Сломанный Haveged в Debian

Иногда в системе не хватает энтропии. Например, если это нагруженный сервер, на который часто ходят по HTTPS / SSH и прочим TLS-протоколам. Чтобы софт не тупил при очередной попытке подключения, собирая эту самую энтропию, придумывают всякие костыли. Начиная от установки звуковой карты, заканчивая хитрозадыми алгоритмами сбора и генерации белого шума в userspace. Один из таких называется havege.

В Debian есть демон под названием haveged, но "из коробки" он не запускается по причине слишком жёстких ограничений в systemd. Из дистрибутива идёт вот так:

SystemCallFilter=@basic-io @file-system @io-event @network-io @signal
SystemCallFilter=arch_prctl brk ioctl mprotect sysinfo

А чтобы работало, надо вот так:

SystemCallFilter=@system-service
SystemCallFilter=~@mount

Для меня немного диковато, что мантейнеры и QA-отдел Debian-а недоглядели. Наверное, мало кто пользуется или обращает внимание. Но вот факт.

Проверить, что энтропии в системе хватает, можно при помощи софта из пакета "rng-tools5".

cat /dev/random | rngtest -c 1000

В выхлопе количество сбоев (failures) не должно быть большим (один-два).

Еще можно на всякий случай глянуть вот сюда.

cat /proc/sys/kernel/random/entropy_avail

Полученное число должно быть достаточно большим.