SSH登录Linux服务器慢或者登陆错误的解决方法分享
每次PuTTY使用SSH登录到远程的Linux进行管理的时候,远程登录的过程都非常慢——输入完用户名之后,非要等到30秒左右才会出来输入密码的提示。在实际处理问题的时候,特别需要快速响应的时候,这种状况着实让人难以忍受。
但后来具体测试了一下,发现这又并非是每种系统的通病,出现问题的机器主要集中的CentOS上,同样的Debian系统,在远程连接的过程就是健步如飞,丝毫没有卡顿犹豫的感觉。这难道是CentOS的问题?
出于好奇,查看了下两个系统在SSH时的差别CentOS:
代码如下:
SSH远程登录的时候显示的信息如下:
OpenSSH_6.0p1 Debian-4, OpenSSL 1.0.1e 11 Feb 2013…Some sensitive information…debug1: Remote protocol version 2.0, remote software version OpenSSH_5.3debug1: match: OpenSSH_5.3 pat OpenSSH_5*debug1: Enabling compatibility mode for protocol 2.0debug1: Local version string SSH-2.0-OpenSSH_6.0p1 Debian-4debug1: SSH2_MSG_KEXINIT sentdebug1: SSH2_MSG_KEXINIT receiveddebug1: kex: server->client aes128-ctr hmac-md5 nonedebug1: kex: client->server aes128-ctr hmac-md5 nonedebug1: SSH2_MSG_KEX_DH_GEX_REQUEST(1024<1024<8192) sentdebug1: expecting SSH2_MSG_KEX_DH_GEX_GROUPdebug1: SSH2_MSG_KEX_DH_GEX_INIT sentdebug1: expecting SSH2_MSG_KEX_DH_GEX_REPLY…Some sensitive information…debug1: ssh_rsa_verify: signature correctdebug1: SSH2_MSG_NEWKEYS sentdebug1: expecting SSH2_MSG_NEWKEYSdebug1: SSH2_MSG_NEWKEYS receiveddebug1: Roaming not allowed by serverdebug1: SSH2_MSG_SERVICE_REQUEST sentdebug1: SSH2_MSG_SERVICE_ACCEPT receiveddebug1: Authentications that can continue: publickey,gssapi-keyex,gssapi-with-mic,passworddebug1: Next authentication method: gssapi-keyexdebug1: No valid Key exchange contextdebug1: Next authentication method: gssapi-with-micdebug1: Unspecified GSS failure. Minor code may provide more informationCannot determine realm for numeric host addressdebug1: Unspecified GSS failure. Minor code may provide more informationCannot determine realm for numeric host addressdebug1: Unspecified GSS failure. Minor code may provide more informationdebug1: Unspecified GSS failure. Minor code may provide more informationCannot determine realm for numeric host addressdebug1: Next authentication method: publickeydebug1: Trying private key: /home/mitchellchu/.ssh/id_rsadebug1: Trying private key: /home/mitchellchu/.ssh/id_dsadebug1: Trying private key: /home/mitchellchu/.ssh/id_ecdsadebug1: Next authentication method: password而Debian使用同样的命令测试的结果为:
OpenSSH_6.0p1 Debian-4, OpenSSL 1.0.1e 11 Feb 2013…Some sensitive information…debug1: Remote protocol version 2.0, remote software version OpenSSH_6.0p1 Debian-4debug1: match: OpenSSH_6.0p1 Debian-4 pat OpenSSH*debug1: Enabling compatibility mode for protocol 2.0debug1: Local version string SSH-2.0-OpenSSH_6.0p1 Debian-4debug1: SSH2_MSG_KEXINIT sentdebug1: SSH2_MSG_KEXINIT receiveddebug1: kex: server->client aes128-ctr hmac-md5 nonedebug1: kex: client->server aes128-ctr hmac-md5 nonedebug1: sending SSH2_MSG_KEX_ECDH_INITdebug1: expecting SSH2_MSG_KEX_ECDH_REPLY…Some sensitive information…debug1: ssh_ecdsa_verify: signature correctdebug1: SSH2_MSG_NEWKEYS sentdebug1: expecting SSH2_MSG_NEWKEYSdebug1: SSH2_MSG_NEWKEYS receiveddebug1: Roaming not allowed by serverdebug1: SSH2_MSG_SERVICE_REQUEST sentdebug1: SSH2_MSG_SERVICE_ACCEPT receiveddebug1: Authentications that can continue: publickey,passworddebug1: Next authentication method: publickeydebug1: Trying private key: /home/mitchellchu/.ssh/id_rsadebug1: Trying private key: /home/mitchellchu/.ssh/id_dsadebug1: Trying private key: /home/mitchellchu/.ssh/id_ecdsadebug1: Next authentication method: password从上面可以看到,在CentOS中,系统使用了publickey,gssapi-keyex,gssapi-with-mic,和password来进行认证(上面颜色标记行,23行),而Debian此时则使用了Publickey和password两种。在连接CentOS的时候,在23行处花费了相当多的时间。我们在那里开始往下看,就能非常清楚的看到下面的信息:
#下面使用的是GSSAPI-KEYEX来进行验证debug1: Next authentication method: gssapi-keyex#但是报错:没有可用的Key来交换信息debug1: No valid Key exchange context#系统接着又使用下一个验证方法:GSSAPI-WITH-MICdebug1: Next authentication method: gssapi-with-mic#但遗憾的是,GSSAPI-WITH-MIC方法也失败。#原因:不能确定数字主机地址的域debug1: Unspecified GSS failure. Minor code may provide more informationCannot determine realm for numeric host addressdebug1: Unspecified GSS failure. Minor code may provide more informationCannot determine realm for numeric host addressdebug1: Unspecified GSS failure. Minor code may provide more informationdebug1: Unspecified GSS failure. Minor code may provide more informationCannot determine realm for numeric host address# 在尝试几次后,SSH认证终于放弃了这种验证。进入下一个验证:Publickeydebug1: Next authentication method: publickey除了这个方法还有其他方法么?这个自然是有的,CentOS其实就已经提供给我们一个解决方案了——使用ssh远程登录的时候禁用GSSAPI验证。当然,还有一个问题不得不注意,如果你的机器上启用了UseDNS的话,需要一并关闭,具体可参见最后的说明。
从错误可以看出应该是和主机域相关的问题——应该是无法确认IP对应的域,因此会出现这个问题。GSSAPI主要是基于Kerberos的,因此要解决这个问题也就变得要系统配置有Kerberos,这对于没有Kerberos的筒子们来说,配置个Kerberos就为了解决个登录延时问题,似乎不是个明智的决定——特别是在生产环境中!最小化满足需求才是王道。
下面先放出处理GSSAPI的方法禁用GSSAPI认证有两个方式:客户端和服务端
1. 客户端禁用比较简单,影响的只有单个客户端用户,可以用下面的方法实现:
代码如下:
用上面的方法登录远程,即可实现禁用GSSAPIAuthentication。
如果你嫌麻烦,直接配置你ssh客户端的文件/etc/ssh/ssh_config来达到永久解决这个问题:
代码如下:
这个修改方法是将所有这个机器上的用户都影响到了,如果你影响面不要那么的广泛,只要在指定的用户上实施禁用GSSAPIAuthentication的话,那么你可以在该用户的目录下,找到.ssh目录,在其下面添加config文件,并在文件内添加上面这句,如果没有这个文件,你也可以直接这么做:
代码如下:
使用cat,直接将输入导出到文件中,这时候,你在使用ssh连接远程的目标主机时,就不会再使用GSSAPI认证了。
上面这些文件是在客户端,不是服务端的。也就是说,要修改这个文件,你的客户端也要是Linux才行。
如果你是在Windows下使用PuTTY这样的客户端工具,就不使用上面这个方法了,PuTTY下可以尝试在连接之前进行设置:
代码如下:
如果没有关闭PuTTY的GSSAPIAuthentication,你可以在连接的窗口右键(或:Ctrl + 右键)查看日志,可以发现PuTTY会自动尝试GSSAPI连接的日志:
2014-05-18 23:46:54 Using SSPI from SECUR32.DLL2014-05-18 23:46:54 Attempting GSSAPI authentication2014-05-18 23:46:54 GSSAPI authentication request refused恩,上面基本上将客户端禁止GSSAPIAuthentication的方法罗列了一下。
注意:上面这些方法是比较通用的。
2、如果你已经配置了Kerberos的情况下那么你也可以尝试下如下的客户端解决这个问题的方法:
添加远程主机的主机名到你本机的host文件中(Linux是/etc/hosts,Windows是系统盘:\\Windows\\System32\\drivers\\etc\\hosts)。Linux和Windows下都可以添加下面这行。
代码如下:
添加完毕之后,保存退出。
如果你没有配置Kerberos的话,仅配置这个hosts文件一样是不能解决问题的,在使用ssh登录的时候,你可以看到报错日志会类似下面这样:
debug1: Authentications that can continue: publickey,gssapi-keyex,gssapi-with-midebug1: Next authentication method: gssapi-keyexdebug1: No valid Key exchange contextdebug1: Next authentication method: gssapi-with-micdebug1: Unspecified GSS failure. Minor code may provide more informationCredentials cache file \’/tmp/krb5cc_0\’ not founddebug1: Unspecified GSS failure. Minor code may provide more informationCredentials cache file \’/tmp/krb5cc_0\’ not founddebug1: Unspecified GSS failure. Minor code may provide more informationdebug1: Unspecified GSS failure. Minor code may provide more informationCredentials cache file \’/tmp/krb5cc_0\’ not founddebug1: Next authentication method: publickey这个错误我在刚开始的时候也犯了的,需要注意。
3、服务端禁用GSSAPIAuthentication。直接到/etc/ssh/sshd_config里面,将GSSAPIAuthentication yes改为no即可了,同时也请注意,你可能也需要将UseDNS这个也修改成UseDNS no(这个要注意,每个系统的默认值不同,此处以CentOS 6为例):
代码如下:
当禁用之后,我们需要重启SSH服务来保证新的配置文件被正确应用:
代码如下:
这个时候,再次使用SSH登录这个主机时,是不是感觉飞快了?
呼~ 终于完成了这篇长文,要一边捣腾一边弄出这些个文字,还是真是有点困难。不过,这样也就将问题捣腾的差不多了,希望看文章的你能够看的明白,欢迎讨论。
说明:1. GSSAPI:Generic Security Services Application Program Interface,GSSAPI本身是一套API,由IETF标准化。其最主要也是著名的实现是基于Kerberos的。一般说到GSSAPI都暗指Kerberos实现。
2. UseDNS:是OpenSSH服务器上的一个DNS查找选项,而且默认还是打开的,在打开的状态下,每当客户端尝试连接OpenSSH服务器的时候,服务端就自动根据用户客户端的IP进行DNS PTR反向查询(IP反向解析才会有记录),查询出IP对应的Hostname,之后在根据客户端的Hostname进行DNS正向A记录查询。通过这个查询,验证IP是否和连接的客户端IP一致。但绝大部分我们的机器是动态获取IP的,也就是说,这个选项对于这种情况根本就没用——即使是普通静态IP服务器,只要没有做IP反向解析,也难以适用。如果你符合这些情况,建议关闭UseDNS以提高SSH远程登录时候的认证速度。
ssh证书登录错误错误描述使用证书ssh链接的时候提示下面错误信息
Permission denied (publickey,gssapi-keyex,gssapi-with-mic,password). 可能原因authorizedkeys 或.ssh的权限太open .ssh 目录改成755 权限 authorizedkeys 改成600解决查看日志: cat /var/log/secure 发现 Aug 8 17:15:13 CentOS62 sshd[5624]: Authentication refused: bad ownership or modes for file /home/abc/.ssh/authorized_keys 查看.ssh权限为775 .ssh 手动创建的时候是775权限,改成755权限后正常 # chmod 755 ~/.ssh
2. 分享目的仅供大家学习和交流,请不要用于商业用途!
3. 如果你也有好源码或者教程,可以到用户中心发布投稿,分享有金币奖励和额外收入!
4. 本站提供的源码、模板、插件等等其他资源,都不包含技术服务 请大家谅解!
5. 如有链接无法下载、失效或广告,请联系站长,可领回失去的金币,并额外有奖!
6. 如遇到加密压缩包,默认解压密码为"www.zyfx8.cn",如遇到无法解压的请联系管理员!
本站部分文章、资源来自互联网,版权归原作者及网站所有,如果侵犯了您的权利,请及时联系我站删除。免责声明
资源分享吧 » SSH登录Linux服务器慢或者登陆错误的解决方法分享
常见问题FAQ
- 免费下载或者VIP会员专享资源能否直接商用?
- 本站所有资源版权均属于原作者所有,这里所提供资源均只能用于参考学习用,请勿直接商用。若由于商用引起版权纠纷,一切责任均由使用者承担。更多说明请参考 VIP介绍。
- 织梦模板使用说明
- 你下载的织梦模板并不包括DedeCMS使用授权,根据DedeCMS授权协议,除个人非盈利站点外,均需购买DedeCMS商业使用授权。购买地址: http://www.desdev.cn/service-dedecms.html
