Недавно я смонтировал новый раздел и переместил / home и / var / lib / mysql на новый диск и сделал на них символическую ссылку.
Теперь я заметил, что энтропия (с использованием munin) упала с 3000 до 100-200. Могло ли это вызвать монтирование и перемещение данных?
Я использую его в качестве веб-сервера apache для размещения сайта, доступного для общедоступных пользователей, и я также заметил увеличение нагрузки (могла ли это вызвать низкая энтропия?)
Если это большая проблема, я хотел бы найти способ решить проблему низкой энтропии.
Я читал, что могу добавить энтропию, используя rng-tools и переключившись на использование urandom. Люди говорят, что это не лучший подход для систем, заботящихся о безопасности. Но подойдет ли это для веб-приложения? Насколько менее безопасным станет мое веб-приложение (мы используем шифрование (хеширование) для таких вещей, как пароли, ссылки для подтверждения и т. Д., Но я не уверен, сколько из этого относится к категории «заботящихся о безопасности»)
Любые идеи?
Я использую облачный экземпляр CentOS 5 (виртуальная машина).
Если у вас достаточно энтропии для заполнения вашего генератора псевдослучайных чисел (PRNG), он должен быть более чем подходящим источником для большинства целей.
Используя rng-tools, вы можете кормить / dev / random энтропией из / dev / urandom, используя:
rngd -r /dev/urandom -o /dev/random -f -t 1
(заменить -f с участием -b демонизировать; В centos нет сценария инициализации для rngd, но вы сможете достаточно легко изменить существующий.)
(Причина в том, что / dev / random (true random) блокирует, а / dev / urandom (псевдослучайный) - нет - увеличение энтропии / dev / random может повлиять на производительность, если у вас часто очень низкая энтропия .)
Вы можете проверить влияние на вашу энтропию с помощью:
cat /proc/sys/kernel/random/entropy_avail
Если вас беспокоит «качество» ГПСЧ, вы можете проверить его энтропию, используя:
cat /dev/urandom | rngtest -c 1000
Поскольку вы используете виртуальный сервер, часто бывает труднее получить энтропию (без мыши / клавиатуры, звуковой / видеокарты и т. Д.). Если вас беспокоит качество энтропии из / dev / urandom, вы можете попробовать это демон энтропии таймера, который использует неточности времени сна для генерации энтропии.
Я бы сказал, что если вас не беспокоит решительный и изощренный злоумышленник с большим количеством ресурсов, компрометирующий ваш сайт, нарушая псевдослучайный алгоритм, используемый в ядре Linux, urandom, вероятно, в порядке.
Вы обнаружите, что все, что связано с шифрованием, включая криптографическое хеширование (соли случайны, даже если функция хеширования не включает саму случайность), истощит ваш запас энтропии. Кроме того, виртуальная машина будет иметь меньшую энтропию, поскольку энтропия получена от множества вещей, которых у виртуальных машин просто нет или которые не могут безопасно получить энтропию (например, физическая мышь, клавиатура или часы).
Я также не уверен, почему вы считаете 100-200 небольшой суммой. Я бы посчитал 0-10 малым, но имейте в виду, что максимальный размер пула (/ proc / sys / kernel / random / poolize) может составлять всего 4096. Если только вы не на 0, то это и есть доля от время, вероятно, вы не используете его слишком быстро (возможно, вы уже используете urandom, не зная об этом). Насколько я знаю, чтение из / dev / random не будет блокироваться до тех пор, пока энтропийный пул является 0.