1. 禁用反向DNS解析(最常见有效方案)
SSH服务器默认会对客户端IP执行反向DNS查找,若解析失败或超时,会导致登录延迟。通过修改服务器端配置禁用此功能:
编辑/etc/ssh/sshd_config文件,添加或修改UseDNS no参数;保存后重启SSH服务使配置生效:sudo systemctl restart ssh。
2. 优化SSH加密与哈希算法
选择轻量级、快速的加密算法可减少连接建立时间。修改服务器端/etc/ssh/sshd_config文件,添加以下参数:
KexAlgorithms curve25519-sha256@libssh.org,ecdh-sha2-nistp256(优先使用Curve25519椭圆曲线算法,性能优于传统RSA);
HostKeyAlgorithms ssh-ed25519,ssh-rsa(使用Ed25519或RSA主机密钥);
Ciphers chacha20-poly1305@libssh.org,aes256-gcm@libssh.org,aes128-gcm@libssh.org(优先选择ChaCha20-Poly1305或AES-GCM流加密算法,加密效率高)。
修改后重启SSH服务:sudo systemctl restart ssh。
3. 启用公钥认证替代密码认证
密码认证需传输密码明文(即使加密),且可能因密码复杂度检查导致延迟;公钥认证无需传输密码,速度更快且更安全。
ssh-keygen -t ed25519 -C "your_email@example.com"(推荐Ed25519算法,性能优于RSA);ssh-copy-id user@your_server_ip;/etc/ssh/sshd_config中PubkeyAuthentication yes(启用公钥认证)、AuthorizedKeysFile .ssh/authorized_keys(指定公钥文件路径);sudo systemctl restart ssh。4. 禁用不必要的身份验证方法
GSSAPI身份验证(用于Kerberos单点登录)若未配置,会导致SSH尝试调用失败并超时。修改服务器端/etc/ssh/sshd_config文件,添加GSSAPIAuthentication no参数,重启SSH服务。
5. 调整TCP KeepAlive设置
TCP KeepAlive可保持连接活跃,避免因网络空闲导致连接中断或重连延迟。修改服务器端/etc/ssh/sshd_config文件,添加或修改以下参数:
TCPKeepAlive yes(启用TCP KeepAlive);
ClientAliveInterval 60(服务器每60秒向客户端发送一次保活信号);
ClientAliveCountMax 3(若连续3次未收到客户端响应,则断开连接)。
重启SSH服务使配置生效。
6. 限制最大连接数与启动延迟
过多并发连接会消耗系统资源,导致新连接延迟。修改服务器端/etc/ssh/sshd_config文件,添加或修改以下参数:
MaxStartups 10:30:60(表示当并发连接数达到10时,拒绝30%的新连接;达到60时,拒绝所有新连接);
MaxSessions 5(限制每个连接的最大会话数)。
重启SSH服务。
7. 检查网络连接与系统资源
ping your_server_ip命令检查客户端与服务器之间的网络延迟,若延迟过高(如超过100ms),需排查网络问题(如路由器配置、带宽不足);top或htop命令查看服务器CPU、内存使用情况,若资源占用过高(如CPU使用率超过80%),需优化系统负载(如关闭不必要的服务、升级硬件);sudo ufw allow 22(Ubuntu)或sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT(Debian传统防火墙)开放端口。8. 更新SSH至最新版本
旧版本SSH可能存在性能bug或安全漏洞,更新至最新版本可获得性能优化与安全提升。使用以下命令更新Debian系统上的SSH:
sudo apt update && sudo apt upgrade openssh-server。