alg: drbg: could not allocate DRNG handle for ...
我只在我们创建的虚拟机的引导过程中在控制台上看到这个错误。编辑:2/5/16 - 我在一些裸机装置上也看到了它。(它确实会完全启动。)我认为它与虚拟化硬件和缺少(兼容的)随机数生成器有关。问题是我无法评估严重程度。加密强度是否受到损害?(我什至应该关心这个错误吗?)我该如何解决它?
我们在 CentOS 6.7 下使用 QEMU/KVM。virsh dumpxml 如果您真的认为它会有所帮助,我可以做一个示例系统。我们使用Anaconda 默认密码/密钥大小。(aes-xts-plain64/512)
这是我在linux-crypto 邮件列表中找到的最早的参考资料。不幸的是,这有点超出我的想象。
http://www.mail-archive.com/linux-crypto%40vger.kernel.org/msg10398.html
如果我需要从模板部署 Red Hat 7,我想采取推荐的步骤来使我的“黄金映像”干净。它应该引导到第一个引导提示并引导用户完成典型步骤。
在 Red Hat 5/6 中,我遵循了供应商提供的文档。但是,我找不到 Red Hat 7 的等效项。具体来说,touch /.unconfigured不会触发第一次引导设置。
9.3.1。密封 Linux 虚拟机以作为模板部署
总结
在将 Linux 虚拟机制作成模板之前,对其进行泛化(封装)。这可以防止从模板部署的虚拟机之间发生冲突。程序 9.6。密封 Linux 虚拟机
登录到虚拟机。通过以 root 身份运行以下命令来标记系统以进行重新配置:
# touch /.unconfigured- 删除 ssh 主机密钥。跑:
# rm -rf /etc/ssh/ssh_host_*- 设置
HOSTNAME=localhost.localdomain在/etc/sysconfig/network- 删除 /etc/udev/rules.d/70-*。跑:
# rm -rf /etc/udev/rules.d/70-*- 删除HWADDR=和UUID=行
/etc/sysconfig/network-scripts/ifcfg-eth*。- (可选)删除所有日志
/var/log并从中构建日志/root。- 关闭虚拟机。跑:
# poweroff
编辑:步骤 1 和 7 可以通过sys-unconfig最后运行来组合。或者,看看virt-syspreplibguestfs -tools-c,它可以做更多的事情。
[user@hostname ~]$ virt-sysprep --list-operations
abrt-data * Remove the crash data generated by ABRT
bash-history * Remove the bash history in the guest
blkid-tab * Remove blkid tab in the guest
ca-certificates Remove CA certificates in the guest
crash-data * Remove the crash data generated by kexec-tools
cron-spool * Remove user at-jobs and cron-jobs
delete * Delete specified files or directories
dhcp-client-state * Remove DHCP client leases
dhcp-server-state * Remove DHCP server leases
dovecot-data * Remove Dovecot (mail server) data
firewall-rules Remove the firewall rules
firstboot * Add scripts to run once at next boot
flag-reconfiguration Flag the system for reconfiguration
hostname * Change the hostname of the guest
kerberos-data Remove Kerberos data in the guest
logfiles * Remove many log files from the guest
lvm-uuids * Change LVM2 PV and VG UUIDs
machine-id * Remove the local machine ID
mail-spool * Remove email from the local mail spool directory
net-hostname * Remove HOSTNAME in network interface configuration
net-hwaddr * Remove HWADDR (hard-coded MAC address) configuration
pacct-log * Remove the process accounting log files
package-manager-cache * Remove package manager cache
pam-data * Remove the PAM data in the guest
password * Set root or user password
puppet-data-log * Remove the data and log files of puppet
random-seed * Generate random seed for guest
rhn-systemid * Remove the RHN system ID
rpm-db * Remove host-specific RPM database files
samba-db-log * Remove the database and log files of Samba
script * Run arbitrary scripts against the guest
smolt-uuid * Remove the Smolt hardware UUID
ssh-hostkeys * Remove the SSH host keys in the guest
ssh-userdir * Remove ".ssh" directories in the guest
sssd-db-log * Remove the database and log files of sssd
tmp-files * Remove temporary files
udev-persistent-net * Remove udev persistent net rules
user-account Remove the user accounts in the guest
utmp * Remove the utmp file
yum-uuid * Remove the yum UUID
之前,我问过在 RHEL6 下使用 pam_tally2。我想提出这个问题和答案来记录推荐使用pam_faillock 而不是 pam_tally2来实现相同的功能;
在 Red Hat 6 中临时帐户锁定的推荐策略是什么?
我使用pam_tally2在每个策略 3 次登录失败后锁定帐户,但是,连接用户没有收到指示 pam_tally2 操作的错误。(通过 SSH。)
我希望在第 4 次尝试时看到:
Account locked due to 3 failed logins
required或requisite的组合或文件中的顺序似乎没有帮助。这是在Red Hat 6下,我正在使用/etc/pam.d/password-auth. 锁定确实按预期工作,但用户没有收到上述错误。这会导致很多混乱和沮丧,因为当他们确定使用正确的密码时,他们无法知道身份验证失败的原因。
实施遵循 NSA 的Red Hat Enterprise Linux 5 安全配置指南。(pg.45) 据我了解,PAM 中唯一改变的是 /etc/pam.d/sshd 现在包括 /etc/pam.d/password-auth 而不是 system-auth。
如果您的安全策略要求在多次错误登录尝试后锁定帐户,请实施 pam_tally2.so。
要强制密码锁定,请将以下内容添加到 /etc/pam.d/system-auth。首先,添加到授权行的顶部:
auth required pam_tally2.so deny=5 onerr=fail unlock_time=900其次,添加到帐户行的顶部:
account required pam_tally2.so
编辑:
我在一次登录尝试期间通过重置 pam_tally2 收到错误消息。
user@localhost's password: (bad password)
Permission denied, please try again.
user@localhost's password: (bad password)
Permission denied, please try again.
(从另一个 shell 重置 pam_tally2)
user@localhost's password: (good password)
Account locked due to ...
Account locked due to ...
Last login: ...
[user@localhost ~]$