CentOS 6.7に問題があります。SSHログインは、このネットワーク上の6.7以外のマシンよりも1大きくなります(例:7.2、5.11)。クライアント側でデバッグを実行すると、「対話型セッションに入る」でハングすることがわかりました。
このテストのベースに使用しているコマンドはtime ssh <host> true、ラップトップからSSHキーを使用したものです。
すでに確認/変更した2つのことはUseDNSおよびGSSAPIAuthenticationであり、両方とも無効になっています。
デバッグをオンにして別のポートで別のデーモンを起動し、短いハングが発生する場所を見つけました。
debug1: SELinux support enabled
debug3: ssh_selinux_setup_exec_context: setting execution context
{1s hang}
debug3: ssh_selinux_setup_exec_context: done
SELinuxは「permissive」に設定されています。なぜ「コンテキストの設定」に悩まされるのかはわかりません。SELinuxを完全に無効にすることなく、これら2つをうまくやり遂げる方法はありますか?私は1はそれほど多くないことを理解していますが、この特定のマシンをIPホワイトリストを持つホストへのSSHゲートウェイとして使用します(これは静的IPマシンです)。
straceを実行した後、ハングはもう少し細かくなります。
22:16:05.445032 open("/selinux/user", O_RDWR|O_LARGEFILE) = 4 <0.000090>
22:16:05.445235 write(4, "unconfined_u:system_r:sshd_t:s0-s0:c0.c1023 unconfined_u", 56) = 56 <0.334742>
22:16:05.780128 read(4, "18\0unconfined_u:system_r:prelink_mask_t:s0-s0:c0.c1023\0unconfined_u:system_r:unconfined_mount_t:s0-s0:c0.c1023\0unconfined_u:system_r:abrt_helper_t:s0-s0:c0.c1023\0unconfined_u:system_r:oddjob_mkhomedir_t:s0-s0:c0.c1023\0unconfined_u:system_r:unconfined_notrans_t:s0-s0:c0.c1023\0unconfined_u:system_r:unconfined_execmem_t:s0-s0:c0.c1023\0unconfined_u:system_r:unconfined_java_t:s0-s0:c0.c1023\0unconfined_u:system_r:unconfined_mono_t:s0-s0:c0.c1023\0unconfined_u:system_r:chkpwd_t:s0-s0:c0.c1023\0unconfined_u:system_r:passwd_t:s0-s0:c0.c1023\0unconfined_u:system_r:updpwd_t:s0-s0:c0.c1023\0unconfined_u:system_r:mount_t:s0-s0:c0.c1023\0unconfined_u:system_r:rssh_t:s0-s0:c0.c1023\0unconfined_u:system_r:xauth_t:s0-s0:c0.c1023\0unconfined_u:system_r:unconfined_t:s0-s0:c0.c1023\0unconfined_u:system_r:openshift_t:s0-s0:c0.c1023\0unconfined_u:unconfined_r:oddjob_mkhomedir_t:s0-s0:c0.c1023\0unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023\0", 4095) = 929 <0.000079>
への書き込み/selinux/userは、350msだけかかります。
アップデート1-私が試してからのこと:
- 更新しています。ボックスの多くは更新が必要です。これによるログイン時間への影響はありません。
semodule -d unconfined-これはプラスの効果をもたらし、ログイン時間を約500ミリ秒短縮しました。ただし、私のC7およびC5.11ボックス(私が(再)学習して以来、SELinuxが無効になっている)平均525ミリ秒- C6.7マシンの比較-64ビットボックスは32ビットボックスよりも高速であることがわかりました。たぶん、これは一部にとって「大げさ」な瞬間かもしれませんが、これらのボックスのどれも特に課税されないので、100〜300ミリ秒の変動を期待していませんでした。64ビットホストの1つで1秒マーク(850ミリ秒)を破ることができました。32ビットの最低値は1.085秒です。
頼みすぎですか?selinux-permissiveマシンのログイン時間は10〜1200ミリ秒が許容されますか?他の人のベンチマークが何であるかに興味があります。
システムログを確認してください。
—
マイケルハンプトン
私は...残念ながら、
—
Morgon
messagesまたは何も注目に値するものはありませんsecure
@Morgon:あなたは「fail2banの」のような何かを実行している場合は、ckecked持っている- fail2ban.org -そのマシン内および/またはあなたがする「速度制限」のいくつかの種類をやっているかもしれないいくつかの方法で「iptablesの」設定している場合ソースIPアドレスに応じた着信SSH接続?
—
ricmarques 2016年
ログが役に立たない場合、おそらくそれを使用して
—
Andrew B
strace、それがハングしている呼び出しを確認する必要があります。
ありがとう、@ AndrewB。ここに貼り付けました:pastebin.com/raw/3c08tcMd。「/ selinux / user」を検索すると、そのファイルに書き込もうとしているときに1sハングタイムが表示されます。-その道筋をたどると、「制限のない」ドメインの無効化に関するわずかに関連する投稿が見つかりました(bugzilla.redhat.com/show_bug.cgi?id=811656#c9)。これは私のログインから〜5秒を削りますが、それでもCent7 / FC4より.5秒遅いです。可能であれば、最後のパフォーマンスを引き出すことを検討しています。
—
モルゴン、2016年