J'essaie de lancer Firefox sur SSH en utilisant
ssh -X user@hostname
et alors
firefox -no-remote
mais c'est très très lent.
Comment puis-je réparer cela? Est-ce un problème de connexion?
J'essaie de lancer Firefox sur SSH en utilisant
ssh -X user@hostname
et alors
firefox -no-remote
mais c'est très très lent.
Comment puis-je réparer cela? Est-ce un problème de connexion?
Réponses:
Les paramètres ssh par défaut permettent une connexion assez lente. Essayez plutôt ce qui suit:
ssh -YC4c arcfour,blowfish-cbc user@hostname firefox -no-remote
Les options utilisées sont:
-Y Enables trusted X11 forwarding. Trusted X11 forwardings are not
subjected to the X11 SECURITY extension controls.
-C Requests compression of all data (including stdin, stdout,
stderr, and data for forwarded X11 and TCP connections). The
compression algorithm is the same used by gzip(1), and the
“level” can be controlled by the CompressionLevel option for pro‐
tocol version 1. Compression is desirable on modem lines and
other slow connections, but will only slow down things on fast
networks. The default value can be set on a host-by-host basis
in the configuration files; see the Compression option.
-4 Forces ssh to use IPv4 addresses only.
-c cipher_spec
Selects the cipher specification for encrypting the session.
For protocol version 2, cipher_spec is a comma-separated list of
ciphers listed in order of preference. See the Ciphers keyword
in ssh_config(5) for more information.
Le point principal ici est d’utiliser un autre chiffrement, dans ce cas-ci, plus rapide que la valeur par défaut, et de compresser les données transférées.
NOTE: Je suis très, très loin d’être un expert en la matière. La commande ci-dessus correspond à ce que j'utilise après l'avoir trouvée quelque part sur un blog et j'ai constaté une nette amélioration de la vitesse. Je suis sûr que les différents intervenants ci-dessous savent de quoi ils parlent et que ces cryptages ne sont peut-être pas les meilleurs. Il est très probable que le seul élément de cette réponse qui soit vraiment pertinent consiste à utiliser le -C
commutateur pour compresser les données transférées.
-4
(IPv4) vraiment pertinent ici?
L'un des plus gros problèmes lors du lancement d'un client X à distance est le protocole X, pas tellement la surcharge ssh! Le protocole X nécessite beaucoup de ping-pong'ing entre le client et le serveur, ce qui tue absolument les performances dans le cas d'applications distantes.
Essayez quelque chose comme "x2go" (qui passe également sur ssh avec les configurations par défaut), vous remarquerez que firefox "vole" en comparaison!
Plusieurs distributions fournissent les packages x2go prêts à l'emploi, par exemple les tests Debian ou Stable-Backports. Mais sinon, voir http://wiki.x2go.org/doku.php/download:start , ils fournissent des packages / référentiels binaires prédéfinis pour de nombreuses distributions. Vous devez installer x2goclient (sur l'ordinateur sur lequel vous voulez "utiliser" firefox) et x2goserver (sur l'ordinateur sur lequel firefox doit être exécuté), vous pouvez ensuite configurer vos sessions pour des applications X uniques ou pour des vues de bureau complètes, etc. La connexion elle-même arrive sur ssh. C'est un outil vraiment merveilleux :)
Pour l'utiliser, vous exécutez "x2goclient", il démarre une interface graphique dans laquelle vous pouvez créer une nouvelle session: vous indiquez le nom DNS du serveur, le port, les données ssh, etc., puis vous sélectionnez le "type de session", c'est-à-dire, si vous voulez un bureau KDE ou GNOME à distance complet, par exemple, ou juste une "application unique" et vous entrez "firefox".
x2goserver
paquet sur Debian (ou Ubuntu). De plus, cela peut-il être configuré pour autoriser le tunneling? Par exemple, j'utilise machineX mais je ne peux y accéder que via machineY. X2go pourrait-il régler ce problème?
~/.ssh/config
et à utiliser le bon nom d’hôte (tunnelé) dans votre session x2go.
.ssh/config
n'est pas suffisante. Je l'ai configuré pour qu'il ssh machineB
passe réellement par un tunnel machineA
mais x2go ne semble pas le voir.
J'ai beaucoup plus d'expérience dans l'utilisation d'un ssh
tunnel pour acheminer le trafic via une autre machine. C'est très facile à installer puisque vous avez de toute façon un accès SSH. Dans un terminal de votre ordinateur, tapez
ssh -vv -ND 8080 user@yourserver
Laissez cette fenêtre ouverte et regardez-la diffuser des messages détaillés sur les données circulant dans le tunnel.
Dans firefox
, allez dans Préférences -> Avancées -> Réseau -> Connexion: Paramètres.
Sélectionnez Configuration manuelle du proxy et ajoutez un SOCKS v5
proxy:
SOCKS Host: localhost Port 8080
Vérifiez votre nouvelle adresse IP en accédant par exemple à l' adresse http://whatismyipaddress.com/ .
Vous pouvez utiliser un add-on firefox, tel que le proxy foxy, pour changer de proxy de manière dynamique.
Firefox est si lent que SSH parce que les nouvelles versions de Firefox autorisent plusieurs instances. Si vous avez des problèmes de bande passante, utilisez un navigateur léger comme dillo et vous ne remarquerez même pas la vitesse de connexion.
Une autre chose qui améliorera votre navigation sur ssh consiste à activer le traitement en pipeline dans Firefox. Ouvrez about:configet changez network.http.pipeliningen vrai.
Vous devez expérimenter pour voir ce qui vous aide avec vos goulots d'étranglement spécifiques.
Pour moi, permettre à compression ( -C
) d’améliorer la réactivité d’un retard inutilisable à juste perceptible.
Le choix du chiffrement peut aussi avoir un impact, contrairement à ce que certaines personnes ont dit. Vous pouvez trouver des personnes partageant des points de repère en ligne, mais ne présumez pas que vos résultats seront les mêmes. Le meilleur chiffre pour vous dépend du matériel. Pour moi, mon chiffre par défaut (chacha20-poly1305@openssh.com) était déjà à égalité pour le plus rapide.
J'ai écrit un script rapide pour comparer les chiffres pertinents dans des conditions assez réalistes. Explications dans les commentaires:
#!/usr/bin/bash
# Ciphers available to you depends on the intersection of ciphers compiled
# into your client and the ciphers compiled into your host.
# Should be manually copied from "Ciphers:" section in your `man ssh_config`
# The script will try all ciphers specified here and will gracefully skip
# ciphers unavailable in the host.
#ciphers=""
# Example:
ciphers="3des-cbc aes128-cbc aes192-cbc aes256-cbc aes128-ctr aes192-ctr aes256-ctr aes128-gcm@openssh.com aes256-gcm@openssh.com chacha20-poly1305@openssh.com"
tmp_file=tmp.bin
# Recommend to use an identity file without a passphrase.
# That way you won't have to retype the password at each iteration.
ssh_identity_file=~/.ssh/tmp_id_no_passphrase
ssh_host="user@host"
# Size of test file, before encryption.
test_file_size_megabytes=8
# Only create test file if it doesn't yet exists.
# Doesn't check if relevant variables changed, so you'll have to delete
# the $tmp_file to regenerate it.
if test ! -f $tmp_file; then
echo "Creating random data file" \
"(size $test_file_size_megabytes MB): $tmp_file"
# Not the same format as the ssh ciphers.
# Can be left as is, unless this cipher is not supported by your openssl.
tmp_file_cipher=aes-128-cbc
# The purpose of encrypting the $tmp_file is to make it uncompressable.
# I do not know if that is a concern in this scenario,
# but better safe than sorry.
dd if=/dev/zero bs=1M count=$test_file_size_megabytes \
| openssl enc -$tmp_file_cipher -pass pass:123 \
> $tmp_file
fi
for cipher in $ciphers ; do
# Benchmark each $cipher multiple times
for i in 1 2 3 ; do
echo
echo "Cipher: $cipher (try $i)"
# Time piping the $tmp_file via SSH to $ssh_host using $cipher.
# At destination received data is discarded.
cat $tmp_file \
| /usr/bin/time -p \
ssh -i $ssh_identity_file -c "$cipher" $ssh_host 'cat > /dev/null'
done
done
# Sample output:
# Creating random data file (size 8 MB): tmp.bin
# *** WARNING : deprecated key derivation used. Using -iter or -pbkdf2 would be better. 8+0 records in
# 8+0 records out
# 8388608 bytes (8.4 MB, 8.0 MiB) copied, 0.0567188 s, 148 MB/s
## [redacted]
# Cipher: aes256-cbc (try 3)
# Unable to negotiate with 192.168.99.99 port 22: no matching cipher found. Their offer: chacha20-poly1305@openssh.com,aes128-ctr,aes192-ctr,aes256-ctr,aes128-gcm@openssh.com,aes256-gcm@openssh.com
# real 0.12
# user 0.03
# sys 0.03
# Cipher: aes128-ctr (try 1)
# real 9.68
# user 0.28
# sys 0.51
# Cipher: aes128-ctr (try 2)
# real 10.85
# user 0.26
# sys 0.29
## [redacted]
Vous pouvez choisir de tester avec une connexion SSH lorsque le client et l'hôte sont la même machine, ou dans un scénario plus réaliste, où l'hôte est la machine à partir de laquelle vous effectuez le transfert X11, ce qui devrait être plus utile. car les performances dépendent non seulement du déchiffrement des performances du client, mais également de celui de l'hôte.
Tester avec une machine distante peut présenter l'inconvénient d'introduire du bruit si le débit de votre connexion Internet change au cours du test. Dans ce cas, vous voudrez peut-être augmenter le nombre de fois que chaque chiffrement est testé.