从Ubuntu 12.04开始，为什么/ dev / urandom仅可由root读取，我如何“修复”它？

我曾经在许多服务器上使用Ubuntu 10.04模板。自从更改为12.04以来，我遇到了一些孤立的问题。

/ dev / urandom设备只能由root用户访问。

至少在PHP中，这导致SSL引擎失败，例如file_get_contents（https：//...。

它也破坏了redmine。

在chmod 644之后，它可以正常工作，但是重新启动后不会消失。

所以我的问题。

1. 为什么是这样？我认为没有安全风险，因为...我的意思是..想窃取一些随机数据吗？

2. 我该如何“修复”它？服务器被隔离并且仅由一个应用程序使用，这就是为什么我使用openvz的原因。我考虑过类似运行级脚本之类的东西...但是如何有效地做到这一点？Maby用dpkg还是apt？

3. / dev / shm也是如此。在这种情况下，我完全理解为什么它不可访问，但是我想我可以用相同的方法“修复”它来修复/ dev / urandom

通过从udev中大量读取，可以耗尽随机池，从而产生可预测的随机数。可能这就是为什么/ dev / urandom无法供所有人阅读的原因。 （已删除，因为Graeme Donaldson是正确的）

如果您仍然想更改权限，请查看负责在/ dev / urandom上设置模式的udev规则，而不要弄乱init脚本。

在Debian下，很容易找到有罪规则：

$ dpkg -L udev | xargs grep urandom
/lib/udev/rules.d/91-permissions.rules:KERNEL=="urandom", MODE="0666"

在您的情况下，MODE绝对不是0666。

如果需要，请根据udev配置规则进行更改。

注意：http : //lists.centos.org/pipermail/centos/2009-July/079134.html可能有助于更改udev。

基本上，您需要创建一个外观类似于grep结果的规则，除了设置了正确的模式外，然后将其作为规则文件添加到/etc/udev/rules.d/中（注意Ubuntu和Debian中可能存在的差异） ！）

至于如何解决它，临时的创可贴将是

cat "chmod 666 /dev/urandom" >> /etc/rc.local

实际上ubuntu 12.04 openvz模板现在是公开的，它们还修复了uraondm和shm设备上的权限

udevtrigger尚未启动的问题。尝试使用/etc/init.d/udevtrigger restart... 重新启动，如果它能解决我的问题，则更改/etc/init/udevtrigger.conf文件：

-     and not-container)
+     )

在RHEL中：在/etc/security/console.perms.d/中添加具有权限覆盖的安全规则。

在ubuntu中必须相似