Når du logger på SSH med brukernavn og passord kan du oppleve et langt delay etter å ha oppgitt gyldig passord. Problemet kan gjerne påvises slik:
time ssh -vvv user@server exit
Som gir følgende output:
...
user@server's password:
debug3: send packet: type 50
debug2: we sent a password packet, wait for reply
debug3: receive packet: type 52
debug1: Authentication succeeded (password).
Authenticated to server ([server]:22).
debug1: channel 0: new [client-session]
debug3: ssh_session2_open: channel_new: 0
debug2: channel 0: send open
debug3: send packet: type 90
debug1: Requesting no-more-sessions@openssh.com
debug3: send packet: type 80
debug1: Entering interactive session.
debug1: pledge: network
...
Etterfulgt av et langt "heng" før du endelig blir logget inn.
Endre konfigurasjonen av PAM
Du kan omgå disse problemene ved å endre konfigurasjonen av PAM:
vi /etc/pam.d/sshd
Endre følgende så følgende linjer er kommentert ut:
# Print the message of the day upon successful login.
# This includes a dynamically generated part from /run/motd.dynamic
# and a static (admin-editable) part from /etc/motd.
#session optional pam_motd.so motd=/run/motd.dynamic
#session optional pam_motd.so noupdate
# Print the status of the user's mailbox upon successful login.
#session optional pam_mail.so standard noenv # [1]
Angi deretter følgende i kommandolinjen for å skru av den vanlige infoskjermen som vises ved login:
touch ~/.hushlogin
Og til slutt:
systemctl restart systemd-logind.service
Disable PAM-moduler eller PAM for SSH
Dersom problemene vedvarer kan du skru av PAM-modulen som vanligvis forårsaker problemer, eller skru av PAM for SSH. NB! Dette kan ha uforutsette konsekvenser!
http://manpages.ubuntu.com/manpages/bionic/man7/PAM.7.html
Skru av pam_systemd.so
vi /etc/pam.d/common-session
# and here are more per-package modules (the "Additional" block)
session required pam_unix.so
#session optional pam_systemd.so
Endringene krever ingen omstart av sshd.
Skru av PAM for SSH
vi /etc/ssh/sshd_config
# Set this to 'yes' to enable PAM authentication, account processing,
# and session processing. If this is enabled, PAM authentication will
# be allowed through the ChallengeResponseAuthentication and
# PasswordAuthentication. Depending on your PAM configuration,
# PAM authentication via ChallengeResponseAuthentication may bypass
# the setting of "PermitRootLogin without-password".
# If you just want the PAM account and session checks to run without
# PAM authentication, then enable this but set PasswordAuthentication
# and ChallengeResponseAuthentication to 'no'.
UsePAM no
Start deretter sshd på nytt:
sudo service sshd restart