Scroll to navigation

SYSTEMD-RANDOM-SEED.SERVICE(8) systemd-random-seed.service SYSTEMD-RANDOM-SEED.SERVICE(8)

BEZEICHNUNG

systemd-random-seed.service, systemd-random-seed - Den Betriebssystem-Systemzufallsstartwert beim Systemstart und Herunterfahren laden und speichern

ÜBERSICHT

systemd-random-seed.service

/lib/systemd/systemd-random-seed

BESCHREIBUNG

Systemd-random-seed.service ist ein Dienst, der einen Zufallsstartwert in der frühen Systemstartphase von der Platte in den Entropie-Vorrat des Kernels lädt und ihn beim Herunterfahren speichert. Siehe random(4) für Details. Standardmäßig wird keine Entropie gutgeschrieben, wenn der Zufallsstartwert in den Entropie-Vorrat des Kernels geschrieben wird, dies kann aber mit $SYSTEMD_RANDOM_SEED_CREDIT geändert werden, siehe unten. Auf der Platte wird der Zufallsstartwert in /var/lib/systemd/random-seed gespeichert.

Beachten Sie, dass dieser Dienst relativ spät während der frühen Systemstartphase läuft, d.h. im Allgemeinen nachdem die Initrd-Phase abgeschlossen wurde und das Dateisystem /var/ eingehängt wurde. Viele Systemdienste benötigen Entropie viel früher als das – dieser Dienst nützt daher komplexen Systemen nur begrenzt. Es wird empfohlen, ein Systemstartprogramm zu verwenden, das einen anfänglichen Zufallsstartwert an den Kernel übergeben kann, um sicherzustellen, dass von der frühsten Systemstartphase an Entropie verfügbar ist, beispielsweise systemd-boot(7) mit seiner Funktionalität bootctl random-seed.

Beim Laden des Zufallsstartwertes von der Platte wird die Datei sofort mit einem neuen, beim Kernel abgefragten Zufallsstartwert aktualisiert, um sicherzustellen, dass keine zwei Systemstarts mit dem gleichen Zufallsstartwert agieren. Dieser neue Zufallsstartwert wird synchron vom Kernel abgefragt, was bedeutet, dass der Dienst seine Einrichtung nicht abschließt, bis der Zufallsvorrat komplett initialisiert wurde. Auf Entropie-armen Systemen kann dies eine Weile dauern. Diese Funktionalität ist als Synchronisationspunkt zum Ordnen von Diensten gedacht, die einen initialisierten Entropie-Vorrat benötigen, um sicher zu funktionieren (d.h. Diensten, die auf /dev/urandom ohne weitere Vorkehrungen zugreifen).

Bei der Erstellung von Betriebssystemabbildern, die auf mehreren Systemen identisch eingespielt werden sollen, sollte Vorsicht walten gelassen werden: falls die Zufallsstartwertedatei auf jedem System unverändert eingebunden wird, wird jedes System seinen Entropie-Vorrat mit den gleichen Daten initialisieren und daher – falls ansonsten Entropie-arm – die gleiche Gruppe an Zufallszahlen erzeugen, oder zumindest erratbare Zufallsstartwertdatenströme. Als Sicherheitsvorkehrung ist daher das Gutschreiben von Entropie standardmäßig deaktiviert. Es wird empfohlen, den Zufallsstartwert von Betriebssystemabbildern, die identisch auf mehreren Systemen eingesetzt werden sollen, zu entfernen; in diesen Fällen ist es sicher, das Gutschreiben von Entropie zu aktivieren, siehe unten. Siehe auch Sicheres Bauen von Abbildern[1].

Siehe Zufallsstartwerte[2] für weitere Informationen.

UMGEBUNGSVARIABLEN

$SYSTEMD_RANDOM_SEED_CREDIT

Standardmäßig schreibt systemd-random-seed.service beim Laden des Zufallsstartwertes keine Entropie gut. Mit dieser Option kann dieses Verhalten geändert werden: sie erwartet entweder einen logischen Parameter oder die besondere Zeichenkette »force«. Standardmäßig falsch, wodurch keine Entropie gutgeschrieben wird. Falls wahr, wird Entropie gutgeschrieben, falls die Zufallsstartwertedatei und der Systemzustand verschiedene oberflächliche Konsistensprüfungen erfolgreich absolvieren. Falls auf »force«, wird die Entropie unabhängig von diesen Prüfungen gutgeschrieben, solange die Entropiestartwertedatei existiert.

SIEHE AUCH

systemd(1), random(4), systemd-boot(7), systemd-stub(7), bootctl(4), systemd-boot-random-seed.service(8)

ANMERKUNGEN

1.
Sicheres Bauen von Abbildern
2.
Zufallsstartwerte

ÜBERSETZUNG

Die deutsche Übersetzung dieser Handbuchseite wurde von Helge Kreutzmann <debian@helgefjell.de> erstellt.

Diese Übersetzung ist Freie Dokumentation; lesen Sie die GNU General Public License Version 3 oder neuer bezüglich der Copyright-Bedingungen. Es wird KEINE HAFTUNG übernommen.

Wenn Sie Fehler in der Übersetzung dieser Handbuchseite finden, schicken Sie bitte eine E-Mail an die Mailingliste der Übersetzer.

systemd 254