[问题描述]: Anolis23环境,ECS机器,熵池 /proc/sys/kernel/random/entropy_avail一直是256,不会变化, 熵池不变化会对系统的随机数生成能力产生严重影响,进而波及到依赖于这些随机数的各种安全操作和协议,导致安全性降低、性能下降、合规性问题以及潜在的业务风险, 也影响libgcrypt包的RSA算法 [环境信息]: 机器类型:ECS [内核信息]: [root@qibo-anolis23-nightly-func-arm-1 ~]# uname -r 5.10.134-15.an23.x86_64 [操作系统信息]: [root@iZbp1gvq0cxdashepsrbqdZ libgcrypt]# cat /etc/os-release NAME="Anolis OS" VERSION="23" ID="anolis" VERSION_ID="23" PLATFORM_ID="platform:an23" PRETTY_NAME="Anolis OS 23" ANSI_COLOR="0;31" HOME_URL="https://openanolis.cn/" BUG_REPORT_URL="https://bugzilla.openanolis.cn/" [重现步骤]: 1.直接执行cat /proc/sys/kernel/random/entropy_avail 是256 2.默认ECS上已经安装rng-tools(rng-tools-6.16-2.an23.x86_64), 尝试rngd的各种不同方法,如/usr/sbin/rngd -f -r /dev/urandom,cat /proc/sys/kernel/random/entropy_avail一直是256 3.在阿里云的帮助文档看到一篇如何增大entropy_avail,但是也不管用,依然是256:https://help.aliyun.com/noticelist/articleid/13053098.html [问题发生概率]:必现
帮忙确认一下,这个熵值是不是就是固定不让修改了?
这个是 kernel 上游的改动,在 kernel 5.17/5.18 中,引入了一个 patch,其将内部随机数算法从 4096位的 LFSR 替换为了 BLAKE2s 算法,该算法的输出只有 256 位,因此 /proc/sys/kernel/random/entropy_avail 会一致维持 256 的结果,同时影响的参数还有 /proc/sys/kernel/random/poolsize 也会一直是 256 相关信息可以参考:https://lwn.net/Articles/883444/ 因 Anolis OS 23.1 采用了 6.6 内核也包含了该改动,因此该变动是预期中的变动 顺便一提,Anolis OS 8 中的 5.10 内核也集成了该 patch,因此在 8 版本也有同样的效果。 https://gitee.com/anolis/cloud-kernel/commit/de0727c0c44884afde52f4bd097edfbb4f9a7327
预期之内,关闭问题单