From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: X-Spam-Checker-Version: SpamAssassin 3.4.1 (2015-04-28) on sa.local.altlinux.org X-Spam-Level: X-Spam-Status: No, score=-2.0 required=5.0 tests=BAYES_00,DKIM_SIGNED, DKIM_VALID,DKIM_VALID_AU,FREEMAIL_FROM autolearn=ham autolearn_force=no version=3.4.1 DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=gmail.com; s=20161025; h=subject:to:references:from:message-id:date:user-agent:mime-version :in-reply-to:content-transfer-encoding:content-language; bh=UZ1Oy9WDmtnhuTUt3aKTXAh8+3oKpkr0L7truLrIDwU=; b=qAotvvRW/ahNBWlKAsrYXzgIJeEeERoDYwyijgX5IWE8Lq48Ejd7feMsiu29c2elzE 6ShX6nXCXQ9qB1V4YgHmgo6rWryMHgBHphn6TToNY37PE6wM9DBBRm0xjE79rp7pXIqP VbrooVzjcEvo8JCQQR0t1Oyh62z0iRqtNooC5x8dL7Xdwh29VOXBmPWPehNwD21QSsXb EtYZgmq7VqAtGxGsvCzQjEe4dhnNTyfe3j7OdS/QrRmKPxxmXXlH8k9Gr+hl50AhcG3q ULw4lBwT31D/1hg3yzOZphdEKHv1Tz+MYrJtYh56vkv4ffIrMSOHcp06hJRAAurGc5Xa gX0g== X-Google-DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=1e100.net; s=20161025; h=x-gm-message-state:subject:to:references:from:message-id:date :user-agent:mime-version:in-reply-to:content-transfer-encoding :content-language; bh=UZ1Oy9WDmtnhuTUt3aKTXAh8+3oKpkr0L7truLrIDwU=; b=NI2XsoD5bJBLodLAKhwrbGk6NEVBZTk9C3HyMn1SEfMEGhDJEQ60LDDGjcdOox68UI TjjXEoQhWS7BujGeNygUrHzPbIkaK+AXTI+4J3PAuOH7i/JWs8UAOgejWViAQNXMj/Ui ndVox/1OXdhtPlb9Tuko9Pb+sZuKDua8Ct1qAtfRSt7F6Lqkq8dHV58kf+vzOvZQBLO2 nE7RE1Hu6UE61r2MRKGQAf079i5I4dcYqMUvvdLwZdpbAh/5ugth/Q0XPGcpSi3BnEmc Amigh9dek/feqXNuMx/eFv+QtIj2LmeNr9XDOazSD74lkryzQf8bdoplyI/A9KrF214L SnUA== X-Gm-Message-State: AGRZ1gI9qoX+ziQ6rYdTq+mqMqwxvxniRMGUvOjBDqzZbDYuxy9d7X8V bHTN7t0DhEppe2TMQTiDGCZzcBxE X-Google-Smtp-Source: AJdET5f3zZ0QD6abxQHMIKBskOBnrdsQQ2dbvQwzlRKqDEyiEonqwpxNIF4MHtV9heT0V9BTaSjBeA== X-Received: by 2002:a2e:4a19:: with SMTP id x25-v6mr8717766lja.19.1541207123359; Fri, 02 Nov 2018 18:05:23 -0700 (PDT) To: devel@lists.altlinux.org References: <1923597.Qi8sIx6TaB@zerg.malta.altlinux.ru> <3c951a80-dd03-a1c7-a080-2b39f99d1100@gmail.com> <11951325.T6q2A9AG3K@zerg.malta.altlinux.ru> <95153b87-1ab3-0243-bd24-142ca540d50e@gmail.com> <20181102162732.GU10728@imap.altlinux.org> <3db00a5b-cf13-7d31-94d9-e318d58b3592@gmail.com> <82b4938f-a23b-b51e-939d-9f74fa8703a2@altlinux.org> From: Leonid Krivoshein Message-ID: <4b5ab176-44ba-db98-e08b-b76146753494@gmail.com> Date: Sat, 3 Nov 2018 04:05:07 +0300 User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:52.0) Gecko/20100101 Thunderbird/52.8.0 MIME-Version: 1.0 In-Reply-To: <82b4938f-a23b-b51e-939d-9f74fa8703a2@altlinux.org> Content-Type: text/plain; charset=koi8-r; format=flowed Content-Transfer-Encoding: 8bit Content-Language: ru Subject: Re: [devel] =?utf-8?b?W3Npc3lwaHVzXSDQndC1INC/0LXRgNC10LrQu9GO0Yc=?= =?utf-8?b?0LDQtdGC0YHRjyDQsiDQs9GA0LDRhNC40YfQtdGB0LrQuNC5INGA0LXQttC4?= =?utf-8?b?0Lw=?= X-BeenThere: devel@lists.altlinux.org X-Mailman-Version: 2.1.12 Precedence: list Reply-To: ALT Linux Team development discussions List-Id: ALT Linux Team development discussions List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Sat, 03 Nov 2018 01:05:26 -0000 Archived-At: List-Archive: List-Post: 02.11.2018 23:23, Paul Wolneykien пишет: > 02.11.2018 20:23, Leonid Krivoshein пишет: >> [...] > Подтверждаю. Только что проверил: "fips" не упоминается в истории > изменений libgcrypt.spec. Нужно добавить? С другой стороны, весь набор патчей, в том числе FIPS'овых, похоже бэкпортирован из новых версий коммерческой Федоры по случаю борьбы как раз с зависаниями из-за /dev/random, а сам код из паблика убрали. Но это лишь предположение, я в этом не настолько разбираюсь, чтобы советовать. Просто даже, если мы отдебажим и найдём это место именно в libgcrypt, из-за параллелизма systemd завтра всплывёт что-то ещё. В каждом случае, как я понял, в идеале надо заменять deprecated чтение из /dev/random на системный вызов getrandom(2), что при раннем старте позволяет читать из менее секьюрного неблокирующего пула. Но таких мест в дистрибутивах может оказаться несколько. В этой связи возникла мысль использовать haveged только там, где действительно без него не обойтись. Следуя букве, /proc/sys/kernel/random/entropy_avail показывает размер уже накопленной энтропии в битах. Если данных в пуле мало, запускаем haveged. То есть это д.б. тест перед запуском haveged, прописанный где-то в его systemd-юните. man 4 random и https://pthree.org/2014/07/21/the-linux-random-number-generator/ -- Best regards, Leonid Krivoshein.