Anmeldung bei su-user dauert 10s - warum?

[dirk11]

Hi Leute,

ich habe seit geraumer Zeit ein merkwürdiges Problem in einem nicht bei mir lokalisierten Familiennetzwerk, welches aber im Grunde vergleichbar zu meinem aufgebaut ist.

Das Problem ist ein wenig schwierig zu umschreiben:
Es gibt dreu Arten von Usern:
- Unterprivilegierter User, der nicht alles darf (kann in erster Linie nicht per su root werden wegen
auth required pam_wheel.so root_only
in Datei /etc/pam.d/su)
- "Normaler" User, der auch root werden kann
und natürlich root.

Verbindungen per ssh von Rechner zu Rechner dauern unverhältnismäßig lange, wenn man vorher vom "unterprivilegierten User" zum "Normaluser" geworden ist. Nach Eingabe des Passwort dauert es ca. 10s oder länger, bis man eingeloggt ist. Beispiel:
Angemeldet als simpleuser. Mache su halbroot. Dann als "halbroot" ssh rechner2. Passwort eingeben, Reaktion dauert lange, s.o..
User-ID sind auf allen beteiligten Rechnern für alle User identisch, daran kann es nicht liegen. Allerdings: der eine beteiligte Rechner ist noch Debian 6, der andere Debian 8. Der Debian 6 Rechner wird auch keine Änderung auf ein anderes System mehr erleben. Jemand eine Idee?

[PatrickOliver]

Klingt, als würden im Hintergrund Reverse-DNS Abfragen gemacht.
Ggf. hilf in der /etc/ssh/sshd.conf folgender Eintrag:

Code: Alles auswählen

UseDNS no

[dirk11]

Mhmm. Kann man das denn irgendwie herausfinden? Wenn ich den neueren der dortigen Rechner z.B. für länger andauernde Wartungsaufgaben in meinem Netz @home habe, dann kann ich die Problematik nicht beobachten. Dass das daran liegt, das ich Gigabit-Netz habe und dort "nur" 100Mbit-Netz vorhanden ist, kann ich mir nämlich eigentlich nicht vorstellen, das würde niemals so eine Verzögerung hervorrufen. Verbinde ich mich von Rechner zu Rechner, nachdem ich mich direkt als der "Normaluser" angemeldet habe (also ohne su-Umweg), so funktioniert das normal-schnell.
Ach ja: das Problem ist richtungs-unabhängig, sprich es ist egal, an welchem der beiden Rechner ich physisch sitze.

[rendegast]

Du könntest erstmal eine Sitzung öffnen und den sshd / pam beobachten bei Verbindungsaufnahme einer zweiten Sitzung (diese hätte dasselbe Problem?).

Meldungen von sshd / pam?

[uname]

Code: Alles auswählen

/etc/pam.d/su

Du hast nicht wirklch in der Datei was geändert? Bei "su" braucht man doch sowieso das root-Passwort. Warum sollte man "su" auf einzelne Benutzer einschränken? Am besten alle Anpassungen in /etc/pam.d mal rückgängig machen und schauen ob es dann klappt.

[dirk11]

Code: Alles auswählen

/etc/pam.d/su

Du hast nicht wirklch in der Datei was geändert?

Doch, warum? Das ist eine ganz offizielle Änderung, die dort auch dokumentiert ist.

Bei "su" braucht man doch sowieso das root-Passwort. Warum sollte man "su" auf einzelne Benutzer einschränken?

su ist nicht gleichbedeutend mit sudo. Diese Änderung bewirkt, daß man sich nicht per su zu einem anderen User machen kann. Sonst könnte ich mich, wären wir gemeinsam auf einem System, per su uname zu Dir machen, wenn ich Dein Passwort kennen würde. Und um so etwas zu verhindern, habe ich diese Einschränkung. Habe ich lokal bei mir auch, und dort gibt es keinerlei Probleme.
Sicherheitsgewinn: ich kann mich auch nicht per su zu irgendeinem Systemuser machen, um z.B. eine Sicherheitslücke auszunutzen. su ftp oder su mail z.B..

[uname]

Ich habe deinen Anfangsthread noch mal gelesen. Das Problem ist ja scheinbar gar nicht "su".

Mache su halbroot. Dann als "halbroot" ssh rechner2. Passwort eingeben, Reaktion dauert lange, s.o..

Du könntest mal:

Code: Alles auswählen

ssh -vvv user@server

probieren. Auch kannst du zeitgleich die serverseitigen Logs ausgeben. Poste von beidem interessante Auszüge. Im übrigen glaube ich nicht, dass wenn du auf dem Client noch "root" bist das ssh user@server sich anders verhält.

[dirk11]

Nein, das Problem war nie su. Und auch nicht root. Das Problem tritt auf, wenn ich mich per su von User-A zu User-B mache und dann als User-B eine ssh-Verbindung aufbaue, weil User-A das nicht darf (genauso wie root es nicht darf). Habe ich aber auch so beschrieben. Und ssh -vvv habe ich schon lange gemacht, da steht aber exakt nichts drin, was im Vergleich zu einem funktionierenden, schnellen Verbindungsaufbau anders wäre. Ist sozusagen identisch. Wenn ich in den logs etwas gefunden hätte, was im Vergleich zu einer "normalen" Anmeldung unterschiedlich wäre und mir unverständlich, dann hätte ich das hier schon gepostet. Genau deshalb frage ich ja, es gibt nichts auffälliges.