сообщение системного журнала при загрузке :неинициализированное случайное чтение

В качестве лучшего (чем pam _уже вошедшего в систему обходного пути, который я предложил выше ), вы также можете использовать собственный сценарий для проверки того, заблокирован ли текущий сеанс, и изменить поведение в зависимости от этого. Для этого вы можете использовать модуль сценария pam _. Например. в вашей конфигурации pam введите что-то вроде:

# Skip regular password checks when there is a current session and it is
# locked. This skips a number of modules from common-auth when
# succesful, so this breaks when extra primary modules are added there,
# but this seems to be the only way (using success=done prevents
# optional post-auth modules from running).
auth [success=2 default=ok] pam_script.so dir=/etc/pam.d/is-current-session-locked     

@include common-auth

auth    required  pam_u2f.so

Тогда,создайте скрипт с именем /etc/pam.d/is-current-session-locked/pam_script_authсо следующим содержимым и сделайте его исполняемым:

#!/bin/sh                                                                                               

if [ -z "$XDG_SESSION_ID" ]; then
        return 1                                                                                        
fi
if ! loginctl show-session "$XDG_SESSION_ID" | grep '^LockedHint=yes$' > /dev/null; then                
        return 1
fi

# Current session is locked, return success
return 0

Этот сценарий проверяет наличие идентификатора сеанса входа в систему, а затем спрашивает loginctl, заблокирован ли сеанс. Это требует, чтобы среда рабочего стола сообщала logind, когда он блокирует рабочий стол, но похоже, что Gnome делает это (, по крайней мере, на Ubuntu Disco ).

4
24.10.2021, 05:49
1 ответ

Ваш диагноз верен :попытка чтения пустого пула энтропии. Это «энтропийное голодание во время загрузки ».

Вы можете либо использовать загрузку systemd -, если у вас есть система EFI, игнорировать предупреждение,(вы используете предсказуемую криптографию, но в большинстве вариантов использования это все же лучше чем вообще не использовать криптографию ), или попробовать кредитовать энтропию из альтернативных источников -, если они доступны -, добавив это в командную строку ядра

rng _core.default _качество=X

(начните с X=1000 и спуститесь оттуда ).

Существуют и другие методы сбора энтропии; SOC может иметь несколько доступных контактов, и существуют модули аппаратных драйверов, которые позволяют собирать с них энтропию. Тогда остается просто подключить подходящие транзисторы -и -, резисторы (или, в некоторых случаях, электретный микрофон )для сбора теплового шума.

С другой стороны, ядра серии 5.4+ имеют более эффективный сбор энтропии, которого может быть достаточно.

3
01.11.2021, 14:49

Теги

Похожие вопросы