Donnerstag, 19. Januar 2012, 12:14
SASL-Hänger
Wer übrigens einmal darauf stößt, dass (u.a.) SASL-basierte Verbindungen (z.B. bei SMTP in Verbindung mit Authentifizierung) auf mysteriöse Weise plötzlich aufhören, zu funktionieren, sollte einmal ein
Wenn ja, ist es sinnvoll, die SASL-Bibliotheken gegen /dev/urandom zu linken (statt gegen /dev/random) (oder sich Gedanken zu machen, warum die Entropie des Kernels zu Ende geht - dagegen helfen u.a. die rng-tools).
sysctl kernel.random.entropy_availmachen und schauen, ob sich der Entropie-Pool zum Ende neigt.
Wenn ja, ist es sinnvoll, die SASL-Bibliotheken gegen /dev/urandom zu linken (statt gegen /dev/random) (oder sich Gedanken zu machen, warum die Entropie des Kernels zu Ende geht - dagegen helfen u.a. die rng-tools).
Kommentare
Ansicht der Kommentare: Linear | Verschachtelt
Charly Kühnast
den Entropievorrat kann man recht gut und einfach mit HavegeD aufstocken, ich habe dazu im Linux-Magazin vor einiger Zeit mal was geschrieben: http://www.linux-magazin.de/Heft-Abo/Ausgaben/2011/09/Einfuehrung2 .
Viele Grüße,
Charly
Thomas Preissler
Verfuegbare Entropie kann besonders auf virtuallen Plattformen ein Problem sein.
Dieser Entropykey ist einfach installiert (unterstuetzt aktuelle Betriebssystem) und beinhaltet auch einen "Entropydaemon" der die Entropy eines Schluessels ueber TCP im Netzwerk verteilt.
PS: Ich bin auf keine Art und Weise mit Simtec involviert, dies sind nur meine eigenen und persoehnlichen Erfahrungen.
Sebastian Bertho
Allerdings ist keine dieser Methoden in irgendeiner Distribution vorinstalliert - und so laufen eben Sysadmins täglich in das Problem und verschwenden Zeit darauf, die Ursache zu finden.
Peter
1. Mittwoch Abend, pacman 4.0 moechte mehr Entropie fuer den Keyring (Tastengedrueckt...)
2. Donnerstag Nachmittag, Verbindung zur Oracle11g spackt -> Entropie, wobei selbst /dev/urandom da nicht immer zuverlaessig funktioniert
3. Donnerstag Abend, dieser Blogpost
Davor habe ich ueber Jahre kein Problem gehabt, obwohl mir das Thema schon grundsaetzlich bekannt war. Hat sich da irgendwas an eine Library/Kernel geaendert?
Sven
Netzwerk-I/O kann von extern beeinflusst werden, fiel irgendwann weg.
Festplatten-I/O steht auch im Verdacht, extern deterministisch zu sein, wurde IIRC daher im Einfluss auf den Entropie-Pool reduziert.
Da bleibt dann nur noch Crypto-Hardware übrig, die aber nur in wenigen Servern verbaut ist und wenn man virtualisierte Server hat, dann haben die nahezu immer keinen direkten Zugriff auf evtl. vorhandene RND-Generatoren.
Ich habe gute Erfahrungen mit haveged gemacht, das Ding auf allen VMs ausgerollt und seit dem nie wieder Probleme mit leerem Entropie-Pool gehabt.
Noch dazu ist das CPU-Timing-Rauschen, dass HavegeD benutzt in einer VM noch "rauschender" durch den Einfluss der anderen VMs, so dass es hier sogar besser funktioniert als auf einer Standalone-Maschine.