Cada vez que inicio sesión en un servidor ssh, siempre es muy lento. Como decía una respuesta a mi publicación anterior , "buscar un archivo de 200 líneas debería tomar milisegundos más o menos, así que dudaría que sea eso".
Lo intenté ssh -vvv time@servery la salida se ha subido aquí . Descubrí que cuando procedo a cada una de estas tres líneas en la salida, es particularmente lento:
debug1: Next authentication method: gssapi-with-mic
debug1: Unspecified GSS failure. Minor code may provide more information
Credentials cache file '/tmp/krb5cc_1000' not found
debug1: Unspecified GSS failure. Minor code may provide more information
Credentials cache file '/tmp/krb5cc_1000' not found
Me pregunto por qué y qué puedo hacer para cambiarlo. ¡Gracias y saludos!
Actualizar:
La respuesta de Ignacio me sugiere que "desactive todos los métodos de autenticación GSS / Kerberos en su configuración".
Entonces /etc/ssh/ssh_config, ¿debo asegurarme de que "no" está detrás de cada una de las opciones que comienzan con "GSS": GSSAPIAuthentication, GSSAPIDelegateCredentials, GSSAPIKeyExchange, GSSAPITrustDNS, GSSAPIAuthentication y GSSAPIDelegateCredentials?
Entonces, ¿cuáles son las opciones para el método de autenticación "Kerberos" que necesito poner "no" detrás?
PD: el siguiente es el contenido de mi local /etc/ssh/ssh_configcon opciones comentadas no copiadas aquí:
Host *
SendEnv LANG LC_*
HashKnownHosts yes
GSSAPIAuthentication yes
GSSAPIDelegateCredentials no
GSSAPIAuthentication yesyGSSAPIDelegateCredentials no?Respuestas:
Eso es Kerberos. Deshabilite todos los métodos de autenticación GSS / Kerberos en su configuración. Vea la
ssh_config(5)página del manual,PreferredAuthenticationsopción, para más detalles.fuente
PreferredAuthenticationsEstá en el cliente. En el servidor, useGSSAPIAuthenticationen su lugar./etc/ssh/ssh_config, en (1) ¿debo asegurarme de que "no" está detrás de cada una de las opciones que comienzan con "GSS": GSSAPIAuthentication, GSSAPIDelegateCredentials, GSSAPIKeyExchange, GSSAPITrustDNS, GSSAPIAuthentication y GSSAPIDelegateCredentials? (2) ¿Cuáles son las opciones para el método de autenticación "Kerberos" que necesito dejar atrás "no"? PD: Acabo de actualizar mi publicación con el contenido de mi local/etc/ssh/ssh_config.PreferredAuthenticationses suficiente. 2. Kerberos usa GSS; deshabilitar GSS es suficiente.UseDNS noy tambiénCheckHostIP nodebería acelerar las cosas.También es una buena medida de seguridad permitir solo el protocolo 2. Si no necesita IPv6, desactívelo (AddressFamily).
fuente
¿Podría ser ssh / etc / ssh_prng_cmds? Hay un trabajo en ssh que ejecuta una serie de comandos para hacer que las cosas sean aleatorias al iniciar sesión. Uno de esos comandos probablemente esté tardando demasiado porque está haciendo algo tonto en su computadora. Lo único en lo que puedo pensar ahora es que ssh requiere que la computadora corte el árbol más grande del bosque con ......
un arenero
Así que "ejecute" algunos de estos comandos desde un indicador y descubra que uno tarda mucho en responder. Comenta ese.
fuente
Para mí necesitaba GSSAPI y no quería desactivar las búsquedas inversas de DNS, eso no parecía una buena idea, así que revisé la página del manual para resolverv.conf. Resulta que un firewall entre mí y los servidores a los que estaba SSH estaba interfiriendo con las solicitudes de DNS porque no estaban en una forma que el firewall esperaba. Al final, todo lo que tenía que hacer era agregar esta línea a resolv.conf en los servidores en los que estaba SSHing -
opciones single-request-reopen
fuente