DNS 反向解析导致 ssh 连接缓慢

最新推荐文章于 2025-03-17 21:06:46 发布
最新推荐文章于 2025-03-17 21:06:46 发布
阅读量1.1k 收藏 8
点赞数 24
分类专栏: Linux 文章标签: ssh 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/u010383467/article/details/142746418
版权

文章目录

检查 sshd 配置文件

一般,默认的 UseDNS 参数都是注释的

grep UseDNS /etc/ssh/sshd_config

centos 一般默认是这样的,openeuler 22.03 (LTS-SP4) 默认是 no

#UseDNS yes

查看 sshd 配置文件的默认值

方法一

man sshd_config | grep -A 5 UseDNS
  • 指定 sshd(8)是否应查找远程主机名,并检查远程 IP 地址的解析主机名是否映射回相同的 IP 地址
  • 默认值为 “yes”
  • 如果该选项设置为 no,那么在 ~/.ssh/authorized_keys 文件中的 from 选项和 sshd_config 文件中的 Match Host 指令中只能使用地址,不能使用主机名。
     UseDNS  Specifies whether sshd(8) should look up the remote host name, and to check that the resolved host name for the remote IP address maps back to the very same IP address.
             The default is “yes”.

             If this option is set to no then only addresses and not host names may be used in ~/.ssh/authorized_keys from and sshd_config Match Host directives.

方法二

这个方法是验证 sshd 当前的配置,如果修改了 /etc/ssh/sshd_config 配置文件,下面的命令也会看到配置的更新

sshd -T | grep usedns

centos 默认是 yes

usedns yes

修改 sshd 配置文件

/etc/ssh/sshd_config 文件内加入下面的内容,确保没有其他的 UseDNS 是非注释状态

UseDNS no

重启 sshd 应用配置文件

systemctl restart sshd

通过上面的 sshd -T | grep usedns 可以看到 usedns 已经从 yes 变成了 no,再次 ssh 就快很多了

题外扩展

以下内容取自 chatgpt,本人还未验证过

  • 上面的配置文件提到过,如果 UseDNS 选项设置为 no,那么在 ~/.ssh/authorized_keys 文件中的 from 选项和 sshd_config 文件中的 Match Host 指令中只能使用地址,不能使用主机名
  • 这里扩展一下这两个的场景

~/.ssh/authorized_keys 中的 from 条件

from 条件用于限制某个公钥登录的客户端来源(IP 地址或主机名)。你可以在 ~/.ssh/authorized_keys 文件中,为每个公钥添加一个 from 条件,指定只有从特定的 IP 地址或主机才能使用该公钥登录

  • 语法格式
from="host1,host2" ssh-rsa AAAAB3... user@host

  • 示例场景

    • 限制访问到特定 IP 地址:你希望只有从公司内部网或特定的 IP 地址才能通过公钥登录。通过 from 限制,可以确保即使公钥泄露,也只能从指定的 IP 地址登录

      • from="192.168.1.0/24" ssh-rsa AAAAB3... user@host

      • 这条配置表示只有从 192.168.1.0/24 网段内的主机才能使用这个公钥登录

    • 限制特定主机名:如果 UseDNS yes,也可以使用主机名进行限制

      • from="trustedhost.example.com" ssh-rsa AAAAB3... user@host

      • 这里指定只有主机 trustedhost.example.com 能使用该公钥登录

  • 注意事项

    • UseDNS 设置为 no 时,from 条件只能使用 IP 地址,不能使用主机名
    • 如果 DNS 解析不可靠或延迟很高,建议使用 IP 地址来避免问题

sshd_config 中的 Match Host 指令

Match 指令可以根据多个条件(如客户端的主机名、IP 地址、用户等)对 SSH 配置进行精细控制。Match Host 是其中的一种条件,允许你根据客户端的主机名或 IP 地址为其应用特定的 SSH 设置

  • 语法格式
Match Host pattern
    <SSH 选项>

  • 示例场景

    • 为特定主机应用不同的设置:你可以根据不同的主机名或 IP 地址,对 SSH 配置进行细粒度的控制。例如,要求来自某个主机的连接只能使用密码认证,而来自其他主机的连接可以使用公钥认证

      • Match Host 192.168.1.100
    PasswordAuthentication yes
Match Host *
    PasswordAuthentication no

      • 在这个例子中,IP 为 192.168.1.100 的主机可以使用密码登录,而其他所有主机则必须使用公钥认证

    • 限制特定主机只能通过特定用户登录:你可以限制来自特定 IP 或主机名的登录只能使用特定用户

      • Match Host 192.168.1.100
    AllowUsers specialuser

      • 这样,来自 192.168.1.100 的主机只能通过 specialuser 登录

  • 注意事项

    • from 一样,如果 UseDNS 设置为 no,那么 Match Host 只能使用 IP 地址,不能使用主机名
    • Match 指令必须放在 sshd_config 文件的最后部分,因为它会根据条件覆盖前面的全局配置

fromMatch Host 的区别和联系

  • 使用层次

    • from 是针对特定公钥的约束,只作用于 ~/.ssh/authorized_keys 文件中的特定公钥。
    • Match Host 是在全局 SSH 配置中控制客户端主机行为的指令,可以影响整个 SSH 配置文件的行为。

  • 使用场景

    • from 更适合精细化控制单个用户的公钥访问,尤其是在多用户服务器上,只需配置某个用户的公钥。
    • Match Host 更适合全局配置,比如为不同来源的主机或网段设置不同的安全策略。

  • 总结

    • from 条件 允许你为每个公钥设置基于来源 IP 地址或主机名的限制,主要用于细粒度控制单个用户或公钥的来源
    • Match Host 指令 则是服务器级别的配置,允许基于客户端的主机名或 IP 地址应用不同的 SSH 配置

  • 在实际使用中,这两者可以结合使用,通过 from 限制单个公钥的登录来源,同时通过 Match Host 在全局配置文件中对特定来源应用不同的 SSH 策略

SSHD服务取消DNS反向解析 SSH连接
futeng
03-24 2611
DNS反向解析(Reverse DNS) 正向解析:通过域名查找ip; 反向解析:通过ip查找域名; DNS反向解析用来屏蔽非法的IP访问请求;常见于邮件屏蔽系统,而apache,ssh,mysql等服务器端程序也会默认携带; 例如:邮件头包含域名和邮箱服务器的IP地址,一般邮件系统会检测发送来的域名是否合法(比对黑白名单),如果合法则接收该邮件,不合法则丢弃;对于自架邮件系统...
SSH 连接服务器常见问题及解决方案
llz19670的博客
06-10 1107
SSH(Secure Shell)是一种用于在不安全网络上进行安全通信的协议。通过SSH,用户可以远程连接到服务器进行管理和操作。然而,在使用SSH连接服务器时,常常会遇到各种问题。本文将总结一些常见的SSH连接问题及其解决方案。## 常见问题及解决方案。
SSH连接慢与反向解析(转)
weixin_30276935的博客
06-06 218
连接apache,ssh,mysql等服务器时,如果出现连接过慢,可能的原因是dns 的反向查询。反向解析是防止假冒的IP连接服务器,把IP解析成域名,来提高安装性,看这个IP是否是伪造,这是dns反向查询的功能之一。如果在开启apache,ssh,mysql 等服务器的反向解析功能之后,连接过慢的话。有二种解决方法:1. 把服务的DNS反向解析功能关掉。2. 就要架建自己的DNS解析或更改ho...
SSH反向隧道
言之。
03-17 1万+
SSH反向隧道通过内网主机主动建立连接,解决了NAT穿透问题,是临时暴露内网服务的有效方案。正确配置sshd、使用autossh保持连接、严格的安全措施是其稳定运行的关键。
ssh dns反向解析导致登录事件过长
OceanSky的专栏
10-08 1199
最近通过ssh工具连接centos7服务器,发现耗时比较长;经过分析得知是连接时服务器时会将IP地址发送给DNS服务器,反向解析获取其对应的域名;假如经过5秒中还没有收到回复,就再次发送查询,如果第二次还是等了5秒钟没有回复,就彻底放弃查询;由于DNS服务器上没有它的域名配置记录,所以两次查询都等待了5秒钟还没有结果,一共浪费了10秒钟时间。
SSH连接慢与反向解析
even160941的博客
05-31 783
连接apache,ssh,mysql等服务器时,如果出现连接过慢,可能的原因是dns的反向查询。 反向解析是防止假冒的IP连接服务器,把IP解析成域名,来提高安装性,看这个IP是否是伪造,这是dns反向查询的功能之一。 如果在开启apache,ssh,mysql 等服务器的反向解析功能之后,连接过慢的话。有二种解决方法: 把服务的DNS反向解析功能关掉。 架建自己的DNS解析或更改hosts文...
SSH 连接慢 与 反向解析
热门推荐
David Dai -- Focus on Oracle
12-28 1万+
<br /> <br />      <br />       DBA 3群里的Jin 说他用ssh连接的时候,很慢。一个朋友让他把方向解析禁用了。我之前也遇到过SSH 慢的现象,敲一条命令要等很长时间,不过那时我ping 时丢包很严重。所以,我的现象应该是和丢包有关系的。<br /> <br />       在连接apache,ssh,mysql等服务器时,如果出现连接过慢,可能的原因是dns 的反向查询。<br />       反向解析是防止假冒的IP连接服务器,把IP解析成域名,来提高安装性,看这
如何用一条命令解决SecureCRT等软件使用SSH连接Linux慢的问题(建议收藏)
01-09
这一步骤是为了增强安全性,但有时却可能成为连接速度慢的主要因素,特别是在网络环境不佳或者DNS解析速度慢的情况下。 **解决方法** 步骤1:**编辑sshd配置文件** 打开终端,使用`vi`编辑器来修改SSH服务器的配置...
记一次服务器SSH连接突然变慢与解决方案
m0_61745066的博客
12-11 1583
记一次服务器SSH连接突然变慢与解决方案
centos-7连接ssh
七月流星雨
02-24 562
centos-7连接ssh慢 1. centos-7连接ssh慢 这段时间使用虚拟机装载了CentOS 7.9版本的Linux操作系统,配置好相关信息参数后,发现使用SSH命令远程连接访问服务器时,总是需要等待几十秒,不能直接按完回车后,立即跳出输入登录密码的命令提示符。所以上网搜索了一下问题。知道了问题所在。主要是由两个原因造成了。 DNS反向解析的问题 Gssap认证问题 2 . 使用s...
问题解决-连接ssh很慢
u011197085的博客
06-11 5588
以上是一些常见的导致 SSH 连接慢的原因及其解决方法。可以根据具体情况逐一排查并进行优化。以下是一个综合的优化步骤:编辑 SSH 服务器配置文件UseDNS no编辑客户端配置文件Host *UseDNS notop通过这些步骤,可以有效解决大多数 SSH 连接慢的问题。
SSH登录忽然变慢与DNS反向解析问题处理
weixin_33919941的博客
10-20 287
环境描述:1. 操作系统:CentOS6,CentOS7,Ubuntu2. DNS:202.106.0.20【北京联通】,202.106.196.115【北京联通】,114.114.114.114【114DNS】陆续收到研发、测试部门反馈,内网SSH登录忽然变慢了,会卡在登录界面很久;紧接着又收到反馈,MySQL使用客户端连接不上,或者连接很慢;再接着,...
ssh登陆慢及短时间连接断开的问题解决
chanjingyue的专栏
04-26 1119
登录慢问题
SSH远程登录RaspberryPi命令行响应缓慢问题
lida2003的专栏
02-03 1723
通过SSH日志文件分析响应缓慢问题,修改配置参数“LogLevel”将其设置为最大级别DEBUG3,这样我们就可以通过SSH服务日志文件“/var/log/auth.log”日志的详细信息了解缓慢问题出在哪里。鉴于Raspberry Zero WH板子上天线也是非常紧凑的,且2.4G也可能存在遮挡导致信号相对较差,如果能将报文长度减小,受干扰的机会就会减少。远程登录Raspberry Zero WH命令行,操作响应缓慢,应该说极其缓慢,简直无法仍受。注:刚开始烧录映像文件的时候,倒是没有类似的问题。
ssh建立远程链接慢解决方案
冰川的博客
03-29 340
ssh与远程服务器建立链接慢,传输速度不慢。敲击esc键,输入:wq保存退出。输入/DNS敲击回车。下次链接会发现变快了。
Centos7 SSH登陆慢的解决办法
IUNIQUE技术册
09-01 2474
使用ssh登陆 centos,特别的慢,等至少几十秒才登陆进去。2)、执行*/etc/init.d/sshd restart。centos7 登录慢,可能是在反向验证DNS,禁用即可。ip地址 查看详细登录信息 具体看那个阶段慢。重启sshd进程使上述配置生效,或者。
通过关闭UseDNS加速SSH登录
悦公子的博客
07-25 662
通常情况下我们在连接 OpenSSH服务器的时候假如 UseDNS选项是打开的话,服务器会先根据客户端的 IP地址进行 DNS PTR反向查询出客户端的主机名,然后根据查询出的客户端主机名进行DNS正向A记录查询,并验证是否与原始 IP地址一致,通过此种措施来防止客户端欺骗。平时我们都是动态 IP不会有PTR记录,所以打开此选项也没有太多作用。我们可以通过关闭此功能来提高连接 OpenSSH 服务器的速度。 服务端步骤如下: 编辑配置文件 /etc/ssh/sshd_config vim /etc/ssh
ssh远程连接慢解决方法
爱辉弟的博客
08-17 3459
ssh远程连接慢解决方法 修改sshd相应的配置文件 # 一、关闭SERVER上的GSS认证将GSSAPIAuthentication改为no ,如果在配置文件中,以下值是被注释的就拿掉注释,因为默认开关就是yes。
Linux优化时,为什么要关闭UseDNS和GSSAPIAuthentication?
大鱼头的博客
09-25 1万+
首先要理解 UseDNS和GSSAPIAuthentication是什么?** 经常登陆SSH的朋友可以感觉出,每次登录SSH时总是要停顿等待一下才能连接上,,这是因为OpenSSH服务器有一个DNS查找选项UseDNS默认情况下是打开的。 UseDNS 选项打开状态下,当客户端试图登录SSH服务器时,服务器端先根据客户端的IP地址进行DNS,PTR反向查询出客户端的主机名,然后根据查询出的客户端...
vm连接ssh
最新发布
03-31
### 如何通过SSH连接到虚拟机以及常见故障排查 #### 一、确认SSH服务状态并启用 在Linux系统中,如果无法通过SSH连接到虚拟机,首先要检查SSH服务的状态。可以使用以下命令查看SSH服务是否已启动: ```bash service sshd status ``` 如果没有启动,则可以通过以下命令手动启动SSH服务[^1]: ```bash service sshd start ``` 需要注意的是,这种手动启动的方式不会持久化生效。为了确保SSH服务在重启后仍然可用,应执行以下命令将其设置为开机自启: ```bash chkconfig sshd on ``` --- #### 二、优化SSH配置以提升性能 某些情况下,SSH连接可能会变得非常缓慢。这通常是因为`sshd`默认启用了DNS反向解析功能所致。要禁用此功能,需编辑`/etc/ssh/sshd_config`文件,并找到或添加如下参数[^2]: ```plaintext UseDNS no ``` 保存更改后,记得重启SSH服务使改动生效: ```bash service sshd restart ``` --- #### 三、处理自动断开连接的问题 当成功建立SSH会话后不久便被强制断开时,可能的原因之一是`.bashrc`脚本中的异常退出指令。具体来说,在用户的家目录下可能存在类似以下的内容[^3]: ```bash exit ``` 该语句会导致终端立即终止运行。因此,建议打开对应的`.bashrc`文件(通常是`~/.bashrc`或`/root/.bashrc`),删除多余的`exit`关键字。 --- #### 四、其他潜在问题及其解决方案 除了上述提到的情况外,还有几个常见的SSH连接障碍需要关注: 1. **防火墙阻止端口访问** 虚拟机所在主机的操作系统或者网络设备上可能设置了严格的防火墙策略,默认拒绝外部流量进入指定的TCP端口号(如标准的22号端口)。此时应当允许特定IP地址范围内的请求到达目标机器。 2. **SELinux干扰通信流程** 若目标操作系统启用了安全增强型Linux (Security-Enhanced Linux),它也可能阻碍正常的远程登录尝试。临时关闭方法如下所示;不过出于安全性考虑不推荐长期如此操作。 ```bash setenforce 0 ``` 3. **私钥认证失败** 当采用基于密钥的身份验证方式而非密码模式时,务必保证客户端公钥已经正确上传至服务器侧对应账户下的authorized_keys列表里头去了。 --- ### 提供一段简单的Python代码用于自动化检测SSH连通性 下面给出了一段利用paramiko库实现基本的功能演示程序片段——用来判断能否顺利抵达某台远端计算机节点之上。 ```python import paramiko def test_ssh_connection(hostname, port=22, username='root', password=None): try: client = paramiko.SSHClient() client.set_missing_host_key_policy(paramiko.AutoAddPolicy()) if password: client.connect(hostname, port=port, username=username, password=password) else: key_path = '/path/to/private/key' mykey = paramiko.RSAKey.from_private_key_file(key_path) client.connect(hostname, port=port, username=username, pkey=mykey) stdin, stdout, stderr = client.exec_command('whoami') output = stdout.read().decode() return f'Connection successful! Current user: {output.strip()}' except Exception as e: return str(e) if __name__ == '__main__': result = test_ssh_connection('your.vm.ip.address', username='testuser', password='mypassword') print(result) ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值