Dies ist eine alte Version des Dokuments!
Inhaltsverzeichnis
Virtualisierung Entropien
Ein Computer erzeugt Zufallszahlen entweder mit einer entsprechenden Hardwarelösung oder über „zufällige“ Ereignisse wie Interrupts z.B. weil der Mauszeiger sich bewegt hat.
Zufallszahlen werden verbraucht, wenn z.B. Kryptographie-Schlüssel erzeugt werden. Inzwischen verbraucht aber auch jeder Prozeßstart Eintropien, weil aus /dev/random gelesen wird und so Entropien verbraucht werden.
Speziell auf virtuellen Maschinen steht oft nicht genügend Entropie bereit, um beim Thema Kryptographie z.B. effizient Schlüssel in kurzer Zeit zu generieren.
Nachfolgender Befehl gibt die aktuell verfügbaren Entropien aus:
# cat /proc/sys/kernel/random/entropy_avail 183
HINWEIS - Ein Wert zwischen 0 und 200 ist bedenklich!
Abhilfe kann hier der Dienst/Daemon haveged (HArdware Volatile Entropy Gathering and Expansion Daemon) schaffen, de er dieses Problem löst, indem er Zufallszahlen tatsächlich unvorhersehbar, zufällig produziert und nicht vorhersehbar zufällig wie unter /dev/urandom
.
haveged läuft als Dienst/Daemon und überwacht die verfügbare Anzahl von Zufalls-Bits. Wird ein eingestellter Schwellwert unterschritten, erzeugt haveged neue Zufalls-Bits. Der Zugewinn durch die höhere Entropie überwiegt bei weitem die Last, die haveged zusätzlich auf das System bringt.
Ab hier werden zur Ausführung nachfolgender Befehle root
-Rechte benötigt. Um der Benutzer root
zu werden, melden Sie sich bitte als root
-Benutzer am System an, oder wechseln mit nachfolgendem Befehl zum Benutzer root
:
$ su - Password:
Herunterladen
Nachfolgend soll das Drittanbieter-Repository EPEL, wie unter nachfolgendem internen Link dargestellt, eingebunden werden:
Installation
Nachfolgendes rpm
-Paket ist zur Installation erforderlich:
Die Installation von haveged
, kann durch ausführen des nachfolgenden Befehls durchgeführt werden:
# yum install haveged
Die Installation von haveged
, kann durch ausführen des nachfolgenden Befehls durchgeführt werden:
# rpm -qil haveged
haveged Dienst/Daemon-Start einrichten
Um den haveged der als Dienst/Deamon als Hintergrundprozess läuft, auch nach einem Neustart des Servers zur Verfügung zu haben, soll der Dienst/Daemon mit dem Server mit gestartet werden, was mit nachfolgendem Befehl realisiert werden kann:
# systemctl enable haveged
Eine Überprüfung, ob beim Neustart des Server der haveged
-Dienst/Deamon wirklich mit gestartet wird, kann mit nachfolgendem Befehl erfolgen und sollte eine Anzeige, wie ebenfalls nachfolgend dargestellt ausgeben:
# systemctl list-unit-files --type=service | grep -e haveged
bzw.
# systemctl is-enabled haveged enabled
Erster Start SPF
Um den haveged zu starten kann nachfolgender Befehl angewandt werden:
# systemctl start haveged
Eine Überprüfung ob der Start des haveged erfolgreich war kann mit nachfolgendem Befehl durchgeführt werden, welcher eine Ausgabe in etwa wie nachfolgende erzeugen sollte:
# systemctl status haveged
bzw. mit nachfolgendem Befehl, ob der Dienst/Daemon in der Prozessliste erscheint:
# ps aux | grep haveged