Selon les ordinateurs auxquels vous vous connectez, le problème est plus ou moins important : le délai de connexion au serveur SSH peut prendre parfois plus de cinq secondes. Sur la journée, vous vous retrouvez très souvent entrain d’attendre votre ligne de commande et c’est très pénible.
Sommaire
Configuration du serveur SSH
Habitué aux serveurs SSH sous Debian, mon premier réflexe lors de a configuration du serveur SSH est de penser au paramètre UseDNS. En effet par défaut le serveur chercher à établir la résolution DNS inverse depuis votre IP. Cette requête peut être assez longue et la chose à faire, c’est de la désactiver en rajoutant ceci à la fin de votre fichier /etc/ssh/sshd_config avant de relancer le serveur.
|
1 |
UseDNS no |
Voilà, les astuces les plus simples sont également les meilleures. D’un point de vue sécurité, ceci ne change pas grand chose. La résolution inverse permet probablement d’en savoir légèrement plus sur le client SSH qui ferait des tentatives de connexion infructueuses, mais rien ne vous empêche d’effectuer cette résolution inverse lors de l’analyse de vos fichiers de logs.
Temps de résolution de l’hôte
Une raison toute bête pour laquelle la connexion SSH (ou tout autre protocole) vers un serveur peut être lente est le temps de résolution. Avec l’outil dig vous pouvez voir le temps mis pas la résolution DNS.
Le plus simple pour accélérer cette phase est probablement d’appeler ses machines par un diminutif qui apparaît dans le fichier hosts du client. Avant d’aller chercher la résolution DNS auprès d’un serveur distant, le fichier hosts sera utilisé s’il contient une définition applicable.
Entropie du serveur et du client
L’initialisation d’une connexion sécurisée commence très souvent par la génération d’un nombre aléatoire (ou donnée aléatoire) par le noyau. Cela n’est possible que s’il y a un minimum d’activité sur le client et le serveur, car le noyau Linux compile différentes données réputées « variables » pour alimenter son générateur de nombres aléatoires, le device /dev/random. Si besoin, consultez mon article qui présente les solutions concernant le manque d’entropie Linux.
Autres fonctions désactivables
Il y a certaines options qui n’ont pas besoin d’être utilisées si vous n’en avez pas besoin, ainsi par exemple, n’appelez pas l’option -X qui correspond à la redirection X11 si vous n’en avez pas besoin.
