<html>

  <head>

    <meta http-equiv="Content-Type" content="text/html; charset=KOI8-R">

  </head>

  <body text="#000000" bgcolor="#999999">

    <br>

    <br>

    <div class="moz-cite-prefix">20.09.2019 17:46, Leonid Krivoshein

      пишет:<br>

    </div>

    <blockquote type="cite"

      cite="mid:b2cbb00d-96f5-111b-9186-b0a4cfec45bd@gmail.com">

      <meta http-equiv="Content-Type" content="text/html;

        charset=KOI8-R">

      <br>

      <div class="moz-cite-prefix">20.09.2019 13:47, Sergey Bolshakov

        пишет:<br>

      </div>

      <blockquote type="cite"

        cite="mid:m3k1a3jlb7.fsf@hammer.malta.altlinux.ru">

        <blockquote type="cite">

          <blockquote type="cite">

            <blockquote type="cite">

              <blockquote type="cite">

                <blockquote type="cite">

                  <pre class="moz-quote-pre" wrap="">"Paul" == Paul Wolneykien <a class="moz-txt-link-rfc2396E" href="mailto:manowar-u2l5PoMzF/Vg9hUCZPvPmw@public.gmane.org" moz-do-not-send="true">&lt;manowar-u2l5PoMzF/Vg9hUCZPvPmw@public.gmane.org&gt;</a> writes:

</pre>

                </blockquote>

              </blockquote>

            </blockquote>

          </blockquote>

        </blockquote>

        <pre class="moz-quote-pre" wrap="">[skipped]

 &gt;   А кто ещё, sshd? Почему с ним раньше проблем не возникало? Ну и опять

 &gt; же, на мой взгляд это проблема, в первую очередь, в диагностике. Если

 &gt; какая-то служба долго не стартует, то в журнале должно быть что-то про

 &gt; нехватку энтропии.

Подписчикам devel@ наверное будет небезынтересно узнать, что

ssh-keygen -A, запускающийся всякий раз перед стартом sshd,

сначала делает getrandom(), а уж затем проверяет наличие ключей,

растрачивая, таким образом, впустую драгоценную случайность в

подавляющем большинстве запусков.

</pre>

      </blockquote>

      <br>

      Прям всякий раз? Вроде только, если ключи ещё не сгенерированы.<br>

      <br>

      А откуда инфа про getrandom() ? Когда я последний раз бегло изучал

      этот код, как раз был сильно удивлён отсутствием именно

      криптографии -- там используется собственный генератор случайных

      чисел, а для его инициализации берётся несколько байт из

      /dev/urandom.<br>

      <br>

      Но давайте, наконец, развеем мои заблуждения чтобы поставить точку

      для подписчиков devel@ ... ))<br>

      <br>

    </blockquote>

    <br>

    Вспомнил: полез в самый свежий код из Сизифа, потому что удивил

    запуск ssh-keygen -A под strace'ом -- ни одного вызова getrandom(),

    но чтение /dev/urandom имело место. Так что, скорее всего, не

    заблуждение.<br>

    <br>

    Но, насколько я знаю, в новых инсталляторах ключи теперь создаются в

    конце установки теперь. Убирать проверку и запуск ssh-keygen перед

    стартом службы sshd смысла нет, если ключей нет, их лучше всё равно

    создать. А вот идея создавать их в post% пакета мне видится вредной.<br>

    <br>

    <br>

    <pre class="moz-signature" cols="72">-- 

Best regards,

Leonid Krivoshein.</pre>

  </body>

</html>