components/network/chrony/files/chrony.conf

   1 ### COMMENTS
   2 # Any of the following lines are comments (you have a choice of
   3 # comment start character):
   4 # a comment
   5 % a comment
   6 ! a comment
   7 ; a comment
   8 #
   9 # Below, the '!' form is used for lines that you might want to
  10 # uncomment and edit to make your own chrony.conf file.
  11 #
  12 #######################################################################
  13 #######################################################################
  14 ### SPECIFY YOUR NTP SERVERS
  15 # Most computers using chrony will send measurement requests to one or
  16 # more 'NTP servers'.  You will probably find that your Internet Service
  17 # Provider or company have one or more NTP servers that you can specify.
  18 # Failing that, there are a lot of public NTP servers.  There is a list
  19 # you can access at http://support.ntp.org/bin/view/Servers/WebHome or
  20 # you can use servers from the pool.ntp.org project.
  21
  22 ! server foo.example.net iburst
  23 ! server bar.example.net iburst
  24 ! server baz.example.net iburst
  25
  26 #server 0.openindiana.pool.ntp.org iburst
  27 #server 1.openindiana.pool.ntp.org iburst
  28 #server 2.openindiana.pool.ntp.org iburst
  29 #server 3.openindiana.pool.ntp.org iburst
  30 pool 0.openindiana.pool.ntp.org iburst
  31
  32 #######################################################################
  33 ### AVOIDING POTENTIALLY BOGUS CHANGES TO YOUR CLOCK
  34 #
  35 # To avoid changes being made to your computer's gain/loss compensation
  36 # when the measurement history is too erratic, you might want to enable
  37 # one of the following lines.  The first seems good with servers on the
  38 # Internet, the second seems OK for a LAN environment.
  39
  40 ! maxupdateskew 100
  41 ! maxupdateskew 5
  42
  43 # If you want to increase the minimum number of selectable sources
  44 # required to update the system clock in order to make the
  45 # synchronisation more reliable, uncomment (and edit) the following
  46 # line.
  47
  48 ! minsources 2
  49
  50 # If your computer has a good stable clock (e.g. it is not a virtual
  51 # machine), you might also want to reduce the maximum assumed drift
  52 # (frequency error) of the clock (the value is specified in ppm).
  53
  54 ! maxdrift 100
  55
  56 # By default, chronyd allows synchronisation to an unauthenticated NTP
  57 # source (i.e. specified without the nts and key options) if it agrees with
  58 # a majority of authenticated NTP sources, or if no authenticated source is
  59 # specified.  If you don't want chronyd to ever synchronise to an
  60 # unauthenticated NTP source, uncomment the first from the following lines.
  61 # If you don't want to synchronise to an unauthenticated NTP source only
  62 # when an authenticated source is specified, uncomment the second line.
  63 # If you want chronyd to ignore authentication in the source selection,
  64 # uncomment the third line.
  65
  66 ! authselectmode require
  67 ! authselectmode prefer
  68 ! authselectmode ignore
  69
  70 #######################################################################
  71 ### FILENAMES ETC
  72 # Chrony likes to keep information about your computer's clock in files.
  73 # The 'driftfile' stores the computer's clock gain/loss rate in parts
  74 # per million.  When chronyd starts, the system clock can be tuned
  75 # immediately so that it doesn't gain or lose any more time.  You
  76 # generally want this, so it is uncommented.
  77
  78 driftfile /var/lib/chrony/drift
  79
  80 # If you want to enable NTP authentication with symmetric keys, you will need
  81 # to uncomment the following line and edit the file to set up the keys.
  82
  83 ! keyfile /etc/inet/chrony.keys
  84
  85 # If you specify an NTP server with the nts option to enable authentication
  86 # with the Network Time Security (NTS) mechanism, or enable server NTS with
  87 # the ntsservercert and ntsserverkey directives below, the following line will
  88 # allow the client/server to save the NTS keys and cookies in order to reduce
  89 # the number of key establishments (NTS-KE sessions).
  90
  91 ntsdumpdir /var/lib/chrony
  92
  93 # If chronyd is configured to act as an NTP server and you want to enable NTS
  94 # for its clients, you will need a TLS certificate and private key.  Uncomment
  95 # and edit the following lines to specify the locations of the certificate and
  96 # key.
  97
  98 ! ntsservercert /etc/.../foo.example.net.crt
  99 ! ntsserverkey /etc/.../foo.example.net.key
 100
 101 # chronyd can save the measurement history for the servers to files when
 102 # it exits.  This is useful:
 103 #
 104 # 1. If you stop chronyd and restart it with the '-r' option (e.g. after
 105 # an upgrade), the old measurements will still be relevant when chronyd
 106 # is restarted.  This will reduce the time needed to get accurate
 107 # gain/loss measurements.
 108 #
 109 # Uncomment the following line to use this.
 110
 111 ! dumpdir /var/lib/chrony
 112
 113 # chronyd writes its process ID to a file.  If you try to start a second
 114 # copy of chronyd, it will detect that the process named in the file is
 115 # still running and bail out.  If you want to change the path to the PID
 116 # file, uncomment this line and edit it.  The default path is shown.
 117
 118 pidfile /var/run/chrony/chronyd.pid
 119
 120 # If the system timezone database is kept up to date and includes the
 121 # right/UTC timezone, chronyd can use it to determine the current
 122 # TAI-UTC offset and when will the next leap second occur.
 123
 124 ! leapsectz right/UTC
 125
 126 # This directive specifies the location of the Samba ntp_signd socket
 127 # when it is running as a Domain Controller (DC). If chronyd is
 128 # compiled with this feature, responses to MS-SNTP clients will be
 129 # signed by the smbd daemon.
 130
 131 ! ntpsigndsocket /var/lib/samba/ntp_signd
 132
 133 #######################################################################
 134 ### INITIAL CLOCK CORRECTION
 135 # This option is useful to quickly correct the clock on start if it's
 136 # off by a large amount.  The value '1.0' means that if the error is less
 137 # than 1 second, it will be gradually removed by speeding up or slowing
 138 # down your computer's clock until it is correct.  If the error is above
 139 # 1 second, an immediate time jump will be applied to correct it.  The
 140 # value '3' means the step is allowed only in the first three updates of
 141 # the clock.  Some software can get upset if the system clock jumps
 142 # (especially backwards), so be careful!
 143
 144 ! makestep 1.0 3
 145
 146 #######################################################################
 147 ### LEAP SECONDS
 148 # A leap second is an occasional one-second correction of the UTC
 149 # time scale.  By default, chronyd tells the kernel to insert/delete
 150 # the leap second, which makes a backward/forward step to correct the
 151 # clock for it.  As with the makestep directive, this jump can upset
 152 # some applications.  If you prefer chronyd to make a gradual
 153 # correction, causing the clock to be off for a longer time, uncomment
 154 # the following line.
 155
 156 ! leapsecmode slew
 157
 158 #######################################################################
 159 ### LOGGING
 160 # If you want to log information about the time measurements chronyd has
 161 # gathered, you might want to enable the following lines.  You probably
 162 # only need this if you really enjoy looking at the logs, you want to
 163 # produce some graphs of your system's timekeeping performance, or you
 164 # need help in debugging a problem.
 165
 166 ! logdir /var/log/chrony
 167 ! log measurements statistics tracking
 168
 169 # If you have real time clock support enabled (see below), you might want
 170 # this line instead:
 171
 172 ! log measurements statistics tracking rtc
 173
 174 #######################################################################
 175 ### ACTING AS AN NTP SERVER
 176 # You might want the computer to be an NTP server for other computers.
 177 #
 178 # By default, chronyd does not allow any clients to access it.  You need
 179 # to explicitly enable access using 'allow' and 'deny' directives.
 180 #
 181 # e.g. to enable client access from the 192.168.*.* class B subnet,
 182
 183 ! allow 192.168/16
 184
 185 # .. but disallow the 192.168.100.* subnet of that,
 186
 187 ! deny 192.168.100/24
 188
 189 # You can have as many allow and deny directives as you need.  The order
 190 # is unimportant.
 191
 192 # If you want to present your computer's time for others to synchronise
 193 # with, even if you don't seem to be synchronised to any NTP servers
 194 # yourself, enable the following line.  The value 10 may be varied
 195 # between 1 and 15.  You should avoid small values because you will look
 196 # like a real NTP server.  The value 10 means that you appear to be 10
 197 # NTP 'hops' away from an authoritative source (atomic clock, GPS
 198 # receiver, radio clock etc).
 199
 200 ! local stratum 10
 201
 202 # Normally, chronyd will keep track of how many times each client
 203 # machine accesses it.  The information can be accessed by the 'clients'
 204 # command of chronyc.  You can disable this facility by uncommenting the
 205 # following line.  This will save a bit of memory if you have many
 206 # clients and it will also disable support for the interleaved mode.
 207
 208 ! noclientlog
 209
 210 # The clientlog size is limited to 512KB by default.  If you have many
 211 # clients, you might want to increase the limit.
 212
 213 ! clientloglimit 4194304
 214
 215 # By default, chronyd tries to respond to all valid NTP requests from
 216 # allowed addresses.  If you want to limit the response rate for NTP
 217 # clients that are sending requests too frequently, uncomment and edit
 218 # the following line.
 219
 220 ! ratelimit interval 3 burst 8
 221
 222 #######################################################################
 223 ### REPORTING BIG CLOCK CHANGES
 224 # Perhaps you want to know if chronyd suddenly detects any large error
 225 # in your computer's clock.  This might indicate a fault or a problem
 226 # with the server(s) you are using, for example.
 227 #
 228 # The next option causes a message to be written to syslog when chronyd
 229 # has to correct an error above 0.5 seconds (you can use any amount you
 230 # like).
 231
 232 ! logchange 0.5
 233
 234 # The next option will send email to the named person when chronyd has
 235 # to correct an error above 0.5 seconds.  (If you need to send mail to
 236 # several people, you need to set up a mailing list or sendmail alias
 237 # for them and use the address of that.)
 238
 239 ! mailonchange wibble@foo.example.net 0.5
 240
 241 #######################################################################
 242 ### COMMAND ACCESS
 243 # The program chronyc is used to show the current operation of chronyd
 244 # and to change parts of its configuration whilst it is running.
 245
 246 # By default chronyd binds to the loopback interface.  Uncomment the
 247 # following lines to allow receiving command packets from remote hosts.
 248
 249 ! bindcmdaddress 0.0.0.0
 250 ! bindcmdaddress ::
 251
 252 # Normally, chronyd will only allow connections from chronyc on the same
 253 # machine as itself.  This is for security.  If you have a subnet
 254 # 192.168.*.* and you want to be able to use chronyc from any machine on
 255 # it, you could uncomment the following line.  (Edit this to your own
 256 # situation.)
 257
 258 ! cmdallow 192.168/16
 259
 260 # You can add as many 'cmdallow' and 'cmddeny' lines as you like.  The
 261 # syntax and meaning is the same as for 'allow' and 'deny', except that
 262 # 'cmdallow' and 'cmddeny' control access to the chronyd's command port.
 263
 264 # Rate limiting can be enabled also for command packets.  (Note,
 265 # commands from localhost are never limited.)
 266
 267 ! cmdratelimit interval -4 burst 16
 268
 269