Медленый вход на ssh в Fedora 18

1

4

Если хост с Fedora 18, на котором по не понятной причине тормозит вход по ssh. Может длиться до 5 минут, хотя чаще около минуты. При повторных входах логинимся быстро. Появилось сразу после обновления с Fedora 17 на 18

Первое подозрение было на DNS, но он там во-первых работает, а во вторых проблема проявляется и при отключении DNS в sshd (UseDNS no).

Куда копать?

Ссылка

←	brocade fc switch: got invalid domain id -1 or domain id is missing in FabricInfo data page

IPIP туннелирование

→

А если ssh -v? На каком моменте затыкается?

PaRuSoft ★★★★
(12.11.13 20:16:06 MSK)

вывод ssh -vvv

~~Deathstalker~~ ★★★★★
(12.11.13 20:24:53 MSK)

Ссылка

вывод ssh -vvv кину как снова начнет тормозить, пока входит быстро

maxcom ★★★★★
(12.11.13 20:28:00 MSK) автор топика

Ссылка

Если хост с Fedora 18

Это же ЛОР, да?

dvrts ★★★
(12.11.13 22:33:18 MSK)

Ссылка

Попробуй на клиенте имя хоста в hosts добавить.

ukr_unix_user ★★★★
(12.11.13 22:38:45 MSK)

Ссылка

ой да, было похожее, когда на тачке с которой цеплялся в /etc/nsswitch.conf был один из mdns
только я не помню какой. Как-то это было связано с avahi

ii343hbka ★★★
(12.11.13 22:42:59 MSK)

Ссылка

Ответ на: комментарий от PaRuSoft 12.11.13 20:16:06 MSK

Затыкается на «debug1: Entering interactive session.»

maxcom ★★★★★
(13.11.13 08:51:25 MSK) автор топика

Ответ на: комментарий от maxcom 13.11.13 08:51:25 MSK

на этой машине в момент логина доступны все сетевые ресурсы, если таковые используются? sshfs? nfs? cifs?

ukr_unix_user ★★★★
(13.11.13 22:55:09 MSK)

Ответ на: комментарий от ukr_unix_user 13.11.13 22:55:09 MSK

только ext4, никаких сетевых файловых систем

maxcom ★★★★★
(14.11.13 08:14:45 MSK) автор топика

Ссылка

https://www.google.ru/search?q=ssh long delay after debug1: Entering interact... (там, правда, в основном убанту) - перезпустить dbus и/или остановить avahi.

~~berrywizard~~ ★★★★★
(14.11.13 10:53:20 MSK)

Ответ на: комментарий от berrywizard 14.11.13 10:53:20 MSK

avahi и правда зачем-то был запущен, но его остановка не помогла

maxcom ★★★★★
(14.11.13 12:38:42 MSK) автор топика

Ответ на: комментарий от maxcom 14.11.13 12:38:42 MSK

включил debug в ssh на сервере, может там что-нибудь найдется

maxcom ★★★★★
(14.11.13 12:45:18 MSK) автор топика

Ссылка

ssh с fedora18 на ту же fedora18 как проходит?

blackst0ne ★★★★★
(14.11.13 12:47:21 MSK)

Ответ на: комментарий от blackst0ne 14.11.13 12:47:21 MSK

чтобы это выяснить надо как-то туда попасть, а вход туда только по ssh

maxcom ★★★★★
(14.11.13 15:09:23 MSK) автор топика

Ссылка

Вот что видно из логов:

Nov 14 15:09:38 fiona sshd[1239227]: Accepted publickey for maxcom from XXX.XXX.XXX.XXX port 40850 ssh2
Nov 14 15:09:38 fiona sshd[1239227]: debug1: monitor_child_preauth: maxcom has been authenticated by privileged process
Nov 14 15:09:38 fiona sshd[1239227]: debug1: monitor_read_log: child log fd closed
Nov 14 15:09:38 fiona sshd[1239227]: debug1: SELinux support disabled
Nov 14 15:09:38 fiona sshd[1239227]: debug1: PAM: establishing credentials
Nov 14 15:09:38 fiona sshd[1239227]: pam_unix(sshd:session): session opened for user maxcom by (uid=0)
Nov 14 15:12:42 fiona sshd[1239227]: User child is on pid 1239438
Nov 14 15:12:42 fiona sshd[1239438]: debug1: PAM: establishing credentials
Nov 14 15:12:42 fiona sshd[1239438]: debug1: permanently_set_uid: 520/520
Nov 14 15:12:42 fiona sshd[1239438]: debug1: Entering interactive session for SSH2.

проблема в PAM? Как его debug'ить?

maxcom ★★★★★
(14.11.13 15:17:49 MSK) автор топика

Может рандома не хватает в /dev/random? Хотя вряд ли. Но можно попинговать на всякий случай. Хост на виртуалке?

Harald ★★★★★
(14.11.13 15:21:51 MSK)

Ссылка

Ответ на: комментарий от maxcom 14.11.13 15:17:49 MSK

что в pam.d/sshd?

~~sdio~~ ★★★★★
(14.11.13 16:18:11 MSK)

Ответ на: комментарий от sdio 14.11.13 16:18:11 MSK

#%PAM-1.0
auth       required     pam_sepermit.so
auth       substack     password-auth
auth       include      postlogin
account    required     pam_nologin.so
account    include      password-auth
password   include      password-auth
# pam_selinux.so close should be the first session rule
session    required     pam_selinux.so close
session    required     pam_loginuid.so
# pam_selinux.so open should only be followed by sessions to be executed in the user context
session    required     pam_selinux.so open env_params
session    optional     pam_keyinit.so force revoke
session    include      password-auth
session    include      postlogin

файл из пакета, не менялся

maxcom ★★★★★
(14.11.13 17:26:32 MSK) автор топика
Последнее исправление: maxcom 14.11.13 17:27:10 MSK (всего исправлений: 1)

Ответ на: комментарий от maxcom 14.11.13 17:26:32 MSK

Ещё вот рекомендуют в hosts добавить адрес+имя хоста, с которого идёт подключение. Ещё где-то проскакивал kerberos, но деталей не скажу.

~~berrywizard~~ ★★★★★
(15.11.13 10:16:53 MSK)

Ссылка

ForwardX11 no

ForwardX11Trusted no

XAuthLocation /bin/false

не поможет?

sergej ★★★★★
(15.11.13 13:12:15 MSK)

Ответ на: комментарий от sergej 15.11.13 13:12:15 MSK

неа, проблемы повторяются и без X'ов на клиенте. Мне кажется проблемы где-то в pam в районе session

maxcom ★★★★★
(15.11.13 13:23:58 MSK) автор топика

Ответ на: комментарий от maxcom 15.11.13 13:23:58 MSK

Сделать

strace -f /usr/bin/sshd -p 12345 -D

на сервере и зайти на этот порт

sergej ★★★★★
(15.11.13 16:23:13 MSK)

Ссылка

Нашел в чем была проблема. Файл /var/log/btmp отрос до размера 1.5Gb, видимо кто-то яростно brut force'ил машинку. Из-за этого pam модуль который показывает прошлые неудачные попытки входа тупил со страшной силой.

Файлик подрезал, все стало снова быстро. Конфиг logrotate остался с какой-то древней версии.

maxcom ★★★★★
(26.11.13 21:47:30 MSK) автор топика