Pouziti /dev/urandom staci. Normalne je urandom seedovan z kernel entropy
poolu nebo ulozeneho seedu na zacatku a reseedovan periodicky (typicka
implementace). PRNG v urandom by tedy mel produkovat dostatecne dobra data.
Tenhle pristup ma jedine problem v pripade, kdy to uvodni seedovani nemuze
nastat - typicky prvni start embedded zarizeni (cteni urandom neblokuje,
tudiz se prectou predikovatelne data).
V pripade OpenVZ se AFAIK sdili /dev/random i /dev/urandom hostitelskeho
kernelu, ktery dostava nasbirane udalosti od realneho HW na krmeni randomu
(ale guest nevidi do vnitrniho stavu urandom).
Ja jsem treba spis skepticky, zda haveged nejak vyrazne pomaha na
virtualnich masinach.
OM
2015-08-12 12:40 GMT+02:00 Silvestr Hašek <hasek(a)reklalink.cz>cz>:
Ahoj,
narazil jsem na problém s nedostatkem entropie pro /dev/random,
přirozeně protože jde o blocking device, zůstane aplikace vyset,..
Normálně to řeším pomoci haveged, ale na VPSce nejde spustit s hláškou
z logu:
haveged: Fail:set_watermark()!
což podle manuálu znamená odepřený přístup k
/proc/sys/kernel/random/write_wakeup_threshold
Osobně si myslím, že to je kvůli sdílenému kernelu OpenVZ. Protože
podle munina spadla entropie z ~180 bytů na ~20 bytů také přímo na
nodu. Řešením by asi bylo použít /dev/urandom (což asi nebude vhodné
pro případnou kryptografii) případně na hostech spustit zmiňovaný
haveged. Máte s tím někdo nějakou zkušenost v rámci vpsFree?
SH.
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list