[devel] [sisyphus] Не переключается в графический режим

Alexey V. Vissarionov gremlin на altlinux.org
Пн Ноя 5 11:23:33 MSK 2018 

On 2018-11-03 14:43:55 +0300, Leonid Krivoshein wrote:

 >> А если энтропии мало, может ее добавить естественным
 >> образом? Перед стартом X запустить какую-нибудь штуку
 > haveged именно этим и занимается. Точнее, он это делает
 > при фейле ioctl (RNDADDENTROPY),

Дурь. И дырища.

 > что на раннем старте значительно нагружает процессор
 > прерываниями и диск фейковым вводом/выводом.

Прерываниями? Значительно нагружает?
У вас там до сих пор 8259, что ли? :-)

 > В любом случае получается некое подобие псевдослучайности
 > /dev/urandom, что по идее может быть менее секьюрно, чем
 > /dev/random.

/dev/urandom намного лучше любого усерспейсного угробища. 

 > А хотелось бы решить проблему так, чтобы:
 > 1) не ухудшать безопасность -- на большинстве машин проблема
 > никак не проявляется, чтение из /dev/random не приводит к
 > подвисаниям на раннем старте;

Одно только это требование полностью исключает любые костыли в
усерспейсе.

 > 2) на тех машинах, где проблема всё же проявляется, запускать
 > haveged автоматически, но именно автоматика должна определять
 > необходимость запуска при каждом старте.

Можно обойтись безо всякой автоматики: не запускать вообще.

 > 3) в идеале со временем найти и заменить все
 > места с чтением из /dev/random на вызов getrandom(2).

Это влияет только на переносимость кода, но не на безопасность:

By default, getrandom() draws entropy from the urandom source
(i.e., the same source as the /dev/urandom device).

Угадаешь, откуда цитата? :-)

 > Исходя из этого нужно:
 > 1) определить значение длины минимально необходимой энтропии;
 > 2) сделать тест длины энтропии и добавить его в systemd-unit
 > для haveged;
 > 3) включить haveged во все дистрибутивы.

А можно просто использовать специально для этого предназначенный
источник - /dev/urandom; когда энтропии достаточно, он работает
точно так же, как /dev/random, а когда не хватает - ну, хотя бы
что-то более-менее приемлемое выдаст.


-- 
Alexey V. Vissarionov
gremlin ПРИ altlinux ТЧК org; +vii-cmiii-ccxxix-lxxix-xlii
GPG: 0D92F19E1C0DC36E27F61A29CD17E2B43D879005 @ hkp://keys.gnupg.net

Подробная информация о списке рассылки Devel