o dnssec-keygen funciona muito devagar no Centos se nós executá-lo apenas com o nome do domínio de entrada

Question

o dnssec-keygen funciona muito devagar no Centos se nós executá-lo apenas com o nome do domínio de entrada

#1 resposta do (5 votos)

2

Deste exemplo de artigo do ISC BIND:

$ dnssec-keygen example.com
    Generating key pair........................+++++
    ...............++++++ 
    Kexample.com.+005+17262
$ dnssec-keygen -fk example.com
    Generating key pair.....................................+++++
    ........................................................+++ 
    Kexample.com.+005+44139

Eu tentei no Centos 5 (x64) e vi que o dnssec-keygen funciona tão devagar.

Se eu adicionar outro argumento de opção, ele funcionará imediatamente.

Exemplo:

dnssec-keygen -r random.data example.com

Isso não acontece no sistema operacional Windows.

Depois de tentar depurar, vejo que fica em volta do

RSA_generate_key_ex(rsa, key->key_size, e, &cb))

no

 lib\dns\opensslrsa_link.c

Eu tentei enviar e-mails para o ISC, mas eles não respondem mais.

Você tem alguma ideia?

openssl bind domain-name-system centos

por Tuan 03.01.2014 / 03:29

1 resposta

Tags openssl bind domain-name-system centos

Linux: criptografando diretórios. Truecrypt? Dm-cripta? Hardware de nível de entrada para o SBS 2008 Standard

score 5 · Accepted Answer

Provavelmente é uma falta de entropia, não incomum, especialmente em sistemas virtualizados e / ou principalmente ociosos.

Sem verificar o código, pode ser que a entrada aleatória necessária para gerar chaves apropriadas seja recuperada de / dev / random, que o IIRC é diferente de / dev / urandom, pois bloqueia quando há entropia insuficiente (por exemplo, aleatoriedade) disponível. Você pode verificar o número de bits disponíveis em /proc/sys/kernel/random/entropy_avail .

Você pode ajudar a aumentar a quantidade de entropia gerando interupts (tocar o teclado, tocar com o mouse, executar / encontrar, compilar um novo kernel etc.), obter um gerador de números aleatórios de hardware ou, se seus requisitos de segurança não forem muito alto, instale o rngd-tools e use / dev / urandom como uma solução alternativa para aumentar a quantidade de pseudo-entropia: rngd -r /dev/urandom -o /dev/random -b .