From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: X-Spam-Checker-Version: SpamAssassin 3.4.1 (2015-04-28) on sa.local.altlinux.org X-Spam-Level: X-Spam-Status: No, score=-0.1 required=5.0 tests=DKIM_SIGNED,DKIM_VALID, DKIM_VALID_AU,FREEMAIL_FROM autolearn=ham autolearn_force=no version=3.4.1 DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=gmail.com; s=20161025; h=subject:to:references:from:message-id:date:user-agent:mime-version :in-reply-to:content-transfer-encoding:content-language; bh=wXPmB3Y84k6jDy+97/oxOakmBdi7TQcv3xAdyJbCksM=; b=TzQdzamjligWMF5zo1JHMtAKr/ISLoeOA73Tx1KcYymE9uvNI84qR+xiqQ09/nX3Y4 sXCfWNOSZI547RXBwhm8B0sFTqxIRUOjB56rsRuV/aZIKUCDyLTluUjYnN+3hNJbR0tE N6p9cFxOjUC2t1liu0D98OirOwKo6NgpepKihwSV2o4p/gH4DCzrSuX0zBkA5JFUUFNb Mrncboo/J1enbiuoxp9MmqEl9PxaP1W558bOoKdax2EDhSTkcL2Tyj22Er6iSmGgNgPg YYLDtyESj7jxqNaWvHMmtkf+jlSgZPLBjy5fVvBqqH1+Juc74dmlOlnqAOd4fHDe5tok fF3A== X-Google-DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=1e100.net; s=20161025; h=x-gm-message-state:subject:to:references:from:message-id:date :user-agent:mime-version:in-reply-to:content-transfer-encoding :content-language; bh=wXPmB3Y84k6jDy+97/oxOakmBdi7TQcv3xAdyJbCksM=; b=TX3HzvnEEQMg7Bw/sEzeAeMsb01g3TIv4dQZkRR/9AxWL7ZdNIpWYXsRhuCWJomeW1 TTerbd9zM4WFg3RYmVe1SfCRQzW8RfsyFaOm1SV7oMui92mNcbaGDG98ko8ShYZXna4w cwTb0m9bcrmgsv3ftdbSdrriZM/k27GyutKvpEVHZO4E29CO9KpDic3c6rOeXJ1wbG5G qchF+JmxteUxGJFsgQndJPZe8kaESWSDWQSBZD3kKECeRXen9c+4gBy9T5ov7l3lGecZ iw0+FgrdXRTwVk8HU6/Y+l5VTzolbsGYolcmJziI8qmOlD21DfgguLYg2GbsV9V6PBCT qLJA== X-Gm-Message-State: APjAAAXNs5Lu9aqjNB62OygEboCW5vkWqfaAGHNmMNB046l2KYrl9sSu vc9HxhJjrv/LQHmJjQPcH3g795dk X-Google-Smtp-Source: APXvYqyBP9eLvHR8nRRtaHZbA5t7e+aTZuG+/U7CHArTCtjosM5VDQv+h/QFENZxV4wDUxgSPRXcwQ== X-Received: by 2002:a2e:9655:: with SMTP id z21mr7770923ljh.60.1555859652230; Sun, 21 Apr 2019 08:14:12 -0700 (PDT) To: devel@lists.altlinux.org References: <14819751.9XZiaY4MFd@ztation.smnr> <20190421083903.GB26729@altlinux.org> <20190421163703.382130cf2faca0aad8c98fb6@altlinux.org> <20190421135050.GF5450@imap.altlinux.org> <20190421170740.57bec26a6c44b7d76689da4d@altlinux.org> From: Leonid Krivoshein Message-ID: Date: Sun, 21 Apr 2019 18:11:56 +0300 User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:52.0) Gecko/20100101 Thunderbird/52.8.0 MIME-Version: 1.0 In-Reply-To: <20190421170740.57bec26a6c44b7d76689da4d@altlinux.org> Content-Type: text/plain; charset=koi8-r; format=flowed Content-Transfer-Encoding: 8bit Content-Language: ru Subject: Re: [devel] ALT 8.3 Workstation K RC4 20190419 X-BeenThere: devel@lists.altlinux.org X-Mailman-Version: 2.1.12 Precedence: list Reply-To: ALT Linux Team development discussions List-Id: ALT Linux Team development discussions List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Sun, 21 Apr 2019 15:14:15 -0000 Archived-At: List-Archive: List-Post: 21.04.2019 17:07, Andrey Savchenko пишет: > On Sun, 21 Apr 2019 16:50:50 +0300 Michael Shigorin wrote: >> On Sun, Apr 21, 2019 at 04:37:03PM +0300, Andrey Savchenko wrote: >>>>> > Добавлено: - Сервис rngd, включенный по умолчанию. >>>>> Не надо его включать по умолчанию... >>>> А что надо, не расскажешь ? Интересно же. >>> Нужно не включать. >> Хорошо бы пояснять для чайников вроде zerg@, rider@ и меня. > Мы это уже несколько раз обсуждали на devel или rebase Когда я вижу, как один коллега пол дня генерирует энтропию руками на клавиатуре, другой паяет генератор для USB-порта, третий испытывает качество этого изделия, а все мои виртуалки ждут решительных действий уже сейчас и решение проблемы нужно уже вчера, вкорячил haveged и в ус не дую. :-) Да, не так безопасно, но хотя бы можно работать. А SSH-ключи -- да, лучше генерировать после исталляции или развёртывания, всегда так делаю, вот только энтропийный голод наступает на машинах с быстрым стартом графического сеанса отнюдь не из-за openssh. Таки давайте считать сие массовым и очень напрягающим багом и сколько бы мы его не обсуждали, он должен быть закрыт. Ну и, к слову, rngd, в отличии от haveged, берёт энтропию из всё же существующего аппаратного источника. Деталей не знаю, вроде TPM 1.0 и тот, что в CPU, к которым не у всех есть доверие. >>> Данный RC4, очевидно, нельзя применять на настройках по >>> умолчанию ни для каких задач, где необходима криптография, >>> в т.ч. для подписывания писем, тегов git и работы по ssh. >> Это почти не пояснение, хотя я вот заподозрил плохое качество >> (псевдо)случайных чисел, которые эта подпорка под systemd (так?) >> лепит в пул. > Да, дело в ненадлежащем качестве источника энтропии, что ставит под > удар все сгенерированные в такой системе ключи, в т.ч. сессионные. > -- Best regards, Leonid Krivoshein.