新安装后CentOS 5上的低熵

Question

最近，我挂载了一个新分区，并将/home和/var/lib/mysql移动到新驱动器，并向它们做了一个符号链接。

现在我注意到熵(使用munin)已经从3000左右下降到100-200左右。数据的装入和移动会导致这种情况吗？

我使用它作为apache well服务器来托管一个面向公共用户的站点，并且我也注意到负载的增加(低熵会导致这种情况吗？)

如果这是个大问题，我想找出解决低熵问题的方法。

我读到，我可以通过使用rng工具和切换到使用urandom来增加熵。人们说，对于安全意识强的系统来说，这不是一个好方法。但是对于一个网络应用程序来说，这还行吗？这会使我的web应用程序(我们使用加密(散列)来处理密码和确认链接等)的安全性降低多少，但我不确定其中有多少属于“安全意识”)。

有什么想法吗？

我使用的是云实例CentOS 5(虚拟机)。

Answer 1

我想说的是，除非您担心有大量资源破坏Linux内核中使用的伪随机算法的坚定和老练的攻击者，否则，urandom可能是可以的。

您会发现，任何与加密相关的内容，包括加密散列(盐类是随机的，即使散列函数本身不涉及随机性本身)，都会耗尽您的熵。另外，虚拟机的熵往往较小，因为熵是从VM不具备或无法安全地从(例如物理鼠标、键盘或时钟)获得的各种事物中获取的。

我也不知道你为什么认为100到200是一个小数目。我认为0-10很小，但请记住池的最大大小(/proc/sys/内核/随机/池大小)可能只有4096。除非你的时间是0，否则你可能不会太快地使用它(你可能已经在不知道的情况下使用了核武器)。据我所知，在熵池为0之前，从/dev/随机读取不会阻塞。

Answer 2

如果你有足够的熵来为你的伪随机数产生器(PRNG)注入种子，那么在大多数情况下，它应该不仅仅是一个足够的源。

使用rng-工具，您可以使用/dev/urandom的熵为/dev/随机提供信息，使用以下方法：

rngd -r /dev/urandom -o /dev/random -f -t 1 

(将-f替换为-b以实现守护；centos没有用于rngd的init脚本，但是您应该能够很容易地修改现有的脚本。)

(其基本原理是/dev/随机(真正的随机)是阻塞的，而/dev/urandom (伪随机)并不是--如果您通常对熵非常低，增加/dev/随机的熵会对性能产生影响。)

您可以通过以下方法验证对熵的影响：

cat /proc/sys/kernel/random/entropy_avail

如果您关注PRNG的“质量”，可以使用以下方法测试其熵：

cat /dev/urandom | rngtest -c 1000

由于您使用的是虚拟服务器，熵通常更难获得(没有鼠标/键盘、声音/视频卡等)。如果您关心来自/dev/urandom的熵的质量，您可以尝试这个定时器熵守护进程，它使用睡眠时间中的不准确来生成熵。