Delay ved SSH-login

Når du logger på SSH med brukernavn og passord kan du oppleve et langt delay etter å ha oppgitt gyldig passord. Problemet kan gjerne påvises slik:

time ssh -vvv user@server exit

Som gir følgende output:

...

user@server's password:
debug3: send packet: type 50
debug2: we sent a password packet, wait for reply
debug3: receive packet: type 52
debug1: Authentication succeeded (password).
Authenticated to server ([server]:22).
debug1: channel 0: new [client-session]
debug3: ssh_session2_open: channel_new: 0
debug2: channel 0: send open
debug3: send packet: type 90
debug1: Requesting no-more-sessions@openssh.com
debug3: send packet: type 80
debug1: Entering interactive session.
debug1: pledge: network

...

Etterfulgt av et langt "heng" før du endelig blir logget inn.

Endre konfigurasjonen av PAM

Du kan omgå disse problemene ved å endre konfigurasjonen av PAM:

vi /etc/pam.d/sshd

Endre følgende så følgende linjer er kommentert ut:

# Print the message of the day upon successful login.
# This includes a dynamically generated part from /run/motd.dynamic
# and a static (admin-editable) part from /etc/motd.
#session optional pam_motd.so motd=/run/motd.dynamic
#session optional pam_motd.so noupdate
# Print the status of the user's mailbox upon successful login.
#session optional pam_mail.so standard noenv # [1]

Angi deretter følgende i kommandolinjen for å skru av den vanlige infoskjermen som vises ved login:

touch ~/.hushlogin

Og til slutt:

systemctl restart systemd-logind.service

 

Disable PAM-moduler eller PAM for SSH

Dersom problemene vedvarer kan du skru av PAM-modulen som vanligvis forårsaker problemer, eller skru av PAM for SSH. NB! Dette kan ha uforutsette konsekvenser!

http://manpages.ubuntu.com/manpages/bionic/man7/PAM.7.html

Skru av pam_systemd.so

vi /etc/pam.d/common-session
# and here are more per-package modules (the "Additional" block)
session required pam_unix.so
#session optional pam_systemd.so

Endringene krever ingen omstart av sshd.

Skru av PAM for SSH

vi /etc/ssh/sshd_config
# Set this to 'yes' to enable PAM authentication, account processing,
# and session processing. If this is enabled, PAM authentication will
# be allowed through the ChallengeResponseAuthentication and
# PasswordAuthentication. Depending on your PAM configuration,
# PAM authentication via ChallengeResponseAuthentication may bypass
# the setting of "PermitRootLogin without-password".
# If you just want the PAM account and session checks to run without
# PAM authentication, then enable this but set PasswordAuthentication
# and ChallengeResponseAuthentication to 'no'.
UsePAM no

Start deretter sshd på nytt:

sudo service sshd restart

 

Har du flere spørsmål? Send oss en henvendelse