SSH oturum açma işlemlerinin bu ağdaki herhangi bir 6.7 olmayan makineden 1s fazla olduğu CentOS 6.7 ile ilgili bir sorun yaşıyorum (ör. 7.2, 5.11). İstemci tarafında hata ayıklama çalıştırıldığında "Etkileşimli oturuma giriliyor" ifadesi kilitlendi.
Bu testi temel almak için kullandığım komut time ssh <host> true, SSH Anahtarları kullanan dizüstü bilgisayarımdan.
Modifiye Zaten kontrol ettim iki şey / vardır UseDNSve GSSAPIAuthenticationve her iki devre dışıdır.
Hata ayıklama ile farklı bir bağlantı noktasında ayrı bir arka plan programı başlattım ve kısa asmanın gerçekleştiği yeri buldum:
debug1: SELinux support enabled
debug3: ssh_selinux_setup_exec_context: setting execution context
{1s hang}
debug3: ssh_selinux_setup_exec_context: done
SELinux 'izin verici' olarak ayarlanmıştır. Neden "ayar bağlamı" ile rahatsız bile emin değilim. Bu ikisini SELinux'u tamamen devre dışı bırakmadan daha iyi bir hale getirmenin bir yolu var mı? 1'lerin çok fazla olmadığının farkındayım, ancak bu belirli makineyi IP beyaz listelerine sahip ana bilgisayarlar için bir SSH ağ geçidi olarak kullanıyorum (bu statik bir IP makinesidir) ve gün boyunca eklenir.
Bir strace çalıştırdıktan sonra, askı biraz daha parçalı:
22:16:05.445032 open("/selinux/user", O_RDWR|O_LARGEFILE) = 4 <0.000090>
22:16:05.445235 write(4, "unconfined_u:system_r:sshd_t:s0-s0:c0.c1023 unconfined_u", 56) = 56 <0.334742>
22:16:05.780128 read(4, "18\0unconfined_u:system_r:prelink_mask_t:s0-s0:c0.c1023\0unconfined_u:system_r:unconfined_mount_t:s0-s0:c0.c1023\0unconfined_u:system_r:abrt_helper_t:s0-s0:c0.c1023\0unconfined_u:system_r:oddjob_mkhomedir_t:s0-s0:c0.c1023\0unconfined_u:system_r:unconfined_notrans_t:s0-s0:c0.c1023\0unconfined_u:system_r:unconfined_execmem_t:s0-s0:c0.c1023\0unconfined_u:system_r:unconfined_java_t:s0-s0:c0.c1023\0unconfined_u:system_r:unconfined_mono_t:s0-s0:c0.c1023\0unconfined_u:system_r:chkpwd_t:s0-s0:c0.c1023\0unconfined_u:system_r:passwd_t:s0-s0:c0.c1023\0unconfined_u:system_r:updpwd_t:s0-s0:c0.c1023\0unconfined_u:system_r:mount_t:s0-s0:c0.c1023\0unconfined_u:system_r:rssh_t:s0-s0:c0.c1023\0unconfined_u:system_r:xauth_t:s0-s0:c0.c1023\0unconfined_u:system_r:unconfined_t:s0-s0:c0.c1023\0unconfined_u:system_r:openshift_t:s0-s0:c0.c1023\0unconfined_u:unconfined_r:oddjob_mkhomedir_t:s0-s0:c0.c1023\0unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023\0", 4095) = 929 <0.000079>
Yazmak /selinux/usersadece 350 ms sürer.
Güncelleme 1 - O zamandan beri denediğim şeyler :
- Güncelleniyor. Kutuların çoğu güncelleme gerektiriyordu. Bunun oturum açma süreleri üzerinde önemli bir etkisi olmamıştır.
semodule -d unconfined- Bunun olumlu bir etkisi oldu, giriş sürelerini yaklaşık 500ms azalttı. Ancak, C7 ve C5.11 kutularım (o zamandan beri öğrendiğim SELinux devre dışı) ortalama ~ 525ms- C6.7 makinelerimi karşılaştırma - 64 bitlik kutular 32 bitlik kutulardan daha hızlı çıkıyor. Belki bu bazıları için bir 'duh' anıdır, ancak bu kutuların hiçbiri özellikle vergilendirilmediğinden, 100-300ms varyans beklemiyordum. 64bit ana bilgisayarlardan birinde 1 işareti (850 ms) kırmayı başardım. 32bit'de en düşük değer 1.085s olmuştur
Çok mu soruyorum? 10-1200ms, selinux-permissive makineleri için kabul edilebilir bir giriş zamanı mıdır? Başkalarının kriterlerini merak ediyorum.
messagesya dasecure
stracehangi çağrıda asılı olduğunu görmeli ve görmelisiniz.