Saya mengalami masalah kinerja menggunakan kombinasi openssh (server) dan dempul (klien) untuk menggunakan proxy web jarak jauh. Saya ingin menonaktifkan enkripsi dan menguji hasilnya untuk melihat apakah ada bedanya. Bagaimana saya bisa melakukan itu? Apakah ada yang bisa saya ubah di sshd_config
. Saya sangat baru di openssh.
Gagasan lain akan dihargai.
Saya pada dasarnya telah mengatur IE saya untuk menggunakan 127.0.0.1 kaus kaki sebagai proxy. Saya menghubungkan dempul saya ke server openssh saya di rumah dan voila - Saya dapat menjelajahi internet melalui itu. Namun, ini sangat lambat meskipun saya tahu saya memiliki koneksi cepat ke rumah saya (ftp misalnya berfungsi di atas 50Kbytes / detik.
performance
proxy
encryption
ssh
socks
Jakuje
sumber
sumber
Jawaban:
Tanpa mengkompilasi ulang apa pun, itu tidak dapat dilakukan sejauh yang saya ketahui. Namun Anda dapat beralih ke ARC4 atau Blowfish yang sangat cepat pada perangkat keras modern.
Peningkatan kinerja TERBAIK (sejauh menyangkut siklus jam) yang bisa Anda dapatkan adalah dengan menambahkan
Anda dapat melakukan ini dengan mengubah
untuk
Jika Anda ingin memeras kinerja ekstra dengan risiko ketidakcocokan, Anda dapat mengubahnya
untuk
Jika Anda masih berpikir ini terlalu banyak overhead, Anda bisa kembali ke v1 atau hanya melakukan VPN standar.
sumber
Kecuali jika klien atau server kekurangan daya secara drastis, saya sangat meragukan bahwa enkripsi yang menyebabkan masalah kinerja Anda. Saya menggunakan "-D 8080" ssh proxy kaus kaki secara teratur dan memiliki apa-apa tidak pernah diperhatikan tapi sangat perlambatan sedikit.
Satu hal yang perlu diperiksa adalah untuk melihat apa latensi antara klien Anda dan server. Jika itu koneksi yang sangat laten, Anda pasti akan melihat kinerja yang buruk di atas terowongan saat menggunakan HTTP, sementara tidak melihat masalah kinerja dengan FTP. Setelah transfer FTP sedang berlangsung, latensi tidak terlalu penting, tetapi dengan HTTP, Anda berurusan dengan halaman web yang mungkin memiliki 50 atau lebih jabat tangan HTTP individual yang perlu terjadi. Koneksi latensi tinggi akan sangat memperlambat proses ini dan membuat penelusuran menjadi tak tertahankan.
Jadi, rekomendasi yang dibuat Zephyr Pellerin masuk akal. Jika Anda benar-benar berpikir bahwa itu enkripsi yang menyebabkan masalah dengan segala cara, beralihlah ke cipher yang berbeda. Saya sarankan melihat latensi terlebih dahulu, karena itu tampaknya menjadi kandidat yang jauh lebih mungkin.
sumber
ftp
(tanpa ssl) juga memberi saya beban cpu 20 hingga 40%. Saya menyalahkan gig-ethernet murah yang membutuhkan terlalu banyak perhatian dari cpu.Utas ini membuat saya melakukan tolok ukur sendiri dan saya menemukan bahwa Performa bervariasi tidak hanya dengan cipher / MAC yang berbeda, tetapi juga membuat perbedaan data apa yang Anda kirim, CPU mana yang terlibat dan bagaimana jaringan diatur.
Jadi IMO hal yang benar untuk dilakukan adalah menjalankan tes Anda sendiri dan menemukan pengaturan terbaik untuk situasi Anda.
Jika seseorang tertarik, berikut adalah hasil pengujian saya membandingkan Server yang digerakkan Intel E5506 dengan Raspberry Pi:
Tapi selain '10 besar', hasil lengkapnya dapat ditemukan di sini .
sumber
[email protected]
) pada perangkat keras saat ini.Saya dapat mengkompilasi sshd / ssh dengan cipher 'none' dengan bantuan posting ini: https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=24559#58
Ini adalah posting yang sangat lama, tetapi Anda harus membuat 3 sedikit modifikasi pada file kode sumber cipher.c. Kemudian kompilasi ulang kode sshd / ssh.
Juga,
none
sandi harus ditambahkan ke/etc/ssh/sshd_config
Tautan di bawah ini akan membantu Anda mendapatkan sumber ssh untuk sistem Debian dan Ubuntu:
Penghargaan untuk Dean Gaudet karena luar biasa
sumber
Menurut posting blog ini sangat bagus
http://blog.famzah.net/2010/06/11/openssh-ciphers-performance-benchmark/
Saya sarankan untuk mengatur cipher berikut. Pastikan juga kompresi dimatikan jika Anda menginginkan kinerja terbaik pada LAN. Harap perhatikan ini kemungkinan risiko keamanan, gunakan hanya pada LAN yang aman (misalnya di rumah, dll).
Ubah baris pertama untuk mencantumkan IP Anda sendiri di LAN Anda. Anda juga dapat memberikan nama host (dipisahkan oleh spasi). Ini memberi Anda kinerja scp terbaik di LAN.
sumber
JIKA Anda ingin mencoba terowongan yang sepenuhnya tidak terenkripsi dan tidak terkompresi Anda bisa mencoba menggunakan sesuatu seperti
rinetd
untuk meneruskan data, bukan SSH. Ini akan menerangi tambahan SSH sambil tetap menawarkan terowongan biner-aman untuk koneksi TCP.Ketika Anda mengatakan bahwa Anda memiliki koneksi cepat di rumah, apakah Anda yakin bahwa itu cepat di kedua arah? Banyak koneksi rumah sangat asimetris (ADSL rumah saya misalnya ~ 11Mit hilir dan ~ 1,5Mbit hulu dan banyak yang lebih buruk dari itu, beberapa saya dapat mengutip dari koneksi teman / keluarga: 7M / 0,4M, 19M / 1,3M, 20M / 0,75 juta, ...). Ingatlah bahwa jika Anda menggunakan rumah sebagai proxy, data harus melalui tautan Anda dengan dua cara sehingga akan bergerak paling baikpada kecepatan hilir dan hulu Anda yang paling lambat dan Anda memiliki sedikit latensi tambahan untuk ikut berperan. ISP Anda mungkin juga dengan sengaja membatasi komunikasi hulu (baik selimut, atau secara selektif sehingga hal-hal seperti email dan situs web populer yang dipilih tidak terpengaruh) sebagai cara untuk mencegah orang yang menjalankan server / proksi dari tautan rumah mereka, meskipun ini relatif jarang.
sumber
Saya baru saja melakukan pengujian ekstensif tentang ini, dan cipher suite yang menghasilkan throughput tertinggi adalah aes-128-ctr dengan umac64 MAC. Pada mesin 4-core 3.4GHz saya melihat hampir 900MBytes / detik melalui localhost (untuk menghilangkan hambatan jaringan demi pembandingan)
Jika Anda benar-benar membutuhkan kinerja sebanyak itu, Anda menginginkan SSH terbaru, dan mungkin tambalan HPN-SSH .
sumber
Ini adalah opsi SSH satu sisi klien yang saya gunakan untuk koneksi SSH ke perangkat kelas bawah:
Tidak ada sandi yang didukung secara native di versi OpenSSH terbaru. Namun, sejak 7.6, OpenSSH menghapus dukungan SSHv1 dan memberi label "tidak ada" cipher untuk penggunaan internal.
Maka Anda perlu menambal dan mengkompilasi ulang untuk sisi server dan klien.
sumber