मैं खुलने पर एन्क्रिप्शन को कैसे निष्क्रिय कर सकता हूं?


21

मुझे दूरस्थ वेबप्रोक्सी का उपयोग करने के लिए ओपनश (सर्वर) और पोटीन (क्लाइंट) संयोजन का उपयोग करके प्रदर्शन की समस्याएं हैं। मैं एन्क्रिप्शन को अक्षम करना और परिणाम देखने के लिए परीक्षण करना चाहूंगा कि क्या इससे कोई फर्क पड़ता है। मैं उसे कैसे कर सकता हूँ? वहाँ कुछ भी मैं में संशोधित कर सकते है sshd_config। मैं ओपेनशिप के लिए बहुत नया हूं।

किसी भी अन्य विचारों की सराहना की जाएगी।

मैंने मूल रूप से अपने IE को 127.0.0.1 मोज़े को प्रॉक्सी के रूप में उपयोग करने के लिए सेट किया है। मैं अपने पोटी को अपने ओपनश सर्वर पर घर और वॉइला से जोड़ता हूं - मैं इसके माध्यम से इंटरनेट ब्राउज़ करने में सक्षम हूं। हालाँकि, यह अविश्वसनीय रूप से धीमा है, हालांकि मुझे पता है कि मेरे घर के लिए एक तेज़ कनेक्शन है (उदाहरण के लिए ftp 50Kbytes / sec से ऊपर काम करता है।


2
यह एक दुखद बात है कि रॉट 13 पैच ( miranda.org/~jkominek/rot13 ) कभी नहीं पकड़ा गया ...
Kenster 20:25

5
मुझे बहुत संदेह है कि SSH द्वारा उपयोग किया जाने वाला एन्क्रिप्शन आपके धीमे कनेक्शन का कारण है, जब तक कि आपका SSH सर्वर 1980 से डिजिटल कलाई घड़ी पर नहीं चल रहा हो।
joschi

जवाबों:


17

किसी भी चीज़ को फिर से देखे बिना, जहाँ तक मुझे पता है, यह नहीं किया जा सकता है। हालाँकि आप ARC4 या ब्लोफिश पर स्विच कर सकते हैं जो कि आधुनिक हार्डवेयर पर पहले से तेज़ हैं।

सर्वश्रेष्ठ प्रदर्शन (जहाँ तक घड़ी चक्र का संबंध है) वृद्धि आप प्राप्त कर सकते हैं जोड़ने के साथ है

compression no

आप इसे बदलकर कर सकते हैं

ciphers         aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,
                aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,aes192-cbc,
                aes256-cbc,arcfour

सेवा मेरे

ciphers         arcfour,blowfish-cbc

यदि आप असंगतता के जोखिम पर कुछ अतिरिक्त प्रदर्शन को निचोड़ना चाहते हैं तो आप बदल सकते हैं

macs  hmac-md5,hmac-sha1,umac-64@openssh.com,
      hmac-ripemd160,hmac-sha1-96,hmac-md5-96

सेवा मेरे

macs  hmac-md5-96

अगर आपको अभी भी लगता है कि यह बहुत अधिक ओवरहेड है, तो आप v1 पर वापस लौट सकते हैं या बस एक मानक वीपीएन कर सकते हैं।


3
यदि आपका ओपनएसएसएच इंस्टॉलेशन (दोनों छोरों पर) "कोई नहीं" साइबरफोर के लिए समर्थन के साथ पालन किया जाता है, तो आप इसे निर्दिष्ट भी कर सकते हैं, लेकिन यह सुरक्षित शेल के पूरे उद्देश्य को हरा देता है ।
voretaq7

1
हमारे बीच सी-झुकाव के लिए, आप सिफर सरणी में cipher.c के लिए {"none", SSH_CIPHER_NONE, 8, 0, 0, EVP_enc_null} में जोड़ सकते हैं ।
.वी -

3
मैं यह भी बता सकता हूं, आप सोसाइटी ( dest-unreach.org/socat ) जैसी किसी चीज का उपयोग एक ही काम करने के लिए कर सकते हैं और सभी SSH प्रोटोकॉल ओवरहेड से बच सकते हैं।
.V -

मुझे लगता है कि umac-64 उन मैक एल्गोरिदम का सबसे तेज है।
जेम्स ने मोनिका पोल्क

96 बिट एमडी 5 किसी भी मामले में अविश्वसनीय रूप से तेज है।
.V -

7

जब तक क्लाइंट या सर्वर में अत्यधिक कमी नहीं होती है, मुझे अत्यधिक संदेह है कि यह एन्क्रिप्शन है जो आपके प्रदर्शन के मुद्दों का कारण बन रहा है। मैं नियमित रूप से एक "-D 8080" ssh मोजे प्रॉक्सी का उपयोग करता हूं और कभी भी कुछ भी नहीं देखा है लेकिन बहुत मामूली मंदी है।

जाँच करने के लिए एक बात यह देखना है कि आपके क्लाइंट और सर्वर के बीच विलंबता क्या है। यदि यह एक बहुत ही अव्यक्त कनेक्शन है, तो आप निश्चित रूप से HTTP का उपयोग करते समय सुरंग के ऊपर खराब प्रदर्शन देखेंगे, जबकि एफ़टीपी के साथ प्रदर्शन समस्याओं को नहीं देखा जाएगा। एक बार एफ़टीपी ट्रांसफ़र चालू होने के बाद, विलंबता वास्तव में मायने नहीं रखती है, लेकिन HTTP के साथ, आप उन वेब पेजों के साथ काम कर रहे हैं जिनमें 50 या अधिक व्यक्तिगत HTTP हैंडशेक हो सकते हैं, जो होने चाहिए। उच्च-विलंबता कनेक्शन वास्तव में इस प्रक्रिया को धीमा कर देगा और ब्राउज़िंग को असहनीय बना देगा।

तो वैसे भी, ज़ेफायर पेलरिन ने जो सिफारिशें की हैं वे ध्वनि हैं। यदि आप वास्तव में सोचते हैं कि यह एन्क्रिप्शन है जो सभी तरह से उन्हें समस्या पैदा कर रहा है, तो एक अलग साइफर पर स्विच करें। मैं पहले विलंबता में देखने का सुझाव दूंगा, हालांकि, ऐसा लगता है कि बहुत अधिक संभावना वाला उम्मीदवार है।


+1 इसके लिए ... एन्क्रिप्शन होने की संभावना बहुत अधिक है और पहली बार में घर पर आपके होस्ट से कनेक्शन होने की संभावना अधिक है।
डेवजी

16
काश लोग यह कहते हुए रुक जाते कि आपको ऐसा करने की आवश्यकता नहीं है और एन्क्रिप्शन ओवरहेड (यदि या कोई नहीं तो) के लाभ और पतन के बारे में लंबी चर्चा में है, और बस कोशिश करें और सवाल का जवाब दें। मुझे अपने स्थानीय कार्य के लिए अपने स्थानीय कार्य के लिए निरर्थक एन्क्रिप्शन जोड़ने का कोई कारण नहीं दिखता है, जिसके लिए मुझे कम से कम प्रमाणीकरण की आवश्यकता है, लेकिन लोकलहोस्ट से लेकर लोकलहोस्ट तक काम करना वास्तव में एन्क्रिप्शन की आवश्यकता नहीं है।
मारियस

5
यह सच नहीं है, एक बड़ी फाइल को स्कैग का उपयोग करके कॉपी करने का प्रयास करें। इंटेल iCore 5 लोड 80% है।
लाजप

@Izap> हालांकि अभी एन्क्रिप्शन की तुलना में यह अधिक है। ftp(Ssl के बिना) का उपयोग करके एक बड़ी फ़ाइल को स्थानांतरित करना भी मुझे एक 20 से 40% -ish cpu लोड मिलता है। मैं सस्ते गिग-ईथरनेट को दोष देता हूं, जिसे सीपीयू से बहुत अधिक ध्यान देने की आवश्यकता है।
स्पेक्टर्स

जब आप SSH का उपयोग ZFS भेजने / प्राप्त करने के लिए करते हैं, तो सीपीयू अड़चन है;)
Xdg

6

इस धागे ने मुझे अपने स्वयं के बेंचमार्क बनाने में मदद की और मुझे पता चला कि प्रदर्शन न केवल विभिन्न सिफर / मैक द्वारा भिन्न होता है, इससे यह भी फर्क पड़ता है कि आप क्या डेटा भेज रहे हैं, कौन से सीपीयू शामिल हैं और कैसे नेटवर्किंग स्थापित की जाती है।

तो IMO सही काम करने के लिए अपने खुद के परीक्षण चलाने के लिए और अपनी स्थिति के लिए सबसे अच्छी सेटिंग्स मिल रहा है।

अगर किसी को दिलचस्पी है, तो यहां रास्पबेरी पाई के साथ इंटेल E5506 संचालित सर्वर की तुलना में मेरे परीक्षणों के परिणाम हैं:

--
-- Intel Xeon E5506(4 x 2.13 GHz), 50MB Random binary Data over localhost
--

cipher                      mac                        speed
---------------------------------------------------------------
aes192-cbc                  hmac-sha1                    50MB/s
arcfour256                  hmac-sha2-512              49.9MB/s
arcfour                     hmac-ripemd160             49.8MB/s
aes256-cbc                  hmac-sha1-96               49.7MB/s
aes128-cbc                  hmac-sha1-96               49.7MB/s
aes192-cbc                  hmac-sha1                  48.9MB/s
arcfour                     hmac-ripemd160@openssh.com 48.8MB/s
aes256-cbc                  hmac-sha1-96               48.8MB/s
arcfour                     hmac-ripemd160@openssh.com 48.7MB/s
aes128-cbc                  hmac-sha1                  48.4MB/s


--
-- Raspberry PI B+, 10MB Random binary over localhost
--

cipher                      mac                        speed
---------------------------------------------------------------
arcfour256                  umac-64@openssh.com        2.75MB/s
arcfour128                  umac-64@openssh.com        2.74MB/s
arcfour                     umac-64@openssh.com        2.63MB/s
arcfour                     umac-64@openssh.com        2.54MB/s
arcfour                     hmac-md5-96                2.36MB/s
arcfour128                  hmac-md5                   2.34MB/s
arcfour256                  hmac-md5                   2.34MB/s
arcfour256                  umac-64@openssh.com        2.33MB/s
arcfour256                  hmac-md5-96                2.28MB/s
arcfour256                  hmac-md5-96                2.22MB/s

लेकिन on टॉप 10 ’को पूरा करने के लिए, यहां पूर्ण परिणाम देखे जा सकते हैं


'कोई नहीं' सिफर के परिणाम इस विषय के लिए अधूरे हैं। मेरे पास कई पोगोप्लाग्व 4 (800 मेगाहर्ट्ज आर्म वर्जन = स्लो) हैं और वे अक्सर सीपीयू को एसश के साथ खूंटे में बांधते हैं। यही कारण है कि लोग कोई भी सिफर नहीं चाहते हैं। ssh / sshd 100% पर सीपीयू उपयोग का मतलब है कि यह नेटवर्क की समस्या नहीं है! मुझे आशा है कि मुझे वापस आना याद है और सिफर पोस्ट करना = कोई परिणाम नहीं ...
user2420786

क्या आपके पास वह स्क्रिप्ट है जिसका उपयोग आप इस डेटा को उत्पन्न करने के लिए कर रहे थे? मैं chacha20-poly1305@openssh.comआज के हार्डवेयर पर वर्तमान सिफर्स ( ) के प्रदर्शन में बहुत रुचि रखता हूं ।
जकूजी सेप


3

मैं इस पोस्ट की मदद से sshd / ssh को सिफर 'no' के साथ संकलित करने में सक्षम था: https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=24559#58

यह बहुत पुरानी पोस्ट है, लेकिन आपको सोर्स कोड फ़ाइल cipher.c में 3 मामूली संशोधन करने होंगे। फिर sshd / ssh कोड को फिर से जोड़ें।

@@ -175,7 +175,7 @@
    for ((p = strsep(&cp, CIPHER_SEP)); p && *p != '\0';
        (p = strsep(&cp, CIPHER_SEP))) {
        c = cipher_by_name(p);
-       if (c == NULL || c->number != SSH_CIPHER_SSH2) {
+       if (c == NULL || (c->number != SSH_CIPHER_SSH2 && c->number != SSH_CIPHER_NONE)) {
            debug("bad cipher %s [%s]", p, names);
            xfree(ciphers);
            return 0;
@@ -343,6 +343,7 @@
    int evplen;

    switch (c->number) {
+   case SSH_CIPHER_NONE:
    case SSH_CIPHER_SSH2:
    case SSH_CIPHER_DES:
    case SSH_CIPHER_BLOWFISH:
@@ -377,6 +378,7 @@
    int evplen = 0;

    switch (c->number) {
+   case SSH_CIPHER_NONE:
    case SSH_CIPHER_SSH2:
    case SSH_CIPHER_DES:
    case SSH_CIPHER_BLOWFISH:

इसके अलावा, noneसिफर को आपके साथ जोड़ना होगा/etc/ssh/sshd_config

Ciphers aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,arcfour,aes192-cbc,aes256-cbc,rijndael-cbc@lysator.liu.se,aes128-ctr,aes192-ctr,aes256-ctr,none

नीचे दिए गए लिंक आपको डेबियन और उबंटू सिस्टम के लिए ssh स्रोत प्राप्त करने में मदद करेंगे:

भयानक होने के लिए डीन गौडेट को श्रेय


2

इस बहुत ही अच्छे ब्लॉग पोस्ट के अनुसार

http://blog.famzah.net/2010/06/11/openssh-ciphers-performance-benchmark/

मैं निम्नलिखित सिफर सेटअप करने की सलाह देता हूं। यह भी सुनिश्चित करें कि यदि आप LAN पर सर्वश्रेष्ठ प्रदर्शन चाहते हैं तो संपीड़न बंद है। कृपया ध्यान दें कि यह संभव सुरक्षा जोखिम है, केवल सुरक्षित लैन (जैसे घर आदि) पर उपयोग करें।

# cat ~/.ssh/config
Host 192.168.1.*
    Compression no
    Ciphers arcfour256,arcfour128,arcfour,blowfish-cbc,aes128-cbc,aes192-cbc,cast128-cbc,aes256-cbc

अपने लैन में अपने खुद के आईपी को सूचीबद्ध करने के लिए पहली पंक्ति को संशोधित करें। आप होस्टनाम (अंतरिक्ष द्वारा अलग) भी प्रदान कर सकते हैं। यह आपको LAN पर सबसे अच्छा scp प्रदर्शन देता है।


1

यदि आप एक पूरी तरह से अनएन्क्रिप्टेड और असम्पीडित सुरंग की कोशिश करना चाहते हैं तो आप rinetdSSH के बजाय डेटा को अग्रेषित करने के लिए कुछ का उपयोग करने की कोशिश कर सकते हैं । यह टीसीपी कनेक्शन के लिए एक सादे बाइनरी-सुरक्षित सुरंग की पेशकश करते हुए एसएसएच एक्स्ट्रा को हटा देगा।

जब आप कहते हैं कि आपका घर में तेज़ कनेक्शन है, तो क्या आप सुनिश्चित हैं कि यह दोनों दिशाओं में तेज़ है? कई घर कनेक्शन बहुत ही असममित हैं (उदाहरण के लिए मेरा घर ADSL ~ 11Mit डाउनस्ट्रीम और ~ 1.5Mbit अपस्ट्रीम और कई इससे भी बदतर हैं, कुछ मैं दोस्तों / परिवार के कनेक्शन से उद्धृत कर सकता हूं: 7M / 0.4M, 19M / 1.3M, 20M /) 0.75M, ...)। याद रखें कि यदि आप प्रॉक्सी के रूप में घर का उपयोग कर रहे हैं तो डेटा को आपके लिंक के माध्यम से जाना होगा ताकि दोनों अच्छे तरीके से आगे बढ़ सकेंअपने बहाव और ऊपर की गति की सबसे धीमी गति से और आप भी कारक में अतिरिक्त विलंबता का एक हिस्सा है। इसके अलावा आपका आईएसपी जानबूझकर अपस्ट्रीम संचार (या तो कंबल, या चुनिंदा रूप से हो सकता है ताकि ईमेल और चयनित लोकप्रिय वेब साइट जैसी चीजें प्रभावित न हों) एक तरह से चल रहे लोगों को हतोत्साहित करने के लिए / उनके घर के लिंक को बंद कर देते हैं, हालांकि यह अपेक्षाकृत दुर्लभ है।


ssh अधिकांश मशीनों पर मानक है। rinetd कुछ पर नहीं है, लेकिन सुझाव के लिए धन्यवाद।
मारियस

फिर आपको
ThorstenS

0

मैंने अभी इस पर व्यापक परीक्षण किया है, और सिफर सूट जो उच्चतम थ्रूपुट का उत्पादन करता है, वह था umac64 MAC के साथ aes-128-ctr। 4-कोर 3.4GHz मशीन पर मैंने लोकलहोस्ट के माध्यम से लगभग 900MBytes / sec (बेंचमार्किंग के लिए नेटवर्क की अड़चनों को खत्म करने के लिए) देखा।

यदि आपको वास्तव में उस प्रदर्शन की आवश्यकता है, तो आप नवीनतम SSH चाहते हैं, और संभवतः HPN-SSH पैच।


0

यह एक ग्राहक पक्ष SSH विकल्प है जिसका उपयोग मैंने SSH कनेक्शन के लिए निम्न-अंत उपकरणों के लिए किया है:

ssh -c none -m hmac-md5-96 -oKexAlgorithms=curve25519-sha256@libssh.org ....

कोई भी सिफर मूल रूप से हाल के ओपनएसएसएच संस्करणों में समर्थित नहीं है। हालांकि, 7.6 के बाद से, ओपनएसएसएच ने एसएसएचवी 1 समर्थन को हटा दिया और आंतरिक उपयोग के लिए "कोई नहीं" सिफर लेबल किया।

#define CFLAG_NONE      (1<<3)
#define CFLAG_INTERNAL      CFLAG_NONE /* Don't use "none" for packets */

फिर आपको सर्वर और क्लाइंट पक्ष दोनों के लिए पैचिंग और रीकॉम्पेलिंग की आवश्यकता होती है।

#define CFLAG_INTERNAL      0
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.