Firecracker Entropy for VM Clones
a year ago
- #Linux RNG
- #Security
- #VM Cloning
- Linux内核提供三个主要的随机数生成器接口:/dev/random、/dev/urandom和getrandom系统调用。
- 来自同一快照的虚拟机克隆可能存在随机数生成器状态陈旧问题,需要重新初始化。
- 当存在CPU硬件随机数生成器时,其输出会被混入熵池以增强随机性。
- VMGenID用于向客户机通知时间跳变事件,确保恢复后生成不同的随机数状态。
- Firecracker支持VMGenID,但ARM系统需要向后移植内核修改才能获得完整功能。
- 建议措施包括删除random-seed文件、使用virtio-rng设备以及调用特定ioctl进行重新播种。
- 提供了一个C语言程序来处理客户机内核中的随机数生成器重新初始化步骤。