vServer ohne Entropy

HornOx

HornOx

Registered User
Exim4 erzeugt bei mir seit ein paar Tagen bei allen Verbindungen die TLS verwenden einen Timeout. Nach kurzer Google Suche hab ich diese Seite gefunden die mein Problem recht gut beschreibt: http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=285371
Ein kurzer Test bestätigte das eigentliche Problem:
Code: 
devmode:~# cat /proc/sys/kernel/random/entropy_avail
0
devmode:~# dd if=/dev/random of=test count=1
# nach angemessener  Wartezeit und Abruch mit CTRL+C:
0+0 records in
0+0 records out
0 bytes transferred in 26.197442 seconds (0 bytes/sec)
/dev/random gibt also nichtmal ein einziges zufälliges Byte zurück

Abgesehn von Exim mit TLS sind alle Programme betroffen die Daten von /dev/random lesen wollen, z.b. mod_digest von Apache.

Der S4Y Support hat gesagt das das Problem bekannt sei und daran gearbeitet wird. Als Notlösung soll man /dev/random mit /dev/urandom ersetzten, geht soweit ich weiß so:
Code: 
  #alles außer sshd beenden
  rm /dev/random
  mknod /dev/random c 1 9
  #alles wieder starten
#und so mach man das wieder rückgänig:
  #alles außer sshd beenden
  rm /dev/random
  mknod /dev/random c 1 8
  #alles wieder starten

Ich veröffentliche das hier weil vermutlich alle S4Y Kunden sich mit mir ein Hostsystem teilen das gleiche Problem haben und z.b. das da auch davon verursacht seien könnte.
 
Last edited by a moderator:
Hi,

das ist ein Bug im MAKEDEV Paket von Debian. Beim aktualisieren von MAKEDEV, ist Debian der Meinung, alles was in /dev nicht aussieht wie beim Paketmaintainer auf der lokalen Platte, wird das dahingehend geaendert. :) Da bei Virtuozzo in der Standard Debianinstallation /dev/random ein Symlink auf /dev/urandom ist, tritt das Problem natuerlich nachdem updaten auf.

1.) rm /dev/random
2.) ln -s /dev/urandom /dev/random

Das ist alles. Wenn ich mal Zeit hab mach ich einen Bug Report dafuer, weil es ist definitiv nicht korrekt, wenn ein Paket ploetzlich mein /dev umbiegen will, nur weil es sinnvollerweise angepasst wurde. Erinnert mich an meinen letzten Exim Bug Report und Fix. :)
 
Warum schreibt ihr sowas nicht in die FAQ :confused: Die Vorraussetzungen(Debian, apt-get, apache mit mod_migest oder Exim mit TLS) das man damit Probleme sollten IMHO recht häufig erfüllt sein.

Ist es keine Sicherheitsschwachstelle wenn man bei asyncroner Verschlüsselung(tls, https, ssh) nur pseudozufällige Zahlen aus /dev/urandom nimmt?
 
Hi,

weil wir nicht wissen, wann bei Debian ein Bug in der Zukunft auftaucht? :) Das Template wurde im August mit einem heilen MAKEDEV gebaut, wenn das im November von den Debianern geaendert wird, sagen die Leute uns ja auch nicht bescheid: "Hey wir haben MAKEDEV geaendert, koennte eventuell bei euch net mehr laufen." :)

Fuer sowas gaebe es theoretisch eine zentrale Mailingliste, ist aber leider nicht meine Entscheidung soetwas anzubieten oder nicht. :)
 
weil wir nicht wissen, wann bei Debian ein Bug in der Zukunft auftaucht? :)
Click to expand...
Aber jetzt kennt ihr den Bug und die Lösung, es gibt weitere "Opfer" aber in den S4Y vServern FAQs ist immernoch nichts zu finden :(
Fuer sowas gaebe es theoretisch eine zentrale Mailingliste, ist aber leider nicht meine Entscheidung soetwas anzubieten oder nicht. :)
Click to expand...
Kannst du mir die eMailaddresse von einem geben der sowas entscheiden kann? Vor kurzem wurde ich von S4Y zu einer Umfrage aufgefordert, S4Y scheint also prinzipell an der Meinung der Bestandskunden interessiert zu sein :)
 
You must log in or register to reply here.
Back
Top