Linux中使用ssh连接很慢

0    192    1

👉 本文共约2430个字,系统预计阅读时间或需10分钟。

现象

在局域网内,能ping通目标机器,并且时延是微秒级。

用ssh连局域网内其他linux机器,会等待10-30秒才有提示输入密码。严重影响工作效率。

分析

正是从gssapi-with-mic这一行开始,开始耗时间。

  1. GSSAPI ( Generic Security Services Application Programming Interface) 是一套类似Kerberos 5 的通用网络安全系统接口。该接口是对各种不同的客户端服务器安全机制的封装,以消除安全接口的不同,降低编程难度。但该接口在目标机器无域名解析时会有问题。GSSAPI本身是一套API,由IETF标准化。其最主要也是著名的实现是基于Kerberos的。一般说到GSSAPI都暗指Kerberos实现。

  2. UseDNS:是OpenSSH服务器上的一个DNS查找选项,而且默认还是打开的,在打开的状态下,每当客户端尝试连接OpenSSH服务器的时候,服务端就自动根据用户客户端的IP进行DNS PTR反向查询(IP反向解析才会有记录),查询出IP对应的Hostname,之后在根据客户端的Hostname进行DNS正向A记录查询。通过这个查询,验证IP是否和连接的客户端IP一致。但绝大部分我们的机器是动态获取IP的,也就是说,这个选项对于这种情况根本就没用——即使是普通静态IP服务器,只要没有做IP反向解析,也难以适用。如果你符合这些情况,建议关闭UseDNS以提高SSH远程登录时候的认证速度。

解决

除了常见的useDNS配置可能导致ssh登陆慢之外,还有一个配置GSSAPIAuthentication也会导致登陆慢,该配置项的含义是允许GSSAPI认证,属于ssh协议的一种认证方式。ssh协议有多种认证方式,平时常用的有密码认证、公钥认证等,但ssh协议支持的远不止这两种,那么至于一次ssh登陆到底用哪种认证方式是怎么决定的呢?这个取决于ssh的客户端和服务端的协商的结果,ssh服务端决定了支持哪些登陆方式。在登陆过程中经常协商之后有个认证的顺序,然后依次选择认证方式,直到认证成功(登录方式可以通过ssh命令行中可以通过增加 -vvv 选项来打印整个登陆的过程的debug日志),我们不需要关心GSSAPI认证到底是什么鬼,只需关心为什么允许了GSSAPI认证就会导致ssh登陆慢呢?从debug信息很难看出来,还是通过抓包来看。通过抓包,同样也发现有大量的DNS反向域名解析的报文,但这次需要解析的是服务端的IP,同样由于客户端侧配置的DNS服务器不可达,导致超时重试多次。结合ssh登陆的过程日志,不难发现这写DNS反向域名解析的报文是GSSAPI认证需要的。

那么解决该问题就比较简单了,下面任何一种都可:

  • ssh 客户端配置( /etc/ssh/ssh_config )将 GSSAPIAuthentication 设为 no
  • ssh 服务端配置( /etc/ssh/sshd_config )将 GSSAPIAuthentication 设为 no
  • ssh 客户端正确配置 DNS 服务器( /etc/resolv.conf
  • ssh 客户端 hosts 文件( /etc/hosts )增加服务端的IP、主机名对应关系

方式一:

修改本地机器的hosts文件,将目标机器的IP和域名加上去。或者让本机的DNS 服务器能解析目标地址。

其格式是“目标机器IP 目标机器名称”这种方法促效。没有延迟就连上了。不过如果给每台都加一个域名解析,挺辛苦的。但在windows下用putty或secure-crt时可以采用这种方法。

方式二:

修改本机的客户端配置文件ssh_config,注意,不是sshd_config,修改“GSSAPIAuthentication yes”为“GSSAPIAuthentication no”,如下:

再连目标机器,速度就飞快了。

另外,若不能修改参数,则可以直接使用如下命令连接:

或者:

如果你是在Windows下使用PuTTY这样的客户端工具,就不使用上面这个方法了,PuTTY下可以尝试在连接之前进行设置:

PuTTY Configuration -> Connection -> SSH -> Auth -> GSSAPI -> (取消勾选)Attempt GSSAPI authentication(SSH-2 only)

本人提供Oracle、MySQL、PG等数据库的培训和考证业务,私聊QQ646634621或微信db_bao,谢谢!

其他原因

有时也需要将UseDNS这个也修改成UseDNS no,如下:

如果ssh server的配置文件(通常是 /etc/ssh/sshd_config )中设置 useDNS yes ,可能会导致 ssh 登陆卡住几十秒。将该配置项设为 no,然后重启 ssh 服务,再次登陆就恢复正常。将useDND配置为yes会导致登陆慢,原因是在登陆的过程中服务端会发送四次反向域名解析的请求,每次请求相隔5s,共20s,反映在登陆过程中就是卡了几十秒。域名解析是根据域名查找所对应IP的过程,反过来, 反向域名解析就是根据IP查找域名的过程,ssh服务端向DNS服务器发起反向域名解析的请求,请求解析客户端IP的域名。由于DNS服务器配置(该配置位于 /etc/resolv.conf )不正确,导致发出的请求没有响应。

ssh中该配置主要用于安全加固,服务器会先根据客户端的IP地址进行DNS PTR反向查询出客户端的主机名,然后根据查询出的客户端主机名进行DNS正向A记录查询,并验证是否与原始IP地址一致,通过此种措施来防止客户端欺骗。但平时我们登陆服务器的客户端IP基本在DNS服务器中没有PTR记录,因此该功能显得很无用,推荐直接设为no,当然如果你理解了上述的过程,也能找到其他方法保证即使该配置打开了也不会变慢。

  • 在配置文件 /etc/ssh/sshd_config 中设置一个可达的DNS服务器
  • /etc/hosts 文件中手动添加一条你登陆客户端与主机名的对应关系

参考

https://blog.csdn.net/ablo_zhou/article/details/5074887

https://www.runoob.com/w3cnote/ssh-slow.html

https://www.cnblogs.com/testlearn/p/10491899.html

    头像

    小麦苗

    学习或考证,均可联系麦老师,请加微信db_bao或QQ646634621

    您可能还喜欢...

    发表评论

    您的电子邮箱地址不会被公开。

    12 + 3 =

     

    嘿,我是小麦,需要帮助随时找我哦
    • 18509239930
    • 个人微信

    • 麦老师QQ聊天
    • 个人邮箱
    • 点击加入QQ群
    • 个人微店

    • 回到顶部
    返回顶部