可以防止程序启动时的熵消耗吗？

我将Knoppix（或其他Live CD / DVD）用作创建有价值的加密密钥的安全环境。不幸的是，在这样的环境中，熵是有限的资源。我只是注意到，每个程序启动都消耗一些熵。这似乎是由于某些堆栈保护功能需要地址随机化所致。

不错的功能，但在我的情况下完全没用，而且更糟。是否有可能禁用此功能？我希望有一个允许我继续使用原始的Knoppix（或任何其他形式）图像，并且只需要在运行时进行一些配置的图像。

我读到这是glibc引起的。我很惊讶，strace -p $PID -f -e trace=open当我启动程序时，反对bash不会显示对/ dev / random的任何访问。但是我不熟悉execve（）和链接程序的交互。

linux kernel security

— Hauke Laging
source

您总是可以投资购买硬件加密卡。

— jordanm

“完全没用” =实际上是现代操作系统通用的安全功能。内核会执行此操作，因此没有要跟踪的用户空间->系统调用。

— goldilocks

ASLR呼叫get_random_int。get_random_int已经改变了几次，但我认为熵不会减少。您在哪个内核版本上注意到这一点？什么建筑？编译内核了CONFIG_ARCH_RANDOM吗？

— 吉尔斯

顺便说一下，Linux的/dev/random熵拜物教被放错了地方。如果系统中有足够的熵，/dev/urandom则可以生成密钥，并且不会消耗熵。

— 吉尔（Gilles）'所以

@goldilocks当您引用以下内容时，请说实话：“ [...]在我的情况中完全没有用处。”

— Hauke Laging

如果这确实是由于地址随机化（ASLR与程序的加载位置有关，请参见此处：http : //en.wikipedia.org/wiki/Address_space_layout_randomization），则可以通过norandmaps在启动时将其传递给内核来禁用它选项（请参见此处：http : //www.linuxtopia.org/online_books/linux_kernel/kernel_configuration/re30.html）。

— 弗雷德里克·杜威特
source

这个内核参数确实解决了这个问题。

— Hauke Laging 2013年