У мене виникає проблема в CentOS 6.7, де вхід у SSH на 1 с більше, ніж на будь-яких машинах, що не мають 6.7 цієї мережі (наприклад, 7.2, 5.11). Запуск налагодження на стороні клієнта показав завис на "Введення в інтерактивний сеанс".
Команда, якою я базуюсь на цьому тесті, є time ssh <host> trueз мого ноутбука, використовуючи клавіші SSH.
Дві речі , які я вже перевірив / модифікованими є UseDNSі GSSAPIAuthentication, і обидва відключені.
Я запустив окремий демон на іншому порту з налагодженням і виявив, де відбувається коротке зависання:
debug1: SELinux support enabled
debug3: ssh_selinux_setup_exec_context: setting execution context
{1s hang}
debug3: ssh_selinux_setup_exec_context: done
SELinux встановлений як "дозвільний". Я не впевнений, чому це навіть турбує "встановлення контекстів". Чи є спосіб зробити це двоє краще, не вимкнувши SELinux взагалі? Я усвідомлюю, що 1 не дуже багато, але я використовую цю машину як шлюз SSH для розміщення білих списків IP (це статична IP-машина), і вона збільшується протягом дня.
Після запуску шнура, повісити трохи детальніше:
22:16:05.445032 open("/selinux/user", O_RDWR|O_LARGEFILE) = 4 <0.000090>
22:16:05.445235 write(4, "unconfined_u:system_r:sshd_t:s0-s0:c0.c1023 unconfined_u", 56) = 56 <0.334742>
22:16:05.780128 read(4, "18\0unconfined_u:system_r:prelink_mask_t:s0-s0:c0.c1023\0unconfined_u:system_r:unconfined_mount_t:s0-s0:c0.c1023\0unconfined_u:system_r:abrt_helper_t:s0-s0:c0.c1023\0unconfined_u:system_r:oddjob_mkhomedir_t:s0-s0:c0.c1023\0unconfined_u:system_r:unconfined_notrans_t:s0-s0:c0.c1023\0unconfined_u:system_r:unconfined_execmem_t:s0-s0:c0.c1023\0unconfined_u:system_r:unconfined_java_t:s0-s0:c0.c1023\0unconfined_u:system_r:unconfined_mono_t:s0-s0:c0.c1023\0unconfined_u:system_r:chkpwd_t:s0-s0:c0.c1023\0unconfined_u:system_r:passwd_t:s0-s0:c0.c1023\0unconfined_u:system_r:updpwd_t:s0-s0:c0.c1023\0unconfined_u:system_r:mount_t:s0-s0:c0.c1023\0unconfined_u:system_r:rssh_t:s0-s0:c0.c1023\0unconfined_u:system_r:xauth_t:s0-s0:c0.c1023\0unconfined_u:system_r:unconfined_t:s0-s0:c0.c1023\0unconfined_u:system_r:openshift_t:s0-s0:c0.c1023\0unconfined_u:unconfined_r:oddjob_mkhomedir_t:s0-s0:c0.c1023\0unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023\0", 4095) = 929 <0.000079>
Написання на /selinux/userзаймає 350 мс в спокої.
Оновлення 1 - Що я намагався :
- Оновлення. Для багатьох вікон необхідні оновлення. Це не мало суттєвого впливу на час входу.
semodule -d unconfined- Це дало позитивний ефект, скоротивши час входу приблизно на 500 мс. Однак у моїх скриньках C7 та C5.11 (про які я (знову) дізнався, SELinux відключений) в середньому ~ 525 мс- Порівнюючи мої машини C6.7 - Виходить 64-бітні коробки швидше, ніж мої 32-бітні коробки. Можливо, це "душний" момент для когось, але оскільки жодна з цих скриньок не обкладається особливими податками, я не очікував відхилення в 100-300 мс. Мені вдалося зламати позначку 1s (850 мс) на одному з 64-бітових хостів. Найнижчий показник на 32 бітах - 1,085
Я занадто багато запитую? Чи 10-1200 мс є прийнятним часом входу для машин, що мають дозвіл на selinux? Цікаво, якими є орієнтири інших людей.
messagesабоsecure
straceі подивитися, на який виклик він висить.