的 ACL 值应该可以抵抗邪恶，但这将提供额外的保护层以防止欺骗。在这两者中，自动密钥更容易设置，但对称更新更强大。

我推荐OpenNTPd（便携式）。

从他们的宣言中：

当前的 NTP 守护程序复杂且难以配置和/或许可证有问题。正因为如此，只有有限数量的系统运行 NTP，导致许多机器关闭数月甚至数年。我们的目标是通过提供一个安全且易于配置的免费简单实现来使 NTP 无处不在。

• 尽可能安全。仔细编码，进行严格的有效性检查，尤其是在网络输入路径中，并使用有界缓冲区操作。使用权限分离来减轻可能的安全漏洞的影响。
• 提供精益实施，足以满足大多数人的需求。不要试图支持每一个晦涩的用例，而是涵盖典型的用例。
• 尝试在后台“工作”。
• 只需最少的配置即可工作。
• 达到合理的精度。我们不是在最后几微秒之后。