Як дізнатись, коли ключ ентропії перевантажений?

10

У мене є кілька кнопок ентропії з egd перед ними, і тоді все навантаження збалансоване гапроксі. Тоді у мене є багато клієнтських машин, які використовують IP-сервіс haproxy як мережеве джерело ентропії. Я поняття не маю, скільки ентропії вони вимагають.

Ентропійні ключі можуть створювати обмежену кількість корисної ентропії. Технічні характеристики кажуть про мінімум 30 кілобіт / сек. Наскільки я можу бачити, ключ ентропії не має можливості запитувати, скільки саме його запитують. Протокол EGD здається досить важким нюхати, щоб знайти цю інформацію. Клієнти можуть запитувати змінну кількість ентропії, і вони можуть не отримати ту саму суму.

Хтось знайшов простий спосіб оцінити, скільки запитується від ключа ентропії?

Було б добре знати, щоб можна було планувати, коли потрібні додаткові ключі, та помітити клієнтів з мережею.

linux entropy-pool

— грифферц
джерело

Що таке ключ ентропії? Це апаратний RNG?

— Хуберт Каріо

@HubertKario Так . Його виробляє Simtec Electronics у Великобританії.

— Джеймс О'Горман

4

Єдині дві речі, які спадають на думку, - це намагатися виміряти час відгуку вашого сервера ентропії (має бути значне збільшення затримки, якщо він не може продовжувати) або об'єднання /proc/sys/kernel/random/entropy_availта моніторинг кількості ентропії у вас (я припускаю що egdвикористовує, /dev/randomа не обладнання безпосередньо.

— Хуберт Каріо
джерело

ekeyd-egd-linux має прямий доступ до обладнання (а AFAIK може працювати лише таким чином). На жаль, я не маю доступу до багатьох клієнтів, тому не можу сказати, скільки з них не отримують запиту на запит ентропії. Я думаю, що я повинен мати можливість запитувати деяку ентропію безпосередньо з окремого ключа та перевірити, скільки часу потрібно для його надання, як ви пропонуєте. Це повинно дати мені деяку підказку щодо того, чи принаймні вона перевантажена.

— grifferz

2

Схоже, джерело ekeydtarball для має плагін munin для надання статистики ekey.

Навіть якщо ви не працюєте з munin, я думаю, можна було б екстраполювати сценарій у щось корисне для вашої інфраструктури.

Я думаю, що ми обидва знаємо авторів пристрою та програмного забезпечення, тому, можливо, варто їх продати. :-)

— Джеймс О'Горман
джерело

AFAIK це лише викриває те, що ви можете отримати, від ekeydctl statsчого simtec вже підтвердив, не скаже мені, що мені потрібно знати - я вже запитав їх. :( Мені було просто цікаво, що робили інші.

— grifferz

0

Спробуйте:

dd if=/dev/random of=/dev/null bs=1K count=1M

Коли він закінчиться, ddповідомить пропускну здатність читання, тож ви дізнаєтесь кількість наданої ентропії. Ви можете запустити його на сервері (відключений від його клієнтів) для вимірювання виробництва ентропії, а в клієнтах - для вимірювання того, скільки вони отримують.

Убиваючи запущений ddпроцес SIGUSR1сигналом, він доручить йому звітувати про свою статистику вводу-виводу, тому не потрібно чекати завершення (див. man dd).

Також клієнти повинні виявити збільшення споживання пропускної здатності для завантаження через ентропію, яку читають із сервера (наприклад: nethogsплюс netstat).

— Лухостеїн
джерело