Как все же собрать openssh с поддержкой none cipher? [solved]
Beelzebubbie 20 сентября, 2011 - 23:45
Да-да, в интернетах по этому поводу было много бурлений - и я их не без интереса прочел. Тем не менее это мне может оказаться полезным, поэтому нужен совет, как это правильно сделать. Сойдет даже указание верного направления)
»
- Для комментирования войдите или зарегистрируйтесь
Изменить ebuild? Что там
Изменить ebuild? Что там надо-то сделать? Какую-то опцию configure передать, патч наложить, non cipher написать?
Все, что я знаю - это то, что
Все, что я знаю - это то, что из исходников эту опцию злобно выпилили, из hpn судя по всему - тоже, а патчи попадались только весьма замшелые. Поэтому не уверен в которую сторону двигаться и буду благодарен за указание направления.
Ну раз из исходника выпилена
Ну раз из исходника выпилена опция (я так понимаю, имеется в виду configure) - то вам прямой рецепт такой:
1. Найти ebuild из стареньких, где оно еще поддерживалось.
2. сложить его в локальный оверлей, сменив версию на -9999 (чтобы не перекрывался обновлениями)
3. подправить ebuild при необходимости, чтобы требуемая опция была включена по умолчанию.
Не вспомню к сожалению, нужную вам версию. Найти ее можете на gentoo-portage.com в браузере портежа.
Да, поделитесь необходимостью иметь такой псевдо-ssh, интересно стало?
Пользуясь моментом, хочу передать привет друзьям, которые также пользуются "Моментом"
в целом разобрался с
в целом разобрался с проблемой, попробую поподробнее о том, что выяснилось:
1. на сайте hpn пишут вот что:
This is a basis of the HPN-SSH patch set. It provides dynamic window in SSH and the ability to switch to a NONE cipher post authentication. Based on the HPN12 v20 patch.
openssh у меня (как и у всех) собран с +hpn, так что вот:
2. что собственно это такое:
The NONE cipher switch disables data encryption AFTER you have been authenticated or logged into the remote host. This can significantly reduce the load on the CPUs of both machines and may improve performance even more. Its important to remember that the initial authentication process is still fully encrypted. Additionally, while the data is no longer encrypted each packet is still digitially signed and protected against in transit manipulation of the information. Anytime the NONE cipher is used a warning will be printed to screen saying "WARNING: NONE CIPHER ENABLED". If you do not see that warning then the None cipher is not in use.
3. как это использовать:
You must use both '-oNoneSwitch=yes' and '-oNoneEnabled=yes' on the client command line. Only using one or the other will not work. Additionally, the None cipher must be enabled on the server with NoneEnabled=yes in the sshd_config file or on the command line. Anytime the None cipher is used a warning will be printed to screen saying "WARNING: NONE CIPHER ENABLED". If you do not see that warning then the NONE cipher is not in use.
работает примерно так. с TTY это не проходит
в двух словах о том, "зачем это?":
передача через ssh больших массивов данных - нагрузка на процессор и уменьшение эффективной ширины канала, так что в случае передачи некритичных данных это вполне имеет право на жизнь.
> в двух словах о том, "зачем
> в двух словах о том, "зачем это?"
netcat же
Не грусти, товарищ! Всё хорошо, beautiful good!
xм, может я чего про netcat
xм, может я чего про netcat не знаю, упустил? подразумевалась не просто "передача больших данных" а их "эффективная" передача через установленное ssh соединение.
Что в неткате неэффективно?
Что в неткате неэффективно?
Не грусти, товарищ! Всё хорошо, beautiful good!
ну вообще насчет вычислений,
ну вообще насчет вычислений, связанных с шифрованием - не спорю.
а вот про предачу больших массивов данных - спорю. С каких пор блок шифрованных стал больше аналогичного нешифрованного исходного блока? И во сколько раз он стал больше?
Пользуясь моментом, хочу передать привет друзьям, которые также пользуются "Моментом"
имелось ввиду, что при
имелось ввиду, что при локальном высокоскоростном подключении, скорость передачи данных начинает ограничиваться процессором, а не шириной канала, и фактическая скорость передачи становиться меньше, чем могла бы быть
хочу такое подключение. чтобы
хочу такое подключение. чтобы при современных скоростях процов - они еще и своими тормозами сетку замедляли. Для сведения:
А драйверы протоколов сидят в ядре.
А еще есть куча других процессов, на которые тратится драгоценное время планировщика.
А ядро тоже лопает свои кванты. Давайте без ядра вообще? К чему нам тормоза?
И, да: вы пропускную способность шины, на коей стоит ваш CPU вообще сравнивали с пропускной способностью сети? Я понимаю, что хочется все ускорить, но для этого надо подойти комплексно к анализу производительности системы. Причем не в ущерб ее безопасности. А то всем известны орлы из мелкомягкого стана, которые убирают антивирь "потому что у меня все тормозит".
Пользуясь моментом, хочу передать привет друзьям, которые также пользуются "Моментом"
к чему весь этот бред? я
к чему весь этот бред? я вообще не топикстартер, но при подключении 2 ноутов гигабитными сетевухами друг к другу при передаче файлов по ssh процессор ограничивал скорость передачи данных(и изменяя способ шифрования было заметно как меняется скорость передачи данных), поэтому я в таких случаях пользовался netcat+tar или nfs, они работали быстрее. не надо так нервничать. случаи бывают разные, и не всегда необходимо щифрование.
да, насчет увеличения размера
да, насчет увеличения размера при шифровании я погорячился - не так это)
а по поводу шифрования при передаче данных vs netcat и прочая могу привести много примеров когда netcat неприменим/неэффективен в аспекте поставленной задачи. Например SSH-туннелирование. Или когда вообще задача выходит за рамки "скопировать файл(ы)".