合 Linux中使用ssh连接服务器很慢的几种情况

情况1：GSSAPI问题

现象

在局域网内，能ping通目标机器，并且时延是微秒级。

用ssh连局域网内其他linux机器，会等待10-30秒才有提示输入密码。严重影响工作效率。

分析

正是从gssapi-with-mic这一行开始，开始耗时间。

1. GSSAPI ( Generic Security Services Application Programming Interface) 是一套类似Kerberos 5 的通用网络安全系统接口。该接口是对各种不同的客户端服务器安全机制的封装，以消除安全接口的不同，降低编程难度。但该接口在目标机器无域名解析时会有问题。GSSAPI本身是一套API，由IETF标准化。其最主要也是著名的实现是基于Kerberos的。一般说到GSSAPI都暗指Kerberos实现。

2. UseDNS：是OpenSSH服务器上的一个DNS查找选项，而且默认还是打开的，在打开的状态下，每当客户端尝试连接OpenSSH服务器的时候，服务端就自动根据用户客户端的IP进行DNS PTR反向查询（IP反向解析才会有记录），查询出IP对应的Hostname，之后在根据客户端的Hostname进行DNS正向A记录查询。通过这个查询，验证IP是否和连接的客户端IP一致。但绝大部分我们的机器是动态获取IP的，也就是说，这个选项对于这种情况根本就没用——即使是普通静态IP服务器，只要没有做IP反向解析，也难以适用。如果你符合这些情况，建议关闭UseDNS以提高SSH远程登录时候的认证速度。

解决

除了常见的useDNS配置可能导致ssh登陆慢之外，还有一个配置GSSAPIAuthentication也会导致登陆慢，该配置项的含义是允许GSSAPI认证，属于ssh协议的一种认证方式。ssh协议有多种认证方式，平时常用的有密码认证、公钥认证等，但ssh协议支持的远不止这两种，那么至于一次ssh登陆到底用哪种认证方式是怎么决定的呢？这个取决于ssh的客户端和服务端的协商的结果，ssh服务端决定了支持哪些登陆方式。在登陆过程中经常协商之后有个认证的顺序，然后依次选择认证方式，直到认证成功（登录方式可以通过ssh命令行中可以通过增加 -vvv 选项来打印整个登陆的过程的debug日志），我们不需要关心GSSAPI认证到底是什么鬼，只需关心为什么允许了GSSAPI认证就会导致ssh登陆慢呢？从debug信息很难看出来，还是通过抓包来看。通过抓包，同样也发现有大量的DNS反向域名解析的报文，但这次需要解析的是服务端的IP，同样由于客户端侧配置的DNS服务器不可达，导致超时重试多次。结合ssh登陆的过程日志，不难发现这写DNS反向域名解析的报文是GSSAPI认证需要的。

那么解决该问题就比较简单了，下面任何一种都可：

• ssh 客户端配置（ /etc/ssh/ssh_config ）将 GSSAPIAuthentication 设为 no
• ssh 服务端配置（ /etc/ssh/sshd_config ）将 GSSAPIAuthentication 设为 no
• ssh 客户端正确配置 DNS 服务器（ /etc/resolv.conf ）
• ssh 客户端 hosts 文件（ /etc/hosts ）增加服务端的IP、主机名对应关系

方式一：

修改本地机器的hosts文件，将目标机器的IP和域名加上去。或者让本机的DNS 服务器能解析目标地址。

其格式是“目标机器IP 目标机器名称”这种方法促效。没有延迟就连上了。不过如果给每台都加一个域名解析，挺辛苦的。但在windows下用putty或secure-crt时可以采用这种方法。

方式二：

修改本机的客户端配置文件ssh_config，注意，不是sshd_config，修改“GSSAPIAuthentication yes”为“GSSAPIAuthentication no”，如下：

再连目标机器，速度就飞快了。

另外，若不能修改参数，则可以直接使用如下命令连接：

或者：

如果你是在Windows下使用PuTTY这样的客户端工具，就不使用上面这个方法了，PuTTY下可以尝试在连接之前进行设置：

PuTTY Configuration -> Connection -> SSH -> Auth -> GSSAPI -> (取消勾选)Attempt GSSAPI authentication(SSH-2 only)

情况2：DNS问题

现象：

后续精彩内容已被站长无情隐藏，请输入验证码解锁本文！

验证码：

获取验证码： 请先关注本站微信公众号，然后回复“验证码”，获取验证码。在微信里搜索“AiDBA”或者“dbaup6”或者微信扫描右侧二维码都可以关注本站微信公众号。