Optimierung sshd hinsichtlich Cipher-Algorithmen

foto-andreas · Jan 17th 2019

Hallöchen,

beim Testen mit git-Repos (gitea) auf vServern habe ich recht niedrige Übertragungsraten mit ssh-Verbindungen festgestellt. Ein kleiner Test ergibt recht spannende Ergebnisse zur Geschwindigkeit von scp-Übertragungen:

Testdatei erzeugen:

Shell-Script

dd if=/dev/urandom of=testfile.img bs=102400 count=50000

Test:

Shell-Script

#!/bin/bash
echo "default"
for try in 1 2
do
scp testfile.img localhost:/dev/null
done
for cipher in chacha20-poly1305@openssh.com aes128-ctr aes192-ctr aes256-ctr aes128-gcm@openssh.com aes256-gcm@openssh.com
do
echo "$cipher"
for try in 1 2
do
scp -c "$cipher" testfile.img localhost:/dev/null
done
done

Display More

Als Default wird chacha20-poly1305@openssh.com benutzt, was auf dem Server ein Ergebnis von ca 170MB/s bringt. Die Cipher aes128-gcm@openssh.com hingegen bringt mehr als 500MB/s.

Also einfach mal die folgende Zeile in die sshd_config eintragen und vielleicht schneller werden:

Code

Ciphers aes128-gcm@openssh.com,aes256-gcm@openssh.com,aes128-ctr,aes192-ctr,aes256-ctr

Andreas

mainziman · Jan 18th 2019

da ist der Wurm drin ...

Code

Starting sshd: /etc/ssh/sshd_config line 135: Bad SSH2 cipher spec 'aes128-gcm@openssh.com,aes256-gcm@openssh.com,aes128-ctr,aes192-ctr,aes256-ctr'.

die Man page liefert bei mir das da ...

Quote

Ciphers

Specifies the ciphers allowed for protocol version 2. Multiple ciphers must

be comma-separated. The supported ciphers are “3des-cbc”, “aes128-cbc”,

“aes192-cbc”, “aes256-cbc”, “aes128-ctr”, “aes192-ctr”, “aes256-ctr”,

“arcfour128”, “arcfour256”, “arcfour”, “blowfish-cbc”,

“rijndael-cbc@lysator.liu.se”, and “cast128-cbc”. The default is:

aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,

aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,aes192-cbc,

aes256-cbc,arcfour,rijndael-cbc@lysator.liu.se

Display More

Martha · Jan 18th 2019

Die Default-Algorithmen bei SSH ändern sich natürlich mit der Zeit. Das gilt sowohl für KexAlgorithms (Schlüsselaustausch), Ciphers (Verschlüsselungsalgorithmen), MACs (Message Authentication Code) als auch HostKeyAlgorithms (Algorithmus des Host-Schlüssels).

Bei OpenSSH 7.9 (aktuell) gibt es:

3des-cbc

aes128-cbc

aes192-cbc

aes256-cbc

aes128-ctr

aes192-ctr

aes256-ctr

aes128-gcm@openssh.com

aes256-gcm@openssh.com

chacha20-poly1305@openssh.com

Default ist:

chacha20-poly1305@openssh.com,

aes128-ctr,aes192-ctr,aes256-ctr,

aes128-gcm@openssh.com,aes256-gcm@openssh.com

Wenn man die Legacy-Ciphers (Modi CBC und CTR sowie 3DES) streicht, bleiben:

Code

Ciphers chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com

Wenn man sowohl Server als auch Client unter eigener Kontrolle hat und niemand sonst zugreifen soll, würde ich dringend sämtlichen Legacy-Kram abschalten.

Wenn sshd von außen erreichbar ist, kann man die Einstellungen auch bspw. hier testen: https://tls.imirhil.fr/ssh

Optimierung sshd hinsichtlich Cipher-Algorithmen

Tags

Users Online