मैं खुलने पर एन्क्रिप्शन को कैसे निष्क्रिय कर सकता हूं?

मुझे दूरस्थ वेबप्रोक्सी का उपयोग करने के लिए ओपनश (सर्वर) और पोटीन (क्लाइंट) संयोजन का उपयोग करके प्रदर्शन की समस्याएं हैं। मैं एन्क्रिप्शन को अक्षम करना और परिणाम देखने के लिए परीक्षण करना चाहूंगा कि क्या इससे कोई फर्क पड़ता है। मैं उसे कैसे कर सकता हूँ? वहाँ कुछ भी मैं में संशोधित कर सकते है sshd_config। मैं ओपेनशिप के लिए बहुत नया हूं।

किसी भी अन्य विचारों की सराहना की जाएगी।

मैंने मूल रूप से अपने IE को 127.0.0.1 मोज़े को प्रॉक्सी के रूप में उपयोग करने के लिए सेट किया है। मैं अपने पोटी को अपने ओपनश सर्वर पर घर और वॉइला से जोड़ता हूं - मैं इसके माध्यम से इंटरनेट ब्राउज़ करने में सक्षम हूं। हालाँकि, यह अविश्वसनीय रूप से धीमा है, हालांकि मुझे पता है कि मेरे घर के लिए एक तेज़ कनेक्शन है (उदाहरण के लिए ftp 50Kbytes / sec से ऊपर काम करता है।

किसी भी चीज़ को फिर से देखे बिना, जहाँ तक मुझे पता है, यह नहीं किया जा सकता है। हालाँकि आप ARC4 या ब्लोफिश पर स्विच कर सकते हैं जो कि आधुनिक हार्डवेयर पर पहले से तेज़ हैं।

सर्वश्रेष्ठ प्रदर्शन (जहाँ तक घड़ी चक्र का संबंध है) वृद्धि आप प्राप्त कर सकते हैं जोड़ने के साथ है

compression no

आप इसे बदलकर कर सकते हैं

ciphers         aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,
                aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,aes192-cbc,
                aes256-cbc,arcfour

सेवा मेरे

ciphers         arcfour,blowfish-cbc

यदि आप असंगतता के जोखिम पर कुछ अतिरिक्त प्रदर्शन को निचोड़ना चाहते हैं तो आप बदल सकते हैं

macs  hmac-md5,hmac-sha1,umac-64@openssh.com,
      hmac-ripemd160,hmac-sha1-96,hmac-md5-96

सेवा मेरे

macs  hmac-md5-96

अगर आपको अभी भी लगता है कि यह बहुत अधिक ओवरहेड है, तो आप v1 पर वापस लौट सकते हैं या बस एक मानक वीपीएन कर सकते हैं।

जब तक क्लाइंट या सर्वर में अत्यधिक कमी नहीं होती है, मुझे अत्यधिक संदेह है कि यह एन्क्रिप्शन है जो आपके प्रदर्शन के मुद्दों का कारण बन रहा है। मैं नियमित रूप से एक "-D 8080" ssh मोजे प्रॉक्सी का उपयोग करता हूं और कभी भी कुछ भी नहीं देखा है लेकिन बहुत मामूली मंदी है।

जाँच करने के लिए एक बात यह देखना है कि आपके क्लाइंट और सर्वर के बीच विलंबता क्या है। यदि यह एक बहुत ही अव्यक्त कनेक्शन है, तो आप निश्चित रूप से HTTP का उपयोग करते समय सुरंग के ऊपर खराब प्रदर्शन देखेंगे, जबकि एफ़टीपी के साथ प्रदर्शन समस्याओं को नहीं देखा जाएगा। एक बार एफ़टीपी ट्रांसफ़र चालू होने के बाद, विलंबता वास्तव में मायने नहीं रखती है, लेकिन HTTP के साथ, आप उन वेब पेजों के साथ काम कर रहे हैं जिनमें 50 या अधिक व्यक्तिगत HTTP हैंडशेक हो सकते हैं, जो होने चाहिए। उच्च-विलंबता कनेक्शन वास्तव में इस प्रक्रिया को धीमा कर देगा और ब्राउज़िंग को असहनीय बना देगा।

तो वैसे भी, ज़ेफायर पेलरिन ने जो सिफारिशें की हैं वे ध्वनि हैं। यदि आप वास्तव में सोचते हैं कि यह एन्क्रिप्शन है जो सभी तरह से उन्हें समस्या पैदा कर रहा है, तो एक अलग साइफर पर स्विच करें। मैं पहले विलंबता में देखने का सुझाव दूंगा, हालांकि, ऐसा लगता है कि बहुत अधिक संभावना वाला उम्मीदवार है।

इस धागे ने मुझे अपने स्वयं के बेंचमार्क बनाने में मदद की और मुझे पता चला कि प्रदर्शन न केवल विभिन्न सिफर / मैक द्वारा भिन्न होता है, इससे यह भी फर्क पड़ता है कि आप क्या डेटा भेज रहे हैं, कौन से सीपीयू शामिल हैं और कैसे नेटवर्किंग स्थापित की जाती है।

तो IMO सही काम करने के लिए अपने खुद के परीक्षण चलाने के लिए और अपनी स्थिति के लिए सबसे अच्छी सेटिंग्स मिल रहा है।

अगर किसी को दिलचस्पी है, तो यहां रास्पबेरी पाई के साथ इंटेल E5506 संचालित सर्वर की तुलना में मेरे परीक्षणों के परिणाम हैं:

--
-- Intel Xeon E5506(4 x 2.13 GHz), 50MB Random binary Data over localhost
--

cipher                      mac                        speed
---------------------------------------------------------------
aes192-cbc                  hmac-sha1                    50MB/s
arcfour256                  hmac-sha2-512              49.9MB/s
arcfour                     hmac-ripemd160             49.8MB/s
aes256-cbc                  hmac-sha1-96               49.7MB/s
aes128-cbc                  hmac-sha1-96               49.7MB/s
aes192-cbc                  hmac-sha1                  48.9MB/s
arcfour                     hmac-ripemd160@openssh.com 48.8MB/s
aes256-cbc                  hmac-sha1-96               48.8MB/s
arcfour                     hmac-ripemd160@openssh.com 48.7MB/s
aes128-cbc                  hmac-sha1                  48.4MB/s


--
-- Raspberry PI B+, 10MB Random binary over localhost
--

cipher                      mac                        speed
---------------------------------------------------------------
arcfour256                  umac-64@openssh.com        2.75MB/s
arcfour128                  umac-64@openssh.com        2.74MB/s
arcfour                     umac-64@openssh.com        2.63MB/s
arcfour                     umac-64@openssh.com        2.54MB/s
arcfour                     hmac-md5-96                2.36MB/s
arcfour128                  hmac-md5                   2.34MB/s
arcfour256                  hmac-md5                   2.34MB/s
arcfour256                  umac-64@openssh.com        2.33MB/s
arcfour256                  hmac-md5-96                2.28MB/s
arcfour256                  hmac-md5-96                2.22MB/s

लेकिन on टॉप 10 ’को पूरा करने के लिए, यहां पूर्ण परिणाम देखे जा सकते हैं ।

मैं इस पोस्ट की मदद से sshd / ssh को सिफर 'no' के साथ संकलित करने में सक्षम था: https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=24559#58

यह बहुत पुरानी पोस्ट है, लेकिन आपको सोर्स कोड फ़ाइल cipher.c में 3 मामूली संशोधन करने होंगे। फिर sshd / ssh कोड को फिर से जोड़ें।

@@ -175,7 +175,7 @@
    for ((p = strsep(&cp, CIPHER_SEP)); p && *p != '\0';
        (p = strsep(&cp, CIPHER_SEP))) {
        c = cipher_by_name(p);
-       if (c == NULL || c->number != SSH_CIPHER_SSH2) {
+       if (c == NULL || (c->number != SSH_CIPHER_SSH2 && c->number != SSH_CIPHER_NONE)) {
            debug("bad cipher %s [%s]", p, names);
            xfree(ciphers);
            return 0;
@@ -343,6 +343,7 @@
    int evplen;

    switch (c->number) {
+   case SSH_CIPHER_NONE:
    case SSH_CIPHER_SSH2:
    case SSH_CIPHER_DES:
    case SSH_CIPHER_BLOWFISH:
@@ -377,6 +378,7 @@
    int evplen = 0;

    switch (c->number) {
+   case SSH_CIPHER_NONE:
    case SSH_CIPHER_SSH2:
    case SSH_CIPHER_DES:
    case SSH_CIPHER_BLOWFISH:

इसके अलावा, noneसिफर को आपके साथ जोड़ना होगा/etc/ssh/sshd_config

Ciphers aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,arcfour,aes192-cbc,aes256-cbc,rijndael-cbc@lysator.liu.se,aes128-ctr,aes192-ctr,aes256-ctr,none

नीचे दिए गए लिंक आपको डेबियन और उबंटू सिस्टम के लिए ssh स्रोत प्राप्त करने में मदद करेंगे:

• /ubuntu//a/345198/54228
• https://www.debian.org/doc/manuals/apt-howto/ch-sourcehandling.en.html

भयानक होने के लिए डीन गौडेट को श्रेय

इस बहुत ही अच्छे ब्लॉग पोस्ट के अनुसार

http://blog.famzah.net/2010/06/11/openssh-ciphers-performance-benchmark/

मैं निम्नलिखित सिफर सेटअप करने की सलाह देता हूं। यह भी सुनिश्चित करें कि यदि आप LAN पर सर्वश्रेष्ठ प्रदर्शन चाहते हैं तो संपीड़न बंद है। कृपया ध्यान दें कि यह संभव सुरक्षा जोखिम है, केवल सुरक्षित लैन (जैसे घर आदि) पर उपयोग करें।

# cat ~/.ssh/config
Host 192.168.1.*
    Compression no
    Ciphers arcfour256,arcfour128,arcfour,blowfish-cbc,aes128-cbc,aes192-cbc,cast128-cbc,aes256-cbc

अपने लैन में अपने खुद के आईपी को सूचीबद्ध करने के लिए पहली पंक्ति को संशोधित करें। आप होस्टनाम (अंतरिक्ष द्वारा अलग) भी प्रदान कर सकते हैं। यह आपको LAN पर सबसे अच्छा scp प्रदर्शन देता है।

यदि आप एक पूरी तरह से अनएन्क्रिप्टेड और असम्पीडित सुरंग की कोशिश करना चाहते हैं तो आप rinetdSSH के बजाय डेटा को अग्रेषित करने के लिए कुछ का उपयोग करने की कोशिश कर सकते हैं । यह टीसीपी कनेक्शन के लिए एक सादे बाइनरी-सुरक्षित सुरंग की पेशकश करते हुए एसएसएच एक्स्ट्रा को हटा देगा।

जब आप कहते हैं कि आपका घर में तेज़ कनेक्शन है, तो क्या आप सुनिश्चित हैं कि यह दोनों दिशाओं में तेज़ है? कई घर कनेक्शन बहुत ही असममित हैं (उदाहरण के लिए मेरा घर ADSL ~ 11Mit डाउनस्ट्रीम और ~ 1.5Mbit अपस्ट्रीम और कई इससे भी बदतर हैं, कुछ मैं दोस्तों / परिवार के कनेक्शन से उद्धृत कर सकता हूं: 7M / 0.4M, 19M / 1.3M, 20M /) 0.75M, ...)। याद रखें कि यदि आप प्रॉक्सी के रूप में घर का उपयोग कर रहे हैं तो डेटा को आपके लिंक के माध्यम से जाना होगा ताकि दोनों अच्छे तरीके से आगे बढ़ सकेंअपने बहाव और ऊपर की गति की सबसे धीमी गति से और आप भी कारक में अतिरिक्त विलंबता का एक हिस्सा है। इसके अलावा आपका आईएसपी जानबूझकर अपस्ट्रीम संचार (या तो कंबल, या चुनिंदा रूप से हो सकता है ताकि ईमेल और चयनित लोकप्रिय वेब साइट जैसी चीजें प्रभावित न हों) एक तरह से चल रहे लोगों को हतोत्साहित करने के लिए / उनके घर के लिंक को बंद कर देते हैं, हालांकि यह अपेक्षाकृत दुर्लभ है।

मैंने अभी इस पर व्यापक परीक्षण किया है, और सिफर सूट जो उच्चतम थ्रूपुट का उत्पादन करता है, वह था umac64 MAC के साथ aes-128-ctr। 4-कोर 3.4GHz मशीन पर मैंने लोकलहोस्ट के माध्यम से लगभग 900MBytes / sec (बेंचमार्किंग के लिए नेटवर्क की अड़चनों को खत्म करने के लिए) देखा।

यदि आपको वास्तव में उस प्रदर्शन की आवश्यकता है, तो आप नवीनतम SSH चाहते हैं, और संभवतः HPN-SSH पैच।

यह एक ग्राहक पक्ष SSH विकल्प है जिसका उपयोग मैंने SSH कनेक्शन के लिए निम्न-अंत उपकरणों के लिए किया है:

ssh -c none -m hmac-md5-96 -oKexAlgorithms=curve25519-sha256@libssh.org ....

कोई भी सिफर मूल रूप से हाल के ओपनएसएसएच संस्करणों में समर्थित नहीं है। हालांकि, 7.6 के बाद से, ओपनएसएसएच ने एसएसएचवी 1 समर्थन को हटा दिया और आंतरिक उपयोग के लिए "कोई नहीं" सिफर लेबल किया।

#define CFLAG_NONE      (1<<3)
#define CFLAG_INTERNAL      CFLAG_NONE /* Don't use "none" for packets */

फिर आपको सर्वर और क्लाइंट पक्ष दोनों के लिए पैचिंग और रीकॉम्पेलिंग की आवश्यकता होती है।

#define CFLAG_INTERNAL      0