Giriş yaptığımda crng init bitene kadar kilitleniyor


22

Debian Kararsız çalıştıran dizüstü bilgisayarımda LightDM ile giriş yaptığımda journalctl, mesaj görünene kadar yaklaşık 2 dakika beklemeye başladı kernel: random: crng init done. Asılırken klavyemdeki rastgele tuşlara bastığımda, daha hızlı (yaklaşık 10 saniye) oturum açar. Bu sorunu yaşamadan önce çözebilmemin bir yolu var mı?

Düzenleme: işler linux-image-4.15.0-3-amd64yerine kullanarak linux-image-4.16.0-1-amd64, ancak eski bir çekirdek kullanmak istemiyorum.


1
Bir şey entropi havuzunu yiyor gibi görünüyor.
Kusalananda

1
systemd-journaldCSPRNG'nin tohumlanması konusu ve bunun (talep edilen) ihtiyacı son zamanlarda çeşitli tartışmalarda ortaya çıkmıştır. Bkz. Lists.freedesktop.org/archives/systemd-devel/2018-Mayıs /… .
JdeBP

1
sudo apt install haveged sudo systemctl enable haveged
virusmxa

Yanıtlar:


15

Kullanılabilir yetersiz entropi (rasgelelik) nedeniyle çekirdekten rastgele veri (örn. Okuma /dev/urandomveya arama getrandom()) elde etmeye çalışırken sistem bloklarınızın bazı bileşenlerine benziyor .

Sorunun neden belirli bir çekirdek sürümüne veya sisteminizdeki hangi bileşenin gerçekten engellediğine, ancak temel nedene bakılmaksızın,

Gerçekten de, onun içinde Bigon tarafından sivri out gibi cevap , bir çekirdek hata 4.16 tanıtılan gibi görünmektedir:

Bu hata, bu işlemdeki "crng_init> 0" ile "crng_init> 1" değişikliğiyle tanıtılır: https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/ ? id = 43838a23a05fbd13e47d750d3dfd77001536dd33

Bu değişiklik yanlışlıkla urandom_read'i etkiler ve crng_init == 1 durumunun başlatılmamış olarak ele alınmasına ve urandomun önyükleme sırasında özel olarak mevcut olmayan bu duruma rağmen engellenmesine neden olur : https://git.kernel.org/pub /scm/linux/kernel/git/torvalds/linux.git/tree/drivers/char/random.c#n1863

43838a23a05f ("rasgele: düzeltme crng_ready () testi") geri döndürülmesi hatayı düzeltir (4.16.5-1 ile test edilmiştir), ancak bu güvenlik sorunlarına neden olabilir (43838a23a05f'de CVE-2018-1108 belirtilmiştir). Yukarı akış için daha lezzetli olması gereken daha yerel bir düzeltmeyi test ediyorum.

( https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=897572#82 )

... Yine de, havegedveya rng-toolsdaha hızlı entropi toplamak için kullanmayı deneyebilirsiniz .


4
İçinde gibi görünüyor Linux 4.16.4 CRNG ile ilgili bazı şeyler çünkü CVE-2018-1108 arasında değişti. rng-toolsIntel Celeron N2840, AES-NI'yi desteklemediğinden yerleşik bir TRNG'ye sahip olmadığından dizüstü bilgisayarımda çalışmıyor.
wb9688

3
Son yükleme rng-toolsrng-tools5
debian'den

@Bigon TBH Debian'daki paketler hakkında hiçbir şey bilmiyorum; Kullanmıyorum. Bu genel tavsiye, Debian'a özgü değildir.
intelfx

1
Ubuntu 18.04 (biyonik) ile onaylandı. dropbear-initramfsUzaktan benim disk yükleme ve kilidini sonra bu sorun vardı cryptroot-unlock. Her apt install rng-toolsşeyi sihirli bir şekilde çalışır hale getirir. Teşekkür ederim!
ücretli bir inek

Kurulum havegedbenim için çalıştı. Gerçek Rasgele Sayı Üreticisi olmayan eski bir Intel Core 2 Duo'm var.
Balau

7

Çekirdekteki bir değişiklik (hata?), Bkz: https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=897572

Kurulumun hafifletilmesi rng-tools5yardımcı görünüyor. Bu paketin yüklenmesinin güçlü şifreleme anahtarı üretimi üzerinde bir etkisi olup olmadığını bilmiyorum.

Düzenleme: Görünüşe göre util-linux 2.32 güncelleme sorunu çözmelidir


Hayır, util-linux 2.32 sorunu benim için çözmez.
vinc17

5

Farklı çekirdeklerde olabilen bir çekirdek hatası.

Koşu apt-get install rng-toolsolarak suterminalde çalışmalıdır.


Terminalde su olarak apt-get install rng-tools'ı çalıştırmak linux kutumdaki sorunu çözdü.
Giovanni Cannizzaro

2

rng-toolsyalnızca sisteminizde intel'in " Güvenli Anahtarı " gibi rasgele sayılar için donanım desteği varsa yardımcı olur . Bu şekilde Ivy Bridge ile icat edildi . 1037u işlemcili sistemlerim (sarmaşık köprüsüne dayalı) bu donanım desteğine sahip değil . Bu nedenle rng-toolsyardım etmeyin.

Burada başka bir sistemde kumlu bir köprü i3 işlemci ile rng-toolsyardımcı olun. rngdServis entropi kuyruğunu doldurmak amacıyla, çok erken önyükleme sürecinde başlatılmalıdır. Bu Ubuntu ile önyükleme sırasında durumdur, bunun diğer dağıtımlar için doğru olup olmadığını bilmiyorum, ancak başlangıcı rngdsyslog'da oturum açtığından öğrenebilirsiniz .


1
Bu tamamen doğru değil. Bu şekilde çalıştırmamanız tavsiye edilirse de , rngd -f -r /dev/urandompompalamak için koşabilirsiniz, bir seçenektir ../dev/urandom/dev/random
slm

2

Takas bölümünü sildikten sonra da olabilir

Daha önce asılı kalmak kernel: random: crng init done, takas bölümünü sildikten sonra da olabilir.

Bir takas bölümü silinirse, yapılandırma dosyası /etc/initramfs-tools/conf.d/resume tamamen boş veya okunmuş olmalıdır RESUME=. Herhangi bir UUID numarasını silin. RESUME=NONEgeçerli değil.

$ sudo vim /etc/initramfs-tools/conf.d/resume

İlk RAM dosya sistemi, bu değişikliklerin geçerli olması için güncellenmesini gerektirir:

$ sudo update-initramfs -u

1

Benim durumumda, 4.19.0-4-amd64Proxmox VE üzerinde Debian Buster (çekirdek ) VM çalıştırıyordum.

Çözüm, VM'ye bir VirtIO RNG cihazı eklemekti . Proxmox'ta bu, VM yapılandırma dosyası düzenlenerek yapılır .

Benim durumumda, /etc/pve/qemu-server/110.confaşağıdaki satırı düzenledim ve ekledim:

args: -device virtio-rng-pci

Hiçbir Kullanıcı araçları, (örn rng-toolsya haveged) ihtiyaç vardı.

Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.