BEZEICHNUNG
systemd-random-seed.service, systemd-random-seed - Den Systemzufallsstartwert beim Systemstart und Herunterfahren laden und speichernÜBERSICHT
systemd-random-seed.service /usr/lib/systemd/random-seedBESCHREIBUNG
Systemd-random-seed.service ist ein Dienst, der einen Zufallsstartwert in der frühen Systemstartphase von der Platte in den Entropie-Vorrat des Kernels lädt und ihn beim Herunterfahren speichert. Siehe random(4) für Details. Standardmäßig wird keine Entropie gutgeschrieben, wenn der Zufallsstartwert in den Entropie-Vorrat des Kernels geschrieben wird, dies kann aber mit $SYSTEMD_RANDOM_SEED_CREDIT geändert werden, siehe unten. Auf der Platte wird der Zufallsstartwert in /var/lib/systemd/random-seed gespeichert. Beachten Sie, dass dieser Dienst relativ spät während der frühen Systemstartphase läuft, d.h. im Allgemeinen nachdem die Initrd-Phase abgeschlossen wurde und das Dateisystem /var/ eingehängt wurde. Viele Systemdienste benötigen Entropie viel früher als das – dieser Dienst nützt daher komplexen Systemen nur begrenzt. Es wird empfohlen, ein Systemstartprogramm zu verwenden, das einen anfänglichen Zufallsstartwert an den Kernel übergeben kann, um sicherzustellen, dass von der frühsten Systemstartphase an Entropie verfügbar ist, beispielsweise systemd-boot(7) mit seiner Funktionalität bootctl random-seed. Beim Laden des Zufallsstartwertes von der Platte wird die Datei sofort mit einem neuen, beim Kernel abgefragten Zufallsstartwert aktualisiert, um sicherzustellen, dass keine zwei Systemstarts mit dem gleichen Zufallsstartwert agieren. Dieser neue Zufallsstartwert wird synchron vom Kernel abgefragt, was bedeutet, dass der Dienst seine Einrichtung nicht abschließt, bis der Zufallsvorrat komplett initialisiert wurde. Auf Entropie-armen Systemen kann dies eine Weile dauern. Diese Funktionalität ist als Synchronisationspunkt zum Ordnen von Diensten gedacht, die einen initialisierten Entropie-Vorrat benötigen, um sicher zu funktionieren (d.h. Diensten, die auf /dev/urandom ohne weitere Vorkehrungen zugreifen). Bei der Erstellung von Betriebssystemabbildern, die auf mehreren Systemen identisch eingespielt werden sollen, sollte Vorsicht walten gelassen werden: falls die Zufallsstartwertedatei auf jedem System unverändert eingebunden wird, wird jedes System seinen Entropie-Vorrat mit den gleichen Daten initialisieren und daher – falls ansonsten Entropie-arm – die gleiche Gruppe an Zufallszahlen erzeugen, oder zumindest erratbare Zufallsstartwertdatenströme. Als Sicherheitsvorkehrung ist daher das Gutschreiben von Entropie standardmäßig deaktiviert. Es wird empfohlen, den Zufallsstartwert von Betriebssystemabbildern, die identisch auf mehreren Systemen eingesetzt werden sollen, zu entfernen; in diesen Fällen ist es sicher, das Gutschreiben von Entropie zu aktivieren, siehe unten. Siehe auch Sicheres Bauen von Abbildern[1]. Siehe Zufallsstartwerte[2] für weitere Informationen.UMGEBUNGSVARIABLEN
$SYSTEMD_RANDOM_SEED_CREDITStandardmäßig schreibt
systemd-random-seed.service beim Laden des Zufallsstartwertes keine Entropie
gut. Mit dieser Option kann dieses Verhalten geändert werden: sie
erwartet entweder einen logischen Parameter oder die besondere Zeichenkette
»force«. Standardmäßig falsch, wodurch keine
Entropie gutgeschrieben wird. Falls wahr, wird Entropie gutgeschrieben, falls
die Zufallsstartwertedatei und der Systemzustand verschiedene
oberflächliche Konsistensprüfungen erfolgreich absolvieren.
Falls auf »force«, wird die Entropie unabhängig von
diesen Prüfungen gutgeschrieben, solange die Entropiestartwertedatei
existiert.
SIEHE AUCH
systemd(1), random(4), systemd-boot(7), bootctl(4)ANMERKUNGEN
- 1.
- Sicheres Bauen von Abbildern
- 2.
- Zufallsstartwerte
ÜBERSETZUNG
Die deutsche Übersetzung dieser Handbuchseite wurde von Helge Kreutzmann <[email protected]> erstellt. Diese Übersetzung ist Freie Dokumentation; lesen Sie die GNU General Public License Version 3 oder neuer bezüglich der Copyright-Bedingungen. Es wird KEINE HAFTUNG übernommen. Wenn Sie Fehler in der Übersetzung dieser Handbuchseite finden, schicken Sie bitte eine E-Mail an die Mailingliste der Übersetzersystemd 252 |