Вопрос: Почему / dev / urandom доступен только для чтения от root, так как Ubuntu 12.04 и как его «исправить»?


Раньше я работал с шаблонами Ubuntu 10.04 на множестве серверов. С момента перехода на 12.04 у меня проблемы, которые я сейчас изолировал.

Устройство / dev / urandom доступно только для root.

Это вызвало SSL-механизмы, по крайней мере, в PHP, например file_get_contents (https: // ... to fail.

Он также сломал redmine.

После chmod 644 он отлично работает, но при перезагрузке он не остается.

Так что мой вопрос.

  1. почему это? Я не вижу риска для безопасности, потому что ... я имею в виду ... хотите украсть некоторые случайные данные?

  2. Как я могу «исправить» его? Серверы изолированы и используются только одним приложением, поэтому я использую openvz. Я думаю о чем-то вроде скрипта уровня запуска или так ... но как мне это сделать эффективно? Маби с dpkg или apt?

  3. То же самое происходит и vor / dev / shm. в этом случае я полностью понимаю, почему его не доступно, но я предполагаю, что могу «исправить» его так же, как исправить / dev / urandom


10
2018-05-22 10:50


Источник


Что значит ls -l /dev/urandom пока вы не измените разрешения? Вы настроили Любые  /etc/udev/rules.d или /lib/udev/rules.d файлы? - David Schwartz
root@idle:~# ls -l /dev/urandom crw------- 1 root root 1, 9 May 22 14:15 /dev/urandom - Я ничего не установил, это простой девственный сервер, даже обновление apt-get пока не началось. - The Shurrican
документация в частности, указывается, что разрешения должны быть 0644, Вопрос в том, почему они не такие ?! - David Schwartz
FWIW, на моем недавно установленном Precise, / dev / urandom - 0666. Во время установки я выбрал «openssh server» как единственный вариант роли. Возможно, какой-то пакет в вашей настройке делает что-то немым. - cjc
согласен. мои правила udev также говорят, что это должно быть. Я думаю, что это имеет какое-то отношение к виртуализации. - The Shurrican


Ответы:


С чрезмерным чтением от udev вы можете слить случайный пул, что приведет к предсказуемым случайным числам. Вероятно, именно по этой причине / dev / urandom недоступна для чтения для всех. (удалено, потому что Грэм Дональдсон прав)

Если вы все равно хотите изменить разрешение, ознакомьтесь с правилами udev, отвечающими за настройку режимов на / dev / urandom, вместо того, чтобы испортить ваши сценарии инициализации.

В Debian легко найти виновное правило:

$ dpkg -L udev | xargs grep urandom
/lib/udev/rules.d/91-permissions.rules:KERNEL=="urandom", MODE="0666"

В вашем случае MODE определенно не 0666.

Измените его согласно правилам конфигурации udev, если хотите.

Заметка: http://lists.centos.org/pipermail/centos/2009-July/079134.html может помочь с изменением udev.

Вам в основном нужно создать правило с похожим результатом grep, за исключением того, что у него установлен правильный режим, и добавьте его в качестве файла правил в /etc/udev/rules.d/ (помните о возможных отличиях в Ubuntu и Debian !)


3
2018-06-20 15:50



Если / dev / urandom доступен только для чтения, то OpenSSH и программное обеспечение, которое связывается с OpenSSL, GnuTLS и другими библиотеками криптографии, должны либо запускаться с правами root, либо запускаться с правами root, а затем отказываться. Как-то это звучит много хуже. - Gerald Combs
/ dev / urandom не полагается на энтропийный пул. Только чтение из / dev / random приводит к истощению энтропийного пула. - ThatGraemeGuy
Джеральд: sshd начинается с root. Например, для привязки порта 22 и для прихода к зарегистрированному пользователю и т. Д. - asdmin
root @ redmine: ~ # dpkg -L udev | xargs grep urandom /lib/udev/rules.d/50-udev-default.rules:KERNEL=="null|zero|full|random|urandom ", MODE =" 0666 "root @ redmine: ~ # ls -lha / dev / urandom crw ------- 1 корень root 1, 9 июля 2 12:39 / dev / urandom это действительно выглядит как неправильная конфигурация, но ошибка, однако она исправлена ​​в новом шаблоне установки openvz! - The Shurrican
@ThatGraemeGuy Я понимаю, что опаздываю на вечеринку, но это не совсем правильно. /dev/random  блоки когда оценка энтропии низкая, тогда как /dev/urandom продолжает генерировать псевдослучайные числа, даже если оценка энтропии низкая. Тем не менее, вся концепция энтропийного пула как-то «заканчивается случайностью» вводящий в заблуждение и бессмысленный, - Stephen Touset


Что касается того, как вы можете это исправить, временная бандажная помощь будет

cat "chmod 666 /dev/urandom" >> /etc/rc.local

1
2018-05-30 02:20



что я пробовал, но не работал. теперь я добавил команду chmod только к нижней части /etc/rc0.d/S30urandom ..., которая сработала - The Shurrican
Есть некоторые проблемы, которые могут привести к тому, что файл /etc/rc.local не будет правильно загружен на Ubuntu - включая его разрешение (он должен быть отмечен как исполняемый файл). глянь сюда: bugs.launchpad.net/ubuntu/+source/sysvinit/+bug/882254 - michel-slm
выглядел многообещающим, но не помогает. также rc.local, похоже, не выполняется, я пытался написать простой файл в tmp, но это тоже не сработало. разрешения правильные. Я попробовал с выполнением только для root, остальное прочитал, а также 777 ... - The Shurrican
так как решение, скорее всего, будет специфичным для Ubuntu, AskUbuntu, вероятно, является лучшей ставкой на этом этапе. Я блаженно использую systemd, и /etc/rc.d/rc.local работает без сбоев, как это делали в systemV initscripts: / - michel-slm
Обратите внимание, что вы должны отредактировать /etc/rc.local файл. В моем случае (Ubuntu 16.04) файл завершился с выходом 0, поэтому, если вы просто добавите строку, это действительно не сработает. - Alexis Wilke


на самом деле шаблон ubuntu 12.04 openvz теперь открыт, и они также исправили разрешения на uraondm, как на устройстве shm


1
2018-06-20 19:24





Проблема в том, что udevtrigger не запущен. Попробуйте перезагрузить /etc/init.d/udevtrigger restart... и если он решает проблему, как для меня ... затем измените файл /etc/init/udevtrigger.conf:

-     and not-container)
+     )

1
2017-09-12 07:17





В RHEL: добавьте правила безопасности с переопределениями прав в /etc/security/console.perms.d/

должен быть похож на ubuntu


0
2018-06-13 13:32