Linux ssh登陆慢的两种原因分析

Linux ssh登陆慢的两种原因分析

如果做运维就一定会遇到ssh登陆Linux服务器慢的问题,问题比较好解决,一般Google之后有很多文章都告诉你解决方法,但是很少有文章分析为什么会慢,这篇文章简单分析下ssh登陆慢的原因。

useDNS配置导致登陆慢

如果ssh server的配置文件(通常是 /etc/ssh/sshd_config )中设置 useDNS yes ,可能会导致 ssh 登陆卡住几十秒。按照网上的方法将该配置项设为 no,然后重启 ssh 服务,再次登陆就恢复正常,但至于为什么改配置项会导致登陆慢,下面的例子是从虚拟机192.168.0.64 ssh登陆192.168.0.188,在 188 用 tcpdump 进行抓包,如下图:

从图中可以看出在登陆的过程中服务端188发了四次反向域名解析的请求,每次请求相隔5s,共20s,反映在登陆过程中就是卡了几十秒。域名解析是根据域名查找所对应IP的过程,反过来, 反向域名解析就是根据IP查找域名的过程,从抓包的图中看出ssh服务端(192.168.0.188)向DNS服务器(10.0.0.10/10.0.0.11)发起反向域名解析的请求,请求解析客户端IP(192.168.0.64)的域名。由于DNS服务器配置(该配置位于 /etc/resolv.conf )的不正确,导致发出的请求未有响应,每隔5s超时重试一次。

ssh中该配置主要用于安全加固,服务器会先根据客户端的IP地址进行DNS PTR反向查询出客户端的主机名,然后根据查询出的客户端主机名进行DNS正向A记录查询,并验证是否与原始IP地址一致,通过此种措施来防止客户端欺骗。但平时我们登陆服务器的客户端IP基本在DNS服务器中没有PTR记录,因此该功能显得很无用,推荐直接设为no,当然如果你理解了上述的过程,也能找到其他方法保证即使该配置打开了也不慢:

  • 在配置文件 /etc/ssh/sshd_config 中设置一个可达的DNS服务器
  • 在 /etc/hosts 文件中手动添加一条你登陆客户端与主机名的对应关系

GSSAPIAuthentication配置导致登陆慢

除了常见的useDNS配置可能导致ssh登陆慢之外,还有一个配置GSSAPIAuthentication也会导致登陆慢,该配置项的含义是允许GSSAPI认证,属于ssh协议的一种认证方式。ssh协议有多种认证方式,平时常用的有密码认证、公钥认证等,但ssh协议支持的远不止这两种,那么至于一次ssh登陆到底用哪种认证方式是怎么决定的呢?这个取决于ssh的客户端和服务端的协商的结果,ssh服务端决定了支持哪些登陆方式,这里以OpenSSH的服务端配置( /etc/ssh/sshd_config )为例:

ssh客户端决定了使用哪种登陆方式,这里以OpenSSH的客户端配置( /etc/ssh/ssh_config )为例:

在登陆过程中经常协商之后有个认证的顺序,然后依次选择认证方式,直到认证成功,ssh命令行中可以通过增加 -vvv 选项来进行debug整个登陆的过程,如下为节选的登陆过程日志,可以看出会逐个尝试不同方式去认证:

我们不需要关心GSSAPI认证到底是什么鬼,只需关心为什么允许了GSSAPI认证就会导致ssh登陆慢呢?直接看debug信息很难看出来,还是通过抓包来看。下面例子是通过虚拟机192.168.0.214 ssh登陆192.168.0.188,这次我们在ssh的客户端进行抓包:

同样也发现有大量的DNS反向域名解析的报文,但这次需要解析的是服务端的IP(192.168.0.188),同样由于客户端侧配置的DNS服务器(10.8.8.8)不可达,导致超时重试多次。结合ssh登陆的过程日志,不难发现这写DNS反向域名解析的报文是GSSAPI认证需要的。

那么解决该问题就比较简单了,下面任何一种都可:

  • ssh 客户端配置( /etc/ssh/ssh_config )将 GSSAPIAuthentication 设为 no
  • ssh 服务端配置( /etc/ssh/sshd_config )将 GSSAPIAuthentication 设为 no
  • ssh 客户端正确配置 DNS 服务器( /etc/resolv.conf 
  • ssh 客户端 hosts 文件( /etc/hosts )增加服务端的IP、主机名对应关系

总结

本文分析了ssh的两个配置可能导致登陆慢的原因以及解决方法,主要想说的是通过抓包可以很容易分析登陆慢的原因。

原文地址:https://www.cnblogs.com/xysr-tom/p/10695407.html

时间: 2024-10-02 16:16:26

Linux ssh登陆慢的两种原因分析的相关文章

linux忘记登陆密码的两种破解办法

对于使用grub引导的linux系统.在开机自检后,出现grub引导界面时,按E键进入编辑模式,如下图所示:   把光标移到带有"kernel"字样的那一行,然后按E键编辑,如图:   在末尾按一个空格,输入数字1,再按回车键回到之前的界面.该行的意思是加载内核,末尾的参数1,该命令不能识别,所以它会将这个参数1传递给系统启动后的第一个进程,而系统启动的第一个进程是init,init 1 就是进入单用户模式.如图:   按B键启动系统,启动完成后.注意看,提示符是井号,表示现在已经是r

Linux中生成密钥的两种方法

Linux中生成密钥的两种方法 SSH服务支持一种安全认证机制,即密钥认证.所谓的密钥认证,实际上是使用一对加密字符串,一个称为公钥(publickey), 任何人都可以看到其内容,用于加密:另一个称为密钥(privatekey),只有拥有者才能看到,用于解密.通过公钥加密过的密文使用密钥可以轻松解密,但根据公钥来猜测密钥却十分困难. ssh的密钥认证就是使用了这一特性.服务器和客户端都各自拥有自己的公钥和密钥.如何使用密钥认证登录linux服务器呢? 在使用密钥认证远程登入linux之前,我们

一、查看Linux内核版本命令(两种方法):

一.查看Linux内核版本命令(两种方法): 1.cat /proc/version [[email protected]CentOS home]# cat /proc/versionLinux version 2.6.32-431.el6.x86_64 ([email protected]) (gcc version 4.4.7 20120313 (Red Hat 4.4.7-4) (GCC) ) #1 SMP Fri Nov 22 03:15:09 UTC 2013 2.uname -a [

外网登陆SAP的两种方式

1.用SAP router实现从外网登录SAP服务器(方式一) 自已搭建的局域网结构如下: SAP服务器IP: 192.168.0.2, 路由器中设为DMZ区 在SAP服务器上启用SAP router,即可 SAP router的搭建非常简单: 1.找到SAP的安装目录(例如D:\usr\sap\ECC\DVEBMGS00\exe\),可以看到saprouter.exe文件 2. 用记事本建立一个名为SAPROUTTAB的文件(没有扩展名), 输入 P * * * 后保存 3.打开c:\syst

Linux 下操作GPIO(两种方法,驱动和mmap)(转载)

目前我所知道的在Linux下操作GPIO有两种方法: 1.编写驱动,这当然要熟悉Linux下驱动的编写方法和技巧,在驱动里可以使用ioremap函数获得GPIO物理基地址指针,然后使用这个指针根据ioctl命令进行GPIO寄存器的读写,并把结果回送到应用层.这里提供一点程序片断供大家参考: int  init_module(void){ printk(KERN_ALERT "ioctl load.\r\n"); register_chrdev(254,"ioreg"

Linux系统实现虚拟内存有两种方法:交换分区(swap分区)和交换文件

Linux系统实现虚拟内存有两种方法:交换分区(swap分区)和交换文件 交换文件 查看内存:free -m , -m是显示单位为MB,-g单位GB 创建一个文件:touch /root/swapfile 使用dd命令,来创建大小为2G的文件swapfile: dd if=/dev/zero of=/root/swapfile bs=1M count=2048 //命令执行完需要等待一段时间 if表示input_file输入文件 of表示output_file输出文件 bs表示block_siz

使用linux访问windows共享文件的两种方法

上次做了一个linux的samba文件共享,使windows可以访问linux共享出来的文件目录,今天做一个在windows中共享文件或者使用软件使linux主机可以访问windows共享出来的文件及目录.实际操作才是重点. 实验目的:使用linux访问windows共享文件. 实验步骤:主要分为两种方式,第一种是使用xshell.xftp软件直接拖拽,然后在linux系统中找到文件就可以使用了. 第二种是在windows中共享文件目录,然后在linux中使用命令进行访问,最后挂载并使用. 首先

linux中防CC攻击两种实现方法(转)

CC攻击就是说攻击者利用服务器或代理服务器指向被攻击的主机,然后模仿DDOS,和伪装方法网站,这种CC主要是用来攻击页面的,导致系统性能用完而主机挂掉了,下面我们来看linux中防CC攻击方法. 什么是CC攻击 cc攻击简单就是(ChallengeCollapsar) CC攻击的原理就是攻击者控制某些主机不停地发大量数据包给对方服务器造成服务器资源耗尽,一直到宕机崩溃.CC主要是用来攻击页面的,每个人都有 这样的体验:当一个网页访问的人数特别多的时候,打开网页就慢了,CC就是模拟多个用户(多少线

Linux远程下载文件的两种方法之 ftp命令和scp命令

ftp命令: 服务器有安装ftp Server,另外一台linux可以使用ftp的client程序来进行文件的拷贝读取和下载. 1. 连接ftp服务器  格式:ftp [hostname| ip-address] a)在linux命令行下输入:ftp 192.168.26.66 b)服务器询问你用户名和口令,分别输入用户名和相应密码,待认证通过即可. 2. 下载文件 下载文件通常用get和mget这两条命令. a) get  格式:get [remote-file] [local-file] 将