Debian SSH性能优化技巧

Debian SSH性能优化技巧

快速优化登录延迟

• 关闭 SSH 服务端的 DNS 反向解析：在 /etc/ssh/sshd_config 中设置 UseDNS no，可显著降低首次握手等待。
• 关闭 GSSAPI 认证：在 /etc/ssh/sshd_config 中设置 GSSAPIAuthentication no，避免 GSS 协商带来的额外往返。
• 优化名称解析顺序：在 /etc/nsswitch.conf 将 hosts: files dns 调整为 hosts: files，减少慢 DNS 查询对登录的影响。
• 客户端配合：在 /etc/ssh/ssh_config（或客户端配置）将 GSSAPIAuthentication no，并尽量使用 密钥登录 替代密码。
• 变更后执行：sudo systemctl restart ssh 使配置生效。

连接并发与超时调优

• 提高并发处理能力：在 /etc/ssh/sshd_config 调整
  • MaxStartups 1000（默认队列较小，高并发时易出现 “connection is closed by foreign host”）
  • MaxSessions 10（单个连接的会话数，可按需上调）
• 缩短登录等待：将 LoginGraceTime 120 调整为 30s 或更低，快速释放半开连接。
• 保活防断：在 /etc/ssh/sshd_config 设置 ClientAliveInterval 300、ClientAliveCountMax 2，减少 NAT/防火墙空闲超时导致的掉线。
• 变更后执行：sudo systemctl restart ssh。

认证与加密算法选择

• 优先使用 密钥认证：启用 PubkeyAuthentication yes，禁用 PasswordAuthentication yes，登录更快且更安全。
• 推荐密钥类型：生成 Ed25519 密钥对（ssh-keygen -t ed25519），在 /etc/ssh/sshd_config 确保 PubkeyAuthentication yes。
• 客户端保活：在 ~/.ssh/config 为常用主机设置 ServerAliveInterval 60，保持长会话稳定。
• 变更后执行：sudo systemctl restart ssh。

SFTP与网络层优化

• SFTP 场景：在 /etc/ssh/sshd_config 合理设置 MaxSessions/MaxStartups，并按需启用 ChrootDirectory 做目录隔离（避免过度限制导致额外开销）。
• 文件系统：为上传/下载目录所在分区使用合适文件系统（如 ext4/XFS），并考虑挂载选项 noatime 减少元数据写入。
• 网络栈：在 /etc/sysctl.conf 适度优化 TCP 缓冲区与重用（如 net.core.rmem、net.core.wmem、net.ipv4.tcp_tw_reuse），提升高带宽/高延迟链路表现。
• 变更后执行：sudo systemctl restart ssh 并 sysctl -p 使网络参数生效。

客户端工具与排障建议

• 客户端提速：在 SecureCRT 中启用 SSH 压缩、使用 密钥认证、开启 Keepalive/NO-OP、关闭不必要的 流量监控，可改善交互与文件传输体验。
• 快速定位慢点：使用 ssh -v <host> 查看卡在哪一阶段；用 time ssh <user>@<host> exit 量化登录耗时，针对性优化。
• 变更验证：每次修改 sshd_config 后先保留一个已连接的终端，再重启服务，避免被锁。