On Mon, 5 Nov 2018 23:57:20 +0300 Leonid Krivoshein wrote: [...] > То есть, теоретически, "залипать" может "САМ"! :) Но у меня равно как и > у большинства ничего не залипает. IMHO: systemd может не быть > непосредственным виновником, но его асинхронность в ряде конфигураций > может привести к тому, что "залипнет". Если бы факт наполненности пула > можно было бы сделать зависимостью, но увы, это величина не постоянна. > > Видимо этой проблеме уже присвоена CVE: > https://access.redhat.com/security/cve/cve-2018-1108 , её пытаются > решить с последними ядрами: ??? Это совсем другая проблема; она в том, что /dev/random мог выдавать ненадёжные данные. Мало того, её решение только усложнит нашу проблему, т.к. /dev/random будет выдавать ещё меньше данных на ранних этапах после загрузки. > 4.16: https://bugzilla.redhat.com/show_bug.cgi?id=1572944 > 4.17: https://bugzilla.redhat.com/show_bug.cgi?id=1572916 > 4.18: https://bugzilla.redhat.com/show_bug.cgi?id=1639840 Это реальные проблемы, схожие с нашей, но решений я в багах невижу. > 4.19: > https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=3243a89dcbd8f5810b72ee0903d349bd000c4c9d > - good news, "Здравствуй, доверие"! :) Это ответ на крики "почему вы таки не доверяете нашему хорошему аппаратному генератору в процессоре"? Настоятельно советую выключить эту вещь во всех ядрах. > Но первый вопрос -- как это всё касается нас и касается ли вообще? Есть > такой прецедент: > > https://lists.altlinux.org/pipermail/sisyphus/2018-November/367280.html > > Логи пока доступны. Едва ли по ним будет ясна проблема. Но из них ясно, > что НАШ systemd использует /dev/urandom на стадии инициализации журнала. > Да, ещё не инициализированный, но на этом он точно не залипает. Если там > что и может залипать, то скорее NetworkManager или то, что зависит от > сети и без чего почему-то не стартуют иксы. Возможно, стоит попросить > отключить пока haveged и показать systemd-analaze critical-chain? Есть > вообще какие-то способы (от initramfs до финальной загрузки) поймать > всех, кто читает из /dev/random? Запустить systemd под strace? Best regards, Andrew Savchenko