快杰云主机 SSH 登录缓慢的排查和解决

最新推荐文章于 2025-01-20 19:35:55 发布
原创 最新推荐文章于 2025-01-20 19:35:55 发布 · 608 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#云主机 #云服务

本文详细介绍了UCloud快杰云主机在使用高内核Ubuntu18.04镜像时,首次SSH登录缓慢的问题。问题根源在于Linux内核随机数熵池初始化慢,以及libssl 1.1.1版本的bug。经过排查,通过升级内核并启用CONFIG_RANDOM_TRUST_CPU选项解决了问题,确保了云主机的安全性和用户体验。

快杰云主机是 UCloud 推出的具备优秀性能与极高性价比的新一代主机,网络最高可达 1000 万 PPS,存储最高可达 120 万 IOPS。为了提升产品综合表现,Host 内核、KVM 和 Guest 内核等做了大量调优。“高内核 Ubuntu18.04” 镜像就是其中一款经优化的云主机镜像,集成了官方 linux 5.0.1 主线版本内核。


今年 7 月,有一位用户反馈,使用该镜像创建出的快杰云主机每次启动时,第一次 SSH 登录会很慢,有时候需几十秒甚至几分钟才能登录成功,影响了使用体验。


经过排查,定位到是 Linux 内核随机数熵池初始化慢的原因,且在多个条件组合下才会触发。更深入调查则发现因为内核 bug,凡使用了 libssl 1.1.1 的进程(如开启了 https 的 nginx)都有类似问题,会对系统安全产生不少潜在影响。


最终我们通过升级自主维护的内核,很快妥善修复了该问题,保证了快杰云主机的体验和安全性。

本文对排查过程加以梳理。

初步排查

该问题只在单个用户上出现过,且只影响启动后的首次 SSH 登录,一旦登录成功便恢复正常。现场捕获不易,不过我们设法将其复现。
ssh -v

打开 ssh 用户端的冗余日志模式尝试登录问题主机,发现总是会卡在 “debug1: pledge: network” 处,根据提示,sshd 已经完成了用户的身份认证过程。


可以看出,问题应当是发生在身份鉴定刚完成后,由此判断,问题有较大可能是发生在 /etc/pam.d/sshd 定义的 PAM 过程中。
motd

检视 /etc/pam.d/sshd 文件,根据现象以及直觉,决定尝试先屏蔽几段配置,其中就包括 motd 行,motd (message of the day) 是 Ubuntu 登录后呈现给用户看到的部分 banner 内容。随后重启主机,发现 ssh 登录变快,不再卡住。


查阅资料可知,motd 机制下,pam_motd.so 会依次执行 /etc/update-motd.d/ 目录下的全部脚本,而这些脚本的输出则会被拼凑输出到文件 /run/motd.dynamic 中,最终呈现在 banner 中。


因此,怀疑是这些脚本的执行过程中产生的卡顿,阅读这些脚本,执行断点 echo 调试,最后发现,位于”50-landscape-sysinfo”脚本中的 “/usr/bin/landscape-sysinfo” 命令执行时就会造成卡顿。


landscape-sysinfo

该命令仅仅是一个用来搜集显示 bann

最低0.47元/天 解锁文章
Linux:Security: random: RANDOM_TRUST_CPU;random.trust_cpu;entropy;随机熵
mzhan017的博客
10-21 883
文章目录gcc plugin latent entropy,潜在熵 gcc plugin latent entropy,潜在熵 安全随机商 https://lwn.net/Articles/688492/ https://grsecurity.net/pipermail/grsecurity/2012-July/001093.html https://factorable.net/weakkeys12.extended.pdf
kali 安装landscape-sysinfo,让ssh登录系统时显示系统及网卡信息
zhousmq的专栏
07-22 1802
landscape-sysinfo是一个非常不错的工具,能让你在ssh连接到系统时,直观看到系统基本信息(如下) test@wklls:~$ ssh test@192.168.1.5 test@192.168.1.5's password: Welcome to Ubuntu 16.04.6 LTS (GNU/Linux 4.4.0-154-generic x86_64) Syste...
云上战“疫”背后:云主机的技术担当
Ucloud_TShare的博客
02-19 1109
新冠肺炎催生了办公、医疗、教育等行业的“线上解决”,加速了各行业与“云”的结合,也对不少服务企业提出了新的考验:持续攀登的高并发、多连接,需要更加高性能稳定的云平台支撑,确保不宕机、不卡断以及流畅稳定的云上体验。 在这场战“疫”中,UCloud云主机历经了多项考验,在计算、网络、存储各方面均具备优异性能。其中,为了响应“停课不停学”的号召,云主机为小禾科技线上教育直播平台提供了高性能稳定...
ssh登录阻塞在pledge: network的解决方法
热门推荐
littleRpl的博客
11-25 2万+
ssh登录阻塞在pledge: network的解决方法一 前言二 解决方法三 关于systemd-logind 一 前言 ssh 登录服务器是发生阻塞,大约会15-60秒才能登录成功。 使用 ssh -v debug方式登录。可以查看登录过程是在哪一个环节阻塞的。 ssh -v 192.168.0.17 如下图可以看到是network这一块发生了阻塞,大约30秒后才登录成功。 查资料,只找到这这样一段话: This is probably an issue with D-Bus and system
SSH stuck at pledge network
yijiull
01-11 1089
最近登录服务器做实验的时候发现 ssh 要等几十秒才能完成登录,非常郁闷,找了很久也没清楚怎么回事,最终重启解决问题。 ssh 登录的时候加上 -vvv 参数,查看发现是卡在 peldge network 这一步 谷歌一下搜到这个答案:link,大概有以下几种可能的方案: btmp 文件太大了,清理一下:echo "" > /var/log/btmp。一般是由于被人暴力破解导致的。 禁用 DNS 解析:设置修改 /etc/ssh/sshd_config 中的 UseDNS no 重启 system
ubuntu1804安装landscape-sysinfo
littlehaes的博客
11-18 1942
sudo apt install landscape-common
WSL升级每天启动信息显示的landscape出现Permission denied
桑榆肖物
11-19 840
/etc/update-motd.d/50-landscape-sysinfo: 17: cannot create /var/lib/landscape/landscape-sysinfo.cach 这个是每天 wsl 登录后会显示的一些系统信息,虽然上面的报错没什么影响,这个功能也可能有些鸡肋,所以很多解决方案是不用这个功能了,直接删除。按照存在即合理,其实解决也很简单,不是没有权限么,直接给这个文件暴力777没有什么是你不能写的。然后删除今天已经显示过的标记。处理WSL升级后的如下报错。
由Linux内核bug引起SSH登录缓慢问题的排查解决
程序猿DD
12-03 1310
云主机是UCloud推出的具备优秀性能与极高性价比的新一代主机,网络最高可达 1000 PPS,存储最高可达 120 IOPS。为了提升产品综合表现,Host内核、KVMG...
RK3588命令行(SSH登录字符logo修改
嵌入式开发记录
06-21 1613
如果需要静态motd消息,那么在/etc/目录下,新建或者修改配置文件motd,在其中定制你需要的登录后信息即可。文件记录了操作系统的名称版本号,这些登录提示很明显的泄漏了系统信息,为了安全起见,建议将系统相关信息去除。,分别是用来控制debug串口登录显示SSH登录显示的,后面的像Debian系发行版,对。就是SSH或者debug串口登录后显示的内容logo,直接修改即可;修改方式其实很容易就能找到,但是,其背后的运行逻辑,网上的资料较少。文件,系统登录后,显示的字符界面其实来自于。
python3random linux熵_linux随机数使用熵不足导致程序运行缓慢
weixin_39644146的博客
12-08 918
熵池不足导致的运行缓慢问题有些程序运行加密时,系统会从虚拟设备(/dev/random)中取用随机数以供使用。然而,/dev/random会使用熵池中的数据来生成随机数.在熵不足时,生成随机数非常缓慢,导致阻塞.nginx,apache,tomcat,PHP等很多程序都会用到随机数,可以说很重要.什么熵Entropy(熵,[shāng])在信息论中表示数据的混乱程度或者不确定性,可理解为随机数据。...
landscape:景观图视点可视化
05-12
风景 景观图数据可视化。 这些可视化效果符合 。 该工具将与之关联的项目组合维度作为输入数据集; 然后,它可以确定为xy轴选择的尺寸上最佳布局的值的最佳顺序。 然后,它生成布局,如果投资组合中有多个项目映射到该表,则在表格中拆分一个单元格,并在相邻单元格中合并项目。 这些可视化是一种宝贵的交流工具,可提供对应用程序组合运行状况的深入了解。 高密度区域表示分散的产品组合或冗余; 范围较大可能表示过度扩展。 如果您喜欢@ steelbreeze / landscape,请对其加注星标。 安装 从发布页面下载landscape.min.js。 一旦添加到您的项目中,该API将在landscape全局对象下可用。 用法 该API分为四个主要功能: getAxes:分析源数据数组并返回一对轴(给定属性名称的一组不同值)。 getOptimalAxes:getOptimalAxes的替代方
headsup:无外部依赖的Ubuntu风景信息的替代品
04-30
小心 一个无外部依赖的Ubuntu风景信息的简单替代品,它的运行时间是/etc/update-motd.d/50-landscape-sysinfo 10%。 因为性能很重要。 最初是从分叉的。 更改包括删除utmp依赖关系并通常加速度。 安装 如果要使用headsup命令: $ pip install headsup 如果您只想替换Ubuntu默认值,则将headsup.py文件复制到/etc/updated-motd.d/50-headsup (并删除标准的Ubuntu)(如果有的话),并使脚本可执行。 pam_motd运行这些脚本以创建motd。 用法 $ headsup System information as of Tue Oct 27 14:21:53 2015 System load: 16.0% Processes:
buildroot/linux/Linux getrandom()/qt程序启动时间长/Linux系统阻塞
houyawei的博客
07-12 957
记录一个奇奇怪怪的问题 环境:raspberry pi,buildroot,qt program 问题描述:程序要与USB设备通讯,连接USB设备上电开机,程序直接启动。 不插入USB设备,程序将延迟十分钟左右启动。 后测试发现,即使插入鼠标适配器,U盘,只要USB口有连接设备,程序都可以正常启动。 使用strace启动程序,发现卡在getrandom( 遂搜索Linux getrandom() 阻塞 等相关字样 解决办法: make linux-menuconfig 内核编译选项.
bit、Byte、bps、Bps、pps、Gbps的单位详细说明及换算
weixin_34013044的博客
01-16 1万+
bit、Byte、bps、Bps、pps、Gbps的单位详细说明及换算bit电脑记忆体中最小的单位,在二进位电脑系统中,每一bit 可以代表0 或 1 的数位讯号。Byte字节单位,一般表示存储介质大小的单位,一个B(常用大写的B来表示Byte)可代表一个字元(A~Z)、数字(0~9)、或符号(,.?!%&+-*/),但中文字需要2个Byte。1 Byte = 8 b...
Linux|奇怪的知识---CPU温度监控
zsk_john的技术分享专用博客
01-25 3323
​ TrafficMonitor 下载地址:GitHub - zhongyang219/TrafficMonitor: 这是一个用于显示当前网速、CPU及内存利用率的桌面悬浮窗软件,并支持任务栏显示,支持更换皮肤。 这个软件非常的方便,绿色软件,解压即可使用,界面是悬浮窗口,该项目可以二次开发。 只是温度不太准确,应该是高了10℃吧 ​
linux 登录失败多次 排查日志_由Linux内核bug引起SSH登录缓慢问题的排查解决
weixin_30830643的博客
02-03 755
作者:侯宗骁云主机是UCloud推出的具备优秀性能与极高性价比的新一代主机,网络最高可达 1000 PPS,存储最高可达 120 IOPS。为了提升产品综合表现,Host内核、KVMGuest内核等做了大量调优。“高内核Ubuntu18.04”镜像就是其中一款经优化的云主机镜像,集成了官方linux 5.0.1主线版本内核。今年7月,有一位用户反馈,使用该镜像创建出的云主机每次启...
[Meachines] [Easy] Curling +zip文件嵌套+TRP00F权限提升+CURL滥用文件读取+sysinfo-SSH后门权限提升
最新发布
01-20 446
#zip文件嵌套 #TRP00F权限提升 #CURL滥用文件读取 #sysinfo-SSH后门权限提升
CNCF DevStats Landscape Sync 项目教程
gitblog_00918的博客
08-07 982
CNCF DevStats Landscape Sync 项目教程 项目介绍 CNCF DevStats Landscape Sync 是一个用于检查 CNCF Landscape 项目数据与 CNCF DevStats 数据是否同步的工具。如果数据不同步,该工具会通过电子邮件报告差异。该项目旨在确保 CNCF 生态系统中的项目数据一致性准确性。 项目速启动 环境准备 确保你已经安装了以下工具...
【redhat5.5】pam常用模块及意义
kakane的专栏
04-17 1383
1、/lib/security/pam_securetty.so     vim /etc/securetty 模块的配置文件,用于定义的是针对root用户来讲的安全的可登录的TTY    删除 tty3    tty3登录时提示信息:     [root@www ~]# tail /var/log/secure pr 11 15:33:47 www login: pam_sec
Linux系统SSH登录与文件管理技巧
Linux系统SSH登录文件传输是网络管理员运维工程师必备的技能,它允许用户通过加密的网络连接安全地远程访问Linux服务器。SSH(Secure Shell)是一种网络协议,提供了一种在不安全网络中为计算机之间提供安全通信...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值