web-dev-qa-db-fra.com

Comment puis-je désactiver le cryptage sur OpenSSH?

J'ai des problèmes de performance à l'aide de la combinaison OpenSSH (Server) et Putty (Client) pour utiliser une WebProxy distante. Je voudrais désactiver le cryptage et tester les résultats pour voir si cela fait une différence. Comment puis je faire ça? Y a-t-il quelque chose que je puisse modifier dans le sshd_config. Je suis très nouveau pour opensesh.

Toute autre idée serait appréciée.

J'ai essentiellement défini mon IE pour utiliser 127.0.0.1 chaussettes comme proxy. Je connecte mon mastic à mon serveur OpenSSH à la maison et à voile - je suis capable de parcourir Internet à travers cela. Cependant, il est incroyablement lent, même si je sais que j'ai une connexion rapide à ma maison (FTP, par exemple, fonctionne à plus de 50 kmbytes/s.

performanceproxyencryptionsshsocks
21
Mark

Sans rien de recompiler, il ne peut pas être fait aussi loin que je suis conscient. Vous pouvez toutefois passer à ARC4 ou Blowfish, qui sont rapidement rapides sur le matériel moderne.

La meilleure performance (en ce qui concerne les cycles d'horloge) augmente que vous pouvez obtenir est d'ajouter

compression no

Vous pouvez le faire en changeant

ciphers         aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,
                aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,aes192-cbc,
                aes256-cbc,arcfour

à

ciphers         arcfour,blowfish-cbc

Si vous souhaitez presser des performances supplémentaires au risque d'incompatibilité, vous pouvez changer

macs  hmac-md5,hmac-sha1,[email protected],
      hmac-ripemd160,hmac-sha1-96,hmac-md5-96

à

macs  hmac-md5-96

Si vous pensez toujours que ceci est trop aérien, vous pouvez revenir à V1 ou simplement faire un VPN standard.

17
ŹV -

À moins que le client ou le serveur ne soit radicalement sous-alimenté, je doute fortement que c'est le cryptage qui cause vos problèmes de performance. J'utilise régulièrement un "-D 8080" ssh chaussettes de chaussettes SSH et n'a jamais remarqué quelque chose qu'un très légère ralentissement.

Une chose à vérifier est de voir quelle est la latence entre votre client et le serveur. Si c'est une connexion très latente, vous voyez sûrement de mauvaises performances sur le tunnel lors de l'utilisation de HTTP, tout en ne voyant pas de problèmes de performance avec FTP. Une fois qu'un transfert FTP est en cours, la latence n'a pas d'importance, mais avec HTTP, vous traitez de pages Web pouvant avoir 50 poignées de main HTTP individuelles ou plus. Les connexions à haute latence ralentiront vraiment ce processus et feront la navigation insupportable.

De toute façon, de toute façon, les recommandations que Zephyr Pellerin ont fait du son. Si vous pensez vraiment que c'est cryptage qui provoque les problèmes de tous les moyens, passez à un chiffre différent. Je suggérerais d'examiner la latence en premier, cependant, comme cela semble être un candidat beaucoup plus probable.

7
EEAA

J'ai pu compiler sshd/ssh avec Cipher 'Aucun' avec l'aide de ce message: https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=24559 # 58

C'est un article très ancien, mais vous devez faire 3 légères modifications au fichier de code source cipher.c. Puis recompilez le code SSHD/SSH.

@@ -175,7 +175,7 @@
    for ((p = strsep(&cp, CIPHER_SEP)); p && *p != '\0';
        (p = strsep(&cp, CIPHER_SEP))) {
        c = cipher_by_name(p);
-       if (c == NULL || c->number != SSH_CIPHER_SSH2) {
+       if (c == NULL || (c->number != SSH_CIPHER_SSH2 && c->number != SSH_CIPHER_NONE)) {
            debug("bad cipher %s [%s]", p, names);
            xfree(ciphers);
            return 0;
@@ -343,6 +343,7 @@
    int evplen;

    switch (c->number) {
+   case SSH_CIPHER_NONE:
    case SSH_CIPHER_SSH2:
    case SSH_CIPHER_DES:
    case SSH_CIPHER_BLOWFISH:
@@ -377,6 +378,7 @@
    int evplen = 0;

    switch (c->number) {
+   case SSH_CIPHER_NONE:
    case SSH_CIPHER_SSH2:
    case SSH_CIPHER_DES:
    case SSH_CIPHER_BLOWFISH:

En outre, le chiffre none devra être ajouté à votre /etc/ssh/sshd_config

Ciphers aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,arcfour,aes192-cbc,aes256-cbc,[email protected],aes128-ctr,aes192-ctr,aes256-ctr,none

Les liens ci-dessous vous aideront à obtenir SSH Source pour les systèmes Debian et Ubuntu:

Crédit à Dean Gaudet pour être génial

4
Sepero

Selon ce très beau poteau de blog

http://blog.famzah.net/2010/06/11/OPENSSH-CIPHERS-PERFORMANCE-BENDMMARK/

Je recommande de configurer les chiffres suivants. Assurez-vous également que la compression est désactivée si vous souhaitez la meilleure performance sur LAN. Veuillez noter que cela est un risque de sécurité possible, utilisez uniquement sur Secure LAN (par exemple, à la maison, etc.).

# cat ~/.ssh/config
Host 192.168.1.*
    Compression no
    Ciphers arcfour256,arcfour128,arcfour,blowfish-cbc,aes128-cbc,aes192-cbc,cast128-cbc,aes256-cbc

Modifiez la première ligne pour répertorier vos propres IP dans votre réseau local. Vous pouvez également fournir des noms d'hôte (séparés par l'espace). Cela vous donne la meilleure performance SCP sur LAN.

2
lzap

Si vous souhaitez essayer un tunnel complètement non crypté et non compressé, vous pouvez essayer d'utiliser quelque chose comme rinetd pour transférer les données au lieu de SSH. Cela dépouillerait les extras SSH tout en offrant un tunnel de sécurité binaire uni pour TCP Connections.

Lorsque vous dites que vous avez une connexion rapide à la maison, êtes-vous sûr que cela est rapide dans les deux sens? De nombreuses connexions à domicile sont très asymétriques (ma maison ADSL par exemple est ~ 11mit en aval et ~ 1,5 mbit en amont et beaucoup sont pires que cela, certains je peux citer des amis/connexions familiales: 7m/0,4 m, 19m/1,3 m, 20m/0.75m, ...). Remetber que si vous utilisez la maison en tant que proxy, les données doivent passer par votre lien à la fois afin de vous déplacer au mieux au plus lent de vos vitesses en aval et en amont et que vous avez un morceau de latence supplémentaire à facteur aussi. De plus, votre fournisseur d'accès Internet peut délibérément accélérer la communication en amont (couverture ou de manière sélective de sorte que des sites Web populaires sélectionnés ne soit pas affectée) comme moyen de décourager les personnes à exécuter des serveurs/proxies de leurs liens d'origine, bien que cela soit relativement rare.

1
David Spillett

Je viens de faire des tests approfondis à ce sujet et la suite Cipher qui a donné le débit le plus élevé était l'AES-128-CTR avec Mac UMAC64. Sur une machine à 4 cœurs de 3,4 GHz, j'ai vu près de 900 Mo/secs par localhost (pour éliminer les goulots d'étranglement réseau pour des raisons de référence)

Si vous avez vraiment besoin de beaucoup de performances, vous voulez le plus récent SSH, et éventuellement les patchs HPN-SSH .

0
Marcin

Ceci est une option SSH côté client que j'ai utilisée pour la connexion SSH aux périphériques bas de gamme:

ssh -c none -m hmac-md5-96 [email protected] ....

Aucun Cipher n'est pris en charge de manière native dans les dernières versions OpenSSH. Cependant, depuis 7,6, OpenSSH a supprimé le support SSHV1 et étiqueté "Aucun" chiffre pour l'utilisation interne.

#define CFLAG_NONE      (1<<3)
#define CFLAG_INTERNAL      CFLAG_NONE /* Don't use "none" for packets */

Ensuite, vous avez besoin de corriger et de recompiler pour le côté serveur et client.

#define CFLAG_INTERNAL      0
0
V.E.O