Donnerstag, 19. Januar 2012
SASL-Hänger
Wer übrigens einmal darauf stößt, dass (u.a.) SASL-basierte Verbindungen (z.B. bei SMTP in Verbindung mit Authentifizierung) auf mysteriöse Weise plötzlich aufhören, zu funktionieren, sollte einmal ein
Wenn ja, ist es sinnvoll, die SASL-Bibliotheken gegen /dev/urandom zu linken (statt gegen /dev/random) (oder sich Gedanken zu machen, warum die Entropie des Kernels zu Ende geht
- dagegen helfen u.a. die rng-tools).
sysctl kernel.random.entropy_availmachen und schauen, ob sich der Entropie-Pool zum Ende neigt.
Wenn ja, ist es sinnvoll, die SASL-Bibliotheken gegen /dev/urandom zu linken (statt gegen /dev/random) (oder sich Gedanken zu machen, warum die Entropie des Kernels zu Ende geht
- dagegen helfen u.a. die rng-tools).
Trackbacks
Trackback-URL für diesen Eintrag
Keine Trackbacks
Kommentare
Ansicht der Kommentare:
(Linear | Verschachtelt)
Moin,
den Entropievorrat kann man recht gut und einfach mit HavegeD aufstocken, ich habe dazu im Linux-Magazin vor einiger Zeit mal was geschrieben: http://www.linux-magazin.de/Heft-Abo/Ausgaben/2011/09/Einfuehrung2 .
Viele Grüße,
Charly
den Entropievorrat kann man recht gut und einfach mit HavegeD aufstocken, ich habe dazu im Linux-Magazin vor einiger Zeit mal was geschrieben: http://www.linux-magazin.de/Heft-Abo/Ausgaben/2011/09/Einfuehrung2 .
Viele Grüße,
Charly
Wer viel (und gute!) Entropie braucht sollte sich mal http://www.entropykey.co.uk/ anschauen. Habe mir den vor kurzem gekauft und so nun keine Wartezeiten mehr, wenn ich mal DNSSEC keys (1024 und 2048 bits) oder ein 4096 bit SSL cert generieren muss.
Verfuegbare Entropie kann besonders auf virtuallen Plattformen ein Problem sein.
Dieser Entropykey ist einfach installiert (unterstuetzt aktuelle Betriebssystem) und beinhaltet auch einen "Entropydaemon" der die Entropy eines Schluessels ueber TCP im Netzwerk verteilt.
PS: Ich bin auf keine Art und Weise mit Simtec involviert, dies sind nur meine eigenen und persoehnlichen Erfahrungen.
Verfuegbare Entropie kann besonders auf virtuallen Plattformen ein Problem sein.
Dieser Entropykey ist einfach installiert (unterstuetzt aktuelle Betriebssystem) und beinhaltet auch einen "Entropydaemon" der die Entropy eines Schluessels ueber TCP im Netzwerk verteilt.
PS: Ich bin auf keine Art und Weise mit Simtec involviert, dies sind nur meine eigenen und persoehnlichen Erfahrungen.
Eigentlich ist heute Entropie nirgendwo mehr ein Problem: Man hat wirklich genug Möglichkeiten an gute Entropie zu kommen - auch ohne Zusatzhardware (sei es über den Hardware-RNG, Prozessorzustand, die Soundkarte, Eingabegeräte oder was auch immer).
Allerdings ist keine dieser Methoden in irgendeiner Distribution vorinstalliert - und so laufen eben Sysadmins täglich in das Problem und verschwenden Zeit darauf, die Ursache zu finden.
Allerdings ist keine dieser Methoden in irgendeiner Distribution vorinstalliert - und so laufen eben Sysadmins täglich in das Problem und verschwenden Zeit darauf, die Ursache zu finden.
Merkdwuerdig. Ich hatte die letzten drei Jahre keine Probleme mit der Entropie!
1. Mittwoch Abend, pacman 4.0 moechte mehr Entropie fuer den Keyring (Tastengedrueckt...)
2. Donnerstag Nachmittag, Verbindung zur Oracle11g spackt -> Entropie, wobei selbst /dev/urandom da nicht immer zuverlaessig funktioniert
3. Donnerstag Abend, dieser Blogpost
Davor habe ich ueber Jahre kein Problem gehabt, obwohl mir das Thema schon grundsaetzlich bekannt war. Hat sich da irgendwas an eine Library/Kernel geaendert?
1. Mittwoch Abend, pacman 4.0 moechte mehr Entropie fuer den Keyring (Tastengedrueckt...)
2. Donnerstag Nachmittag, Verbindung zur Oracle11g spackt -> Entropie, wobei selbst /dev/urandom da nicht immer zuverlaessig funktioniert
3. Donnerstag Abend, dieser Blogpost
Davor habe ich ueber Jahre kein Problem gehabt, obwohl mir das Thema schon grundsaetzlich bekannt war. Hat sich da irgendwas an eine Library/Kernel geaendert?
Der Kernel hat immer weniger Quellen für Entropie. Maus und Tastatur sind zwar eine gute Quelle, bei einem Server aber eben unbenutzt.
Netzwerk-I/O kann von extern beeinflusst werden, fiel irgendwann weg.
Festplatten-I/O steht auch im Verdacht, extern deterministisch zu sein, wurde IIRC daher im Einfluss auf den Entropie-Pool reduziert.
Da bleibt dann nur noch Crypto-Hardware übrig, die aber nur in wenigen Servern verbaut ist und wenn man virtualisierte Server hat, dann haben die nahezu immer keinen direkten Zugriff auf evtl. vorhandene RND-Generatoren.
Ich habe gute Erfahrungen mit haveged gemacht, das Ding auf allen VMs ausgerollt und seit dem nie wieder Probleme mit leerem Entropie-Pool gehabt.
Noch dazu ist das CPU-Timing-Rauschen, dass HavegeD benutzt in einer VM noch "rauschender" durch den Einfluss der anderen VMs, so dass es hier sogar besser funktioniert als auf einer Standalone-Maschine.
Netzwerk-I/O kann von extern beeinflusst werden, fiel irgendwann weg.
Festplatten-I/O steht auch im Verdacht, extern deterministisch zu sein, wurde IIRC daher im Einfluss auf den Entropie-Pool reduziert.
Da bleibt dann nur noch Crypto-Hardware übrig, die aber nur in wenigen Servern verbaut ist und wenn man virtualisierte Server hat, dann haben die nahezu immer keinen direkten Zugriff auf evtl. vorhandene RND-Generatoren.
Ich habe gute Erfahrungen mit haveged gemacht, das Ding auf allen VMs ausgerollt und seit dem nie wieder Probleme mit leerem Entropie-Pool gehabt.
Noch dazu ist das CPU-Timing-Rauschen, dass HavegeD benutzt in einer VM noch "rauschender" durch den Einfluss der anderen VMs, so dass es hier sogar besser funktioniert als auf einer Standalone-Maschine.
IPv4 vs. IPv6
Du bist hier via
Suche
Ökostrom
Kalender
Kommentare
Do, 23.02.2012 09:29
Liegt wohl an dem guten Rankin
g bei "Kalender" in der Google
-Bildersuche.
Do, 23.02.2012 06:56
Wer auf Techporn steht: http:/
/www.youtube.com/watch?v=6-ne4
mDDdMc
Ist von einem franz. M
itbewerber.
Do, 23.02.2012 00:10
Der Ökostrom is empty 
Ne
- Quark. Ich denk mal die Hütt
e ist voll.
Manuel kommt dann
bald mit Bildern von RZ [...]
Ne
- Quark. Ich denk mal die Hütt
e ist voll.
Manuel kommt dann
bald mit Bildern von RZ [...]Mi, 22.02.2012 22:22
dann würde ich das LackRack (h
ttp://lackrack.org/ ) empfehle
n. leicht, gut stapelbar, bill
ig.
Mi, 22.02.2012 22:14
ich tippe auf einen Weltrekord
versuch im Server stapeln 
Mi, 22.02.2012 21:15
Ich tippe mal das das Rechenze
ntrum einfach voll ist und ers
tmal ein neues gebaut werden m
uss
Mi, 22.02.2012 20:02
Na dann sollte man aber schnel
l zum gestrigen Blogleser-Serv
erangebot greifen. Von Angebot
4 sollten ja noch vier [...]
Mi, 22.02.2012 19:22
Soll man nun ernsthaft eine Au
sgebufftheit euerseits dahinte
r vermuten? Interessenten, die
"jetzt" einen Server br [...]
Mi, 22.02.2012 17:37
Ich tippe darauf, dass ihr gra
de an einem Startup-Projekt al
s Hoster "herhaltet" — vl. ja
für barzahlen.com?
Mi, 22.02.2012 16:58
Ich hoffe ja, dass die Server
mit neuer, aktuellerer Hardwar
e-Konfiguration zurückkehren,
vielleicht ja auch mit S [...]
