From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <klark.devel@gmail.com>
X-Spam-Checker-Version: SpamAssassin 3.4.1 (2015-04-28) on
 sa.local.altlinux.org
X-Spam-Level: 
X-Spam-Status: No, score=-2.0 required=5.0 tests=BAYES_00,DKIM_SIGNED,
 DKIM_VALID,DKIM_VALID_AU,FREEMAIL_FROM autolearn=ham autolearn_force=no
 version=3.4.1
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=gmail.com; s=20161025;
 h=subject:to:references:from:message-id:date:user-agent:mime-version
 :in-reply-to:content-transfer-encoding:content-language;
 bh=N19g86Xu2suZvd8pyoPIYNyEq6eCKEvYbE/W+5BOyGQ=;
 b=SR+U0xGjrFVNSI8oGHY1FAtGTgFgY8y9M38h/nGQsfLhx4nrgA+WV/I4DYolNbibya
 vzarC0h8nZ9jZnTGi/rYgQYg5XPaAIZQ4Ox1BgN1EgL9ZzErjOpqeQZsO6xygfKKcrxZ
 smANFYOtlhRZ2ylUvCVzuGI3Pddk/2xa89gtM3SBwm5b1SLJ5nCyVKkvgNJngP3QPFSK
 7d5qRcROkMOe/FRPmYnRhNAg1NaeocxGizKFZBx18hRW67UY/V7R35uJen5Y6qhMv3K0
 n/rZU94FLXu90emsrWFZyQ7DN8y2FCcR2NB1q7KxvoClI7NZWXx9io0vjg/vQrtTlXus
 umJQ==
X-Google-DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
 d=1e100.net; s=20161025;
 h=x-gm-message-state:subject:to:references:from:message-id:date
 :user-agent:mime-version:in-reply-to:content-transfer-encoding
 :content-language;
 bh=N19g86Xu2suZvd8pyoPIYNyEq6eCKEvYbE/W+5BOyGQ=;
 b=c1WPBbrYdzFBVOf8LMR+68f/VYQMQxN6e83GcMdtq4OyuO2WB/r/SEGmAbVvVblv3j
 F/yK9UyYWvqG1zpQYkURUFTo4h8iAVc8LjblLYhoKOhSlgv4IARi64K/hkIYjqmVgHna
 Qhxbc5Ki4kDXFHKp0JmQp7IXw5/tscHCqBfSLypitZIfPUFfBWmIfTLE+cEOYZqkImT2
 RLmZdZf7jTeYyqMDD6+D4OL6VwrdjDdTA8HzQUHAHHg9BW1QBhPJ+9CO7szCN3U/ZkKj
 rkQM5C3lJV2j5G6fCElF1wwB6IT/kM8m8mgJT4vBbM9eKpDlT2oUh0TfPL3OqS3ghRUj
 n/1g==
X-Gm-Message-State: AGRZ1gJqLwYpeVkeJ9KrV7vWXAFsucHlUvK652poYES5eFp83LbxnrIr
 lZQNNXYd6l4O3mUJlnhJB1Pi0XCk
X-Google-Smtp-Source: AJdET5cAavwy1DaCwBe3gFNSXwIfvb7HKSenl/U81RgKBxfc1t5lKEhpJfqKoZsXGiAU1SUMPcm3tw==
X-Received: by 2002:a2e:851a:: with SMTP id
 j26-v6mr5203120lji.163.1541451457848; 
 Mon, 05 Nov 2018 12:57:37 -0800 (PST)
To: devel@lists.altlinux.org
References: <CAK1jUOs=O4hnD6p=eQV6--XyKDiZai=JJ8vM33YXA4JdSY7x=A@mail.gmail.com>
 <82b4938f-a23b-b51e-939d-9f74fa8703a2@altlinux.org>
 <4b5ab176-44ba-db98-e08b-b76146753494@gmail.com>
 <2612299.mELcP0gfiM@homerun.localdomain>
 <f73d7540-6695-670e-5772-352a7fe0c51a@gmail.com>
 <20181105082333.GB11681@altlinux.org>
 <1e505e97-6af8-d9cb-fe3f-abeead44cba6@gmail.com>
 <20181105200504.fa7e4edc6ba4a20f52d05867@altlinux.org>
 <20181105202526.cf0d4a3e0fbe9a36684a4ff4@altlinux.org>
 <20181105185424.GB27735@altlinux.org>
From: Leonid Krivoshein <klark.devel@gmail.com>
Message-ID: <47b990be-2a07-dc53-8474-58db5c04ea59@gmail.com>
Date: Mon, 5 Nov 2018 23:57:20 +0300
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:52.0) Gecko/20100101
 Thunderbird/52.8.0
MIME-Version: 1.0
In-Reply-To: <20181105185424.GB27735@altlinux.org>
Content-Type: text/plain; charset=koi8-r; format=flowed
Content-Transfer-Encoding: 8bit
Content-Language: ru
Subject: Re: [devel] =?utf-8?b?0J3QtSDQv9C10YDQtdC60LvRjtGH0LDQtdGC0YHRjyA=?=
 =?utf-8?b?0LIg0LPRgNCw0YTQuNGH0LXRgdC60LjQuSDRgNC10LbQuNC8?=
X-BeenThere: devel@lists.altlinux.org
X-Mailman-Version: 2.1.12
Precedence: list
Reply-To: ALT Linux Team development discussions <devel@lists.altlinux.org>
List-Id: ALT Linux Team development discussions <devel.lists.altlinux.org>
List-Unsubscribe: <https://lists.altlinux.org/mailman/options/devel>,
 <mailto:devel-request@lists.altlinux.org?subject=unsubscribe>
List-Archive: <http://lists.altlinux.org/pipermail/devel>
List-Post: <mailto:devel@lists.altlinux.org>
List-Help: <mailto:devel-request@lists.altlinux.org?subject=help>
List-Subscribe: <https://lists.altlinux.org/mailman/listinfo/devel>,
 <mailto:devel-request@lists.altlinux.org?subject=subscribe>
X-List-Received-Date: Mon, 05 Nov 2018 20:57:41 -0000
Archived-At: <http://lore.altlinux.org/devel/47b990be-2a07-dc53-8474-58db5c04ea59@gmail.com/>
List-Archive: <http://lore.altlinux.org/devel/>
List-Post: <mailto:devel@altlinux.org>


05.11.2018 21:54, Dmitry V. Levin пишет:
> On Mon, Nov 05, 2018 at 08:25:26PM +0300, Andrey Savchenko wrote:
> [...]
>> Реальная проблема в том, что на обсуждаемом этапе загрузки random
>> ещё не нужен, но используется. Очередная глупость от systemd.
> $ git grep -Fnw initialize_libgcrypt
> src/basic/gcrypt-util.c:9:void initialize_libgcrypt(bool secmem) {
> src/basic/gcrypt-util.c:30:        initialize_libgcrypt(false);
> src/basic/gcrypt-util.h:14:void initialize_libgcrypt(bool secmem);
> src/import/pull-job.c:324:                initialize_libgcrypt(false);
> src/journal/fsprg.c:253:        initialize_libgcrypt(false);
> src/journal/fsprg.c:289:        initialize_libgcrypt(false);
> src/journal/fsprg.c:308:        initialize_libgcrypt(false);
> src/journal/fsprg.c:335:        initialize_libgcrypt(false);
> src/journal/fsprg.c:374:        initialize_libgcrypt(false);
> src/journal/journal-authenticate.c:417:        initialize_libgcrypt(true);
> src/resolve/resolved-dns-dnssec.c:852:        initialize_libgcrypt(false);
> src/resolve/resolved-dns-dnssec.c:1171:        initialize_libgcrypt(false);
> src/resolve/resolved-dns-dnssec.c:1284:        initialize_libgcrypt(false);
>
> Который из них залипает на стадии ранней загрузки?
>

Извиняюсь, если кого ввёл в заблуждение: там говорилось о разработчиках 
в красной шляпе и они у себя там чего-то наотлаживали, при этом была 
оговорка, что ничего похожего в нашем гите я не нашёл. Даже предлагал 
решать проблему без оглядки на RedHat. Тем не менее, на моей машине:

# systemd --version
systemd 237
+PAM +AUDIT +SELINUX +IMA -APPARMOR +SMACK +SYSVINIT +UTMP 
+LIBCRYPTSETUP +GCRYPT +GNUTLS +ACL +XZ +LZ4 +SECCOMP +BLKID +ELFUTILS 
+KMOD +IDN2 -IDN +PCRE2 default-hierarchy=hybrid

# strings /lib/systemd/systemd | grep /dev/random
/dev/random
/dev/random

То есть, теоретически, "залипать" может "САМ"! :) Но у меня равно как и 
у большинства ничего не залипает. IMHO: systemd может не быть 
непосредственным виновником, но его асинхронность в ряде конфигураций 
может привести к тому, что "залипнет". Если бы факт наполненности пула 
можно было бы сделать зависимостью, но увы, это величина не постоянна.

Видимо этой проблеме уже присвоена CVE: 
https://access.redhat.com/security/cve/cve-2018-1108 , её пытаются 
решить с последними ядрами:

4.16: https://bugzilla.redhat.com/show_bug.cgi?id=1572944
4.17: https://bugzilla.redhat.com/show_bug.cgi?id=1572916
4.18: https://bugzilla.redhat.com/show_bug.cgi?id=1639840

4.19: 
https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=3243a89dcbd8f5810b72ee0903d349bd000c4c9d 
- good news, "Здравствуй, доверие"! :)

Но первый вопрос -- как это всё касается нас и касается ли вообще? Есть 
такой прецедент:

https://lists.altlinux.org/pipermail/sisyphus/2018-November/367280.html

Логи пока доступны. Едва ли по ним будет ясна проблема. Но из них ясно, 
что НАШ systemd использует /dev/urandom на стадии инициализации журнала. 
Да, ещё не инициализированный, но на этом он точно не залипает. Если там 
что и может залипать, то скорее NetworkManager или то, что зависит от 
сети и без чего почему-то не стартуют иксы. Возможно, стоит попросить 
отключить пока haveged и показать systemd-analaze critical-chain? Есть 
вообще какие-то способы (от initramfs до финальной загрузки) поймать 
всех, кто читает из /dev/random?


-- 
Best regards,
Leonid Krivoshein.