checklist, ntp: Re-format parts and add chrony

Author: iBug

docs/ops/checklist.md

@@ -25,11 +25,13 @@ icon: octicons/checklist-16
 - 对于部署在中国大陆地区的服务器，使用镜像站替换软件包管理系统提供的源
 - 除非确有需要，不使用除软件包管理系统之外的方法安装软件到 `/home` 外的位置；对使用非软件包管理系统之外的方法安装到 `/home` 外位置的软件，系统管理员应建立台账
 - 对于实验室场合，在系统目录内设置恰当版本的编译和开发环境，并对有额外需求的用户的提供在家目录设置单独工具链的适当指引
-  > TODO: explain
+
+    > TODO: explain
+
 - 必要但容易忽略的维护系统稳定、帮助调试的工具
     - `earlyoom` 或 `systemd-oomd`：用户态监测内存使用，在内存不足时自动杀死占用内存过多的进程
     - `systemd-coredump`：收集崩溃进程的 coredump 文件
-    - `systemd-timesyncd`：自动时钟同步
+    - `chrony` 或 `systemd-timesyncd`：[自动时钟同步](network-service/ntp.md#ntp-tools)
     - `bcc-tools`：一系列基于 BPF 的调试工具
     - `bpftrace`：快速编写跟踪内核或用户态程序的 BPF 的脚本
     - `rasdaemon`：收集系统硬件（CPU、内存等）的错误信息
@@ -39,18 +41,21 @@ icon: octicons/checklist-16
 ## 远程管理
 
 - 对于带有 IPMI 等带外管理功能的服务器，将其启用，并配置固定 IP 地址和安全的密码后接入网络
-  > 正确配置的 IPMI 功能将为服务器崩溃等无法正常登录进入服务器的情况下的重启操作提供方便，可提升如假期等情况下的服务器可靠性。
-- 正确设置 SSH，并作为远程管理的主要手段
-  > TODO: add ref to ssh & explain
+
+    > 正确配置的 IPMI 功能将为服务器崩溃等无法正常登录进入服务器的情况下的重启操作提供方便，可提升如假期等情况下的服务器可靠性。
+  
+- 正确[设置 SSH 服务](../dev/ssh.md#sshd-config)，并作为远程管理的主要手段
+
+    > TODO: add ref to ssh & explain
 
 ## 系统安全
 
-- 是否所有用户都（或者至少 root 及有 sudo 权限的用户）具有强密码？
-- SSH 的密码登录是否已禁用？（`PasswordAuthentication no`）
-    - 如果有任何原因需要启用密码登录，是否已禁用 root 用户的密码登录？（`PermitRootLogin prohibit-password`）
-    - 或者，仅对有需要的用户启用密码登录？（`Match user <username>`、`PasswordAuthentication yes`）
+- 为所有用户（或者至少 root 及有 sudo 权限的用户）都设置强密码
+- 禁用 SSH 的密码登录（`PasswordAuthentication no`）
+    - 如果有任何原因需要启用密码登录，至少禁用 root 用户的密码登录（`PermitRootLogin prohibit-password`）
+    - 或者，仅对有需要的用户启用密码登录（`Match user <username>`、`PasswordAuthentication yes`）
 
 ## 网络安全
 
-- MySQL、PostgreSQL、Redis 等数据库服务是否只监听了本地地址？
-    - 或者，已经配置了外部防火墙阻断相关端口的入站连接？（MySQL: 3306，PostgreSQL: 5432，Redis: 6379）
+- MySQL、PostgreSQL、Redis 等数据库服务只监听本地地址（localhost、`127.0.0.1` 或 Unix socket）
+    - 或者，配置外部防火墙阻断相关端口的入站连接（例如 MySQL: 3306，PostgreSQL: 5432，Redis: 6379）

docs/ops/network-service/ntp.md

@@ -25,67 +25,67 @@ icon: material/web-clock
 
 Linux 中支持 NTP 的软件有多种，其中较为常见的有 [chrony](https://chrony-project.org/) 、 [systemd-timesyncd](https://wiki.archlinux.org/title/Systemd-timesyncd) 和 [ntpdate](https://www.ntp.org/documentation/4.2.8-series/ntpdate/)。
 
-**chrony** <!-- markdownlint-disable MD036 -->
+### chrony
 
-:   chrony 是一个功能丰富 NTP 软件，它支持多种时间源和网络协议，能够在不稳定的网络环境中保持较高的同步精度，甚至使用与计算机相连的 GPS 设备作为时钟信号源。chrony 还具有自动检测网络延迟和时钟漂移的能力，适合在虚拟机、笔记本电脑等经常变更网络环境的设备上使用。
+chrony 是一个功能丰富 NTP 软件，它支持多种时间源和网络协议，能够在不稳定的网络环境中保持较高的同步精度，甚至使用与计算机相连的 GPS 设备作为时钟信号源。chrony 还具有自动检测网络延迟和时钟漂移的能力，适合在虚拟机、笔记本电脑等经常变更网络环境的设备上使用。
 
-    chrony 曾经是 Debian 发行版的默认 NTP 客户端。对于安装的 Debian 或 Ubuntu 系统，你也可以使用 `apt install chrony` 手动安装它。
+chrony 曾经是 Debian 发行版的默认 NTP 客户端。对于 Debian 和 Ubuntu 发行版，你也可以使用 `apt install chrony` 手动安装它。
 
-    使用以下命令可以查看当前同步状态，包括系统时钟偏移量和误差修正速率等信息：
+使用以下命令可以查看当前同步状态，包括系统时钟偏移量和误差修正速率等信息：
 
-    ```shell
-    chronyc tracking
-    ```
+```shell
+chronyc tracking
+```
 
-    查看各时间源的状态（Stratum 一列展示了各时间源的层级）：
+查看各时间源的状态（Stratum 一列展示了各时间源的层级）：
 
-    ```shell
-    chronyc sources
-    chronyc sources -v  # 显示详细界面说明
-    ```
+```shell
+chronyc sources
+chronyc sources -v  # 显示详细界面说明
+```
 
-**systemd-timesyncd** <!-- markdownlint-disable MD036 -->
+### systemd-timesyncd
 
-:   systemd 项目也提供了一个轻量级的时间同步客户端，即 systemd-timesyncd。该服务可以在系统联网后通过 NTP 协议定期向网络上的时间服务器请求当前时间，并自动校准系统时钟。如果你只需要“能同步时间”，尤其是当校园网或企业内网中存在 NTP 服务器的时候，systemd-timesyncd 是一个更加简单省心的选项。
+systemd 项目也提供了一个轻量级的时间同步客户端，即 systemd-timesyncd。该服务可以在系统联网后通过 NTP 协议定期向网络上的时间服务器请求当前时间，并自动校准系统时钟。如果你只需要“能同步时间”，尤其是当校园网或企业内网中存在 NTP 服务器的时候，systemd-timesyncd 是一个更加简单省心的选项。
 
-    Debian 自 12（Bookworm）版本起选择 systemd-timesyncd 作为默认的 NTP 客户端，因此通常情况下你不再需要手动安装它（即 `apt install systemd-timesyncd`）。
+Debian 自 12（Bookworm）版本起选择 systemd-timesyncd 作为默认的 NTP 客户端，因此通常情况下你不再需要手动安装它（即 `apt install systemd-timesyncd`）。
 
-    你可以在 `/etc/systemd/timesyncd.conf` 文件中查看发行版提供的默认时间服务器配置。如果你想要自己指定同步的时间服务器，可在 `/etc/systemd/timesyncd.conf.d/` 目录下新建一个配置文件（例如 `custom.conf`）。我们推荐尽可能使用位于校园网或企业内网的时间源，以减少网络延迟并提升同步稳定性。例如，科大校园网提供了一个 Stratum 2 的时间服务器 `time.ustc.edu.cn`，你可以在 `/etc/systemd/timesyncd.conf.d/custom.conf` 中添加以下内容让 systemd-timesyncd 使用它：
+你可以在 `/etc/systemd/timesyncd.conf` 文件中查看发行版提供的默认时间服务器配置。如果你想要自己指定同步的时间服务器，可在 `/etc/systemd/timesyncd.conf.d/` 目录下新建一个配置文件（例如 `custom.conf`）。我们推荐尽可能使用位于校园网或企业内网的时间源，以减少网络延迟并提升同步稳定性。例如，科大校园网提供了一个 Stratum 2 的时间服务器 `time.ustc.edu.cn`，你可以在 `/etc/systemd/timesyncd.conf.d/custom.conf` 中添加以下内容让 systemd-timesyncd 使用它：
 
-    ```ini
-    [Time]
-    NTP=time.ustc.edu.cn
-    ```
+```ini
+[Time]
+NTP=time.ustc.edu.cn
+```
 
-    可以使用以下命令查看 `systemd-timesyncd` 的同步状态：
+可以使用以下命令查看 `systemd-timesyncd` 的同步状态：
 
-    ```shell
-    timedatectl show-timesync
+```shell
+timedatectl show-timesync
     ```
 
-**ntpdate** <!-- markdownlint-disable MD036 -->
+### ntpdate
 
-:   ntpdate 是一个一次性的时间同步工具。它适用于临时性地校准系统时钟，通常用于在系统启动时或在没有持续运行的 NTP 服务的情况下进行时间同步。
+ntpdate 是一个一次性的时间同步工具。它适用于临时性地校准系统时钟，通常用于在系统启动时或在没有持续运行的 NTP 服务的情况下进行时间同步。
 
-    你可以在 Debian/Ubuntu 系统中使用以下命令安装 ntpdate：
+你可以在 Debian/Ubuntu 系统中使用以下命令安装 ntpdate：
 
-    ```shell
-    apt install ntpdate
-    ```
+```shell
+apt install ntpdate
+```
 
-    可以使用以下命令查询某个特定的时间服务器的 Stratum 层级、与本地时钟的偏差以及网络延迟等信息：
+可以使用以下命令查询某个特定的时间服务器的 Stratum 层级、与本地时钟的偏差以及网络延迟等信息：
 
-    ```shell
-    ntpdate -q time.ustc.edu.cn
-    ```
+```shell
+ntpdate -q time.ustc.edu.cn
+```
 
-    如果需要手动同步时间，可以使用以下命令：
+如果需要手动同步时间，可以使用以下命令：
 
-    ```shell
-    ntpdate -u time.ustc.edu.cn  
-    ```
+```shell
+ntpdate -u time.ustc.edu.cn  
+```
 
-    需要注意的是，ntpdate 并不是一个持续运行的服务，只会在每次执行时进行一次时间同步，因此如果你需要持续的时间同步功能，还需要结合其他工具（如 cron）来定期执行 ntpdate 命令。相比之下，我们推荐直接使用 systemd-timesyncd 或 chrony 来实现持续的时间同步。
+需要注意的是，ntpdate 并不是一个持续运行的服务，只会在每次执行时进行一次时间同步，因此如果你需要持续的时间同步功能，还需要结合其他工具（如 cron）来定期执行 ntpdate 命令。相比之下，我们推荐直接使用 systemd-timesyncd 或 chrony 来实现持续的时间同步。
 
 ## 设置时区 {#timezone}