用ssh連其他linux機器,會等待10-30秒才有提示輸入密碼。嚴重影響工作效率。登錄很慢,登錄上去後速度正常,這種情況主要有兩種可能的原因: 1. DNS反向解析的問題 OpenSSH在用戶登錄的時候會驗證IP,它根據用戶的IP使用反向DNS找到主機名,再使用DNS找到IP地址,最後匹配一下登錄 ...
用ssh連其他linux機器,會等待10-30秒才有提示輸入密碼。嚴重影響工作效率。登錄很慢,登錄上去後速度正常,這種情況主要有兩種可能的原因:
1. DNS反向解析的問題
OpenSSH在用戶登錄的時候會驗證IP,它根據用戶的IP使用反向DNS找到主機名,再使用DNS找到IP地址,最後匹配一下登錄的IP是否合法。如果客戶機的IP沒有功能變數名稱,或者DNS伺服器很慢或不通,那麼登錄就會很花時間。
解決辦法:
在目標伺服器上修改sshd伺服器端配置,並重啟sshd
vi /etc/ssh/sshd_config,設置UseDNS為no即可
當然也可以通過提供DNS正確反向解析的方法解決,有如下兩種思路
(1) 在server上/etc/hosts文件中把常用的ip和hostname加入,然後在/etc/nsswitch.conf看看程式是否先查詢hosts文件(一般預設是這樣)。
修改server上的hosts文件,將目標機器的IP和功能變數名稱加上去。或者讓本機的DNS 伺服器能解析目標地址。
vi /etc/hosts
192.168.12.16 ourdev
其格式是“目標機器IP 目標機器名稱”這種方法促效。沒有延遲就連上了。不過如果給每台都加一個功能變數名稱解析,挺辛苦的。但在windows下用putty或secure-crt時可以採用這種方法。
(2)起一臺dns伺服器(可以是本機),加入反向解析,把這個dns伺服器加入到/etc/resolv.conf中。
2. 關閉ssh的gssapi認證
用ssh -v user@server 可以看到登錄時有如下信息:
debug1: Next authentication method: gssapi-with-mic
debug1: Unspecified GSS failure. Minor code may provide more information
註:ssh -vvv user@server 可以看到更細的debug信息
解決辦法:
在客戶端上修改ssh客戶端配置(註意不是sshd_conf)
vi /etc/ssh/ssh_config,設置GSSAPIAuthentication no 並重啟sshd
可以使用ssh -o GSSAPIAuthentication=no user@server登錄
GSSAPI ( Generic Security Services Application Programming Interface) 是一套類似Kerberos 5 的通用網路安全系統介面。該介面是對各種不同的客戶端伺服器安全機制的封裝,以消除安全介面的不同,降低編程難度。但該介面在目標機器無功能變數名稱解析時會有問題
使用strace查看後發現,ssh在驗證完key之後,進行authentication gssapi-with-mic,此時先去連接DNS伺服器,在這之後會進行其他操作。
