87 votes

M-Jack avatar

la connexion ssh met une éternité à s'initier, bloquée à "pledge : network" (gage : réseau)

Demandé el 28 de Juillet, 2016
Quand la question a-t-elle été
58391 affichage
Nombre de visites la question a
5 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

La connexion à l'un de mes serveurs à l'aide de ssh prend plus de 20 secondes pour être initiée.

Ceci n'est pas lié aux conditions de LAN ou WAN, puisque la connexion à lui-même se fait de la même manière (ssh localhost). Une fois que la connexion est enfin établie, il est super rapide d'interagir avec le serveur.

L'utilisation de -vvv montre que la connexion est bloquée après avoir dit "pledge : network". A ce moment, l'authentification (ici en utilisant la clé) est déjà faite, comme visible ici :

...
debug1: Authentication succeeded (publickey).
Authenticated to myserver.mydomain.com ([xx.xx.xx.xx]:22).
debug1: channel 0: new [client-session]
debug2: channel 0: send open
debug1: Requesting no-more-sessions@openssh.com
debug1: Entering interactive session.
debug1: pledge: network

(...coincé ici pendant 15 à 25 secondes...)

debug1: client_input_global_request: rtype hostkeys-00@openssh.com want_reply 0
debug2: callback start
debug2: fd 3 setting TCP_NODELAY
debug2: client_session2_setup: id 0
...

Le serveur est Ubuntu 16.04. Cela m'est déjà arrivé dans le passé avec un autre serveur (Ubuntu 12.04), j'ai trouvé la solution et le problème a disparu après un certain temps...

sshd_config est celui fourni par défaut par Ubuntu.

Jusqu'à présent, j'ai essayé :

  • en utilisant -o GSSAPIAuthentication=no dans la commande ssh
  • utiliser un mot de passe au lieu d'une clé
  • utilisation de UsePrivilegeSeparation no au lieu de yes, dans sshd_config
Demandé el 28 de Juillet, 2016 par M-Jack

1 votes

Avatar de Eric Renouf

Pour moi, les connexions SSH lentes sont généralement dues à des problèmes de DNS, est-ce que cela pourrait être le cas ici ? Par exemple, le serveur peut être bloqué en essayant d'effectuer un reverse DNS pour l'IP du client et en attendant que cela se termine.

Commenté el 28 de Juillet, 2016 par Eric Renouf

1 votes

Avatar de M-Jack

En fait non : par défaut UseDNS n'est pas défini dans sshd_config et la page de manuel indique que cette option est "no" par défaut.

Commenté el 28 de Juillet, 2016 par M-Jack

4 votes

Avatar de Andy

Quelques recherches sur Google suggèrent que cela peut être causé par la mise à jour de systemd sans redémarrage. Et il y avait un Mise à jour de systemd pour xenial le 12 juillet . systemctl restart systemd-logind ne résout le problème que pendant une courte période pour moi.

Commenté el 15 de Août, 2016 par Andy
Afficher 3 autres commentaires

Réponses

Trop de publicités?

63voto

multiholle avatar
multiholle Points 213

Il s'agit probablement d'un problème avec D-Bus y systemd . Si le dbus est redémarré pour une raison quelconque, vous devrez aussi redémarrer le service systemd-logind .

Vous pouvez vérifier si c'est le problème en ouvrant le journal du démon ssh (sur Ubuntu, ce devrait être /var/log/auth.log ) et vérifiez s'il comporte ces lignes :

sshd[2721]: pam_systemd(sshd:session): Failed to create session: Connection timed out

Si oui, il suffit de redémarrer systemd-logind service :

systemctl restart systemd-logind

J'ai eu ce même problème sur CentOS 7, car le messagebus a été redémarré (c'est ainsi que le D-Bus est appelé sur CentOS).

Répondu el 4 de Août, 2016 par multiholle (213 Points )

0 votes

Avatar de Mike

J'ai essayé de redémarrer systemd-logind mais au bout d'un moment, le daemon PolicyKit s'est déconnecté du bus. Nous ne sommes plus un agent d'authentification enregistré. Le job pour systemd-logind.service a échoué car le délai d'attente a été dépassé. Voir "systemctl status systemd-logind.service" et "journalctl -xe" pour plus de détails.

Commenté el 12 de Mai, 2017 par Mike

0 votes

Avatar de multiholle

@KunRen vous devez probablement redémarrer l'application polkit service utilisant systemctl restart polkit .

Commenté el 27 de Juin, 2017 par multiholle

0 votes

Avatar de Avio

C'était cela, merci !

Commenté el 10 de Février, 2021 par Avio

37voto

M-Jack avatar
M-Jack Points 1296

A trouvé la réponse :

changement de UsePAM de yes à no dans le fichier sshd_config

Après avoir redémarré le service ssh, la connexion est maintenant immédiate avec le serveur. Sur ce serveur, PAM est lié à ldap, c'est donc probablement la raison, même si ici je me connecte avec un utilisateur déclaré sur le serveur lui-même, et non un utilisateur LDAP.

C'est plutôt une façon de contourner le problème, pas vraiment une solution... J'ai d'autres serveurs configurés de la même manière qui n'ont pas ce problème.

J'espère que cela pourra aider quelqu'un...

Répondu el 28 de Juillet, 2016 par M-Jack (1296 Points )

3 votes

Avatar de M-Jack

Le fait de remplacer UsePAM par no a d'autres effets. Voir aussi cette discussion J'ai donc dû définir un mot de passe pour l'utilisateur, car j'ai obtenu des erreurs telles que User nagios not allowed because account is locked (l'utilisateur nagios n'est pas autorisé car le compte est verrouillé)

Commenté el 28 de Juillet, 2016 par M-Jack

7 votes

Avatar de Jakuje

Ce n'est vraiment pas une bonne idée.

Commenté el 28 de Juillet, 2016 par Jakuje

2 votes

Avatar de M-Jack

Pourquoi ? y a-t-il une alternative ?

Commenté el 29 de Juillet, 2016 par M-Jack
Afficher 3 autres commentaires

23voto

Viacheslav Ivanov avatar
Viacheslav Ivanov Points 631

Cela s'est produit sur deux de mes serveurs Fedora 25, et était dû à de nombreuses tentatives de connexion SSH ratées.

(Les suggestions communes d'utiliser GSSAPIAuthentication=no y UseDNS=no ou le redémarrage systemd-logind n'a fait aucune différence).

Sur ces serveurs, /etc/pam.d/postlogin contient :

session     optional      pam_lastlog.so silent noupdate showfailed

La page de manuel de pam_lastlog explique que le showfailed l'option sera :

Affiche le nombre de tentatives de connexion échouées et la date de la dernière tentative échouée de btmp.

Sur ces serveurs, le /var/log/btmp étaient énormes en raison de l'échec de nombreuses tentatives de connexion. Le site btmp les fichiers journaux n'ont pas été tournés non plus.

J'ai installé le logrotate pour s'assurer que les fichiers journaux seront tournés à l'avenir. (Sous Fedora, la configuration fournie avec le paquetage logrotate gère la rotation de /var/log/btmp .)

J'ai aussi supprimé l'énorme btmp Dès que j'ai fait cela, la connexion aux serveurs était à nouveau instantanée.

Répondu el 11 de Juin, 2017 par Viacheslav Ivanov (631 Points )

3 votes

Avatar de Nas Banov

Cela a résolu mon problème ! Je vous remercie. Belle prise. SSH prenait 5 à 10 secondes, et maintenant c'est moins qu'un clin d'œil. Il s'agit d'une VM que j'ai connectée à l'Internet public depuis des années. Ses règles de pare-feu pourraient probablement être légèrement améliorées, maintenant que j'y pense. Pour les autres, c'est tout ce que j'ai fait : sudo truncate -s 0 /var/log/btmp - Le mien avait une taille de 2,7 G.

Commenté el 2 de Février, 2018 par Nas Banov

1 votes

Avatar de diegoperini

C'était le problème pour moi, merci @CarlBennett

Commenté el 21 de Avril, 2020 par diegoperini

2 votes

Avatar de Theron S

Cela m'a permis de résoudre le problème après une longue recherche frustrante. Je vous remercie !

Commenté el 7 de Juillet, 2020 par Theron S
Afficher 1 autres commentaires

19voto

Jonathan Gutow avatar
Jonathan Gutow Points 221

Sur Ubuntu 16+, chaque fois que j'ai vu ssh -v XXX@YYY décrochage à pledge: network il peut être réparé en suivant les instructions que j'ai trouvées ici Un guide complet pour remédier à la lenteur des connexions SSH . Plus précisément, un module PAM optionnel qui ne semble pas être nécessaire est à l'origine du retard.

Sur /etc/pam.d/common-session sur la machine pour laquelle vous constatez un ralentissement des connexions (c'est-à-dire le serveur). Commentez la ligne session optional pam_systemd.so . Cela devrait immédiatement régler le problème.

Cela évite d'avoir à fermer complètement PAM qui paralyse la connexion avec les mots de passe.

Répondu el 13 de Janvier, 2020 par Jonathan Gutow (221 Points )

1 votes

Avatar de Arnie97

Cela fonctionne dans mon cas, et le lien est génial aussi. Merci beaucoup !

Commenté el 29 de Juin, 2020 par Arnie97

0 votes

Avatar de bomben

Cela semble fonctionner sur un Raspberry mais j'aimerais savoir ce que cela fait réellement.

Commenté el 29 de Décembre, 2020 par bomben

0 votes

Avatar de christian louboutin sale

Cela fonctionne ! Sur CentOS8, le fichier correspondant est /etc/pam.d/password-auth

Commenté el 26 de Août, 2021 par christian louboutin sale
Afficher 5 autres commentaires

7voto

Walter avatar
Walter Points 243

Le problème pour moi (Ubuntu 19.10) était que mon :

/etc/pam.d/sshd

# Print the message of the day upon successful login.
# This includes a dynamically generated part from /run/motd.dynamic
# and a static (admin-editable) part from /etc/motd.
session    optional     pam_motd.so  motd=/run/motd.dynamic
session    optional     pam_motd.so noupdate

En commentant les paramètres du motd, j'y suis entré directement.

Répondu el 28 de Mars, 2020 par Walter (243 Points )

1 votes

Avatar de Giovanni Bassi

Merci, c'était mon problème. Le Raspberry Pi 2 n'est pas à l'abri d'une telle situation.

Commenté el 1 de Novembre, 2020 par Giovanni Bassi

1 votes

Avatar de rtaft

Cela résout mes problèmes sur un Raspberry Pi, probablement causés par des vitesses microSD lentes.

Commenté el 11 de Novembre, 2020 par rtaft

0 votes

Avatar de Dale Anderson

Cela a également corrigé le problème de lenteur de connexion pour le service SSHD fonctionnant dans le sous-système Ubuntu pour Windows 20.04.

Commenté el 8 de Juillet, 2021 par Dale Anderson

Questions connexes

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X