[vpsFree.cz: community-list] Entropie na vps, haveged
Ondrej Mikle
ondrej.mikle at gmail.com
Wed Aug 12 19:00:32 CEST 2015
Pouziti /dev/urandom staci. Normalne je urandom seedovan z kernel entropy
poolu nebo ulozeneho seedu na zacatku a reseedovan periodicky (typicka
implementace). PRNG v urandom by tedy mel produkovat dostatecne dobra data.
Tenhle pristup ma jedine problem v pripade, kdy to uvodni seedovani nemuze
nastat - typicky prvni start embedded zarizeni (cteni urandom neblokuje,
tudiz se prectou predikovatelne data).
V pripade OpenVZ se AFAIK sdili /dev/random i /dev/urandom hostitelskeho
kernelu, ktery dostava nasbirane udalosti od realneho HW na krmeni randomu
(ale guest nevidi do vnitrniho stavu urandom).
Ja jsem treba spis skepticky, zda haveged nejak vyrazne pomaha na
virtualnich masinach.
OM
2015-08-12 12:40 GMT+02:00 Silvestr Hašek <hasek at reklalink.cz>:
> Ahoj,
>
> narazil jsem na problém s nedostatkem entropie pro /dev/random,
> přirozeně protože jde o blocking device, zůstane aplikace vyset,..
> Normálně to řeším pomoci haveged, ale na VPSce nejde spustit s hláškou
> z logu:
>
> haveged: Fail:set_watermark()!
>
> což podle manuálu znamená odepřený přístup k
>
> /proc/sys/kernel/random/write_wakeup_threshold
>
> Osobně si myslím, že to je kvůli sdílenému kernelu OpenVZ. Protože
> podle munina spadla entropie z ~180 bytů na ~20 bytů také přímo na
> nodu. Řešením by asi bylo použít /dev/urandom (což asi nebude vhodné
> pro případnou kryptografii) případně na hostech spustit zmiňovaný
> haveged. Máte s tím někdo nějakou zkušenost v rámci vpsFree?
>
> SH.
> _______________________________________________
> Community-list mailing list
> Community-list at lists.vpsfree.cz
> http://lists.vpsfree.cz/listinfo/community-list
>
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://lists.vpsfree.cz/pipermail/community-list/attachments/20150812/a96119ca/attachment-0002.html>
More information about the Community-list
mailing list