BarsMonster Mar 22 2011 at 08:07

Ускоряем логин через SSH в Ubuntu в 100 раз

2 min

42K

*nix*

+125

Comments 44

farafontov Mar 22 2011 at 08:40

Вчера столкнулся когда сервер не получил днс, логин по ssh и запросы mysql по 10 секунд выполнялись
узнал в про skip-name-resolve и UseDNS no

icCE Mar 22 2011 at 09:01

От себя отмечу, что если вы ставите изночально minimal, таких вещей просто нету.

icCE Mar 22 2011 at 09:03

Куда то съелась часть. Я имел ввиду UseDNS.

aim Mar 22 2011 at 15:37

во-во! другое дело что убунту — это как раз обычно про тех людей что «доков не читали». да и вообще — упоминание о debian .seed файлах я что-то в вики ubuntu не нашёл. а не читая о debian-installer особо и не узнать про опции оного и как он вообще устроен.

BarsMonster Mar 22 2011 at 15:41

Кому в убунте нужно детали знать — сразу без вопросов в дебиане читают ;-)
PS. И склоняете в сторону трололо ;-)

side2k Mar 22 2011 at 09:19

Спасибо, полезно.

zeleniy87 Mar 22 2011 at 10:02

спасибо, давно искал решение

onix74 Mar 22 2011 at 10:03

Спасибо! Действительно быстрее вход происходит.

Holy_Cheater Mar 22 2011 at 10:34

На обычных машинах и не заметно даже, а на роутере с атомом вымораживает. Надо будет отключить motd

koct9i Mar 22 2011 at 10:47

ControlMaster auto
ControlPersist 5m
ControlPath ~/.ssh/%r@%h:%p

в ~/.ssh/config существенно ускоряют второй и последующие коннекты,
только вот ControlPersist появилась относительно недавно

BarsMonster Mar 22 2011 at 10:57

Это насколько я понимаю только для одновременно летящих коннектах…

koct9i Mar 22 2011 at 11:33

Да, и после закрытия последнего готовый мастер будет ещё 5 минут болтаться.
Прервать его можно командой ssh host -O exit
Ещё очень удобно использовать в скриптах: поднял марстер-коннект, он спросил пароль, а дальше все команды идут мгновенно без аутентификации и авторизации.

kasus Mar 22 2011 at 10:59

Требую такой смайлик на хабр

UrbanRider Mar 22 2011 at 11:02

Они вообще не нужны на Хабре. Хабрахабр — не блог Петросяна…

forgotten Mar 22 2011 at 11:27

… но временами его (блог Петросяна) очень напоминает.

BarsMonster Mar 22 2011 at 11:53

На хабре есть и юмор, в отведенных разделах. Просто везде нужна мера ;-)

kasus Mar 22 2011 at 14:42

Блог петросяна не читал, но смайл этот как замена всяких заунылых , как по-мне.
Ну и мне он нравится (не Петросян)

UrbanRider Mar 22 2011 at 16:11

Смайл — излишество. Лишняя графика не к чему. Я поклонник текстовых смайлов.
Естественно, это имхо.

BarsMonster Mar 22 2011 at 11:52

Смайл зачетный ) Но на хабре обитают люди, которым не влом в своём редакторе текст набивать, с любыми смайликами и фичами на выбор :-)

5ap Mar 22 2011 at 12:31

Поставь фрю

BarsMonster Mar 22 2011 at 12:35

Трололо :-)

braintorch Mar 22 2011 at 12:49

Жаль, нельзя два раза карму плюсануть.

Xarakternik Mar 22 2011 at 13:10

Спасибо!

cadmi Mar 22 2011 at 13:22

А когда наоборот, логинитесь из ubuntu клиента на solaris сервер, то у себя на ubunte в ~/.ssh/config или в /etc/ssh/ssh_config поставьте GSSAPIAuthentication no, а то тоже будет долго тормозить при входе.

Тоже однажды напоролся (до этого не тормозило, а после какого-то апдейта убунты начало), бесило жутко. Причем на freebsd или linux в этот же момент заходит нормально-моментально, а на Solaris как баран сидишь и смотришь на ворота. Сел, подумал головой (в солярном sshd по умолчанию kerberos есть), выключил в конфиге клиента, залетало.

allex Mar 22 2011 at 13:47

Где-то ещё я на это натыкался, в SUSE, если не ошибаюсь.

cadmi Mar 22 2011 at 13:54

Запросто может быть. Это логично — в «корпоративных дистрибутивах» наверняка Kerberos включен по умолчанию.

catharsis Mar 23 2011 at 00:16

в редхате в sshd по дефолту включен GSSAPI authentication, выключаю в sshd_config вместе с UseDNS :)

selenite Mar 22 2011 at 14:11

Еще полезно в удаленных конфигах сделать export MOZ_NO_REMOTE=1 на случай запуска firefox удаленно (vnc/x11/etc)

den_rad Mar 22 2011 at 15:02

Я думал это защита от брутфорса :)

Sicness Mar 22 2011 at 15:09

Вопрос:
После ptitude remove landscape-client landscape-common он мне предложил:

Следующие пакеты будут УДАЛЕНЫ:
landscape-common linux-headers-2.6.32-27{u}
linux-headers-2.6.32-27-generic-pae{u} linux-headers-2.6.32-28{u}
linux-headers-2.6.32-28-generic-pae{u} linux-headers-2.6.32-29{u}
linux-headers-2.6.32-29-generic-pae{u}
Он мне предалагет удалить все ядра? Чуть по привычке не читая не нажал Enter…

UFO landed and left these words here

cadmi Mar 22 2011 at 15:28

Он же не ядра предлагает удалить, а заголовки (-headers).
Наверное, они у Вас в системе просто никому по зависимостям больше не нужн, кроме этих двух landscape- пакетов.

Paskal Mar 22 2011 at 16:39

Если не сложно, поменяйте таки на apt-get remove, aptitude, я слышал, с какой-то версии зачем-то исключили из дистрибутива, да исключаем ситуацию «aptitude за собой подтирает». Простейший инструмент для простейшей операции.

catharsis Mar 23 2011 at 00:18

да, apt говорит, зачем он их удаляет:)

stolen Mar 22 2011 at 21:59

У меня на геоде (500 МГц) еще неистово тормозил bash_completion, который неторопясь подсасывается при старте шелла. Рекомендую заправить конфиг на эту тему, если машина слабая.

catharsis Mar 23 2011 at 00:19

ну и command-not-found тоже можно снести тогда, а то одна опечатка и ждешь несколько секунд :)

stolen Mar 23 2011 at 00:21

Этот, не включенный в базовый набор, лучше просто не ставить. Его никто насильно не тянет, если ставить пакеты с --no-install-recommends

impass Mar 22 2011 at 22:15

UseDNS no в /etc/ssh/sshd_config — ускоряет логин в случае тормозного DNS. В моём случае стоял локальный кеширующий DNS, потому и так все было быстро.

Вот предлагаете решение, а его смысл хоть понимаете?

UseDNS — Specifies whether sshd(8) should look up the remote host name and check that the resolved host name for the remote IP address maps back to the very same IP address. The default is «yes».
На самом деле несколько странно, почему эта фича включена по умолчанию. Время авторизации по хостам давно уже минуло.

impass Mar 22 2011 at 22:15

И на askubuntu.com вопрос c bounty уныло провисел долгие недели без ответа

impass Mar 22 2011 at 22:17

видать, там такие же лентяи, не читают никогда логов, в которых в таких случаях пишется

reverse mapping checking getaddrinfo for dynamic-ip-190159196205.cable.net.co [190.159.196.205] failed — POSSIBLE BREAK-IN ATTEMPT!

catharsis Mar 23 2011 at 00:25

ну мапилось бы оно и туда и обратно — что это дает?
как наличие FQDN у клиента повышает безопасность?
проверил свою обратную зону — 89-178-207-*.broadband.corbina.ru, прекрасно мапится обратно в айпишник.

impass Mar 23 2011 at 00:33

Не у всех мапится. У кого-то хостнейма вообще нет.
Как влияет — честно говоря, не понятно. :) Разработчики SSH о чём-то своём думали.

xenon Mar 23 2011 at 10:15

Как я понимаю, влияет только на читаемость и доверие к логам. Если опция включена, в логах нет никаких предупреждений, и есть запись о том, что был логин с www.microsoft.com, то в этом случае вы уже точно уверены, что это кто-то из майкрософта. А без этой опции доверять доменным именам в логах нельзя, потому что реверс можно любой прописать. Надо только IP смотреть.

mocksoul Mar 25 2011 at 03:50

ну и плюс можно пускать только конкретных пользователей с конкретных машин по хостнейму. Так часто делают, когда организуют одну точку входа на несколько серверов. Т.е. когда есть какой-то сервер куда можно логинится отовсюду, и кучка серверов, куда — только с первого.