penundaan lama saat masuk dengan CentOS7

15

Saya memiliki sistem CentOS 7 dan ketika saya login dengan dempul atau ssh ada penundaan lama sebelum saya mendapatkan prompt kata sandi. Saya berlari ssh -v dan saya menemukan bahwa ini bisa terjadi:

debug1: ssh_ecdsa_verify: signature correct
debug1: SSH2_MSG_NEWKEYS sent
debug1: expecting SSH2_MSG_NEWKEYS
debug1: SSH2_MSG_NEWKEYS received
debug1: SSH2_MSG_SERVICE_REQUEST sent
debug1: SSH2_MSG_SERVICE_ACCEPT received

dan kemudian duduk di sana selama 1-2 menit dan kemudian output ini meledak:

debug1: Authentications that can continue:
publickey,gssapi-keyex,gssapi-with-mic,password
debug1: Next authentication method: gssapi-keyex
debug1: No valid Key exchange context
debug1: Next authentication method: gssapi-with-mic
debug1: Unspecified GSS failure.  Minor code may provide more information
No Kerberos credentials available
debug1: Unspecified GSS failure.  Minor code may provide more information
No Kerberos credentials available
debug1: Unspecified GSS failure.  Minor code may provide more information
debug1: Unspecified GSS failure.  Minor code may provide more information
No Kerberos credentials available
debug1: Next authentication method: publickey
debug1: Trying private key: /home/motor/.ssh/id_rsa
debug1: Trying private key: /home/motor/.ssh/id_dsa
debug1: Trying private key: /home/motor/.ssh/id_ecdsa
debug1: Trying private key: /home/motor/.ssh/id_ed25519
debug1: Next authentication method: password

Dan kemudian prompt kata sandi keluar. Ini terjadi terlepas dari pengguna mana yang masuk. Ini hanya terjadi pada sistem 1. Saya memiliki 5 orang lain di mana itu hasil tanpa penundaan.

Tidak ada disk atau memori atau kesalahan lain dalam log.

Apa yang bisa menyebabkannya menunda seperti ini?

MEMPERBARUI:

Saya mencoba pengaturan GSSAPIAuthenticationuntuk tidak dan itu tidak menyelesaikan masalah.

Aku berlari ssh lagi, kali ini dengan -vvv. Output ini keluar dan kemudian menggantung:

debug1: SSH2_MSG_SERVICE_ACCEPT received
debug2: key: /home/motor/.ssh/id_rsa ((nil)),
debug2: key: /home/motor/.ssh/id_dsa ((nil)),
debug2: key: /home/motor/.ssh/id_ecdsa ((nil)),
debug2: key: /home/motor/.ssh/id_ed25519 ((nil)),

Setelah 1-2 menit ini keluar:

debug1: Authentications that can continue: publickey,password
debug3: start over, passed a different list publickey,password
debug3: preferred gssapi-keyex,gssapi-with-mic,publickey,keyboard-interactive,password
debug3: authmethod_lookup publickey
debug3: remaining preferred: keyboard-interactive,password
debug3: authmethod_is_enabled publickey
debug1: Next authentication method: publickey
debug1: Trying private key: /home/motor/.ssh/id_rsa
debug3: no such identity: /home/motor/.ssh/id_rsa: No such file or directory
debug1: Trying private key: /home/motor/.ssh/id_dsa
debug3: no such identity: /home/motor/.ssh/id_dsa: No such file or directory
debug1: Trying private key: /home/motor/.ssh/id_ecdsa
debug3: no such identity: /home/motor/.ssh/id_ecdsa: No such file or directory
debug1: Trying private key: /home/motor/.ssh/id_ed25519
debug3: no such identity: /home/motor/.ssh/id_ed25519: No such file or directory
debug2: we did not send a packet, disable method
debug3: authmethod_lookup password
debug3: remaining preferred: ,password
debug3: authmethod_is_enabled password
debug1: Next authentication method: password

Dan kemudian prompt kata sandi.

Larry Martell
sumber

Jawaban:

16

Di /etc/ssh/sshd_configserver jauh Anda, Anda harus mengubah opsi GSSAPIAuthenticationmenjadi no. Mulai kembali sshd dan Anda harus baik-baik saja.

sunting: GSSAPI (Antarmuka Pemrograman Aplikasi Layanan Generik) pada dasarnya adalah API yang memanfaatkan pustaka Kerberos untuk menyediakan enkripsi jaringan yang kuat. Kecuali jika ada alasan khusus mengapa Anda membutuhkan GSSAPI diaktifkan, metode ini harus menyelesaikan masalah yang Anda alami.

sunting2: Untuk lebih jelasnya, dimungkinkan juga bahwa pemeriksaan DNS terbalik waktunya habis (khusus memeriksa catatan PTR penghubung host). SSH melakukan pemeriksaan ini sebagai hal yang biasa karena ia bertindak sebagai langkah keamanan untuk memvalidasi host penghubung.

Mengatakan itu, prosesnya tidak menambah banyak dalam hal keamanan nyata karena secara realistis ada proporsi yang signifikan dari host yang tidak memiliki PTR pula. Ada tiga cara untuk memperbaiki masalah ini:

1). Anda dapat mengubah sshd_configfile untuk menggunakan UseDNS noparameter. Ini akan menghentikan pencarian DNS terbalik. Itu aman untuk dilakukan.

2). Tambahkan catatan PTR dalam sistem DNS yang sesuai untuk host yang lambat dalam menyambungkan.

3). Tambahkan entri manual ke hostsfile OS dengan entri yang relevan.

Semoga itu bisa membantu!

Brett Levene
sumber
1
Ini tidak memperbaiki masalah. Masih ada penundaan. Saya akan memperbarui posting asli saya dengan info lebih lanjut.
Larry Martell
6
Mungkin ini reverse lookup DNS yang membutuhkan waktu; Anda bisa mencoba menambahkan UseDNS nofile sshd_config dan memuat ulang layanan untuk melihat apakah itu ada bedanya.
Brett Levene
Saya tidak akan dapat mencobanya sampai minggu berikutnya. Saya akan memberi tahu Anda bagaimana hasilnya. Terima kasih.
Larry Martell
2
Ya, itu masalahnya. Menggunakan UseDNS nomemperbaikinya dan menghapus penundaan. Terima kasih.
Larry Martell
4

Ini terdengar seperti masalah DNS - selama upaya login, pencarian DNS terbalik dilakukan untuk memberikan nama host jarak jauh di log auth.

Periksa untuk memastikan bahwa server tidak memiliki resolver yang tidak responsif dalam /etc/resolv.conffile.

Admin
sumber
Ya, itu masalahnya. Memperbaiki ini menghapus penundaan. Terima kasih!
Larry Martell
Larry, saya senang ini menyelesaikan masalah. Maukah Anda memilih ini sebagai jawaban yang diterima? Terima kasih, dan semoga sukses di masa depan Anda.
Admin
Saya memilih jawaban yang diberikan oleh Brett Levene ketika dia menjawab di depan Anda.
Larry Martell