CentOSでSSHのログインがとても遅かった件

1. SSHのログインが遅い・・・・!

CentOSを導入してみた。で、LDAPの設定をして、SSHで接続しようと思ったんだけど遅い、遅すぐる・・・!

どこが遅いのかというと、SSHで接続に行ってパスワードの入力を促されるまでに10秒ほど待たされる。コレは参った。

で、SSHの応答が遅い –> サーバでDNSの逆引きを疑え! という格言がある通り(わしが言った!)、まずココを疑う。

対象のホストでDNSで逆引きしてみる。ちゃんとうまくいく・・・。

ついでに色々とログインしてみたら、公開鍵での認証は早いみたい。どうやらパスワードの認証だけがやたらめったら遅いらしい。

2. SSHクライアント側のデバッグモード

さて困ったぞ、ということで色々ググってみると、どうやらクライアント側(OpenSSH)には –v オプションでverboseモードがあるらしい。

これでsshクライアントが何をしているか色々と教えてくれるらしい。 で、早速試してみた。


shell>  ssh -v centos

OpenSSH_5.8p1 Debian-7ubuntu1, OpenSSL 1.0.0e 6 Sep 2011
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: Applying options for *

…(中略)…

debug1: Authentications that can continue: publickey,gssapi-keyex,gssapi-with-mic,password
debug1: Next authentication method: gssapi-keyex
debug1: No valid Key exchange context
debug1: Next authentication method: gssapi-with-mic


debug1: Unspecified GSS failure.  Minor code may provide more information
Credentials cache file '/tmp/krb5cc_1010' not found

debug1: Unspecified GSS failure.  Minor code may provide more information
Credentials cache file '/tmp/krb5cc_1010' not found

debug1: Unspecified GSS failure.  Minor code may provide more information

debug1: Unspecified GSS failure.  Minor code may provide more information
debug1: Next authentication method: publickey
debug1: Trying private key: /home/hogetan/.ssh/id_rsa
debug1: Trying private key: /home/hogetan/.ssh/id_dsa
debug1: Trying private key: /home/hogetan/.ssh/id_ecdsa
debug1: Next authentication method: password
<a href="mailto:[email protected]">hogetan</a><a href="mailto:[email protected]">@centos</a><a href="mailto:[email protected]">’s</a> password:


二度ほどタイムアウトを待っている箇所があった。まず一つ目が “Next authentication method: gssapi-with-mic” というところで、もう一カ所が “Unspecified GSS failure. Minor code may provide more information” の箇所だ。

これらがどうやら引っかかっているらしい。見たところkerberos認証どうのこうの、だけど、このホストではkerberosを利用していない。

恐らくその辺がヘンなことをしてるんだろう。

3. サーバの設定

で、調べてみると sshd_config にGSS-APIを利用するか否か、の設定があるらしいことが書いてあった。

CentOSではGSSAPIAuthenticationがデフォルトでyesになっているようなので、コレをコメントアウトしてOpenSSHのデフォルト値のnoにしてみた。

明示的に指定しても良さそう。


shell> grep GSSAPI /etc/ssh/sshd_config

# GSSAPI options
#GSSAPIAuthentication no
#GSSAPIAuthentication yes
#GSSAPICleanupCredentials yes
#GSSAPICleanupCredentials yes
#GSSAPIStrictAcceptorCheck yes
#GSSAPIKeyExchange no

これでログインが早くなった。めでたしめでたし。

「CentOSでSSHのログインがとても遅かった件」への1件のフィードバック

  1. ピンバック: 備忘録

コメントを残す