hallo Forum,
seit einigen Tagen ist mein ssh login quälend langsam - und das ist auch schon alles, was ich wirklich dazu sagen kann.
Ich kann mich nicht erinnern, VORHER an irgendeiner ssh-Schraube gedreht zu haben.
Technik:
Server Debian 3.1
OpenSSH_3.8.1p1 Debian-8.sarge.4, OpenSSL 0.9.7e 25 Oct 2004
login von
MacOSX 10.4.7
OpenSSH_4.2p1, OpenSSL 0.9.7i 14 Oct 2005
Ich habe die .ssh/known_hosts geleer, ohne Verbesserung.
Ich habe den DEBUG-Level von sshd auf DEBUG3 gesetzt und für ein login eine Datei mit 200 Zeilen erhalten. Ich kann damit leider nichts wirklich anfangen.
http://nopaste.debianforum.de/4046
mit Dank im Voraus
Rainer
ssh login quälend langsam
ssh login quälend langsam
Zuletzt geändert von rlau am 29.08.2006 22:42:42, insgesamt 2-mal geändert.
Danke für die Antwort!
- In unserem kleinen Home-Office 2PC, 3Mac und der Debian-Server läuft kein DNS. Ich glaube auch nicht, daß die Verbindung erst im Internet gesucht wird, denn der Server wird über die IP 192.168.0.28 adressiert.
Mit tail -f auf /var/log/auth.log kann ich auch sehen, daß der sshd sofort angesprochen wird, nur die Authentifizierung und das Weitere im log dauert dann 4 Minuten. Das ist unhaltbar, weil mit scripten auf Serverdienste zugegriffen wird.
- Richtig ist, daß ich nach dem zähen login die Befehle in normalen Tempo absetzen kann.
- Auffällig ist weiterhin, daß auch webmin (https) endlos lange Antwortzeiten hat.
- http, smb, mysql, hylafax reagieren wie gewohnt.
Deshalb argwöhne ich, daß es etwas mit der Authentifizierung zu tun hat.
Wer kann mir bitte raten, wie ich weiter suchen/prüfen soll?
Rainer
- In unserem kleinen Home-Office 2PC, 3Mac und der Debian-Server läuft kein DNS. Ich glaube auch nicht, daß die Verbindung erst im Internet gesucht wird, denn der Server wird über die IP 192.168.0.28 adressiert.
Mit tail -f auf /var/log/auth.log kann ich auch sehen, daß der sshd sofort angesprochen wird, nur die Authentifizierung und das Weitere im log dauert dann 4 Minuten. Das ist unhaltbar, weil mit scripten auf Serverdienste zugegriffen wird.
- Richtig ist, daß ich nach dem zähen login die Befehle in normalen Tempo absetzen kann.
- Auffällig ist weiterhin, daß auch webmin (https) endlos lange Antwortzeiten hat.
- http, smb, mysql, hylafax reagieren wie gewohnt.
Deshalb argwöhne ich, daß es etwas mit der Authentifizierung zu tun hat.
Wer kann mir bitte raten, wie ich weiter suchen/prüfen soll?
Rainer
Vielen Dank für den zweiten Hinweis auf DNS!
Ich weiß, dies sind die Antworten, die keiner hören will, trotzdem kann ich nur sagen: bis vor wenigen Tagen ging es problemlos. Wo kommt dann plötzlich das DNS-Problem her?
Und andersherum gefragt, wie könnte ich das herausfinden, ob ssh neuerdings über DNS den client im Internet sucht?
Da ich den Fehler möglichst schnell beheben möchte, welches Risiko gehe ich ein, wenn ich ssh auf dem Server lösche mit
und es danach neu installiere? Macht das Sinn?
Im log auf nopaste vergeht die meißte Zeit zwischen Zeile 20 und 21
Mit Dank im Vorraus
Rainer
Ich weiß, dies sind die Antworten, die keiner hören will, trotzdem kann ich nur sagen: bis vor wenigen Tagen ging es problemlos. Wo kommt dann plötzlich das DNS-Problem her?
Und andersherum gefragt, wie könnte ich das herausfinden, ob ssh neuerdings über DNS den client im Internet sucht?
Da ich den Fehler möglichst schnell beheben möchte, welches Risiko gehe ich ein, wenn ich ssh auf dem Server lösche mit
Code: Alles auswählen
apt-get --purge remove ssh
Im log auf nopaste vergeht die meißte Zeit zwischen Zeile 20 und 21
was bedeutet das, was passiert da?20. Aug 29 18:01:40 debian sshd[7398]: debug3: mm_request_receive entering
21. Aug 29 18:03:28 debian sshd[7398]: debug3: monitor_read: checking request 0
Mit Dank im Vorraus
Rainer
Löschen und Neuinstallation von SSH hat das Proglem (vorübergehend?) beseitigt.
Leider bin ich dadurch nicht schlauer geworden, was die Ursache betrifft.
Falls also jemand noch eine Erklärung weiß, oder Literatur zu den SSH-Befehlen kennt, bei denen der Daemon gehangen hat (siehe Log auf nopaste), wäre ich dankbar.
Rainer
Leider bin ich dadurch nicht schlauer geworden, was die Ursache betrifft.
Falls also jemand noch eine Erklärung weiß, oder Literatur zu den SSH-Befehlen kennt, bei denen der Daemon gehangen hat (siehe Log auf nopaste), wäre ich dankbar.
Rainer
Jetzt nützt auch eine Neuinstallation von ssh nix mehr. Hat bitte noch irgendwer eine Idee, was ich tun kann? Ich kann so mit dem System nicht mehr arbeiten und bekomme echte Schwierigkeiten.
Ich meine, wenn ich jetzt den Wahnsinn anfasse und das ganze System neu aufsetzte, dann geht mir das vielleicht Übermorgen wieder so. Wie kann ich herausfinden, was sich da mit ssh tut?
Bitte um Hilfe
Rainer
Ich meine, wenn ich jetzt den Wahnsinn anfasse und das ganze System neu aufsetzte, dann geht mir das vielleicht Übermorgen wieder so. Wie kann ich herausfinden, was sich da mit ssh tut?
Bitte um Hilfe
Rainer
-
jhr-online
- Beiträge: 2186
- Registriert: 18.09.2005 15:52:02
- Lizenz eigener Beiträge: GNU Free Documentation License
-
Kontaktdaten:
Ich bin nicht sicher, ob ich die Frage richtig verstehe:
Es handelt sich um einen Server in meinem Home-Office (ich verdiene meine Brötchen damit.) Au dem Server laufen als meine unverzichtbaren Dienste:
- apache
- samba
- mysql
- http: Der Server ist im Web nicht öffentlich sichtbar. Die Kunden (wenige) bekommen die IP bei IP-Änderung per EMail.
- Alle anderen Dienste sind nur intern, um die WebDb zu pflegen.
- auf dem Router ist NAT nur für Port 80 auf den Server eingestellt
Mein Arbeitsrechner ist (aus historischen Gründen: FileMaker) Mac OSX 10.4.7
Von diesem Arbeitsrechner aus beschicke ich aus FileMaker per Apllescript( do shell script) die MySql-DB (diese ist dann über PHP für die Kunden sichtbar)
- Samba, mysql sind nur für intern.
- es laufen cronjobs, die die aktuelle IP vertschicken
- auf dem Rechner sind auch GUI Anwenderprogramme, weil ich nicht grad der große Künstler in der shell bin, aber der Server startet immer nur in runlevel N 2
Was müßte ich noch angeben?
Danke für weitere Hilfe.
Rainer
Es handelt sich um einen Server in meinem Home-Office (ich verdiene meine Brötchen damit.) Au dem Server laufen als meine unverzichtbaren Dienste:
- apache
- samba
- mysql
- http: Der Server ist im Web nicht öffentlich sichtbar. Die Kunden (wenige) bekommen die IP bei IP-Änderung per EMail.
- Alle anderen Dienste sind nur intern, um die WebDb zu pflegen.
- auf dem Router ist NAT nur für Port 80 auf den Server eingestellt
Mein Arbeitsrechner ist (aus historischen Gründen: FileMaker) Mac OSX 10.4.7
Von diesem Arbeitsrechner aus beschicke ich aus FileMaker per Apllescript( do shell script) die MySql-DB (diese ist dann über PHP für die Kunden sichtbar)
- Samba, mysql sind nur für intern.
- es laufen cronjobs, die die aktuelle IP vertschicken
- auf dem Rechner sind auch GUI Anwenderprogramme, weil ich nicht grad der große Künstler in der shell bin, aber der Server startet immer nur in runlevel N 2
Was müßte ich noch angeben?
Danke für weitere Hilfe.
Rainer
-
jhr-online
- Beiträge: 2186
- Registriert: 18.09.2005 15:52:02
- Lizenz eigener Beiträge: GNU Free Documentation License
-
Kontaktdaten:
Ich hab mich gewundert, weil du sagtest, du hättest beim lokalen ssh-Login keine Probleme. Ich hab das so verstanden, dass es im LAN tut und über's WAN nicht. Also, vielleicht beschreibst du einfach nochmal, von wo es klappt und von wo nicht. Vielleicht bin ich begriffsstutzig, aber ich check's gerade nicht...
jhr
jhr
Desktop: Intel Core2Quad Q8300 2.5GHz, 256GB SSD + 1 TB HDD, 8 GB RAM, Debian Sid, Kernel 3.13
Mit lokal meinte ich direkt am Server, also
das geht ohne jede Verzögerung.
Zur Beschreibung meines Netzes:
- TDSL Router mit dynamischer IP
- WLan-Accesspoint
- Switch
- im LAN kein DHCP, alles feste IPs
- Server Linux
- 2 PC WinXP (die fast immer aus sind, sie werden nur für ein Programm genutzt.)
- 2 PPC Mac OSX 10.4.7
- 1 IntelMac OSX 10.4.7
Ich betreibe mehrere Filemaker Datenbanken. Diese füttern bei jeder Dateneingabe, -änderung mittels Applescript (do shell script"mysql -h .........") eine MySQL Datenbank auf dem Linux-Server.
- Für diese Datenbank auf dem Server gibt es mittels PHP ein Web-Interface.
- Zu den Datenbanken gibt es einen Dokumentenservice. Es werden Belege eingescannt und diese können über das Internet abgerufen werden.
- Ich benutze kein dynamisches DNS. Meine Website ist für normale Internetnutzer nicht sichtbar. Meine wenigen Nutzer bekommen die aktuelle IP automatisch bei jeder Änderung per Mail.
- Auf dem Router ist NAT nur für den Port 80 zum Server.
- Au dem Server laufen weiterhin: smb und hylafax außerdem wird der Server per Shellscripts mit scanimage als Netzwerkscanner für den Dokumentenservice benutzt.
Das Alles hat nun fast ein Jahr lang (nahezu) reibungslos funktioniert. Linuxserver im LAN als Fileserver benutze ich schon länger. Und es gab vor Längerem schon einmal ein Problem mit ssh als ich nach einem Umbau die Rechner mit neuen IPs versehen hatte. Damals hatte es aber genügt, die known_hosts zu leeren und alles lief wieder. (Das war aber schon lange bevor ich diesen Debian für diesen Datenbank-Dienst aufgesetzt habe.)
Womit ich mich schwer tue ist, den ssh Verbindungsaufbau auf Seiten des Mac-Clients zu protokollieren (da besteht noch Lesebedarf). Vielleicht liegt ja dort das Problem und nicht auf dem Server. Denn wenn ich vom PC aus mit Putty auf den Server verbinde, dann geht das nicht gerade flott, aber deutlich schneller als mit den Macs.
Übrigens besteht das Problem auf beiden Macs. (Der Dritte ist grad unterwegs.)
Tja, ich hoffe nun habe ich alle nötigen Informationen beigegeben?
Rainer
Code: Alles auswählen
$ ssh user@localhostZur Beschreibung meines Netzes:
- TDSL Router mit dynamischer IP
- WLan-Accesspoint
- Switch
- im LAN kein DHCP, alles feste IPs
- Server Linux
- 2 PC WinXP (die fast immer aus sind, sie werden nur für ein Programm genutzt.)
- 2 PPC Mac OSX 10.4.7
- 1 IntelMac OSX 10.4.7
Ich betreibe mehrere Filemaker Datenbanken. Diese füttern bei jeder Dateneingabe, -änderung mittels Applescript (do shell script"mysql -h .........") eine MySQL Datenbank auf dem Linux-Server.
- Für diese Datenbank auf dem Server gibt es mittels PHP ein Web-Interface.
- Zu den Datenbanken gibt es einen Dokumentenservice. Es werden Belege eingescannt und diese können über das Internet abgerufen werden.
- Ich benutze kein dynamisches DNS. Meine Website ist für normale Internetnutzer nicht sichtbar. Meine wenigen Nutzer bekommen die aktuelle IP automatisch bei jeder Änderung per Mail.
- Auf dem Router ist NAT nur für den Port 80 zum Server.
- Au dem Server laufen weiterhin: smb und hylafax außerdem wird der Server per Shellscripts mit scanimage als Netzwerkscanner für den Dokumentenservice benutzt.
Das Alles hat nun fast ein Jahr lang (nahezu) reibungslos funktioniert. Linuxserver im LAN als Fileserver benutze ich schon länger. Und es gab vor Längerem schon einmal ein Problem mit ssh als ich nach einem Umbau die Rechner mit neuen IPs versehen hatte. Damals hatte es aber genügt, die known_hosts zu leeren und alles lief wieder. (Das war aber schon lange bevor ich diesen Debian für diesen Datenbank-Dienst aufgesetzt habe.)
Womit ich mich schwer tue ist, den ssh Verbindungsaufbau auf Seiten des Mac-Clients zu protokollieren (da besteht noch Lesebedarf). Vielleicht liegt ja dort das Problem und nicht auf dem Server. Denn wenn ich vom PC aus mit Putty auf den Server verbinde, dann geht das nicht gerade flott, aber deutlich schneller als mit den Macs.
Übrigens besteht das Problem auf beiden Macs. (Der Dritte ist grad unterwegs.)
Tja, ich hoffe nun habe ich alle nötigen Informationen beigegeben?
Rainer
So, da bin ich wieder. Den ssh-client zu debugen ist ja recht einfach und der Versuch war leider auch erfolgreich:
Das Log protokolliert einen Verbindungsaufbau vom Mac-Client zum Linux-Server:
Das ganze Log stell ich auf NoPaste:
http://nopaste.debianforum.de/4061
Ich wäre euch sehr dankbar, wenn mich jemand darüber aufklären könnte, ob der Fehler definitiv von der Seite des Mac-Client kommt, denn dann muß ich ja - leider - das Forum wechseln und dort weiter forschen.
Rainer
Das Log protokolliert einen Verbindungsaufbau vom Mac-Client zum Linux-Server:
Leider reicht mein Wissen nicht hin und nicht her, was ich denn mit diesem Fehler anzufangen habe.debug2: fd 3 setting O_NONBLOCK
---------> hier ist bereits eine sehr lange Pause
debug1: An invalid name was supplied
Cannot determine realm for numeric host address
debug1: An invalid name was supplied
A parameter was malformed
Validation error
debug1: An invalid name was supplied
Cannot determine realm for numeric host address
debug1: An invalid name was supplied
A parameter was malformed
Validation error
------> die Pause hier ist noch viel länger
Das ganze Log stell ich auf NoPaste:
http://nopaste.debianforum.de/4061
Ich wäre euch sehr dankbar, wenn mich jemand darüber aufklären könnte, ob der Fehler definitiv von der Seite des Mac-Client kommt, denn dann muß ich ja - leider - das Forum wechseln und dort weiter forschen.
Rainer
-
jhr-online
- Beiträge: 2186
- Registriert: 18.09.2005 15:52:02
- Lizenz eigener Beiträge: GNU Free Documentation License
-
Kontaktdaten:
Ich befürchte, es sieht sehr danach aus. Um das einzugrenzen, könntest du dich ja mal von einer Win-Kiste per PuTTY verbinden oder von einem anderen Debian-System. Wenn keins lokal da ist, kannste ja für den Test den sshd eben "von außen" sichtbar machen...rlau hat geschrieben:Ich wäre euch sehr dankbar, wenn mich jemand darüber aufklären könnte, ob der Fehler definitiv von der Seite des Mac-Client kommt,
jhr
Desktop: Intel Core2Quad Q8300 2.5GHz, 256GB SSD + 1 TB HDD, 8 GB RAM, Debian Sid, Kernel 3.13
Ja, Putty geht. Ich werde mal sehen, ob ich da ein log zustande bekomme, dann kann ich vergleichen.
Ich danke Dir für Dein Interesse, aber ich glaube ich muß wirklich wo anders weiter machen:
http://docs.info.apple.com/article.html?artnum=304146
(Das verstehe ich nur auch nicht ganz, denn eigentlich ist das nicht mein Build)
Rainer
Ich danke Dir für Dein Interesse, aber ich glaube ich muß wirklich wo anders weiter machen:
http://docs.info.apple.com/article.html?artnum=304146
(Das verstehe ich nur auch nicht ganz, denn eigentlich ist das nicht mein Build)
Rainer
-
jhr-online
- Beiträge: 2186
- Registriert: 18.09.2005 15:52:02
- Lizenz eigener Beiträge: GNU Free Documentation License
-
Kontaktdaten:
gelöst
Ich konnte das Problem mir einem Austausch der Schlüssel lösen, also muß sich entweder auf der Debian-, oder der Apple-Seite bei einem Update die Sicherheitsprüfung von ssh geändert haben, denn vorher war das -jahrelang- nicht nötig. Es reichte aus, wenn ich den host als vetrauenswürdig akzeptiert hatte.
Wie der was gelernt: Schlüssel erzeugen, Schlüssel hoch laden, geht wieder.
Rainer
Wie der was gelernt: Schlüssel erzeugen, Schlüssel hoch laden, geht wieder.
Rainer