怎样在CentOS上优化SSH性能

CentOS 上优化 SSH 性能的可操作清单

一 定位瓶颈

• 使用带调试的 SSH 连接，观察卡在哪一阶段：执行命令为 ssh -v user@host；如需量化总耗时，可用 time ssh user@host exit。若看到 “gssapi-with-mic” 阶段耗时明显，多半是 GSSAPI 认证导致；若建立连接后很久才出现登录提示，常与 DNS 反向解析有关。

二 服务器端关键优化

• 关闭 DNS 反向解析：编辑 /etc/ssh/sshd_config，设置 UseDNS no（即便被注释，默认值也为 yes，建议显式关闭）。
• 禁用 GSSAPI 认证：设置 GSSAPIAuthentication no（如需 Kerberos 再开启）。
• 优化连接保活：设置 TCPKeepAlive yes；按需调整 ClientAliveInterval（如 30 秒）与 ClientAliveCountMax，减少空闲被断开与反复握手。
• 调优未完成认证阶段的并发：适当增大 MaxStartups（默认 10:30:100，表示未认证并发达 10 后开始以 30% 概率拒绝，直到 100），缓解短时突发连接导致的排队。
• 持久化生效：修改后执行 systemctl restart sshd。
  以上改动能显著缩短登录握手与空闲掉线问题，并提升高并发场景下的可用性。

三 客户端侧优化

• 复用连接（大幅减少多次登录的握手开销）：在 ~/.ssh/config 增加
  Host *
    ControlMaster auto
    ControlPath /tmp/ssh-%r@%h:%p
    ControlPersist 600
• 关闭客户端 GSSAPI：在 /etc/ssh/ssh_config 将 GSSAPIAuthentication 设为 no（注意这是客户端配置，非 sshd_config）。
• 连接耗时基线：使用 time ssh user@host exit 对比优化前后耗时。
  上述做法对频繁打开/关闭多个会话的场景收益明显。

四 网络与系统层面优化

• 提升解析效率：检查 /etc/resolv.conf 中 DNS 服务器是否可达与响应及时；必要时精简或调整 nameserver 顺序。若服务器本身不需要对外做大量域名解析，可在 /etc/nsswitch.conf 将 hosts 行调整为仅 files（hosts: files），避免 DNS 超时等待。
• 合理开放端口与策略：如为降噪将端口自 22 改为非标准端口，需同步在 firewalld 放行新端口（firewall-cmd --permanent --add-port=新端口/tcp & & firewall-cmd --reload），并在云厂商安全组放行对应端口；同时保留或调整 iptables 规则以避免误拦。
• 谨慎变更 SELinux 与端口：若使用非 22 端口，确保 SELinux 允许 SSH 端口（semanage port -l | grep ssh；如不在列表，执行 semanage port -a -t ssh_port_t -p tcp 新端口），避免重启后 sshd 无法绑定端口。
  这些网络与系统层面的调整能减少解析与访问控制造成的额外时延，并保障配置变更后连接不被阻断。

五 安全与性能的平衡建议

• 优先采用密钥登录并禁用密码：PubkeyAuthentication yes；PasswordAuthentication no；必要时禁用 root 直登（PermitRootLogin no），先以普通用户登录再 su/sudo。此举不仅更安全，也可避免密码尝试带来的额外往返与锁定开销。
• 变更端口属于“安全通过 obscurity”，对性能无直接提升，但配合防火墙/安全组能减少噪音连接，从整体上改善登录体验。
• 如需进一步控制资源与滥用，可结合 MaxAuthTries、MaxSessions、LoginGraceTime 等参数与 PAM/hosts.allow|deny 做精细化限制，避免暴力与滥用导致的性能劣化。
  上述做法在提升安全性的同时，避免因策略不当引发的连接失败与重试风暴。

声明：本文内容由网友自发贡献，本站不承担相应法律责任。对本内容有异议或投诉，请联系2913721942#qq.com核实处理，我们将尽快回复您，谢谢合作！