[devel] [sisyphus] Не переключается в графический режим
Andrey Savchenko
bircoph на altlinux.org
Пт Ноя 9 03:39:49 MSK 2018
On Fri, 9 Nov 2018 02:49:49 +0300 Leonid Krivoshein wrote:
>
> 09.11.2018 01:59, Andrey Savchenko пишет:
> > On Fri, 9 Nov 2018 01:52:48 +0300 Leonid Krivoshein wrote:
> >> 09.11.2018 01:49, Andrey Savchenko пишет:
> >>> On Fri, 9 Nov 2018 01:40:38 +0300 Leonid Krivoshein wrote:
> >>>> Вообще странно. Когда для военных или других особых применений делается
> >>>> дистрибутив, такие "навороты" с безопасностью понять ещё можно. Но для
> >>>> всех поголовно гражданских применений стоит ли так круто гайки
> >>>> завинчивать, да ещё и таким образом, что это будет просто отпугивать людей?
> >>>
> >>> Простые гражданские создают ключи SSH и GPG, используют VPN,
> >>> хранят пароли в кейрингах. Этого достаточно для строгих требований
> >>> к качеству случайных чисел.
> >> Не на 5-й же секунде создавать ключ SSH! Если такое вообще возможно,
> >> лучше делать это на этапе инсталляции, когда пул уже достаточно
> >> наполнен, или хотя бы есть диалог с пользователем.
> > В предыдущих письмах я уже писал, что:
> >
> > 1) неправильно инициированный пул libgcrypt (и любого другого
> > подобного софта) подрывает доверие ко всей дальнейшей работе.
>
> Не думаю, что у libgсrypt есть какой-то свой особый пул.
Ты зря так думаешь:
https://www.gnupg.org/documentation/manuals/gcrypt/Random_002dNumber-Subsystem-Architecture.html
И он инициализируется как раз из /dev/(u)random в зависимости от
настроек.
> Она выполняет
> функции шифрования и на выбор можно указать источник, хоть файл, хоть
> пароль с клавиатуры. /dev/[u]random тоже. Но такой пул может быть у
> конкретных пользователей этой библиотеки. И в каких-то не редких случаях
> твоё утверждение будет тогда справедливо, например, если по /etc/inittab
> ключ для SWAP создаётся на основе недоинициализированного /dev/urandom,
> а по сути там 0 бит реальной энтропии, то чёрт-возьми да, грош цена
> тогда такому шифрованию!
На моих системах шифрованный swap берёт ключ из /dev/random.
И ничего, загружаются.
> > 2) Создания SSH или RSA ключа на этапе старта сервера — достаточно
> > частная задача. Например, посмотри init-скрипт ssh. Там
> > ssh-keygen вызывается именно при старте демона для генерации
> > ключей сервера. Вот тебе и первые 5 секунд загрузки.
>
> Это всё понятно и как я уже говорил, на уровне дистрибутива можно
> считать багом, если необходимые ключи не были созданы на этапе
> инсталляции. init-скрипт ssh таким был, когда ещё не было systemd, и
> тогда это было оправдано. Теперь же другие реалии.
Нет, это не баг. Может быть много причин изменения ключей сервера,
например, изменение когфига sshd. Достоверно их все можно учесть
только перед запуском демона, что и сделано.
Best regards,
Andrew Savchenko
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя : отсутствует
Тип : application/pgp-signature
Размер : 833 байтов
Описание: отсутствует
Url : <http://lists.altlinux.org/pipermail/devel/attachments/20181109/439da2d7/attachment-0001.bin>
Подробная информация о списке рассылки Devel