From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: X-Spam-Checker-Version: SpamAssassin 3.4.1 (2015-04-28) on sa.local.altlinux.org X-Spam-Level: X-Spam-Status: No, score=-2.0 required=5.0 tests=BAYES_00,DKIM_SIGNED, DKIM_VALID,DKIM_VALID_AU,FREEMAIL_FROM autolearn=ham autolearn_force=no version=3.4.1 DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=gmail.com; s=20161025; h=subject:to:references:from:message-id:date:user-agent:mime-version :in-reply-to:content-transfer-encoding:content-language; bh=EWzys/vwxnfxP0yn/KZvm5/fVSu2lx1tBL1dCUBl0OI=; b=Qlc2vhbuqs8ZX414ghVX8Ypn1jGDXizlBMMFTPGqQlp66a0GMyfZNrBO3pi81gmImW D9neR9szpKmo6PnIxtbncIumn6UuF6+IPiS+sHJ8Ue2GXWrDX9K+zOW5m4PwE5rhbm7L sqyz3+i+/IhSnqsP5KcmSI8Oq4xvgVdHtHdRjGy0f+3DFa3QPuJy5nFbR1xmJl13dt+5 0ORsoJcuwPt4wvQdKTVfNO3TJoZ2Sw/9uyaPZFi+fLhygRqbdywQOpCY+ss4atguPS8/ VQllqLGCqiov4GXoq1QN3Orx2p69We7+VzRGie2HVib1nZbZbn1cQgHtInTNAvERZpYT +mIg== X-Google-DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=1e100.net; s=20161025; h=x-gm-message-state:subject:to:references:from:message-id:date :user-agent:mime-version:in-reply-to:content-transfer-encoding :content-language; bh=EWzys/vwxnfxP0yn/KZvm5/fVSu2lx1tBL1dCUBl0OI=; b=osez9U/iY3uGUZ2GRHkX6gDXj1lD5CM1gxUeBq09MlFEFHVezReghXfaHSX3AUbRIv WuN+7g8i+QNMo2Cd5TLcVip7JS85lNlM7t5wctVmI7JUrVqMpLPOmn57pDztyBSeVWt9 CZNhtoflx17h3prWJUNM0qB8E8LubBsxeHpiDogTezUvHGpunrvxGglJ+ThdAhjc1tz0 K51xsQVNKkfs6EqJZqEXgQgKXOx35wEf6P5SsLtfYJQ4zKh9txXHV2+K3znRmfS+d2EB ahsFLJPUaiDHyrIYJzJohBHehViIM3Nj/ZKnA0Py/W/ucp0kDrrrNeycQCsNxpyjSXSP E7Lw== X-Gm-Message-State: APjAAAV3a9n8X0g3JBu+18kXuzdnwIJv+mKKIYL4r9mFSbZT4fMjBVrq VmrC/VZGWhsonugUMS2YxRef5DxZ X-Google-Smtp-Source: APXvYqw51dHmBe7hONFLSKc95azDYvxm2fpdGhfW4fM/9OYtPSoKFhgMbcg7i2rs7z+cZPpqou8Q7A== X-Received: by 2002:a2e:8583:: with SMTP id b3mr36929246lji.136.1559001353883; Mon, 27 May 2019 16:55:53 -0700 (PDT) To: devel@lists.altlinux.org References: <20190425102859.GA12238@lks.home> <20190527115951.GC9183@imap.altlinux.org> From: Leonid Krivoshein Message-ID: <68691384-e187-bb8b-70ab-df82f54a1d25@gmail.com> Date: Tue, 28 May 2019 02:53:12 +0300 User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:52.0) Gecko/20100101 Thunderbird/52.8.0 MIME-Version: 1.0 In-Reply-To: <20190527115951.GC9183@imap.altlinux.org> Content-Type: text/plain; charset=koi8-r; format=flowed Content-Transfer-Encoding: 8bit Content-Language: ru Subject: Re: [devel] rngd vs haveged vs crng X-BeenThere: devel@lists.altlinux.org X-Mailman-Version: 2.1.12 Precedence: list Reply-To: ALT Linux Team development discussions List-Id: ALT Linux Team development discussions List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Mon, 27 May 2019 23:55:59 -0000 Archived-At: List-Archive: List-Post: 27.05.2019 14:59, Michael Shigorin пишет: > On Thu, May 23, 2019 at 02:08:28AM +0300, Alexey Shabalin wrote: >> В копилку дополнительных решений. Случайно наткнулся на >> специальный клиент-сервер :) > То есть сперва создать проблему на ровном месте, > затем героически её решать. Справедливости ради: специально её не создавали, так уж сложилось. Рынок жаждет быстрых компьютеров, быстрых SSD. Overal Perfomance Index определяется отнюдь не скоростью загрузки и временем отклика на данную команду, но обыватель не любит ждать и ему важнее эти два "субъективных" показателя, конечно, непосредственно о распараллеливании загрузки никто особо не думает. Однако init-системы начали вырастать одна за другой в угоду этим хотелкам рынка, systemd -- не первая, и наверняка не последняя. Скорее всего, ещё и не самая плохая реализация параллельной загрузки. Самой удачной она могла бы стать, если бы не ломала надёжности, не создавала бы гонок на ровном месте, позволяла бы работать с разными профилями надёжности и совместимости. Для бывалых никакого значения не имеет скорость загрузки, надёжность важнее. Но ведь даже не systemd стал проблемой. Не было бы его, здесь был бы upstart или любой другой имярек. Просто, с одной стороны, компьютеры и диски стали быстрее, система загрузки стала слишком непоследовательной, с другой -- апстрим ядра закрутил гайки с CPRNG. И проблема вылазит точечно, даже виртуалок это больше касается. Потому что и там прогресс, и там тоже закрутили. > Лёш, чинить journald апстрим часом не собирается? > Например, на предмет ручки "не подписывать логи", > "подписывать, если есть энтропия", "подписывать всегда"? Выходит, в первую очередь именно мы должны думать, как компоновать системы, чтобы не было потребителей энтропии на раннем старте. Персонально отлавливать и отстреливать. Хороший пример с ssh-keygen -A. > По умолчанию в "обычных" выпусках, как мне кажется, > работоспособность системы в течение разумного времени > после включения/перезагрузки важнее, чем подписи, > которые не проверит/посмотрит никто. Все варианты решения уже известны и обсуждались много раз. Можно ещё один вариант рассмотреть. Допустим, мы уже точно знаем, какие приложения сколько выжрут энтропии. Будучи запущенными в первые несколько секунд, это создаст проблему. Оценить текущий пул через sysfs мы можем, время от начала запуска известен. Для таких программ создаются фэйки-обёртки, выполняющие их отложенный запуск. А systemd пусть думает, что всё уже случилось. Если для ряда таких программ заблокировать запуск полностью возможно без ущерба для загрузки, значит, сразу после логина юзера с uid 500 чтобы вылазило системное предупреждение, типа: внесите такие-то изменения в свои настройки или мы и дальше будем блокировать запуск таких-то приложений. Для таких программ, как gnome-keyring, если создавать временное хранилище на основе ненадёжных данных -- тоже сразу чтобы прилетало уведомление юзеру, но запуск не блокировался. На худой конец, не создавать это временное хранилище. Короче, отстреливать индивидуально или как-то так. -- Best regards, Leonid Krivoshein.