Jak mogę wykryć przypadki wyczerpania entropii?

12

Niedawno po raz pierwszy spotkałem się z wyczerpaną pulą entropii i byłem rozczarowany, gdy dowiedziałem się, że żadne ze zwykłych dzienników systemowych nie było pomocne w wykryciu problemu.

Po zainstalowaniu CUPS na nowej maszynie wirtualnej CentOS 6 próbowałem połączyć się ze stroną administracyjną za pośrednictwem HTTPS. Ta prośba wydawała się zawieszać na czas nieokreślony. Później dowiedziałem się, że CUPS próbuje wygenerować nowy samopodpisany certyfikat SSL w locie i został zablokowany podczas próby odczytu z / dev / random. Dalsze czytanie w Internecie pokazuje, że jest to powszechny problem dla maszyn wirtualnych, ponieważ brakuje im zwykłych źródeł entropii.

Chociaż w moim konkretnym przypadku łatwo było obejść ten problem, jestem teraz paranoikiem, że podobne zdarzenia zubożenia mogą mieć miejsce na innych maszynach wirtualnych w moim klastrze ESXi. Ale ponieważ to zdarzenie nie jest zapisywane w żadnym ze zwykłych plików dziennika, tak naprawdę nie mam możliwości dowiedzieć się, jak powszechny jest problem.

Czy jest jakiś sposób na łatwe monitorowanie dostępności entropii na wszystkich maszynach wirtualnych w dużym klastrze? W szczególności chcę wiedzieć, czy wyczerpanie entropii jest czynnikiem przyczyniającym się do niektórych sporadycznych problemów z wydajnością, które widzieliśmy na niektórych komputerach.

Nic
źródło

Odpowiedzi:

12

Łatwo to sprawdzić za pomocą /procsystemu plików ...

cat /proc/sys/kernel/random/entropy_avail 

Ponadto niektóre narzędzia do monitorowania oraz wykres i ostrzeżenie o dostępnej entropii. Munin jest łatwym przykładem .

wprowadź opis zdjęcia tutaj

ewwhite
źródło
2
Co spowodowałoby duży skok w środku?
Moshe Katz