ssh登录验证慢原因及解决

ssh登录内网服务器时，输入用户名很快，但是输入密码后要等很长时间才可以登录上去

原因1

DNS配置导致登陆慢

SSHD在缺省配置下SSH服务器在接受每一个连接时都会向DNS Server去请求一个逆向解析请求来解析客户端IP，过程如下：
当SSH client 连接到server后，server会向/etc/resolv.conf中的nameserver请求client端IP的逆向解析，而client端IP（或者是client端IP对应的域名？）在nameserver中不存在，所以会很慢。

进入/etc/resolv.conf，里面的域名服务器访问不到

• 在配置文件 /etc/resolv.conf中域名服务器改为search localdomain

或者

• 在配置文件 /etc/ssh/sshd_config 中设置一个可达的DNS服务器
• 在 /etc/hosts 文件中手动添加一条你登陆客户端与主机名的对应关系

原因2

GSSAPIAuthentication配置导致登陆慢

除了常见的useDNS配置可能导致ssh登陆慢之外，还有一个配置GSSAPIAuthentication也会导致登陆慢，该配置项的含义是允许GSSAPI认证，属于ssh协议的一种认证方式。ssh协议有多种认证方式，平时常用的有密码认证、公钥认证等，但ssh协议支持的远不止这两种，那么至于一次ssh登陆到底用哪种认证方式是怎么决定的呢？这个取决于ssh的客户端和服务端的协商的结果，ssh服务端决定了支持哪些登陆方式。在登陆过程中经常协商之后有个认证的顺序，然后依次选择认证方式，直到认证成功（登录方式可以通过ssh命令行中可以通过增加 -vvv 选项来打印整个登陆的过程的debug日志），我们不需要关心GSSAPI认证到底是什么鬼，只需关心为什么允许了GSSAPI认证就会导致ssh登陆慢呢？从debug信息很难看出来，还是通过抓包来看。通过抓包，同样也发现有大量的DNS反向域名解析的报文，但这次需要解析的是服务端的IP，同样由于客户端侧配置的DNS服务器不可达，导致超时重试多次。结合ssh登陆的过程日志，不难发现这写DNS反向域名解析的报文是GSSAPI认证需要的。

那么解决该问题就比较简单了，下面任何一种都可：

• ssh 客户端配置（ /etc/ssh/ssh_config ）将 GSSAPIAuthentication 设为 no
• ssh 服务端配置（ /etc/ssh/sshd_config ）将 GSSAPIAuthentication 设为 no
• ssh 客户端正确配置 DNS 服务器（ /etc/resolv.conf ）
• ssh 客户端 hosts 文件（ /etc/hosts ）增加服务端的IP、主机名对应关系