lange Verzögerung beim Einloggen mit CentOS7

14

Ich habe ein CentOS 7-System und wenn ich mich mit putty oder ssh anmelde, dauert es lange, bis ich die Passwortabfrage erhalte. Ich habe ssh -v ausgeführt und festgestellt, dass dies der Fall ist:

debug1: ssh_ecdsa_verify: signature correct
debug1: SSH2_MSG_NEWKEYS sent
debug1: expecting SSH2_MSG_NEWKEYS
debug1: SSH2_MSG_NEWKEYS received
debug1: SSH2_MSG_SERVICE_REQUEST sent
debug1: SSH2_MSG_SERVICE_ACCEPT received

und dann sitzt es dort für 1-2 Minuten und dann explodiert diese Ausgabe:

debug1: Authentications that can continue:
publickey,gssapi-keyex,gssapi-with-mic,password
debug1: Next authentication method: gssapi-keyex
debug1: No valid Key exchange context
debug1: Next authentication method: gssapi-with-mic
debug1: Unspecified GSS failure.  Minor code may provide more information
No Kerberos credentials available
debug1: Unspecified GSS failure.  Minor code may provide more information
No Kerberos credentials available
debug1: Unspecified GSS failure.  Minor code may provide more information
debug1: Unspecified GSS failure.  Minor code may provide more information
No Kerberos credentials available
debug1: Next authentication method: publickey
debug1: Trying private key: /home/motor/.ssh/id_rsa
debug1: Trying private key: /home/motor/.ssh/id_dsa
debug1: Trying private key: /home/motor/.ssh/id_ecdsa
debug1: Trying private key: /home/motor/.ssh/id_ed25519
debug1: Next authentication method: password

Und dann kommt die Passwortabfrage heraus. Dies geschieht unabhängig davon, welcher Benutzer sich anmeldet. Dies geschieht nur auf dem 1 System. Ich habe 5 andere, wo es ohne Verzögerung weitergeht.

In den Protokollen sind keine Datenträger- oder Speicherfehler oder sonstige Fehler enthalten.

Was könnte dazu führen, dass es sich so verzögert?

AKTUALISIEREN:

Ich habe versucht, GSSAPIAuthenticationauf no zu setzen, und das hat das Problem nicht gelöst.

Ich habe ssh erneut ausgeführt, diesmal mit -vvv. Diese Ausgabe kam heraus und dann hing es:

debug1: SSH2_MSG_SERVICE_ACCEPT received
debug2: key: /home/motor/.ssh/id_rsa ((nil)),
debug2: key: /home/motor/.ssh/id_dsa ((nil)),
debug2: key: /home/motor/.ssh/id_ecdsa ((nil)),
debug2: key: /home/motor/.ssh/id_ed25519 ((nil)),

Nach 1-2 Minuten stellte sich heraus:

debug1: Authentications that can continue: publickey,password
debug3: start over, passed a different list publickey,password
debug3: preferred gssapi-keyex,gssapi-with-mic,publickey,keyboard-interactive,password
debug3: authmethod_lookup publickey
debug3: remaining preferred: keyboard-interactive,password
debug3: authmethod_is_enabled publickey
debug1: Next authentication method: publickey
debug1: Trying private key: /home/motor/.ssh/id_rsa
debug3: no such identity: /home/motor/.ssh/id_rsa: No such file or directory
debug1: Trying private key: /home/motor/.ssh/id_dsa
debug3: no such identity: /home/motor/.ssh/id_dsa: No such file or directory
debug1: Trying private key: /home/motor/.ssh/id_ecdsa
debug3: no such identity: /home/motor/.ssh/id_ecdsa: No such file or directory
debug1: Trying private key: /home/motor/.ssh/id_ed25519
debug3: no such identity: /home/motor/.ssh/id_ed25519: No such file or directory
debug2: we did not send a packet, disable method
debug3: authmethod_lookup password
debug3: remaining preferred: ,password
debug3: authmethod_is_enabled password
debug1: Next authentication method: password

Und dann die Passwortabfrage.

Larry Martell
quelle

Antworten:

15

In Ihrem /etc/ssh/sshd_configauf dem Remote-Server sollten Sie die Option GSSAPIAuthenticationauf Nein ändern . Starten Sie sshd neu und Sie sollten bereit sein zu gehen.

Bearbeiten: GSSAPI (Generic Security Service Application Programming Interface) ist im Wesentlichen eine API, die Kerberos-Bibliotheken verwendet, um eine starke Netzwerkverschlüsselung bereitzustellen. Sofern es keinen bestimmten Grund gibt, warum Sie GSSAPI aktivieren müssen, sollte diese Methode das Problem beheben, das Sie haben.

edit2: Der Übersichtlichkeit halber ist es auch möglich, dass die umgekehrte DNS-Überprüfung ein Zeitlimit überschreitet (insbesondere die Überprüfung des PTR-Datensatzes der verbindenden Hosts). SSH führt diese Überprüfung selbstverständlich durch, da sie als Sicherheitsmaßnahme zur Validierung des verbindenden Hosts dient.

Davon abgesehen trägt der Prozess nicht viel zur echten Sicherheit bei, da es realistisch gesehen einen erheblichen Anteil von Hosts gibt, die ohnehin keinen PTR haben. Es gibt drei Möglichkeiten, dieses Problem zu beheben:

1). Sie können die sshd_configDatei ändern , um den UseDNS noParameter zu verwenden. Dadurch wird die umgekehrte DNS-Suche gestoppt. Es ist sicher zu tun.

2). Fügen Sie im entsprechenden DNS-System einen PTR-Eintrag für den Host hinzu, der nur langsam eine Verbindung herstellt.

3). Fügen Sie der OS- hostsDatei einen manuellen Eintrag mit dem entsprechenden Eintrag hinzu.

Ich hoffe, das hilft!

Brett Levene
quelle
1
Das Problem wurde dadurch nicht behoben. Da ist noch die Verzögerung. Ich werde meinen ursprünglichen Beitrag mit weiteren Informationen aktualisieren.
Larry Martell
6
Möglicherweise dauert die umgekehrte DNS-Suche einige Zeit. Sie könnten versuchen, UseDNS noin die Datei sshd_config einzufügen und den Dienst neu zu laden , um festzustellen, ob dies einen Unterschied macht.
Brett Levene
Ich werde das erst in der nächsten Woche versuchen können. Ich werde dich wissen lassen, wie es geht. Vielen Dank.
Larry Martell
2
Ja, das war das Problem. Mit UseDNS nobehoben und die Verzögerung entfernt. Vielen Dank.
Larry Martell
4

Dies klingt nach einem DNS-Problem. Während eines Anmeldeversuchs wird eine umgekehrte DNS-Suche durchgeführt, um den Remote-Hostnamen in den Authentifizierungsprotokollen anzugeben.

Stellen Sie sicher, dass der Server keinen nicht reagierenden Resolver in der /etc/resolv.confDatei hat.

Administrator
quelle
Ja, das war das Problem. Das Beheben dieses Problems beseitigte die Verzögerung. Vielen Dank!
Larry Martell
Larry, ich bin froh, dass dies das Problem gelöst hat. Würde es Ihnen etwas ausmachen, dies als akzeptierte Antwort zu wählen? Vielen Dank und viel Glück bei Ihren zukünftigen Bemühungen.
Admin
Ich habe die Antwort von Brett Levene ausgewählt, die er vor Ihnen beantwortet hat.
Larry Martell