SSH - 1s "इंटरेक्टिव सत्र में प्रवेश" पर लटका (DNS नहीं; संभवतः SELinux संबंधित)


9

मैं CentOS 6.7 पर एक समस्या है जहाँ SSH लॉगिन इस नेटवर्क पर किसी भी गैर-6.7 मशीनों की तुलना में 1s अधिक है (उदाहरण के लिए 7.2, 5.14)। क्लाइंट साइड पर चल रहे डिबगिंग ने "इंटरएक्टिव इंटरेक्टिव सेशन" में हैंग दिखाया।

इस परीक्षण को आधार बनाने के लिए मैं जिस कमांड का उपयोग कर रहा हूं वह time ssh <host> trueमेरे लैपटॉप से ​​है, SSH कीज़ का उपयोग करके।

दो बातें मैं पहले से ही देख लिया है / संशोधित कर रहे हैं UseDNSऔर GSSAPIAuthentication, और दोनों अक्षम हैं।

मैंने डिबगिंग के साथ एक अलग पोर्ट पर एक अलग डेमॉन शुरू किया, और पाया कि शॉर्ट हैंग कहां होता है:

debug1: SELinux support enabled
debug3: ssh_selinux_setup_exec_context: setting execution context

{1s hang}

debug3: ssh_selinux_setup_exec_context: done

SELinux 'permissive' पर सेट है। मुझे यकीन नहीं है कि यह "सेटिंग संदर्भों" के साथ भी क्यों परेशान करेगा। क्या SELinux को पूरी तरह से अक्षम किए बिना इन दोनों को बेहतर तरीके से प्राप्त करने का कोई तरीका है? मुझे एहसास है कि 1s ज्यादा नहीं है, लेकिन मैं इस विशेष मशीन का उपयोग आईपी व्हाइटलाइनिस्ट (यह एक स्थिर आईपी मशीन) के साथ मेजबानों के लिए SSH गेटवे के रूप में करता हूं, और यह पूरे दिन जोड़ता है।

स्ट्रेस चलाने के बाद, हैंग थोड़ा और दानेदार होता है:

22:16:05.445032 open("/selinux/user", O_RDWR|O_LARGEFILE) = 4 <0.000090>
22:16:05.445235 write(4, "unconfined_u:system_r:sshd_t:s0-s0:c0.c1023 unconfined_u", 56) = 56 <0.334742>
22:16:05.780128 read(4, "18\0unconfined_u:system_r:prelink_mask_t:s0-s0:c0.c1023\0unconfined_u:system_r:unconfined_mount_t:s0-s0:c0.c1023\0unconfined_u:system_r:abrt_helper_t:s0-s0:c0.c1023\0unconfined_u:system_r:oddjob_mkhomedir_t:s0-s0:c0.c1023\0unconfined_u:system_r:unconfined_notrans_t:s0-s0:c0.c1023\0unconfined_u:system_r:unconfined_execmem_t:s0-s0:c0.c1023\0unconfined_u:system_r:unconfined_java_t:s0-s0:c0.c1023\0unconfined_u:system_r:unconfined_mono_t:s0-s0:c0.c1023\0unconfined_u:system_r:chkpwd_t:s0-s0:c0.c1023\0unconfined_u:system_r:passwd_t:s0-s0:c0.c1023\0unconfined_u:system_r:updpwd_t:s0-s0:c0.c1023\0unconfined_u:system_r:mount_t:s0-s0:c0.c1023\0unconfined_u:system_r:rssh_t:s0-s0:c0.c1023\0unconfined_u:system_r:xauth_t:s0-s0:c0.c1023\0unconfined_u:system_r:unconfined_t:s0-s0:c0.c1023\0unconfined_u:system_r:openshift_t:s0-s0:c0.c1023\0unconfined_u:unconfined_r:oddjob_mkhomedir_t:s0-s0:c0.c1023\0unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023\0", 4095) = 929 <0.000079>

/selinux/userअकेले 350ms लेने के लिए लेखन ।

अपडेट 1 - मेरे द्वारा आजमाई गई चीजें :

  • अद्यतन कर रहा है। कई बक्सों को अपडेट की आवश्यकता है। यह लॉगिन समय पर कोई सामग्री प्रभाव नहीं पड़ा है।
  • semodule -d unconfined- इसका सकारात्मक प्रभाव पड़ा है, लॉगिन समय को लगभग 500 सेमी तक कम कर देता है। हालाँकि, मेरे C7 और C5.11 बॉक्स (जो मैंने तब से (री) सीखे हैं, SELinux अक्षम हैं) औसत ~ 525ms
  • मेरी C6.7 मशीनों की तुलना में - 64 बिट बक्से को चालू करने से मेरे 32-बिट बक्से की तुलना में तेजी होती है। हो सकता है कि यह कुछ के लिए एक 'डुह' पल हो, लेकिन चूंकि इनमें से कोई भी बॉक्स विशेष रूप से कर नहीं है, इसलिए मुझे 100-300ms के विचरण की उम्मीद नहीं थी। मैं 64 बिट मेजबानों में से एक पर 1s निशान (850ms) को तोड़ने में सक्षम था। 32 बिट पर सबसे कम 1.085 है

क्या मेरी मांग बहुत ज़्यादा है? 10-1200ms सेलिनक्स-अनुमेय मशीनों के लिए एक स्वीकार्य लॉगिन समय है? उत्सुक हैं कि अन्य लोगों के बेंचमार्क क्या हैं।


अपने सिस्टम लॉग की जाँच करें।
माइकल हैम्पटन

मेरे पास ... दुर्भाग्य से, कुछ भी नहीं उल्लेखनीय है messagesयाsecure
Morgon

@Morgon: आप ckecked आप "fail2ban" की तरह कुछ चला रहे हैं है - fail2ban.org - कि मशीन में और / या आप किसी तरह से है कि "सीमित दर" करने के लिए किसी तरह का कर किया जा सकता है में "iptables" की स्थापना की है, तो स्रोत आईपी पते (तों) के आधार पर आने वाले SSH कनेक्शन?
रिक्टरमैक्स

4
यदि लॉग मदद नहीं कर रहे हैं, तो आपको संभवतः उपयोग करना चाहिए straceऔर देखना चाहिए कि यह किस कॉल पर लटका हुआ है।
एंड्रयू बी १

1
धन्यवाद, @AndrewB मैंने इसे यहाँ पोस्ट किया है: pastebin.com/raw/3c08tcMd । यदि आप "/ selinux / user" खोजते हैं, तो आपको उस फ़ाइल को लिखने का प्रयास करते समय 1s हैंगटाइम दिखाई देगा। - उस रास्ते से नीचे जाते हुए, मुझे 'अपरिभाषित' डोमेन ( Bugzilla.redhat.com/show_bug.cgi?id=811656#c9 ) को अक्षम करने के बारे में थोड़ा-सा संबंधित पोस्ट मिला । यह मेरे लॉगिन से ~ .5 सेकंड दाढ़ी करता है, लेकिन फिर भी Cent7 / FC4 की तुलना में 5 सेकंड धीमा है। फिर भी, यदि संभव हो तो प्रदर्शन के उस अंतिम बिट को निकालने के लिए देख रहे हैं।
मॉर्गन

जवाबों:


1

यह संबंधित नहीं हो सकता है, लेकिन आईपीए-आधारित खातों के लिए सेलेनक्स संबंधी सुस्ती की रिपोर्ट यहां दी गई है: https://access.redhat.com/discussions/3499951

उस मामले के लिए समाधान है:

मैंने SSSD और IPA उपयोगकर्ता फ़ोरम में देखा और चूंकि मेरे सिस्टम SELINUX का उपयोग नहीं करते हैं, मैं आगे गया और इसे sssd कॉन्फ़िगरेशन में डोमेन सेक्शन में जोड़ा:

selinux_provider=none

इसके बाद उम्मीद के मुताबिक लॉगिन प्रक्रिया तत्काल है।

हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.