Jedes Mal, wenn ich mich bei einem Server anmelde, ist es immer sehr langsam. In einer Antwort auf meinen früheren Beitrag heißt es: "Das Durchsuchen einer Datei mit 200 Zeilen sollte ungefähr Millisekunden dauern, daher würde ich bezweifeln, dass dies der Fall ist."
Ich habe versucht , ssh -vvv time@server
und die Ausgabe hochgeladen wurde hier . Ich habe festgestellt, dass es besonders langsam ist, wenn ich zu jeder dieser drei Zeilen in der Ausgabe gehe:
debug1: Next authentication method: gssapi-with-mic
debug1: Unspecified GSS failure. Minor code may provide more information
Credentials cache file '/tmp/krb5cc_1000' not found
debug1: Unspecified GSS failure. Minor code may provide more information
Credentials cache file '/tmp/krb5cc_1000' not found
Ich frage mich warum und was ich tun kann, um es zu ändern? Danke und Grüße!
Aktualisieren:
Die Antwort von Ignacio schlägt mir vor, "alle GSS / Kerberos-Authentifizierungsmethoden in Ihrer Konfiguration zu deaktivieren".
Also /etc/ssh/ssh_config
, muss ich sicherstellen , dass „nein“ hinter jedem aller Optionen ist beginnend mit „GSS“: GSSAPIAuthentication, GSSAPIDelegateCredentials, GSSAPIKeyExchange, GSSAPITrustDNS, GSSAPIAuthentication und GSSAPIDelegateCredentials?
Was sind dann die Optionen für die "Kerberos" -Authentifizierungsmethode, hinter die ich "Nein" setzen muss?
PS: Folgendes ist der Inhalt meines lokalen /etc/ssh/ssh_config
mit kommentierten Optionen, die hier nicht kopiert wurden:
Host *
SendEnv LANG LC_*
HashKnownHosts yes
GSSAPIAuthentication yes
GSSAPIDelegateCredentials no
GSSAPIAuthentication yes
undGSSAPIDelegateCredentials no
?Antworten:
Das ist Kerberos. Deaktivieren Sie alle GSS / Kerberos-Authentifizierungsmethoden in Ihrer Konfiguration. Weitere Informationen finden Sie in der
ssh_config(5)
Manpage,PreferredAuthentications
Option.quelle
PreferredAuthentications
ist auf dem Client. Verwenden SieGSSAPIAuthentication
stattdessen auf dem Server ./etc/ssh/ssh_config
Muss ich in (1) sicherstellen, dass hinter jeder Option, die mit "GSS" beginnt, "Nein" steht: GSSAPIAuthentication, GSSAPIDelegateCredentials, GSSAPIKeyExchange, GSSAPITrustDNS, GSSAPIAuthentication und GSSAPIDelegateCredentials? (2) Welche Optionen gibt es für die Authentifizierungsmethode "Kerberos", die ich hinter "Nein" setzen muss? PS: Ich habe gerade meinen Beitrag mit dem Inhalt meiner lokalen aktualisiert/etc/ssh/ssh_config
.PreferredAuthentications
ist genug. 2. Kerberos verwendet GSS. Das Deaktivieren von GSS ist ausreichend.UseDNS no
undCheckHostIP no
sollte die Dinge auch beschleunigen.Es ist auch eine gute Sicherheitsmaßnahme, nur Protokoll 2 zuzulassen. Wenn Sie IPv6 nicht benötigen, deaktivieren Sie es (AddressFamily).
quelle
Könnte es ssh / etc / ssh_prng_cmds sein? Es gibt einen Job in ssh, der eine Reihe von Befehlen ausführt, um beim Anmelden zufällige Dinge zu machen. Einer dieser Befehle dauert wahrscheinlich zu lange, weil er etwas tut, das auf Ihrem Computer albern ist. Das einzige, woran ich jetzt denken kann, ist, dass ssh vom Computer verlangt, den größten Baum im Wald mit ...... zu fällen.
ein Hering.
Führen Sie einige dieser Befehle an einer Eingabeaufforderung aus und finden Sie heraus, dass es lange dauert, bis Sie eine Antwort erhalten. Kommentiere DIESES aus.
quelle
Für mich brauchte ich GSSAPI und ich wollte Reverse-DNS-Lookups nicht deaktivieren, das schien einfach keine gute Idee zu sein, also habe ich die Manpage für resolv.conf überprüft. Es stellt sich heraus, dass eine Firewall zwischen mir und den Servern, mit denen ich SSHing durchgeführt habe, DNS-Anforderungen störte, da diese nicht in der von der Firewall erwarteten Form vorliegen. Am Ende musste ich nur diese Zeile zu resolv.conf auf den Servern hinzufügen, auf denen ich SSHing war -
Optionen Single-Request-Reopen
quelle