tôi có một thiết lập máy chủ (debian 7) trong trường đại học của tôi với ip công cộng. Khi tôi vào hệ thống (từ bên ngoài trường), tôi nhận được độ trễ kỳ lạ là 5-10 giây trước khi tôi nhận được lời nhắc mật khẩu. Tại sao vậy?
Tôi chạy ssh -vđể có được đầu ra dài dòng:
debug1: Roaming not allowed by server
debug1: SSH2_MSG_SERVICE_REQUEST sent
debug1: SSH2_MSG_SERVICE_ACCEPT received
.... delay of 5-10 seconds here
debug1: Authentications that can continue: publickey,password
debug1: Next authentication method: publickey
debug1: Trying private key: /home/nass/.ssh/id_rsa
debug1: Trying private key: /home/nass/.ssh/id_dsa
debug1: Trying private key: /home/nass/.ssh/id_ecdsa
debug1: Next authentication method: password
sau đó tôi nhận được lời nhắc mật khẩu tốt.
tôi resolv.conftrông giống như
domain <mydomain>.edu
nameserver <dns ip address>
tường lửa được kiểm soát bởi webminvà cấu hình /etc/webmin/firewall/iptables.savetrông như sau:
# Generated by iptables-save v1.4.14 on Mon Feb 10 17:41:38 2014
*filter
:FORWARD DROP [0:0]
:IP_TCP - [0:0]
:INPUT DROP [0:0]
:IP_UDP - [0:0]
:OUTPUT ACCEPT [0:0]
:IP_ICMP - [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state ESTABLISHED -j ACCEPT
-A INPUT -m state --state RELATED -j ACCEPT
-A INPUT -p tcp -m tcp --tcp-flags ACK ACK -j ACCEPT
-A INPUT -s 127.0.0.1/32 -i eth0 -j DROP
-A INPUT -p icmp -i eth0 -j IP_ICMP
-A INPUT -p udp -m udp -i eth0 -j IP_UDP
-A INPUT -p tcp -m tcp -i eth0 -j IP_TCP
-A INPUT -m limit --limit 3/second --limit-burst 3 -j ULOG --ulog-prefix "FW_INPUT: " --ulog-nlgroup 1
-A IP_ICMP -p icmp -m icmp --icmp-type 0 -j ACCEPT
-A IP_ICMP -p icmp -m icmp --icmp-type 3 -j ACCEPT
-A IP_ICMP -p icmp -m icmp --icmp-type 4 -j ACCEPT
-A IP_ICMP -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A IP_ICMP -p icmp -m icmp --icmp-type 12 -j ACCEPT
-A IP_ICMP -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A IP_ICMP -p icmp -j RETURN
-A IP_TCP -p tcp -m tcp --dport 2049:2050 -j DROP
-A IP_TCP -p tcp -m tcp --dport 6000:6063 -j DROP
-A IP_TCP -p tcp -m tcp --dport 7000:7010 -j DROP
-A IP_TCP -p tcp -m tcp --dport 19001 -j ACCEPT
-A IP_TCP -p tcp -m tcp --dport 12321 -j ACCEPT
-A IP_TCP -p tcp -m tcp --dport 80 -j ACCEPT
-A IP_TCP -p tcp -m tcp --dport 443 -j ACCEPT
-A IP_TCP -p tcp -m tcp -j RETURN
COMMIT
# Completed on Mon Feb 10 17:41:38 2014
# Generated by iptables-save v1.4.14 on Mon Feb 10 17:41:38 2014
*mangle
:PREROUTING ACCEPT [2386474:238877913]
:INPUT ACCEPT [2251067:225473866]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [1100410:5416839301]
:POSTROUTING ACCEPT [1100428:5416842284]
COMMIT
# Completed on Mon Feb 10 17:41:38 2014
# Generated by iptables-save v1.4.14 on Mon Feb 10 17:41:38 2014
*nat
:PREROUTING ACCEPT [211832:26633302]
:INPUT ACCEPT [444:26827]
:OUTPUT ACCEPT [1817:114098]
:POSTROUTING ACCEPT [1817:114098]
COMMIT
# Completed on Mon Feb 10 17:41:38 2014
Cuối cùng nhưng không kém phần quan trọng, một đồng nghiệp cũng có tài khoản trên cùng hệ thống sẽ nhận được lời nhắc ngay lập tức!
@Patrick, nó dường như ở đó vì một lý do tốt. Nhưng tại sao nó làm chậm đăng nhập của tôi, nhưng không phải đồng nghiệp của tôi?
—
NASS
Tại sao bạn nghĩ rằng nó có một lý do tốt? Nó hoàn toàn có khả năng ở đó bởi vì không ai từng nghĩ tắt nó đi. Và nó có thể làm bạn chậm lại vì máy chủ DNS có thẩm quyền cho netblock của bạn đã chết hoặc bị thiếu.
—
Patrick
@Patrick tốt, nó không thực hiện kiểm tra này cho mục đích bảo mật?
—
NASS
@Patrick btw này đã giải quyết được vấn đề, vì vậy bạn cũng có thể viết những dòng này như một câu trả lời
—
NASS
UseDNS yeskích hoạt. Điều này nổi tiếng là làm chậm đăng nhập. Ngoài ra, chúng ta sẽ cần phải xem nhật ký gỡ lỗi của máy chủ ($(which sshd) -d).