​[20210518]ssh ip登入緩慢問題解決.txt

[20210518]ssh ip登入緩慢問題解決.txt

--//生產系統伺服器登入緩慢，檢檢視看。
--//一般這類問題以前遇到最多的是dns設定以及開啟了GSSAPIAuthentication認證。

1.檢查dns相關設定：
--//檢查是否啟動dns。檢查/etc/resolv.conf存在外網的DNS。
# grep -v "^#" /etc/resolv.conf
nameserver 192.168.xxx.xx
nameserver XXX.XXX.XXX.XXX

--//註解nameserver XXX.XXX.XXX.XXX。註解後確實登入很快。
--//實際上我一般在網內我都是直接使用IP地址，已經繞過DNS解析，為什麼還會出現ssh登入的問題呢。
--//登入後我直接修改/etc/ssh/sshd_config，並重啟sshd服務。
UseDNS no
--//注：一般生產系統上線我一定會修改這個引數，不知道那些網管如何管理伺服器的。

2.分析：
--//再次取消/etc/resolv.conf的註解，嘗試還是緩慢。
--//實際上如果你使用ssh ip登入出現緩慢，DNS設定已經排除了。
--//找到一個連結：https://blog.csdn.net/myproudcodelife/article/details/27535261
GSSAPI ( Generic Security Services Application Programming Interface) 是一套類似Kerberos 5 的通用網路安全系統介面。該接
口是對各種不同的客戶端伺服器安全機制的封裝，以消除安全介面的不同，降低程式設計難度。但該介面在目標機器無域名解析時會有問題

使用strace檢視後發現，ssh在驗證完key之後，進行authentication gssapi-with-mic，此時先去連線DNS伺服器，在這之後會進行其他
操作。

--//跟蹤看看：

# ssh -vvv 192.168.101.5
...
debug3: authmethod_is_enabled gssapi-with-mic
debug1: Next authentication method: gssapi-with-mic
debug3: Trying to reverse map address 192.168.101.5.
--//在這裡掛起。很明顯使用GSSAPIAuthentication認證。
--//很明顯只要取消GSSAPIAuthentication就可以繞過認證。
--//也就是使用GSSAPIAuthentication認證也需要DNS伺服器。按照連結介紹：

# ssh -vvv  -o GSSAPIAuthentication=no 192.168.101.5
...
debug3: authmethod_is_enabled password
debug1: Next authentication method: password
root@192.168.101.5's password:

--//這樣就可以登入了。也可以簡單一點修改服務端/etc/ssh/sshd_config如下就OK。
GSSAPIAuthentication no

# egrep "GSS|DNS" /etc/ssh/sshd_config
# GSSAPI options
GSSAPIAuthentication no
#GSSAPIAuthentication yes
#GSSAPICleanupCredentials yes
GSSAPICleanupCredentials yes
#GSSAPIStrictAcceptorCheck yes
#GSSAPIKeyExchange no
#UseDNS yes
UseDNS no

3.總結：
--//我總感覺我們有時候做安全做過了頭，把自己都堵在外面，連自己都不方面管理自己的伺服器。
--//記住如果使用ssh IP登入緩慢，可以在命令列加入GSSAPIAuthentication=no引數，也許以後工作經常會使用，做一個記錄。

4.補充：
--//還可以簡單一點修改/etc/ssh/ssh_config也就是ssh的客戶端
    GSSAPIAuthentication yes
--//修改為    
    GSSAPIAuthentication no