ssh登陆问题故障排查
配置SSH服务远程连接空闲超时退出时间(包括SSH无法登录、登录缓慢)
建议方案
设置SSH空闲超时退出时间,可降低未授权用户访问其他用户ssh会话的风险
加固建议
编辑/etc/ssh/sshd_config
配置文件,将ClientAliveInterval
设置为300到900,即5-15分钟,将ClientAliveCountMax
设置为0。
方法1:
1.修改server端的/etc/ssh/sshd_config配置文件
ClientAliveInterval 60
:server每隔60秒发送一次请求给client,然后client响应,从而保持连接。
ClientAliveCountMax 3
:server发出请求后,客户端没有响应的次数达到3次,就自动断开连接,正常情况下,client不会不响应。
[root@Jenkins ~]# vim /etc/ssh/sshd_config
......
112 ClientAliveInterval 60
113 ClientAliveCountMax 3
......
2.修改client端的/etc/ssh/ssh_config添加以下:(在没有权限修改server端的SSH配置的情况下)
ServerAliveInterval 60
:client每隔60秒发送一次请求给server,然后server响应,从而保持连接。
ServerAliveCountMax 3
:client发出请求后,服务器端没有响应的次数达到3次,就自动断开连接,正常情况下,server不会不响应。
[root@Nginx ~]# vim /etc/ssh/sshd_config
......
112 ClientAliveInterval 60
113 ClientAliveCountMax 3
......
3.重启sshd服务
systemctl restart sshd
方法2:
不修改配置文件,直接在SSH远程连接时命令加参数,即ssh -o ServerAliveinterval=60 root@'远程连接IP地址'
,这样就只会在当前需要的远程连接中保持持久的连接, 并不是所有的远程连接都需要保持持久连接的!
[root@Jenkins ~]# ssh -o ServerAliveinterval=60 root@192.168.1.33
Last login: Wed May 18 14:53:19 2022 from 192.168.1.30
[root@Web1 ~]# ifconfig ens33
ens33: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 192.168.1.33 netmask 255.255.255.0 broadcast 192.168.1.255
inet6 240e:39a:39b:cd10:20c:29ff:fec1:8e32 prefixlen 64 scopeid 0x0<global>
inet6 fe80::20c:29ff:fec1:8e32 prefixlen 64 scopeid 0x20<link>
ether 00:0c:29:c1:8e:32 txqueuelen 1000 (Ethernet)
RX packets 756 bytes 66547 (64.9 KiB)
RX errors 0 dropped 112 overruns 0 frame 0
TX packets 549 bytes 52204 (50.9 KiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0## 解决SSH登陆缓慢问题
解决SSH登陆缓慢问题
1.编辑/etc/ssh/sshd_config
配置文件,将UseDNS修改为no,最好是在尾部添加一行为:UseDNS no
2.关闭GSSAPI认证:GSSAPIAuthentication no
,修改完成后记得重启ssh服务。
[root@Jenkins ~]# vim /etc/ssh/sshd_config
...
79 GSSAPIAuthentication yes
...
115 #UseDNS yes
...
解决SSH无法登陆问题
一般情况下当ssh服务远程连接不上时,后台登陆服务器,先确认服务器网络有无问题,查一下ssh服务有没有正常运行,防火墙是否放行了ssh端口,检查sshd_config文件配置(注意端口号、是否有地址绑定、是否允许root登陆等);如果都没问题,再检查下/etc/hosts.deny 和 /etc/hosts.allow两个配置文件是否有限制登陆。
/etc/hosts.allow
和/etc/hosts.deny
两个配置文件:
有时候服务器上会用这两个文件限制登陆的IP,通常是在/etc/hosts.deny
文件中里面先deny all,然后在/etc/hosts.allow
文件中添加需要登陆的IP地址;例如:
先禁止所有:
[root@Jenkins ~]# cat /etc/hosts.deny
sshd: ALL : deny
再放行允许连接访问的IP地址:
[root@Jenkins ~]# cat /etc/hosts.allow
sshd:10.10.10.* : allow 允许10.10.10.0/24网段登陆
sshd: 192.168.1.30 : allow 允许192.168.1.30这个ip登陆