Jak stwierdzić, kiedy klucz Entropy jest przeciążony?

10

Mam kilka kluczy Entropii z egd przed nimi, a następnie wszystkie obciążenia równoważone przez haproxy. Następnie mam wiele komputerów klienckich używających adresu IP usługi haproxy jako sieciowego źródła entropii. Nie mam pojęcia, ile żądają entropii.

Klucze Entropii mogą wytwarzać ograniczoną ilość użytecznej entropii. Dane techniczne mówią o minimum 30 kilobitach na sekundę. Z tego, co widzę, klucz Entropy nie ma sposobu na sprawdzenie, o ile jest proszony. Protokół EGD wydaje się dość trudny do wąchania w celu znalezienia tych informacji. Klienci mogą żądać zmiennej ilości entropii i mogą nie odzyskać tej samej kwoty.

Czy ktoś znalazł prosty sposób, aby zmierzyć, ile żąda się od klucza Entropy?

Dobrze byłoby wiedzieć, aby móc zaplanować, kiedy wymagane są dodatkowe klucze, i aby zlokalizować klientów Haywire.

Gryf
źródło
Co to jest klucz Entropy? Czy to sprzętowy RNG?
Hubert Kario
@HubertKario Tak . Jest produkowany przez Simtec Electronics w Wielkiej Brytanii.
James O'Gorman

Odpowiedzi:

4

Jedyne dwie rzeczy, które przychodzą mi na myśl, to mierzenie czasu odpowiedzi serwera entropijnego (powinien być znaczny wzrost opóźnienia, jeśli nie może nadążyć) lub łączenie /proc/sys/kernel/random/entropy_availi monitorowanie, ile masz entropii (zakładam który egdużywa, /dev/randoma nie bezpośrednio sprzętu).

Hubert Kario
źródło
ekeyd-egd-linux ma bezpośredni dostęp do sprzętu (a AFAIK może działać tylko w ten sposób). Niestety nie mam dostępu do wielu klientów, więc nie mogę powiedzieć, ilu z nich nie otrzymuje żądanej entropii. Myślę, że powinienem móc poprosić o entropię bezpośrednio z indywidualnego klucza i sprawdzić, ile czasu zajmuje jej dostarczenie, jak sugerujesz. To powinno dać mi wskazówkę, czy przynajmniej jest przeciążona.
grifferz
2

Wygląda na to, że źródłowy plik tar dla ekeydma wtyczkę Munin zapewniającą statystyki ekey.

Nawet jeśli nie korzystasz z Munina, można by ekstrapolować skrypt na coś użytecznego dla twojej infrastruktury.

Myślę, że oboje znamy autorów urządzenia i oprogramowania, więc warto je produkować. :-)

James O'Gorman
źródło
AFAIK to tylko ujawnia to, co można uzyskać z tego, ekeydctl statsco simtec już potwierdził, nie powie mi tego, co muszę wiedzieć - już o nie zapytałem. :( Po prostu zastanawiałem się, co zrobili inni.
grifferz
0

Próbować:

dd if=/dev/random of=/dev/null bs=1K count=1M

Kiedy zakończy się, ddzgłosi przepustowość odczytu, dzięki czemu będziesz znać ilość dostępnej entropii. Możesz uruchomić go na serwerze (odłączonym od jego klientów), aby zmierzyć produkcję entropii, a na klientach, aby zmierzyć, ile otrzymują.

Zabicie uruchomionego ddprocesu SIGUSR1sygnałem instruuje go, aby zgłosił statystyki I / O, więc nie musisz czekać na zakończenie (patrz man dd).

Ponadto klienci powinni ujawnić wzrost zużycia przepustowości pobierania z powodu odczytu entropii z serwera (np .: nethogsplus netstat).

Luchostein
źródło