服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 我怎样才能禁用openssh的encryption?
Intereting Posts
*如何在没有用户名和密码的情况下login到VMWare Infrastructure Web访问 如果我没有域名,我怎么能设置干净的URL(启用重写)? 活动目录Netbios字符限制 获取属于Cassandra集群的节点列表的最佳方法是什么? 使用AWS硬件VPN或直接连接的带宽考虑? 有什么办法告诉Puppet augeas资源使用哪种编码? 后缀 – 如何certificate错误450 4.7.1 <domain.com>:Helo命令被拒绝:找不到主机; mod_pagespeed下降标题 如何configurationlinux路由/过滤,将数据包从一个接口发送出去,通过一个网桥,并进入同一个盒子的另一个接口 keepalived不会启动 IPv6部署的障碍:寻址 将networking连接到互联网的最佳方法是什么? 通过IIS ARR反向代理区分tomcat应用程序响应重写的被调用的URL Windows 2008 R2networkingstream量logging Windows Server设置了多个网关和指标

我怎样才能禁用openssh的encryption?

我使用openssh(服务器)和腻子(客户端)组合来使用远程web代理时出现性能问题。 我想禁用encryption和testing结果,看看它是否有所作为。 我怎样才能做到这一点? 有什么我可以在sshd_config修改。 我很新来openssh。

任何其他的想法,将不胜感激。

我已经基本上设置我的IE使用127.0.0.1袜子作为代理。 我把腻子连接到家里的openssh服务器上,我可以通过它浏览互联网。 然而,即使我知道我有一个快速连接到我的家(例如ftp工作在50Kbytes / sec以上),速度非常慢。

没有重新编译任何东西,据我所知,这是无法完成的。 但是,您可以切换到现代硬件上荒谬的ARC4或Blowfish。

最好的performance(就时钟周期而言)增加你可以得到的是增加 

 compression no

你可以通过改变来做到这一点 

 ciphers aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128, aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,aes192-cbc, aes256-cbc,arcfour 

 ciphers arcfour,blowfish-cbc

如果你想在不兼容的情况下挤出一些额外的性能,你可以改变 

 macs hmac-md5,hmac-sha1,[email protected], hmac-ripemd160,hmac-sha1-96,hmac-md5-96 

 macs hmac-md5-96

如果你仍然认为这是太多的开销,你可以恢复到v1或只是做一个标准的VPN。

除非客户端或服务器的能力不足,否则我会怀疑这是导致性能问题的encryption。 我经常使用“-D 8080”ssh socks代理,除了非常轻微的减速之外从未发现任何东西。

要检查的一件事是看看你的客户端和服务器之间的延迟是多less。 如果这是一个非常隐蔽的连接,那么当使用HTTP时,你肯定会看到隧道性能不佳,而没有看到FTP的性能问题。 一旦FTP传输正在进行,延迟并不重要,但使用HTTP,您正在处理可能需要发生50个或更多单个HTTP握手的网页。 高延迟的连接将真正减慢这个过程,并会使浏览无法忍受。

无论如何,Zephyr Pellerin所提出的build议都是正确的。 如果你真的认为这是encryption导致他们通过一切手段他们的问题,切换到不同的密码。 我build议首先查看延迟,但是,这似乎是一个更有可能的候选人。

这个线程让我做我自己的基准,我发现性能不仅仅是由不同的密码/ MAC不同,它也会影响你发送的数据,涉及哪些CPU以及如何build立networking。

因此,IMO正确的做法是运行您自己的testing,并find适合您情况的最佳设置。

如果有人有兴趣,这里是我的testing结果比较英特尔E5506驱动的服务器与树莓派: 

 -- -- Intel Xeon E5506(4 x 2.13 GHz), 50MB Random binary Data over localhost -- cipher mac speed --------------------------------------------------------------- aes192-cbc hmac-sha1 50MB/s arcfour256 hmac-sha2-512 49.9MB/s arcfour hmac-ripemd160 49.8MB/s aes256-cbc hmac-sha1-96 49.7MB/s aes128-cbc hmac-sha1-96 49.7MB/s aes192-cbc hmac-sha1 48.9MB/s arcfour [email protected] 48.8MB/s aes256-cbc hmac-sha1-96 48.8MB/s arcfour [email protected] 48.7MB/s aes128-cbc hmac-sha1 48.4MB/s -- -- Raspberry PI B+, 10MB Random binary over localhost -- cipher mac speed --------------------------------------------------------------- arcfour256 [email protected] 2.75MB/s arcfour128 [email protected] 2.74MB/s arcfour [email protected] 2.63MB/s arcfour [email protected] 2.54MB/s arcfour hmac-md5-96 2.36MB/s arcfour128 hmac-md5 2.34MB/s arcfour256 hmac-md5 2.34MB/s arcfour256 [email protected] 2.33MB/s arcfour256 hmac-md5-96 2.28MB/s arcfour256 hmac-md5-96 2.22MB/s

但是在“十强”中,完整的结果可以在这里find 。

在这篇文章的帮助下,我可以用密码“none”编译sshd / ssh: https : //bugs.debian.org/cgi-bin/bugreport.cgi?bug=24559#58

这是一个非常古老的post,但是你必须对源代码文件cipher.c做3个小小的修改。 然后重新编译sshd / ssh代码。 

 @@ -175,7 +175,7 @@ for ((p = strsep(&cp, CIPHER_SEP)); p && *p != '\0'; (p = strsep(&cp, CIPHER_SEP))) { c = cipher_by_name(p); - if (c == NULL || c->number != SSH_CIPHER_SSH2) { + if (c == NULL || (c->number != SSH_CIPHER_SSH2 && c->number != SSH_CIPHER_NONE)) { debug("bad cipher %s [%s]", p, names); xfree(ciphers); return 0; @@ -343,6 +343,7 @@ int evplen; switch (c->number) { + case SSH_CIPHER_NONE: case SSH_CIPHER_SSH2: case SSH_CIPHER_DES: case SSH_CIPHER_BLOWFISH: @@ -377,6 +378,7 @@ int evplen = 0; switch (c->number) { + case SSH_CIPHER_NONE: case SSH_CIPHER_SSH2: case SSH_CIPHER_DES: case SSH_CIPHER_BLOWFISH:

另外, none密码将需要添加到您的/etc/ssh/sshd_config 

 Ciphers aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,arcfour,aes192-cbc,aes256-cbc,[email protected],aes128-ctr,aes192-ctr,aes256-ctr,none

下面的链接将帮助您获得Debian和Ubuntu系统的ssh源代码:

感谢Dean Gaudet太棒了

如果你想尝试一个完全未encryption和未压缩的隧道,你可以尝试使用类似rinetd东西来转发数据而不是SSH。 这将消除SSH附加function,同时为TCP连接提供简单的二进制安全隧道。

当你说你在家里有一个快速连接,你确定它在两个方向快速? 许多家庭连接是非常不对称的(例如,我家的ADSL下行〜11Mit,上行1.5Mbit,比这还差,有些朋友/家庭连接可以引用:7M / 0.4M,19M / 1.3M,20M / 0.75M,…)。 请记住,如果您使用家庭作为代理服务器,则数据必须通过双向连接才能完成,所以最多只能以最慢的上下行速度进行移动,而且还需要大量的额外延迟时间。 此外,您的ISP可能会故意扼杀上游通信(无论是select性的,还是有select性的,以便诸如电子邮件和所选受欢迎的网站等都不受影响),以阻止人们将服务器/代理服务器从其家庭链接运行,尽pipe这种情况相对较less。

根据这个非常好的博客文章

http://blog.famzah.net/2010/06/11/openssh-ciphers-performance-benchmark/

我build议设置下面的密码。 如果您想在局域网上获得最佳性能,请确保压缩closures。 请注意,这是可能的安全风险,只能用于安全的局域网(例如在家中等)。 

 # cat ~/.ssh/config Host 192.168.1.* Compression no Ciphers arcfour256,arcfour128,arcfour,blowfish-cbc,aes128-cbc,aes192-cbc,cast128-cbc,aes256-cbc

修改第一行以在您的LAN中列出您自己的IP。 您也可以提供主机名(用空格分隔)。 这给你在局域网上最好的scp性能。

我刚刚做了大量的testing,产生最高吞吐量的密码套件是带有umac64 MAC的aes-128-ctr。 在一个4核3.4GHz的机器上,我通过本地主机看到了几乎900MBytes /秒(为了消除基准的瓶颈)

如果您确实需要这么多的性能,那么您需要最新的SSH以及可能的HPN-SSH补丁。