Почему выполнение команды sudo занимает много времени?

83

За последние несколько месяцев я выбирал Linux (Fedora 10, а затем 11) (и мне это очень нравится - это все равно, что снова и снова открывать для себя компьютеры, так много всего нужно изучить).

Я добавил своего пользователя в последнюю строку файла / etc / sudoers, как показано ниже, чтобы при запросе команды sudo меня не спрашивали мой пароль:

MyUserName ALL = (ALL) NOPASSWD: ALL

Теперь каждый раз, когда я выполняю команду, используя sudo, она приостанавливает заметное количество времени перед тем, как фактически выполнить задачу (~ 10 секунд). Почему это может быть и как я могу это исправить? Я использую Sudo версии 1.7.1 на Fedora 11 x86 64.

linux permissions sudo

— скоро
источник

Технически это считается редактированием скрипта, верно? Разве сценарий не является программой?

6

NOPASSWD: считается угрозой безопасности и побеждает цель использования sudo в первую очередь.

Я могу купить это, но все еще остается вопрос, почему это так долго.

2

Откуда эта машина получает пользователей и аутентификацию? LDAP, возможно с Kerberos возможно?

— wzzrd

1

Возможный дубликат Каждый раз, когда я использую sudo, он зависает перед завершением

— Гарри Цай

123

Я задал этот вопрос на SO, и он был перенесен сюда. Тем не менее, у меня больше нет возможности редактировать вопрос, как если бы он мне принадлежал, или даже принять правильный ответ, но это оказалось истинной причиной, почему и как ее решить:

Найденный здесь пользователь "rohandhruva" там дает правильный ответ:

Это происходит, если вы меняете имя хоста в процессе установки.

Чтобы решить проблему, отредактируйте файл / etc / hosts
127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4 <ADD_YOURS_HERE> 
::1 localhost localhost.localdomain localhost6 localhost6.localdomain6 <ADD_YOURS_HERE>

— Cuga
источник

3

Совершенно верно. Несколько удивительно, что такие дистрибутивы, как Fedora, не редактируют / etc / hosts, если вы меняете имя хоста во время установки, но неважно. Это открытый исходный код для вас!

— dimo414

Это исправило мое медленное использование sudo, спасибо! Я отредактировал / etc / hostname и просто забыл отредактировать файл / etc / hosts.

— Джо

2

Добавление имени хоста в строку 127.0.0.1 или :: 1 может привести к привязке определенного программного обеспечения, относящегося к серверу, к нужному имени хоста / IP / интерфейсу. Одним из таких примеров является Cloudera Manager, службы hadoop получают неправильное имя хоста и вводят в заблуждение CM, поскольку все они преобразуются в localhost. Я предлагаю прочитать другой ответ ниже для возможного решения. Это может вызвать или не вызвать проблемы на отдельной рабочей станции, к которой не будут подключены другие компьютеры.

— ddcruver

1

Это также может быть /etc/nsswitch.conf (по аналогичным причинам). У меня был установлен «hosts: dns files», и поэтому он долго искал мое имя хоста на DNS-сервере. Я изменил его на "hosts: files dns", и теперь он будет сначала смотреть в / etc / hosts. Спасибо за этот ответ, который привел меня посмотреть в nsswitch.conf!

— Алан Портер

1

Смешно, что это было решением. Почему в мире sudoкоманда должна смотреть на имя хоста, чтобы работать? При чем тут мое имя хоста sudo echo hello? В любом случае, спасибо за ответ

— smac89

24

Убедитесь, что ваш демон syslog работает правильно; это вызвало проблему для меня.

Запустите следующую команду

logger 'Hello world'

Возвращается ли команда в течение разумного периода времени?
«Привет мир» появляется в /var/log/syslog?

Если это не так, демон syslog потерпел крах. Перезапуск должен исправить вашу проблему.

— galgalesh
источник

9

Удивительно, но это была проблема для меня. Кто бы мог подумать. Решением для меня было просто перезапустить системный журнал. service rsyslog restart

— MikeKulls

Тоже самое. service rsyslog restartисправил мои медленные команды sudo.

— Педро Кордейру

Удивительно, но это была проблема для меня. До этого весь запрос на сервер так медленно. Я просто хочу знать почему?

— Майкл Ван

10

Является ли один из файлов / каталогов, которые он должен прочитать при подключении к сети, или это как-то вызывает чтение с медленного USB-устройства? Попробуйте strace и посмотрите, где это медленно; если это пройдет слишком быстро, сделайте

sudo strace -r -o trace.log sudo echo hi

Каждая строка будет начинаться со времени, прошедшего с момента ввода предыдущего системного вызова.

(Первоначальный sudo, кажется, необходим; я не знаю, насколько это повлияет на результаты.)

— ysth
источник

Спасибо. Это на жестком диске, но не USB или сетевой диск.

@Cuga: а чему ты научился у Стрейса?

@oligofren: вам нужно сделать sudo strace

— YSTH

8

Я недавно обнаружил, что у меня была такая же проблема. Там не было задержки sudo, а затем внезапно, около 10-20 секунд задержки. Я определил конкретную проблему, используя:

 1. chmod u+s /usr/sbin/strace  (as the root user)

Как себя

 1. sudo -K
 2. strace sudo /bin/tcsh

А потом найдите, где висят системные вызовы.

В моем случае я обнаружил, что он зависает при переводе DNS, по-видимому, один из DNSen в моем списке /etc/resolv.confбыл очень занят или испортился. Поэтому я изменил порядок разрешения, и пуф снова сработал быстро.

— Якорь,
источник

Лучший ответ (для меня)! Обнаружил, что мой DBus Broker зависал при отключении от сети, и sudo / KDE истекал при подключении к нему. Спасибо!

— PSSGCSim

Спасибо, это помогло мне. Мне также пришлось отменить предыдущее изменение в hostsстроке в моем /etc/nsswitch.conf. Я добавил «resol dns» в качестве префикса к hostsзначению. Когда я удалил этот префикс, sudo снова был быстр.

— Мнибер

5

Я не уверен насчет Fedora, но я использовал другие системы, где sudo проверит, откуда вы вошли, что, если ваш DNS не настроен должным образом, может занять много времени. Это также можно увидеть, когда SSH подключается к машине - требуются целые годы, чтобы получить приглашение.

— Колин Когхилл
источник

5

У меня та же проблема, я проверил /var/log/auth.log и syslog на наличие ошибок. Оказывается, что мой сервер LDAP не мог быть достигнут, и это замедлило все.

Я больше не использовал аутентификацию на основе LDAP, поэтому я удалил все ссылки "ldap" из /etc/nsswitch.conf

С тех пор все снова работает как шарм.

— Sakuraba
источник

Почему вы публикуете явно не связанный ответ (OP не использовал LDAP) на пятилетний вопрос?

— Свен

7

Потому что это может кому-нибудь помочь. Я проверил все вещи, которые были упомянуты здесь, но ничего не помогло. Кто-то еще может сосредоточиться на том, чтобы посмотреть в правильном направлении с моим ответом, проверив, нет ли у него каких-либо проблем с соединением LDAP в качестве основной причины медленной и не отвечающей команды sudo. Это так же актуально, как ответы, связанные с DNS, в том, что что-то скрыто за обложками, что невидимо для пользователя. Я рассматриваю этот сайт как общий источник знаний, а не просто как один тип вопросов / ответов. Речь идет о сборе соответствующих знаний.

— Сакураба

6

Кроме того, кто в голубом аду ты дискредитировать мою помощь. Этот сайт работает, потому что обмен знаниями стимулируется, а не потому, что люди недовольны. Если вам это не нравится, то вы можете игнорировать это.

— Сакураба

5

В некоторых случаях обнаруживается, что имя хоста (которое было настроено в /etc/sysconfig/ network) не существует в /etc/hostsфайле; поэтому при добавлении в вышеупомянутый файл, файл открывается быстро.

— Zahid Hussain
источник

3

У меня была похожая проблема, я исправил ее, указав имя хоста (например, mybox) и полный вывод команды hostname (mybox.mydomain.com). Это прояснило это прямо. Ушел от 2 минут, чтобы открыть / etc / hosts для мгновенного доступа.

—
источник

3

SELinux чехол

Если одна и та же команда sudo медленная только в демоне и быстрая в командной строке, то это, скорее всего, вызвано SELinux . (SELinux = NSA Security-Enhanced модуль ядра Linux, включен в Fedora по умолчанию.)

Типичным случаем является http-сервер и специальный скрипт для управления сервером, ограниченный в sudoers:

apache ALL=(root_or_user) NOPASSWD: /full/path/the_safe_command

В этом случае типично, что ничего о SELinux не сообщается в журнале аудита ausearch -m avc -ts today, но сценарий работает быстро, если мы временно отключаем принудительное применение setenforce 0. (и затем включите обратно setenforce 1)

Единственные релевантные сообщения в системном журнале (journalcrl) - это после задержки 25 секунд:

... sudo [...] pam_systemd (sudo: session): не удалось создать сеанс: не получен ответ. Возможные причины: удаленное приложение не отправило ответ, политика безопасности шины сообщений заблокировала ответ, истекло время ожидания ответа или было разорвано сетевое соединение.
... sudo [...]: pam_unix (sudo: session): сеанс открыт для пользователя root с помощью (uid = 0)

Ведение журнала всех сообщений SElinux "не проводить аудит" можно semodule -DBотключить и снова отключить semodule -B.
(Я надеюсь, что я скоро напишу модуль политики SELinux для этого случая здесь или метод из этого ответа может быть использован.)

— оборота гинексер
источник

Спасибо за эту информацию. Из приведенной здесь информации я смог найти соответствующую статью, в которой отмечалась возможность fprintd(аутентификации по отпечатку пальца) виновника. Устранение fprintdи fprintd-pamрешение проблемы для меня.

— KevinO

@KevinO Рад, что это помогло вам найти решение. Однако я знал, что моя проблема очень специфична и что моим вкладом в этот вопрос должен быть только метод диагностики или исключения подозрений в SELinux.

— hynekcer

Я абсолютно дал ему +1! Это была шина сообщений, которая привела к решению. Я пару раз смотрел на sudo slow, но твоя была подсказка, в которой я нуждался.

— KevinO

1

Глядя на sudoersфайл примера, который у меня есть, я считаю, что после NOPASSWD:бита должен быть пробел .

— Крис Шут-Янг
источник

Я добавил пробел, но он все еще имеет отставание. Спасибо за предложение.

1

Проверьте файл / etc / hosts и убедитесь, что у вас есть запись для 127.0.0.1

( источник )

— Райан Эмерл
источник

1

После устранения проблем с хостом убедитесь, что вы удалили все поврежденные кеши DNS, если у вас запущено приложение кеширования DNS, такое как nscd:

/etc/init.d/nscd force-reload

— Roger Smith
источник

1

Для меня это был krb5-user / config / locales. Я заметил это, изучив /var/log/auth.log. Использование apt-get remove для удаления исправленных пакетов. Не удаляйте эти пакеты, если вы находитесь на компьютере, требующем Kerberos (pam_krb5).

— Halsafar
источник

0

Вы используете LDAP для аутентификации?

Если это так, вы, вероятно, хотите использовать мягкую политику привязки. В /etc/ldap/ldap.conf (или /etc/ldap.conf):

bind_policy soft

— jtimberman
источник

0

Похоже, у вас есть какой-то таймаут в цепочке аутентификации. Проверьте, как sudo пытается аутентифицироваться, и следите за узкими местами.

— towo
источник

0

Системный чехол

Для меня в моей системе не хватило памяти, и многие процессы потерпели крах. Моя система основана на systemd, и что-то там потерпело крах. Мне сложно вспомнить все, что я делал, но:

systemctl status <any.service> будет тайм-аут
Я не мог sudo reboot(на системной основе)

Решение

Перезапуск исправил мою проблему, но для меня это было просто бинтом. Вам все еще нужно выяснить, почему у вас закончилась память / произошел сбой.

— Эрик Фоссум
источник