Baixa entropia no CentOS 5 após nova montagem

Navegue suas respostas
2

Eu recentemente montei uma nova partição e movi / home e / var / lib / mysql para a nova unidade e fiz um link simbólico para eles.

Agora notei que a entropia (usando munin) caiu de cerca de 3.000 para cerca de 100-200. Os dados montados e movidos poderiam causar isso?

Eu uso isso como um servidor web apache para hospedar um site voltado para usuários públicos e notei um aumento na carga também (a baixa entropia pode ter causado isso?)

Se este é um grande problema, gostaria de descobrir uma maneira de resolver o problema de baixa entropia.

Eu li que posso adicionar entropia usando rng-tools e alternando para o uso de urandom. As pessoas dizem que isso não é uma boa abordagem para sistemas conscientes da segurança. Mas isso seria bom para um aplicativo da web? Quão menos seguro isso tornaria meu aplicativo da web (nós utilizamos criptografia (hashing) para coisas como senhas e links de confirmação e tal, mas não tenho certeza de quanto disso cai como "consciente da segurança")

Alguma idéia?

Estou usando uma instância de nuvem do CentOS 5 (máquina virtual).

    
por lamp_scaler 08.08.2011 / 05:28

2 respostas

0

Eu diria que, a menos que você esteja preocupado com um atacante determinado e sofisticado, com muitos recursos comprometendo seu site, quebrando o algoritmo pseudo-aleatório usado no kernel do Linux, o urandom provavelmente está bem.

Você descobrirá que qualquer coisa relacionada à criptografia, incluindo o hashing criptográfico (os sais são aleatórios, mesmo que a função de hashing não envolva a própria aleatoriedade), esgotará seu fornecimento de entropia. Além disso, uma máquina virtual tenderá a ter menos entropia, pois a entropia é adquirida a partir de uma variedade de coisas que as VMs simplesmente não possuem, ou não podem obter entropia segura (por exemplo, mouse físico, teclado ou relógio). p>

Eu também não sei por que você considera 100-200 uma pequena quantia. Eu consideraria 0-10 para ser pequeno, mas tenha em mente que o tamanho máximo do conjunto (/ proc / sys / kernel / random / poolsize) pode ser tão pequeno quanto 4096. A menos que você esteja em 0 uma fração do vez, você provavelmente não está usando muito rápido (você pode estar usando urandom sem saber). Pelo que sei, as leituras de / dev / random não serão bloqueadas até que o conjunto de entropia seja 0.

    
por 08.08.2011 / 06:00
3

Se você tiver entropia suficiente para propagar seu gerador de números pseudo-aleatórios (PRNG), ele deverá ser mais do que uma fonte adequada para a maioria dos propósitos.

Usando o rng-tools você pode alimentar / dev / random com entropy a partir de / dev / urandom usando: 

rngd -r /dev/urandom -o /dev/random -f -t 1

(substitua o -f por -b para daemonize; o centos não possui um script de inicialização para o rngd, mas você deve ser capaz de modificar um existente com bastante facilidade.)

(A razão é que / dev / random (true random) está bloqueando, enquanto / dev / urandom (pseudo-random) não está - aumentando a entropia de / dev / random pode ter um impacto no desempenho se você estiver baixa na entropia.)

Você pode verificar o impacto na sua entropia via: 

cat /proc/sys/kernel/random/entropy_avail

Se você está preocupado com a 'qualidade' do PRNG, você pode testar sua entropia usando: 

cat /dev/urandom | rngtest -c 1000

Como você está usando um servidor virtual, muitas vezes é mais difícil entrar por entropia (sem mouse / teclado, placa de som / vídeo, etc). Se você está preocupado com a qualidade da entropia de / dev / urandom, você pode tentar este daemon entropia temporizador , que usa imprecisões em tempo de sono para gerar entropia.

    
por 08.08.2011 / 07:48

Tags

Não é possível fazer o login no zabbix Server como “Admin” Como escalar o mySQL com muitos servidores de banco de dados (digamos, 20 servidores de banco de dados)