chậm trễ khi đăng nhập bằng CentOS7

14

Tôi có hệ thống CentOS 7 và khi tôi đăng nhập bằng putty hoặc ssh, có một độ trễ dài trước khi tôi nhận được lời nhắc mật khẩu. Tôi đã chạy ssh -v và tôi thấy rằng nó đạt được điều này:

debug1: ssh_ecdsa_verify: signature correct
debug1: SSH2_MSG_NEWKEYS sent
debug1: expecting SSH2_MSG_NEWKEYS
debug1: SSH2_MSG_NEWKEYS received
debug1: SSH2_MSG_SERVICE_REQUEST sent
debug1: SSH2_MSG_SERVICE_ACCEPT received

và sau đó nó ngồi đó trong 1-2 phút và sau đó đầu ra này nổ tung:

debug1: Authentications that can continue:
publickey,gssapi-keyex,gssapi-with-mic,password
debug1: Next authentication method: gssapi-keyex
debug1: No valid Key exchange context
debug1: Next authentication method: gssapi-with-mic
debug1: Unspecified GSS failure.  Minor code may provide more information
No Kerberos credentials available
debug1: Unspecified GSS failure.  Minor code may provide more information
No Kerberos credentials available
debug1: Unspecified GSS failure.  Minor code may provide more information
debug1: Unspecified GSS failure.  Minor code may provide more information
No Kerberos credentials available
debug1: Next authentication method: publickey
debug1: Trying private key: /home/motor/.ssh/id_rsa
debug1: Trying private key: /home/motor/.ssh/id_dsa
debug1: Trying private key: /home/motor/.ssh/id_ecdsa
debug1: Trying private key: /home/motor/.ssh/id_ed25519
debug1: Next authentication method: password

Và sau đó, nhắc nhở mật khẩu đi ra. Điều này xảy ra bất kể người dùng nào đang đăng nhập. Nó chỉ xảy ra trên hệ thống 1. Tôi có 5 người khác, nơi nó tiến hành mà không có sự chậm trễ.

Không có đĩa hoặc bộ nhớ hoặc bất kỳ lỗi nào khác trong nhật ký.

Điều gì có thể khiến nó trì hoãn như thế này?

CẬP NHẬT:

Tôi đã cố gắng đặt GSSAPIAuthenticationthành không và điều đó không giải quyết được vấn đề.

Tôi chạy ssh lần nữa, lần này với -vvv. Đầu ra này xuất hiện và sau đó nó treo:

debug1: SSH2_MSG_SERVICE_ACCEPT received
debug2: key: /home/motor/.ssh/id_rsa ((nil)),
debug2: key: /home/motor/.ssh/id_dsa ((nil)),
debug2: key: /home/motor/.ssh/id_ecdsa ((nil)),
debug2: key: /home/motor/.ssh/id_ed25519 ((nil)),

Sau 1-2 phút, điều này xuất hiện:

debug1: Authentications that can continue: publickey,password
debug3: start over, passed a different list publickey,password
debug3: preferred gssapi-keyex,gssapi-with-mic,publickey,keyboard-interactive,password
debug3: authmethod_lookup publickey
debug3: remaining preferred: keyboard-interactive,password
debug3: authmethod_is_enabled publickey
debug1: Next authentication method: publickey
debug1: Trying private key: /home/motor/.ssh/id_rsa
debug3: no such identity: /home/motor/.ssh/id_rsa: No such file or directory
debug1: Trying private key: /home/motor/.ssh/id_dsa
debug3: no such identity: /home/motor/.ssh/id_dsa: No such file or directory
debug1: Trying private key: /home/motor/.ssh/id_ecdsa
debug3: no such identity: /home/motor/.ssh/id_ecdsa: No such file or directory
debug1: Trying private key: /home/motor/.ssh/id_ed25519
debug3: no such identity: /home/motor/.ssh/id_ed25519: No such file or directory
debug2: we did not send a packet, disable method
debug3: authmethod_lookup password
debug3: remaining preferred: ,password
debug3: authmethod_is_enabled password
debug1: Next authentication method: password

Và sau đó nhắc mật khẩu.

ssh  centos7 
Larry Martell
nguồn

Câu trả lời:

15

Trong /etc/ssh/sshd_configmáy chủ từ xa của bạn, bạn nên thay đổi tùy chọn GSSAPIAuthenticationthành không. Khởi động lại sshd và bạn nên đi.

chỉnh sửa: GSSAPI (Giao diện lập trình ứng dụng dịch vụ bảo mật chung) về cơ bản là một API sử dụng các thư viện Kerberos để cung cấp mã hóa mạng mạnh. Trừ khi có một lý do cụ thể tại sao bạn cần kích hoạt GSSAPI, phương pháp này sẽ giải quyết vấn đề bạn đang gặp phải.

chỉnh sửa2: Để rõ ràng, cũng có thể kiểm tra DNS ngược đã hết thời gian (cụ thể là kiểm tra bản ghi PTR của máy chủ kết nối). SSH thực hiện kiểm tra này như một vấn đề tất nhiên vì nó hoạt động như một biện pháp bảo mật để xác thực máy chủ kết nối.

Nói rằng, quá trình này không bổ sung nhiều về mặt bảo mật thực sự bởi vì thực tế có một tỷ lệ đáng kể các máy chủ không có PTR. Có ba cách để khắc phục vấn đề này:

1). Bạn có thể sửa đổi sshd_configtập tin để sử dụng UseDNS notham số. Điều này sẽ dừng việc tra cứu DNS ngược. Nó là an toàn để làm.

2). Thêm bản ghi PTR trong hệ thống DNS thích hợp cho máy chủ chậm kết nối.

3). Thêm một mục nhập thủ công vào hoststệp hệ điều hành với mục liên quan.

Mong rằng sẽ giúp!

Brett Levene
nguồn
1
Điều này không khắc phục được vấn đề. Vẫn còn sự chậm trễ. Tôi sẽ cập nhật bài viết gốc của tôi với nhiều thông tin hơn.
Larry Martell
6
Nó có thể là tra cứu DNS ngược mất thời gian; bạn có thể thử thêm UseDNS novào tệp sshd_config và tải lại dịch vụ để xem điều đó có khác biệt gì không.
Brett Levene
Tôi sẽ không thể thử điều đó cho đến tuần sau. Tôi sẽ cho bạn biết làm thế nào nó đi. Cảm ơn.
Larry Martell
2
Vâng, đó là vấn đề. Sử dụng UseDNS nocố định nó và loại bỏ sự chậm trễ. Cảm ơn.
Larry Martell
4

Điều này có vẻ giống như sự cố DNS - trong quá trình đăng nhập, việc tra cứu DNS ngược được thực hiện để cung cấp tên máy chủ từ xa trong nhật ký xác thực.

Kiểm tra để đảm bảo rằng máy chủ không có bộ giải quyết không phản hồi trong /etc/resolv.conftệp.

quản trị viên
nguồn
Vâng, đó là vấn đề. Sửa lỗi này loại bỏ sự chậm trễ. Cảm ơn!
Larry Martell
Larry, tôi rất vui vì điều này đã giải quyết vấn đề. Bạn có phiền khi chọn đây là câu trả lời được chấp nhận? Cảm ơn, và chúc may mắn trong nỗ lực tương lai của bạn.
Quản trị viên
Tôi đã chọn câu trả lời được đưa ra bởi Brett Levene khi anh ấy trả lời trước bạn.
Larry Martell
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.