SSH - 1s "इंटरेक्टिव सत्र में प्रवेश" पर लटका (DNS नहीं; संभवतः SELinux संबंधित)

मैं CentOS 6.7 पर एक समस्या है जहाँ SSH लॉगिन इस नेटवर्क पर किसी भी गैर-6.7 मशीनों की तुलना में 1s अधिक है (उदाहरण के लिए 7.2, 5.14)। क्लाइंट साइड पर चल रहे डिबगिंग ने "इंटरएक्टिव इंटरेक्टिव सेशन" में हैंग दिखाया।

इस परीक्षण को आधार बनाने के लिए मैं जिस कमांड का उपयोग कर रहा हूं वह time ssh <host> trueमेरे लैपटॉप से ​​है, SSH कीज़ का उपयोग करके।

दो बातें मैं पहले से ही देख लिया है / संशोधित कर रहे हैं UseDNSऔर GSSAPIAuthentication, और दोनों अक्षम हैं।

मैंने डिबगिंग के साथ एक अलग पोर्ट पर एक अलग डेमॉन शुरू किया, और पाया कि शॉर्ट हैंग कहां होता है:

debug1: SELinux support enabled
debug3: ssh_selinux_setup_exec_context: setting execution context

{1s hang}

debug3: ssh_selinux_setup_exec_context: done

SELinux 'permissive' पर सेट है। मुझे यकीन नहीं है कि यह "सेटिंग संदर्भों" के साथ भी क्यों परेशान करेगा। क्या SELinux को पूरी तरह से अक्षम किए बिना इन दोनों को बेहतर तरीके से प्राप्त करने का कोई तरीका है? मुझे एहसास है कि 1s ज्यादा नहीं है, लेकिन मैं इस विशेष मशीन का उपयोग आईपी व्हाइटलाइनिस्ट (यह एक स्थिर आईपी मशीन) के साथ मेजबानों के लिए SSH गेटवे के रूप में करता हूं, और यह पूरे दिन जोड़ता है।

स्ट्रेस चलाने के बाद, हैंग थोड़ा और दानेदार होता है:

22:16:05.445032 open("/selinux/user", O_RDWR|O_LARGEFILE) = 4 <0.000090>
22:16:05.445235 write(4, "unconfined_u:system_r:sshd_t:s0-s0:c0.c1023 unconfined_u", 56) = 56 <0.334742>
22:16:05.780128 read(4, "18\0unconfined_u:system_r:prelink_mask_t:s0-s0:c0.c1023\0unconfined_u:system_r:unconfined_mount_t:s0-s0:c0.c1023\0unconfined_u:system_r:abrt_helper_t:s0-s0:c0.c1023\0unconfined_u:system_r:oddjob_mkhomedir_t:s0-s0:c0.c1023\0unconfined_u:system_r:unconfined_notrans_t:s0-s0:c0.c1023\0unconfined_u:system_r:unconfined_execmem_t:s0-s0:c0.c1023\0unconfined_u:system_r:unconfined_java_t:s0-s0:c0.c1023\0unconfined_u:system_r:unconfined_mono_t:s0-s0:c0.c1023\0unconfined_u:system_r:chkpwd_t:s0-s0:c0.c1023\0unconfined_u:system_r:passwd_t:s0-s0:c0.c1023\0unconfined_u:system_r:updpwd_t:s0-s0:c0.c1023\0unconfined_u:system_r:mount_t:s0-s0:c0.c1023\0unconfined_u:system_r:rssh_t:s0-s0:c0.c1023\0unconfined_u:system_r:xauth_t:s0-s0:c0.c1023\0unconfined_u:system_r:unconfined_t:s0-s0:c0.c1023\0unconfined_u:system_r:openshift_t:s0-s0:c0.c1023\0unconfined_u:unconfined_r:oddjob_mkhomedir_t:s0-s0:c0.c1023\0unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023\0", 4095) = 929 <0.000079>

/selinux/userअकेले 350ms लेने के लिए लेखन ।

अपडेट 1 - मेरे द्वारा आजमाई गई चीजें :

• अद्यतन कर रहा है। कई बक्सों को अपडेट की आवश्यकता है। यह लॉगिन समय पर कोई सामग्री प्रभाव नहीं पड़ा है।
• semodule -d unconfined- इसका सकारात्मक प्रभाव पड़ा है, लॉगिन समय को लगभग 500 सेमी तक कम कर देता है। हालाँकि, मेरे C7 और C5.11 बॉक्स (जो मैंने तब से (री) सीखे हैं, SELinux अक्षम हैं) औसत ~ 525ms
• मेरी C6.7 मशीनों की तुलना में - 64 बिट बक्से को चालू करने से मेरे 32-बिट बक्से की तुलना में तेजी होती है। हो सकता है कि यह कुछ के लिए एक 'डुह' पल हो, लेकिन चूंकि इनमें से कोई भी बॉक्स विशेष रूप से कर नहीं है, इसलिए मुझे 100-300ms के विचरण की उम्मीद नहीं थी। मैं 64 बिट मेजबानों में से एक पर 1s निशान (850ms) को तोड़ने में सक्षम था। 32 बिट पर सबसे कम 1.085 है

क्या मेरी मांग बहुत ज़्यादा है? 10-1200ms सेलिनक्स-अनुमेय मशीनों के लिए एक स्वीकार्य लॉगिन समय है? उत्सुक हैं कि अन्य लोगों के बेंचमार्क क्या हैं।

यह संबंधित नहीं हो सकता है, लेकिन आईपीए-आधारित खातों के लिए सेलेनक्स संबंधी सुस्ती की रिपोर्ट यहां दी गई है: https://access.redhat.com/discussions/3499951

उस मामले के लिए समाधान है:

मैंने SSSD और IPA उपयोगकर्ता फ़ोरम में देखा और चूंकि मेरे सिस्टम SELINUX का उपयोग नहीं करते हैं, मैं आगे गया और इसे sssd कॉन्फ़िगरेशन में डोमेन सेक्शन में जोड़ा:

selinux_provider=none

इसके बाद उम्मीद के मुताबिक लॉगिन प्रक्रिया तत्काल है।