Linux の時刻が勝手に変わる

質問タイトルのまんまですが、現在構築中の Linux サーバの時刻が勝手に変わってしまいます。

具体的には以下のような現象が起きています。
・前日の日付になる
・日付は同じだが、年が変わる（2000年とか）
・タイムゾーンが変わる（気がついたらCSTになってました）

環境は以下の通りです。

OS:Red Hat Enterprise Linux 5.3（2.6.18-128.el5)
ハード：DELL PowerEdge T100

当方で以下の確認をしました。

１．ntpd の動作確認
　service ntpd status
　で、ntpd が停止している事は確認しました。

２．ハードウェアクロック
　hwclock --show
　でハードウェアクロックの値は確認しました。
　時刻が勝手に変わるタイミングでハードウェアクロックも一緒に変わってしまっています。

３．/var/log/ 以下のログ確認
　/var/log/message など、時刻が変わったタイミング前後のログも確認しましたが、特筆すべきログは出力されていませんでした。

４．システム時間の変更の監査
　http://kbase.redhat.com/faq/docs/DOC-18233/
　のページを参考に、
　# auditctl -a entry,always -S adjtimex -S settimeofday -k adjtime
　を実行し、システム時間変更の監査をしてみました。
　が、本現象発生後にログを確認してみましたが、時刻変更のログは出力されていませんでした。

サーバはずっと起動したままで再起動等も行っていません。
上記以外に何か確認すべき設定やログ等はありませんでしょうか？
長文になりましたが、アドバイスをお願いいたします。

No.2 ベストアンサー 回答者： dev_null 回答日時： 2009/11/19 18:01

思いつくところでは、

・タイムゾーンが変更されるなら /etc/localtime を監査する。
・psacctでコマンドの実行履歴から探してみる。
・時間が変更されるタイミングの関連性を調査する。

> ４．システム時間の変更の監査

ログが残らないとすると rootkit とかで見えないとか..

この回答へのお礼

ご回答ありがとうございます。

>・タイムゾーンが変更されるなら /etc/localtime を監査する。

お手数ですが、/etc/localtime の監査方法をご教授いただけないでしょうか？
これも auditctl を用いて監査するのでしょうか？

>・psacctでコマンドの実行履歴から探してみる。

psacct は早速導入してみます。

>・時間が変更されるタイミングの関連性を調査する。

時間の変更タイミングが正直把握できていません。
気がついたら変更されており、/var/log 以下のファイルで大体の時間を特定しているくらいです。

>ログが残らないとすると rootkit とかで見えないとか..

可能性は０ではないとは思いますが、ここ１，２週間前に導入したばかりのサーバでデータも何もほとんど入れていません。
インターネットにも公開されておらず、LAN 内だけで使用しているので可能性は限りなく低いと思います。

お礼日時：2009/11/20 13:16

No.4 回答者： dev_null 回答日時： 2009/11/20 22:25

監査するには、事前に準備したサムとチェックする必要がありますよ。

> md5sum /etc/localtime > localtime.sum

を実行した時点でサムファイルが新しくなるのでチェックしても、
エラーになることはないでしょう。

この回答への補足

結局、その後本現象は発生しなくなりました。
１０日以上様子見したので本質問はクローズさせていただきます。

ご助言、大変にありがとうございました。

補足日時：2009/12/03 15:19

この回答へのお礼

ご回答ありがとうございます。

不勉強で申し訳ありません。
サムファイルの作成は初回のみでその後はチェックだけ行えばよいという事でしょうか。

＃とりあえず、この週末も時刻が変わる現象は発生しませんでした。
＃もうしばらく様子見をしてみます。

お礼日時：2009/11/24 11:43

No.3 回答者： dev_null 回答日時： 2009/11/20 13:54

> お手数ですが、/etc/localtime の監査方法をご教授いただけないでしょうか？

md5sumなどで定期的にチェックするだけで大丈夫ではないでしょうか。
具体的は、サムファイルを作成してチェックするコマンド実行する。

$ md5sum /etc/localtime > localtime.sum

$ md5sum -c localtime.sum もしくは、
$ md5sum -c localtime.sum > /dev/null

この回答へのお礼

ご回答ありがとうございます。

md5sum /etc/localtime > localtime.sum
md5sum -c localtime.sum > /dev/null 2>> error.log

を１分間隔でまわすシェルを作って監査する事にしました。

＃一昨日まで頻繁に発生していましたが、昨日からまったく発生しなくなってしまいました。
＃とりあえず再現を待ってみようと思います。

お礼日時：2009/11/20 19:02

No.1 回答者： soitisoiti 回答日時： 2009/11/19 13:28

時刻を合わせたいのなら、ntpを起動しましょう。

ntpサーバは多数公開されていますし、設定も簡単なのでいいと思いますよ。

ネットワークにつなげていないとなると話は別ですが、

参考URL：http://www.turbolinux.co.jp/products/server/11s/ …

この回答へのお礼

ご回答ありがとうございます。

数時間に数分程度の遅れならば ntp でよいのですが、
気がついたら年単位で時計が変わっているので、ntp では対応できそうないです。
まずは原因を特定したいと思います。

お礼日時：2009/11/20 12:51