मेरा SSH लॉगिन धीमा क्यों है?

मैं SSH लॉगिन में देरी देख रहा हूँ। विशेष रूप से, 2 स्पॉट हैं जहां मैं एक सीमा से लेकर दूसरे-दूसरे विलंब तक देखता हूं।

1. Ssh कमांड जारी करने और लॉगिन प्रॉम्प्ट प्राप्त करने और के बीच
2. पासफ़्रेज़ में प्रवेश करने और शेल लोड होने के बीच

अब, विशेष रूप से मैं केवल यहाँ ssh विवरण देख रहा हूँ। स्पष्ट रूप से नेटवर्क विलंबता, हार्डवेयर और OSes की गति, जटिल लॉगिन स्क्रिप्ट आदि, देरी का कारण बन सकते हैं। संदर्भ के लिए, मैं लिनक्स वितरण और कुछ सोलारिस होस्ट की एक विशाल भीड़ के लिए उपयोग करता हूं जो ज्यादातर उबंटू, सेंटोस और मैकओएस एक्स का उपयोग मेरे क्लाइंट सिस्टम के रूप में करता है। लगभग सभी समय, ssh सर्वर कॉन्फ़िगरेशन OS की डिफ़ॉल्ट सेटिंग्स से अपरिवर्तित रहता है।

क्या ssh सर्वर कॉन्फ़िगरेशन में मेरी दिलचस्पी होनी चाहिए? क्या ओएस / कर्नेल पैरामीटर हैं जिन्हें ट्यून किया जा सकता है? लॉग शेल चालें? आदि?

सेट करने का प्रयास UseDNSकरने के लिए noमें /etc/sshd_configया /etc/ssh/sshd_config।

जब मैं ssh -vvvएक सर्वर पर समान धीमी गति से प्रदर्शन करता था, तो मुझे यहां एक हैंग होता था:

debug1: Next authentication method: gssapi-with-mic

/etc/ssh/ssh_configउस प्रमाणीकरण विधि को संपादित करने और टिप्पणी करने से मुझे लॉगिन प्रदर्शन वापस सामान्य हो गया। यहाँ /etc/ssh/ssh_configसर्वर पर मेरा क्या है:

GSSAPIAuthentication no

आप इसे विश्व स्तर पर सर्वर पर सेट कर सकते हैं, इसलिए यह प्रमाणित करने के लिए GSSAPI को स्वीकार नहीं करता है। बस जोड़ने GSSAPIAuthentication noके लिए /etc/ssh/sshd_configसर्वर पर और सेवा को पुनरारंभ करें।

मेरे लिए, अपराधी IPv6 रिज़ॉल्यूशन था, समय समाप्त हो रहा था। (मेरे होस्ट प्रदाता पर खराब डीएनएस सेटिंग, मुझे लगता है।) मैंने ऐसा करके खोज की ssh -v, जिसमें पता चला कि कौन सा कदम लटका हुआ था।

समाधान विकल्प के sshसाथ है -4:

ssh -4 me@myserver.com

Systemd के साथ, लॉगिन कुछ अपग्रेड के बाद logind के साथ dbus संचार पर लटका सकता है, फिर आपको logind को पुनरारंभ करना होगा

systemctl restart systemd-logind

देखा कि डेबियन 8, आर्च लिनेक्स और एक सुज़ लिस्ट पर

आप हमेशा sshउस -vविकल्प से शुरू कर सकते हैं जो इस समय प्रदर्शित हो रहा है।

$ ssh -v you@host

आपके द्वारा दी गई जानकारी से मैं केवल कुछ क्लाइंट साइड कॉन्फ़िगरेशन का सुझाव दे सकता हूं:

• चूंकि आप लिखते हैं कि आप मैन्युअल रूप से पासवर्ड दर्ज कर रहे हैं, तो मेरा सुझाव है कि यदि संभव हो तो आप सार्वजनिक कुंजी प्रमाणीकरण का उपयोग करें। यह आपको गति की अड़चन के रूप में हटा देता है।

• आप X- अग्रेषण को भी अक्षम कर सकते हैं -xऔर प्रमाणीकरण अग्रेषित -aकर सकते हैं (ये पहले से ही डिफ़ॉल्ट रूप से अक्षम हो सकते हैं)। यदि आपके क्लाइंट को sshकमांड के लिए एक्स-सर्वर शुरू करने की आवश्यकता होती है (जैसे ओएस के तहत)।

बाकी सब कुछ वास्तव में इस बात पर निर्भर करता है कि आप कहां और कब किस तरह के विलंब का अनुभव करते हैं।

2. बिंदु के संबंध में, यहां एक उत्तर दिया गया है कि सर्वर को संशोधित करने की आवश्यकता नहीं है और न ही रूट / प्रशासनिक विशेषाधिकारों की आवश्यकता है।

आपको अपनी "उपयोगकर्ता ssh_config" फ़ाइल को संपादित करने की आवश्यकता है जो है:

vi $HOME/.ssh/config

(नोट: आपको निर्देशिका $ HOME /। Ssh बनाना होगा यदि यह मौजूद नहीं है)

और जोड़:

Host *
  GSSAPIAuthentication no
  GSSAPIDelegateCredentials yes

यदि आवश्यक हो तो आप प्रति मेजबान आधार पर ऐसा कर सकते हैं :) उदाहरण:

Host linux-srv
  HostName 192.158.1.1
  GSSAPIAuthentication no
  GSSAPIDelegateCredentials yes

सुनिश्चित करें कि आईपी पता आपके सर्वर आईपी से मेल खाता है। एक अच्छा लाभ यह है कि अब ssh इस सर्वर के लिए स्वतः पूर्ण प्रदान करेगा। तो आप टाइप कर सकते हैं ssh lin+ Tabऔर इसे स्वत: पूर्ण होना चाहिए ssh linux-srv।

/etc/resolv.confयह सुनिश्चित करने के लिए सर्वर पर जाँच करें कि इस फ़ाइल में सूचीबद्ध DNS सर्वर ठीक काम करता है, और किसी भी गैर-कार्यशील डीएनएस को हटा देता है।

कभी-कभी यह बहुत मददगार होता है।

पहले से बताए गए DNS मुद्दों के अलावा, यदि आप कई NFS माउंट के साथ सर्वर में ssh'ing कर रहे हैं, तो पासवर्ड और प्रॉम्प्ट के बीच देरी हो सकती है क्योंकि quotaसभी फाइल सिस्टमों पर आपके उपयोग / कोटा के लिए कमांड चेक के साथ माउंट नहीं किया गया है noquota। सोलारिस सिस्टम पर, आप इसे डिफॉल्ट में देख सकते हैं /etc/profileऔर इसे चलाकर छोड़ सकते हैं touch $HOME/.hushlogin ।

बढ़िया कार्य करना।

# uname -a
SunOS oi-san-01 5.11 oi_151a3 i86pc i386 i86pc Solaris
# ssh -V
Sun_SSH_1.5, SSH protocols 1.5/2.0, OpenSSL 0x009080ff
# echo "GSSAPIAuthentication no" >> /etc/ssh/sshd_config
# echo "LookupClientHostnames no" >> /etc/ssh/sshd_config
# svcadm restart ssh

UseDNS कोई OpenIndiana के साथ काम नहीं करता है !!!

सभी विकल्पों के लिए "मैन sshd_config" पढ़ें

"आपका सर्वर हल नहीं कर सकता है, तो" LookupClientHostnames नहीं "

यदि उपरोक्त उत्तरों में से कोई भी काम नहीं करता है और आप डीएनएस रिवर्स लुकअप समस्याओं का सामना कर रहे हैं, तो आप यह भी जांच सकते हैं कि क्या nscd(नाम सेवा कैश डेमॉन) स्थापित और चल रहा है।

यदि यह समस्या है, क्योंकि आपके पास कोई डीएनएस कैश नहीं है, और हर बार जब आप एक होस्टनाम के लिए क्वेरी करते हैं जो आपके होस्टफाइल पर नहीं होता है तो आप अपने कैश में देखने के बजाय अपने नाम सर्वर को प्रश्न भेजें।

मैंने उपरोक्त सभी विकल्पों की कोशिश की और एकमात्र बदलाव जो काम किया, वह था nscd।

आपको /etc/nsswitch.confपहले होस्ट्स फ़ाइल का उपयोग करने के लिए dns क्वेरी रिज़ॉल्यूशन बनाने के आदेश को भी सत्यापित करना चाहिए ।

यह शायद केवल डेबियन / उबंटू ओपनएसएसएच के लिए विशिष्ट है, जिसमें उपयोगकर्ता-समूह-मोड शामिल हैं। एक डेबियन पैकेज अनुरक्षकों द्वारा लिखित। यह पैच ~ / .ssh फ़ाइलों को समूह लिखने योग्य बिट सेट (g + w) की अनुमति देता है यदि फ़ाइल के समान ही gid वाला केवल एक उपयोगकर्ता है। पैच का safe_permissions () फ़ंक्शन यह जांच करता है। चेक के चरणों में से एक getwwent () का उपयोग करके प्रत्येक पासवार्ड प्रविष्टि के माध्यम से जाना है और फ़ाइल के जीआईडी ​​के साथ प्रवेश के जीआईडी ​​की तुलना करना है।

कई प्रविष्टियों और / या धीमी NIS / LDAP प्रमाणीकरण वाली प्रणाली पर, यह जांच धीमी होगी। nscd getpwent () कॉल को कैश नहीं करता है, इसलिए यदि सर्वर स्थानीय नहीं है तो नेटवर्क पर हर पासवार्ड प्रविष्टि को पढ़ा जाएगा। सिस्टम पर मुझे यह मिला, इसने ssh के प्रत्येक इनवोकेशन के लिए लगभग 4 सेकंड जोड़े या सिस्टम में लॉगिन किया।

यह फिक्स सभी फाइलों पर ~ / .ssh में राइटिंग बिट को हटाने के लिए है chmod g-w ~/.ssh/*।

मैंने पाया कि systemd-logind.service को फिर से शुरू करने से कुछ घंटों के लिए समस्या ठीक हो गई। Sshd_config में हां से नहीं के लिए UsePAM को बदलने से तेज लॉगिन हो गए हैं, हालांकि motd अब प्रदर्शित नहीं होता है। सुरक्षा मुद्दों के बारे में टिप्पणियाँ?

यह दिखाने के लिए कि DNS रिज़ॉल्यूशन आपके ssh लॉगिन को धीमा कर सकते हैं, सभी उत्तरों को पूरा करने के लिए, कभी-कभी, फ़ायरवॉल नियम गायब है। उदाहरण के लिए, यदि आप सभी INPUT पाकेट डिफ़ॉल्ट रूप से छोड़ देते हैं

iptables -t filter -P INPUT DROP

फिर आपको ssh पोर्ट और DNS अनुरोध के लिए INPUT स्वीकार करना होगा

iptables -t filter -A INPUT -p tcp --dport 53 -j ACCEPT
iptables -t filter -A INPUT -p udp --dport 53 -j ACCEPT

ssh -vvv कनेक्शन तब तक ठीक चला जब तक कि यह सिस्टम को कम से कम 20 सेकंड के लिए टर्मिनल प्राप्त करने की कोशिश में लटका दिया:

debug1: channel 0: new [client-session]
debug3: ssh_session2_open: channel_new: 0
debug2: channel 0: send open
debug1: Requesting no-more-sessions@openssh.com
debug1: Entering interactive session.
... waiting ... waiting ... waiting

systemctl restart systemd-logind सर्वर पर करने के बाद मेरे पास फिर से तुरंत कनेक्शन था!

यह डेबियन 8 पर था ! तो systemd यहाँ मुद्दा था!

नोट: बैस्टियन ड्यूरल ने पहले ही इस मुद्दे के लिए एक उत्तर दिया था, हालांकि इसमें डिबग जानकारी का अभाव है। मुझे उम्मीद है कि यह किसी के लिए उपयोगी है।

मुझे हाल ही में धीमी ssh logins का एक और कारण मिला है।

यहां तक ​​कि अगर आप UseDNS noमें है /etc/sshd_config, sshd अभी भी रिवर्स DNS लुकअप कर सकता है, अगर /etc/hosts.denyइसमें कोई प्रविष्टि है:

nnn-nnn-nnn-nnn.rev.some.domain.com

यदि आपके पास आपके सिस्टम में DenyHosts स्थापित है, तो ऐसा हो सकता है।

यह बहुत अच्छा होगा अगर किसी को पता था कि डेनहॉस्ट्स कैसे बनाएं, इस तरह की प्रविष्टि को अंदर करने से बचें /etc/hosts.deny।

यहां एक लिंक है, DenyHosts FAQ पर, प्रविष्टियों को हटाने के तरीके पर /etc/hosts.deny- देखें कि मैं एक IP पता कैसे हटा सकता हूं जिसे DenyHosts ने ब्लॉक किया हो?

हम पा सकते हैं कि पसंदीदा नाम रिज़ॉल्यूशन विधि होस्ट फ़ाइल और फिर DNS नहीं है।

उदाहरण के लिए, यह सामान्य विन्यास होगा:

[root@LINUX1 ~]# cat /etc/nsswitch.conf|grep hosts
#hosts:     db files nisplus nis dns
hosts:      files dns myhostname

सबसे पहले, होस्ट फ़ाइल पहुँच जाती है (विकल्प: फ़ाइलें) और फिर DNS (विकल्प: dns), हालांकि हम पा सकते हैं कि एक और नाम रिज़ॉल्यूशन सिस्टम जोड़ा गया है जो परिचालन नहीं है और रिवर्स रिज़ॉल्यूशन करने की कोशिश में हमें मंदी का कारण बना रहा है।

यदि नाम समाधान आदेश सही नहीं है, तो आप इसे इसमें बदल सकते हैं: /etc/nsswitch.conf

से निकाला गया: http://www.sysadmit.com/2017/07/linux-ssh-login-lento.html

मैंने सभी उत्तरों की कोशिश की लेकिन उनमें से किसी ने भी काम नहीं किया। आखिरकार मुझे अपनी समस्या का पता चला:

पहले मैं दौड़ता हूं, sudo tail -f /var/log/auth.log तो मैं ssh का लॉग देख सकता हूं, फिर दूसरे सत्र में दौड़ ssh 172.16.111.166कर देखा जाता है

/usr/bin/sss_ssh_knownhostsproxy -p 22 172.16.111.166

खोज के बाद मैंने इस लाइन को / etc / ssd / ssh_config में स्थित किया

ProxyCommand /usr/bin/sss_ssh_knownhostsproxy -p %p %h

मैंने यह टिप्पणी की और देरी हुई

नोट: यह एक "कैसे डीबग करने के लिए" ट्यूटोरियल के रूप में शुरू हुआ, लेकिन इस समाधान को समाप्त करने में मदद मिली जिसने मुझे Ubuntu 16.04 LTS सर्वर पर मदद की ।

TLDR : चलाएं landscape-sysinfoऔर जांचें कि क्या कमांड खत्म होने में लंबा समय लेती है; यह एक नए SSH लॉगिन पर सिस्टम की जानकारी का प्रिंटआउट है। ध्यान दें कि यह कमांड सभी प्रणालियों पर उपलब्ध नहीं है, landscape-commonपैकेज इसे स्थापित करता है। ("लेकिन रुको, वहाँ और अधिक है ...")

मशीन पर एक और पोर्ट पर दूसरा ssh सर्वर शुरू करें जिसमें समस्या है, डिबग मोड में ऐसा करें, जो इसे फोर्क नहीं करेगा और डीबग संदेश प्रिंट करेगा:

sudo /usr/sbin/sshd -ddd -p 44321

क्रिया मोड में किसी अन्य मशीन से उस सर्वर से कनेक्ट करें:

ssh -vvv -p 44321 username@server

मेरा ग्राहक सोने के लिए शुरू करने से पहले निम्नलिखित पंक्तियों को आउटपुट करता है:

debug1: Entering interactive session.
debug1: pledge: network

Googling जो वास्तव में उपयोगी नहीं है, लेकिन सर्वर लॉग बेहतर हैं:

debug3: mm_send_keystate: Finished sending state [preauth]
debug1: monitor_read_log: child log fd closed
debug1: PAM: establishing credentials
debug3: PAM: opening session
---- Pauses here ----
debug3: PAM: sshpam_store_conv called with 1 messages
User child is on pid 28051

मैंने देखा कि जब मैं बदल UsePAM yesजाता हूं UsePAM noतब यह मुद्दा हल हो जाता है।

UseDNSया किसी अन्य सेटिंग से संबंधित नहीं है , केवल UsePAMमेरे सिस्टम पर इस समस्या को प्रभावित करता है।

मैं कोई सुराग नहीं क्यों है, और मैं यह भी नहीं जा रहा हूँ UsePAMपर no, क्योंकि मैं नहीं जानता कि जो दुष्प्रभाव हैं, लेकिन यह मुझे की जांच जारी रख सकते हैं।

तो कृपया इसे उत्तर न समझें, लेकिन गलत क्या है, इसका पता लगाने के लिए पहला कदम।

इसलिए मैंने जांच जारी रखी, और sshdसाथ strace( sudo strace /usr/sbin/sshd -ddd -p 44321) दौड़ा । यह निम्नलिखित निकला:

sendto(4, "<87>Nov 20 20:35:21 sshd[2234]: "..., 110, MSG_NOSIGNAL, NULL, 0) = 110
close(5)                                = 0
stat("/etc/update-motd.d", {st_mode=S_IFDIR|0755, st_size=4096, ...}) = 0
umask(022)                              = 02
rt_sigaction(SIGINT, {SIG_IGN, [], SA_RESTORER, 0x7f15dce784b0}, {SIG_DFL, [], 0}, 8) = 0
rt_sigaction(SIGQUIT, {SIG_IGN, [], SA_RESTORER, 0x7f15dce784b0}, {SIG_DFL, [], 0}, 8) = 0
rt_sigprocmask(SIG_BLOCK, [CHLD], [], 8) = 0
clone(child_stack=0, flags=CLONE_PARENT_SETTID|SIGCHLD, parent_tidptr=0x7ffde6152d2c) = 2385
wait4(2385, # BLOCKS RIGHT HERE, BEFORE THE REST IS PRINTED OUT # [{WIFEXITED(s) && WEXITSTATUS(s) == 0}], 0, NULL) = 2385

रेखा /etc/update-motd.dने मुझे संदिग्ध बना दिया, जाहिरा तौर पर यह प्रक्रिया उस सामान के परिणाम की प्रतीक्षा करती है जो अंदर है/etc/update-motd.d

इसलिए मैं cd'में d /etc/update-motd.dऔर एक भाग गया sudo chmod -x *आदेश सभी फ़ाइलों को जो इस गतिशील उत्पन्न चलाने के लिए पीएएम को बाधित करने में Message Of The Dayहै, जो प्रणाली लोड भी शामिल है और उन्नत करने की है, तो संकुल की जरूरत है, और इस मुद्दे को हल किया।

यह एक "ऊर्जा-कुशल" एन 3150 सीपीयू पर आधारित सर्वर है, जिसमें 24/7 करने के लिए बहुत काम है, इसलिए मुझे लगता है कि यह सब मोटिव-डेटा एकत्र करना सिर्फ इसके लिए बहुत अधिक था।

मैं चुनिंदा रूप से उस फ़ोल्डर में स्क्रिप्ट को सक्षम करना शुरू कर सकता हूं, जो देखने के लिए कम हानिकारक हैं, लेकिन विशेष रूप से कॉलिंग landscape-sysinfoबहुत धीमी है, और 50-landscape-sysinfoउस कमांड को कॉल करता है। मुझे लगता है कि यह सबसे बड़ी देरी का कारण है।

अधिकांश फाइलों को पुनः प्राप्त करने के बाद मैं इस निष्कर्ष पर पहुंचा कि 50-landscape-sysinfoऔर 99-esmमेरी परेशानियों का कारण था। 50-landscape-sysinfoनिष्पादित करने में लगभग 5 सेकंड और 99-esmलगभग 3 सेकंड लगे। शेष सभी फाइलें लगभग 2 सेकंड पूरी तरह से।

न तो 50-landscape-sysinfoऔर 99-esmमहत्वपूर्ण हैं। 50-landscape-sysinfoदिलचस्प सिस्टम आँकड़े प्रिंट करता है (और यह भी कि यदि आप अंतरिक्ष में कम हैं!), और 99-esmसंबंधित संदेशों को प्रिंट करता हैUbuntu Extended Security Maintenance

अंत में आप एक स्क्रिप्ट बना सकते हैं echo '/usr/bin/landscape-sysinfo' > info.sh && chmod +x info.shऔर अनुरोध पर उस प्रिंटआउट को प्राप्त कर सकते हैं।

यह धागा पहले से ही समाधान का एक गुच्छा प्रदान कर रहा है, लेकिन मेरा यहां =) नहीं दिया गया है। तो यहाँ है। मेरी समस्या (मेरी रास्पबेरी पाई में लॉगिन करने में लगभग 1 मिनट का समय लगा), एक भ्रष्ट .bash_bistory फ़ाइल के कारण थी। चूंकि फ़ाइल को लॉगिन पर पढ़ा जाता है, इस कारण लॉगिन में देरी हो रही थी। एक बार जब मैंने फ़ाइल को हटा दिया, तो लॉगिन समय तात्कालिक की तरह सामान्य हो गया।

आशा है कि यह कुछ अन्य लोगों की मदद करेगा।

मेरे लिए मुझे GSSAPI की आवश्यकता थी, और मैं रिवर्स DNS लुकअप को बंद नहीं करना चाहता था। यह सिर्फ एक अच्छा विचार नहीं लगता था, इसलिए मैंने resolv.conf के मुख्य पृष्ठ को देखा। यह पता चला है कि मेरे और सर्वर के बीच एक फ़ायरवॉल जो मैं SSHing कर रहा था, DNS अनुरोधों के साथ हस्तक्षेप कर रहा था, क्योंकि वे फ़ायरवॉल की अपेक्षा के अनुरूप नहीं थे। अंत में, मुझे जो कुछ भी करने की ज़रूरत थी, वह इस लाइन को resolv.conf सर्वर पर जोड़ने के लिए था जिसे मैं SSH कर रहा था:

options single-request-reopen​

उल्लेखनीय रूप से, CentOS 7 पर बाइंड के एक पैकेज अपडेट को नाम दिया गया था, अब लॉग में बताते हैं कि /etc/onym.conf में अनुमतियाँ समस्या थी। यह 0640 के साथ महीनों के लिए अच्छी तरह से काम किया था। अब यह 0644 चाहता है। यह समझ में आता है क्योंकि नामित डेमन 'नामित' उपयोगकर्ता के अंतर्गत आता है।

नीचे नाम के साथ सब कुछ धीमा था, ssh लॉगिन से लेकर स्थानीय वेब सर्वर, सेवारत LAMP एप्स आदि से पृष्ठ पर, सबसे अधिक संभव है क्योंकि हर अनुरोध मृत स्थानीय सर्वर पर बाहरी, द्वितीयक DNS को कॉन्फ़िगर करने से पहले देखेगा।

मेरे लिए मेरी स्थानीय /etc/hostsफ़ाइल में एक समस्या थी । इसलिए sshदो अलग-अलग आईपी (एक गलत) की कोशिश कर रहा था, जो हमेशा के लिए टाइम-आउट हो गया।

ssh -vचाल का उपयोग यहाँ किया:

$ ssh -vvv remotesrv
OpenSSH_6.7p1 Debian-5, OpenSSL 1.0.1k 8 Jan 2015
debug1: Reading configuration data /home/mathieu/.ssh/config
debug1: /home/mathieu/.ssh/config line 60: Applying options for remotesrv
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: /etc/ssh/ssh_config line 19: Applying options for *
debug2: ssh_connect: needpriv 0
debug1: Connecting to remotesrv [192.168.0.10] port 22.
debug1: connect to address 192.168.0.10 port 22: Connection timed out
debug1: Connecting to remotesrv [192.168.0.26] port 22.
debug1: Connection established.