怎么检查haveged是否安装,启动

怎么检查haveged是否安装,启动,第1张

Windows: 1、右键“电脑”-->管理-->服务 排序找找是否存在mysql名字的服务 2、运行--services.msc 排序查找 3、任务栏右键--任务管理器--服务

CentOS 7系统中安装好openjdk和Tomcat后,启动过程很慢,长达数分钟,日志如下:

tomcat启动耗时278084ms折合278秒,对于刚刚安装的干净tomcat,这肯定是不对劲的。

其中有一条日志引起了笔者的注意:

显然tomcat执行到这里时出问题了,google了一下,经过一番搜索明白了其中的缘由。

在tomcat官方wiki文档的 HowToFasterStartUp 章节中,Entropy Source部分有一段这样的说明:

从这里我们得知Tocmat的Session ID是通过SHA1PRNG算法计算得到的,计算Session ID的时候必须有一个密钥,为了提高安全性Tomcat在启动的时候会通过随机生成一个密钥,它强依赖于获取熵池中的随机数来进行创建。

那么什么是 /dev/random ?什么是 熵池

/dev/random

从维基百科得知,在UNIX *** 作系统(包括类UNIX系统)中, /dev/random 是一个特殊的设备文件,可以用作随机数生成器或伪随机数生成器。

Linux内核中的是第一个以 背景噪声 产生真正的随机数产生的实现,它允许程序访问来自设备驱动程序或其它来源的背景噪声。

Linux上有两个通用的随机设备: /dev/random 和 /dev/urandom 。其中 /dev/random 的随机性最好,因为它是一个阻塞的设备。而 /dev/random 的一个副本是 /dev/urandom (“unblocked”,非阻塞的随机数生成器),它会重复使用熵池中的数据以产生伪随机数据。这表示对 /dev/urandom 的读取 *** 作不会产生阻塞,但其输出的熵可能小于 /dev/random 的。所以它可以作为生成较低强度密码的伪随机数生成器,不建议用于生成高强度长期密码。

熵池

熵池本质上是若干字节, /proc/sys/kernel/random/entropy_avail 中存储了熵池现在的大小, /proc/sys/kernel/random/poolsize 是熵池的最大容量,单位都是bit。如果 entropy_avail 的值小于要产生的随机数bit数,那么 /dev/random 就会堵塞。

为什么熵池不够用?

熵池实际上是从各种noice source中获取数据,noice source可能是键盘事件、鼠标事件、设备时钟中等。linux内核从2.4升级到2.6时,处于安全性的考虑,废弃了一些source。source减少了,熵池补给的速度当然也变慢,进而不够用。

其实,通过消耗熵池,可以构造DDOS攻击。原理很简单,熵池空了,依赖随机数的业务(SSL,加密等)就不能正常进行。

通过以上信息,笔者得知该问题是由于熵池不足导致的。 怎么解决?

使用非阻塞性的生成器 /dev/urandom 代替 /dev/random 。

1、可在JVM环境中配置

通过配置发生器指定熵收集守护进程

修改 $JAVA_PATH/jre/lib/security/java.security 中参数 securerandom.source 为:

2、也可在Tomcat环境中配置

通过配置JRE使用非阻塞的Entropy Source获取熵

在 $TOMCAT_HOME/bin/catalina.sh 中加入:

这个系统属性egd表示熵收集守护进程(entropy gathering daemon)。

1、[硬件随机数生成器]安装并使用rng-tools作为额外的熵随机数生成器(推荐)

cat /dev/random 命令会消耗熵池, rngd 守护进程会补充熵池,可使用如下命令来测试随机数生成的情况:

2、[软件随机数生成器]在rng-tools仍不满足的情况下,可使用haveged作为额外的熵随机数生成器

要检查是否需要 Haveged,可使用下面命令查看当前收集到的熵:

如果结果比较低 (<1000),建议安装 haveged,否则加密程序会处于等待状态,直到系统有足够的熵。

安装 haveged 之后,可以再次查看系统熵看下有无提升。

因为方法一存在一定的不安全性,且需要对环境进行配置,为了满足熵的需要,这里笔者选择了第二种方法,使用rng-tools作为额外的熵随机数生成器,同以上 *** 作后顺利解决了问题。

*** 作后重启tomcat日志如下,启动速度快了两个数量级:

参考文档:

https://stackoverflow.com/questions/40383430/tomcat-takes-too-much-time-to-start-java-securerandom

https://bugs.java.com/bugdatabase/view_bug.do?bug_id=6202721

http://openjdk.java.net/jeps/123

https://zh.wikipedia.org/zh-hans//dev/random

https://wiki.apache.org/tomcat/HowTo/FasterStartUp

https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/6/html/security_guide/sect-security_guide-encryption-using_the_random_number_generator

https://wiki.archlinux.org/index.php/Rng-tools

https://wiki.archlinux.org/index.php/Haveged

https://www.digitalocean.com/community/tutorials/how-to-setup-additional-entropy-for-cloud-servers-using-haveged

创建WiFi热点使用的GitHub上一个开源项目:

https://github.com/oblique/create_ap

具体在树莓派上 *** 作为:

#将代码copy到本地,安装

git clone https://github.com/oblique/create_ap

cd create_ap

make install

#安装依赖的库

apt-get install util-Linux procps hostapd iproute2 iw haveged dnsmasq

#创建WiFi热点(GitHub上有多种方式创建,可以查找自己需要的那种)

sudo create_ap wlan0eth0 热点名 密码

#开机启动

#将sudo create_ap wlan0eth0 热点名 密码 添加到/etc/rc.local当

#中,即可开机启动


欢迎分享,转载请注明来源:内存溢出

原文地址: http://outofmemory.cn/yw/7305079.html

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
上一篇 2023-04-04
下一篇 2023-04-04

发表评论

登录后才能评论

评论列表(0条)

保存