Skip to content

SASL-Hänger

Wer übrigens einmal darauf stößt, dass (u.a.) SASL-basierte Verbindungen (z.B. bei SMTP in Verbindung mit Authentifizierung) auf mysteriöse Weise plötzlich aufhören, zu funktionieren, sollte einmal ein
sysctl kernel.random.entropy_avail
machen und schauen, ob sich der Entropie-Pool zum Ende neigt.

Wenn ja, ist es sinnvoll, die SASL-Bibliotheken gegen /dev/urandom zu linken (statt gegen /dev/random) (oder sich Gedanken zu machen, warum die Entropie des Kernels zu Ende geht ;-) - dagegen helfen u.a. die rng-tools).

Kommentare

Ansicht der Kommentare: Linear | Verschachtelt

Charly Kühnast

Moin,

den Entropievorrat kann man recht gut und einfach mit HavegeD aufstocken, ich habe dazu im Linux-Magazin vor einiger Zeit mal was geschrieben: http://www.linux-magazin.de/Heft-Abo/Ausgaben/2011/09/Einfuehrung2 .

Viele Grüße,
Charly

Thomas Preissler

Wer viel (und gute!) Entropie braucht sollte sich mal http://www.entropykey.co.uk/ anschauen. Habe mir den vor kurzem gekauft und so nun keine Wartezeiten mehr, wenn ich mal DNSSEC keys (1024 und 2048 bits) oder ein 4096 bit SSL cert generieren muss.
Verfuegbare Entropie kann besonders auf virtuallen Plattformen ein Problem sein.

Dieser Entropykey ist einfach installiert (unterstuetzt aktuelle Betriebssystem) und beinhaltet auch einen "Entropydaemon" der die Entropy eines Schluessels ueber TCP im Netzwerk verteilt.

PS: Ich bin auf keine Art und Weise mit Simtec involviert, dies sind nur meine eigenen und persoehnlichen Erfahrungen.

Sebastian Bertho

Eigentlich ist heute Entropie nirgendwo mehr ein Problem: Man hat wirklich genug Möglichkeiten an gute Entropie zu kommen - auch ohne Zusatzhardware (sei es über den Hardware-RNG, Prozessorzustand, die Soundkarte, Eingabegeräte oder was auch immer).

Allerdings ist keine dieser Methoden in irgendeiner Distribution vorinstalliert - und so laufen eben Sysadmins täglich in das Problem und verschwenden Zeit darauf, die Ursache zu finden.

Peter

Merkdwuerdig. Ich hatte die letzten drei Jahre keine Probleme mit der Entropie!

1. Mittwoch Abend, pacman 4.0 moechte mehr Entropie fuer den Keyring (Tastengedrueckt...)
2. Donnerstag Nachmittag, Verbindung zur Oracle11g spackt -> Entropie, wobei selbst /dev/urandom da nicht immer zuverlaessig funktioniert
3. Donnerstag Abend, dieser Blogpost

Davor habe ich ueber Jahre kein Problem gehabt, obwohl mir das Thema schon grundsaetzlich bekannt war. Hat sich da irgendwas an eine Library/Kernel geaendert?

Sven

Der Kernel hat immer weniger Quellen für Entropie. Maus und Tastatur sind zwar eine gute Quelle, bei einem Server aber eben unbenutzt.

Netzwerk-I/O kann von extern beeinflusst werden, fiel irgendwann weg.

Festplatten-I/O steht auch im Verdacht, extern deterministisch zu sein, wurde IIRC daher im Einfluss auf den Entropie-Pool reduziert.

Da bleibt dann nur noch Crypto-Hardware übrig, die aber nur in wenigen Servern verbaut ist und wenn man virtualisierte Server hat, dann haben die nahezu immer keinen direkten Zugriff auf evtl. vorhandene RND-Generatoren.

Ich habe gute Erfahrungen mit haveged gemacht, das Ding auf allen VMs ausgerollt und seit dem nie wieder Probleme mit leerem Entropie-Pool gehabt.
Noch dazu ist das CPU-Timing-Rauschen, dass HavegeD benutzt in einer VM noch "rauschender" durch den Einfluss der anderen VMs, so dass es hier sogar besser funktioniert als auf einer Standalone-Maschine.

Kommentar schreiben

Umschließende Sterne heben ein Wort hervor (*wort*), per _wort_ kann ein Wort unterstrichen werden.
Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert.
Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.

Um maschinelle und automatische Übertragung von Spamkommentaren zu verhindern, bitte die Zeichenfolge im dargestellten Bild in der Eingabemaske eintragen. Nur wenn die Zeichenfolge richtig eingegeben wurde, kann der Kommentar angenommen werden. Bitte beachten Sie, dass Ihr Browser Cookies unterstützen muss, um dieses Verfahren anzuwenden.
CAPTCHA

BBCode-Formatierung erlaubt
Formular-Optionen