Optimierung sshd hinsichtlich Cipher-Algorithmen

  • Hallöchen,


    beim Testen mit git-Repos (gitea) auf vServern habe ich recht niedrige Übertragungsraten mit ssh-Verbindungen festgestellt. Ein kleiner Test ergibt recht spannende Ergebnisse zur Geschwindigkeit von scp-Übertragungen:

    Testdatei erzeugen:

    Bash
    dd if=/dev/urandom of=testfile.img bs=102400 count=50000

    Test:

    Als Default wird chacha20-poly1305@openssh.com benutzt, was auf dem Server ein Ergebnis von ca 170MB/s bringt. Die Cipher aes128-gcm@openssh.com hingegen bringt mehr als 500MB/s.


    Also einfach mal die folgende Zeile in die sshd_config eintragen und vielleicht schneller werden:

    Code
    Ciphers aes128-gcm@openssh.com,aes256-gcm@openssh.com,aes128-ctr,aes192-ctr,aes256-ctr


    Andreas

  • da ist der Wurm drin ...

    Code
    Starting sshd: /etc/ssh/sshd_config line 135: Bad SSH2 cipher spec 'aes128-gcm@openssh.com,aes256-gcm@openssh.com,aes128-ctr,aes192-ctr,aes256-ctr'.

    die Man page liefert bei mir das da ...

    Grüße / Greetings

    Walter H.


    RS, VPS, Webhosting - was man halt so braucht;)

  • Die Default-Algorithmen bei SSH ändern sich natürlich mit der Zeit. Das gilt sowohl für KexAlgorithms (Schlüsselaustausch), Ciphers (Verschlüsselungsalgorithmen), MACs (Message Authentication Code) als auch HostKeyAlgorithms (Algorithmus des Host-Schlüssels).


    Bei OpenSSH 7.9 (aktuell) gibt es:


    3des-cbc

    aes128-cbc

    aes192-cbc

    aes256-cbc

    aes128-ctr

    aes192-ctr

    aes256-ctr

    aes128-gcm@openssh.com

    aes256-gcm@openssh.com

    chacha20-poly1305@openssh.com


    Default ist:


    chacha20-poly1305@openssh.com,

    aes128-ctr,aes192-ctr,aes256-ctr,

    aes128-gcm@openssh.com,aes256-gcm@openssh.com


    Wenn man die Legacy-Ciphers (Modi CBC und CTR sowie 3DES) streicht, bleiben:


    Code
    Ciphers chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com

    Wenn man sowohl Server als auch Client unter eigener Kontrolle hat und niemand sonst zugreifen soll, würde ich dringend sämtlichen Legacy-Kram abschalten.


    Wenn sshd von außen erreichbar ist, kann man die Einstellungen auch bspw. hier testen: https://tls.imirhil.fr/ssh