Ускорение генерации ключей DNSSEC
Я перестраиваю некоторые DNS-серверы, и хоть убей, я не могу вспомнить, что я установил, что резко ускоряет процесс dnssec-keygen.
Кто-нибудь знает, что это могло быть, или способ, которым я мог бы узнать в текущем ящике?
dnssec-keygen -a RSASHA256 -b 2048 -n ZONE ......
dnssec-keygen -f KSK -a RSASHA256 -b 4096 -n ZONE .....
dnssec-signzone -A -3 $(head -c 1000 /dev/random | sha1sum | cut -b 1-16) -N INCREMENT -o ..... -t .....
Было бы полезно, если бы вы показали нам именно , что вы делаете. Но предположим, вы используете -r / dev / random для своей энтропии, которая блокируется, когда пул пуст, и это обычно очень быстро происходит на серверах без KVM. Вы можете присоединить аппаратный источник энтропии , вы можете использовать / dev / urandom , или вы можете сгенерировать ключи на настольном компьютере (что позволяет вам обеспечить гораздо более глубокий пул энтропии ), затем скопируйте их.
@Tsukasa: Я знаю, что это должен быть комментарий, но у меня нет 50 репутации, поэтому я не могу комментировать. В любом случае, ваше предлагаемое решение является рекомендуемым и является решением, которое я использовал много раз как на Fedora 27, так и на Fedora 29, для чего код должен быть:
yum install haveged
systemctl restart haveged
systemctl enable haveged
Вышеуказанное обеспечит установку, запуск и автоматический запуск hasged после любой перезагрузки системы ... и, да (для странного педанта, который хочет пометить меня за то, что у него есть соблазн сослаться на другой дистрибутив), я знаю, что дистрибутив ОП - это Ubuntu; но дело в том, что haveged является решением и что его можно дополнительно использовать и на Fedora / RHEL, тем самым помогая другим людям с подобной проблемой, которые, возможно, не используют Ubuntu.
.