Apa yang memperlambat login ssh saya?


9

Setiap kali saya ssh masuk ke server, selalu sangat lambat. Sebagai balasan ke posting saya sebelumnya mengatakan, "memahami file 200 baris harus mengambil milidetik atau lebih, jadi saya akan ragu itu."

Saya mencoba ssh -vvv time@serverdan hasilnya telah diunggah di sini . Saya menemukan bahwa ketika melanjutkan ke masing-masing dari tiga baris ini dalam output, itu sangat lambat:

debug1: Next authentication method: gssapi-with-mic 

debug1: Unspecified GSS failure.  Minor code may provide more information
Credentials cache file '/tmp/krb5cc_1000' not found 


debug1: Unspecified GSS failure.  Minor code may provide more information
Credentials cache file '/tmp/krb5cc_1000' not found 

Saya bertanya-tanya mengapa dan apa yang bisa saya lakukan untuk mengubahnya? Terima kasih dan salam!


Memperbarui:

Balasan Ignacio menyarankan saya untuk "menonaktifkan semua metode autentikasi GSS / Kerberos dalam konfigurasi Anda."

Jadi /etc/ssh/ssh_config, apakah saya harus memastikan "tidak" ada di belakang setiap opsi mulai dengan "GSS": GSSAPIAuthentication, GSSAPIDelegateCredentials, GSSAPIKeyExchange, GSSAPITrustDNS, GSSAPIAuthentication, dan GSSAPIDelegateCredentials?

Lalu apa saja pilihan untuk metode auth "Kerberos" yang harus saya masukkan "tidak"?

PS: berikut ini adalah konten lokal saya /etc/ssh/ssh_configdengan opsi komentar yang tidak disalin ke sini:

Host *
    SendEnv LANG LC_*
    HashKnownHosts yes
    GSSAPIAuthentication yes
    GSSAPIDelegateCredentials no

Berapa kali Anda akan menanyakan pertanyaan yang sama?
Paul Tomblin


@ PaulTomblin: Tidak banyak. :-)
Tim


@Gilles: Terima kasih, saya memperbaiki masalah saya dari pos itu. Sebelum saya harus menunggu kursor berkedip 30 kali, sekarang kursor perlu berkedip 7 kali. (1) Apakah sekarang kecepatan normal untuk menunggu kursor berkedip 7 kali? (2) Mengapa ia bekerja dengan memberi komentar GSSAPIAuthentication yesdan GSSAPIDelegateCredentials no?
Tim

Jawaban:


10
debug1: Next authentication method: gssapi-with-mic

Itu Kerberos. Nonaktifkan semua metode autentikasi GSS / Kerberos di konfigurasi Anda. Lihat ssh_config(5)halaman manual, PreferredAuthenticationsopsi, untuk detail lebih lanjut.


Terima kasih! Dengan "konfigurasi Anda", maksud Anda yang lokal atau server jauh?
Tim

PreferredAuthenticationsada di klien. Di server, gunakan GSSAPIAuthenticationsaja.
Ignacio Vazquez-Abrams

1
Terima kasih! Jadi dalam /etc/ssh/ssh_config, (1) apakah saya harus memastikan "tidak" ada di belakang setiap opsi mulai dengan "GSS": GSSAPIAuthentication, GSSAPIDelegateCredentials, GSSAPIKeychange, GSSAPITrustDNS, GSSAPIAuthentication, dan GSSAPIDelegateCredentials? (2) apa saja opsi untuk metode auth "Kerberos" yang harus saya masukkan "tidak"? PS: Saya baru saja memperbarui posting saya dengan konten lokal saya /etc/ssh/ssh_config.
Tim

1
1) Memodifikasi PreferredAuthenticationssudah cukup. 2. Kerberos menggunakan GSS; Menonaktifkan GSS sudah cukup.
Ignacio Vazquez-Abrams

Terima kasih! Bolehkah saya bertanya bagaimana cara memodifikasi PreferredAuthentications? Saya tidak dapat menemukannya di halaman ssh_config (5)
Tim

3

UseDNS nodan CheckHostIP noharus mempercepat, juga.

Ini juga merupakan langkah pengamanan yang baik untuk mengizinkan protokol 2 saja. Jika Anda tidak memerlukan IPv6 nonaktifkan (AddressFamily).


1

Mungkinkah ssh / etc / ssh_prng_cmds? Ada pekerjaan di ssh yang menjalankan serangkaian perintah untuk membuat hal-hal acak saat Anda masuk. Salah satu dari perintah itu mungkin terlalu lama karena melakukan sesuatu yang konyol di komputer Anda. Satu-satunya hal yang dapat saya pikirkan sekarang adalah ssh mengharuskan komputer untuk menebang pohon terbesar di hutan dengan ......

sebuah HERRING.

Jadi "jalankan" beberapa dari perintah ini dari prompt dan mencari tahu dengan satu membutuhkan waktu lama untuk merespons. Komentari satu itu.


1

Bagi saya, saya membutuhkan GSSAPI dan saya tidak ingin mematikan pencarian DNS terbalik, yang sepertinya bukan ide yang bagus jadi saya memeriksa halaman manual untuk resolv.conf. Ternyata firewall antara saya dan server yang saya tuju mengganggu permintaan DNS karena tidak dalam bentuk yang diharapkan firewall. Pada akhirnya yang perlu saya lakukan adalah menambahkan baris ini ke resolv.conf di server yang saya maksudkan SSHing -

opsi permintaan tunggal dibuka kembali


Untuk siapa pun yang menyelidiki masalah serupa, lihat juga: unix.stackexchange.com/a/141278/23367
tuomassalo
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.