Какие последствия / последствия могут возникнуть из-за неправильных системных часов?

8

Какие проблемы могут возникнуть из-за неправильной настройки системных часов?

В первую очередь интересуются потенциальными проблемами, затрагивающими серверы и Linux или UNIX-подобные системы, в частности.

И насколько серьезны эти последствия в зависимости от того, сколько системного времени отключено? Например, 5 минут, 30 минут, 1 час, 1 день.

unix linux time time-synchronization clock-synchronization Archimedix
источник
Срок действия пробной версии программного обеспечения может истечь.
Саймон Рихтер

Ответы:

20

Ну, во-первых, ваши временные метки во всех ваших журналах будут отключены и не синхронизированы с другими серверами, что затруднит выяснение того, когда что-то произошло. Кроме того, для некоторых протоколов безопасности (например, Kerberos) используется временная синхронизация.

Итак, я говорю, что большинство вещей продолжит работать нормально, некоторые протоколы или приложения, зависящие от точного времени, могут сломаться, и у вас, как у администратора, обычно будут некоторые головные боли для этого.

Сконфигурируйте NTP для провайдера, такого как pool.ntp.org или NIST, и называйте это днем.

SpacemanSpiff
источник
Хотелось бы, чтобы я проголосовал за это не раз.
mfinni
1
Да, я подумал и о Kerberos, и об аппаратных токен-генераторах, таких как RSA SecurID. Бревна - это хороший момент, хотя и не критичный напрямую (по крайней мере, до того, как закон Мерфи снова ударит). Я использую NTP для своих серверов, за исключением виртуального сервера, где только хостер может установить системное время, и тот же самый vserver сейчас не работает около 6 минут, поэтому сейчас я размышляю над этой проблемой.
Archimedix
Многие люди имеют проблемы с хостом на время гостя, я предпочитаю отключить это и позволить каждому гостю использовать NTP самостоятельно. Машины NetWare были печально известны этим.
SpacemanSpiff
ну, единственный способ для меня - это связаться с моим провайдером, так как я не контролирую многопользовательский хост vserver.
Archimedix
Некоторые операционные системы имеют переключатель или опцию для переключения, синхронизировать ли вы с «аппаратным» временем, в данном случае с виртуальным оборудованием, но тем не менее.
SpacemanSpiff
8

Вот только несколько:

  • MySQL репликация
  • Запросы к базе данных с использованием now () для текущей даты / времени
  • скрипты резервного копирования rsync
  • любая другая межсерверная связь

NTP - лучший способ сохранить правильное время.

sreimer
источник
я даже не задумывалась над тем, чтобы пометить временную метку базы данных, какой это может быть кошмар :)
SpacemanSpiff
Помогает, что я только что разобрался с этой проблемой
sreimer
Хороший момент там с отметками времени, особенно в базах данных. Приложения, использующие метки времени для сортировки или люди, использующие метки времени, могут вызывать некоторые головные боли.
Archimedix
4

Я добавлю, что два ISC DHCP-сервера, работающие в режиме отработки отказа, выйдут из строя, когда время будет отличаться на определенный порог. Они откажутся перезапустить после того, как были остановлены.

Изменить: в зависимости от того, как он настроен, DNS тоже может дать сбой, потому что ведомые не смогут загружать зоны от своих хозяев, а их кэшированные зоны в конечном итоге истекают.

joechip
источник
4

Одним из потенциальных источников проблем, которые я обнаружил сегодня, являются скрипты ротации резервных копий или моментальных снимков, которые основаны на том факте, что ваши часы никогда не пойдут назад, или, другими словами, на то, что у вас никогда не будет резервных копий с именами и датами и временем «из будущего» что может заставить их просто удалить эти будущие резервные копии / снимки (зависит от того, как реализованы сценарии).

Кроме того, некоторые версии sudo могут быть уязвимы для отката часов, что позволяет sudoers с требованием пароля получить root без пароля.

Archimedix
источник
3

Удаленный рабочий стол и другие инструменты удаленного доступа могут перестать работать, так как для проверки подлинности требуется время. Это может сделать поиск неисправностей очень разочаровывающим (вы пытаетесь выполнить дистанционное управление, чтобы решить проблему, но даже не можете этого сделать).

У меня было это на машине, которая почему-то думала, что год был 8011, а не 2011. Сертификаты SSL также истекли.

Энди
источник
2

Моя самая досадная проблема: срок действия SSL-сертификатов. Очень раздражает, когда вы не можете понять, почему они не работают.

Лукас Кауфман
источник