zoukankan      html  css  js  c++  java

  • Springboot程序启动慢及JVM上的随机数与熵池策略

    问题描述

    线上环境中很容易出现一个java应用启动非常耗时的情况,在日志中可以发现是session引起的随机数问题导致的

    o.a.c.util.SessionIdGeneratorBase        : Creation of SecureRandom instance for session ID generation using [SHA1PRNG] took [170,241] milliseconds.

    分析

    在Springboot程序中有内置的tomcat,在tomcat给的优化文档中,有一项是关于随机数生成时,采用的“熵源”(entropy source)的策略。

    他提到tomcat7的session id的生成主要通过java.security.SecureRandom生成随机数来实现,随机数算法使用的是”SHA1PRNG”

    private String secureRandomAlgorithm = "SHA1PRNG";

    在sun/oracle的jdk里,这个算法的提供者在底层依赖到操作系统提供的随机数据,在linux上,与之相关的是/dev/random和/dev/urandom。区别为:

    /dev/random是阻塞的发生器
    在读取时,/dev/random设备会返回小于熵池噪声总数的随机字节。/dev/random可生成高随机性的公钥或一次性密码本。若熵池空了,对/dev/random的读操作将会被阻塞,直到收集到了足够的环境噪声为止

    而 /dev/urandom 则是一个非阻塞的发生器:
    dev/random的一个副本是/dev/urandom (”unlocked”,非阻塞的随机数发生器),它会重复使用熵池中的数据以产生伪随机数据。这表示对/dev/urandom的读取操作不会产生阻塞,但其输出的熵可能小于/dev/random的。它可以作为生成较低强度密码的伪随机数生成器,不建议用于生成高强度长期密码。

    这也并不是说明/dev/urandom不是做高强度的伪随机数生成器,这个讨论可以看这个讨论:/dev/urandom 不得不说的故事

    解决方法

    方法一

    jre/lib/security/java.security 这个文件里面把

    securerandom.source=file:/dev/random

    改为

    securerandom.source=file:/dev/./urandom

    方法二

    在启动参数中添加以下系统属性

    -Djava.security.egd=file:/dev/./urandom

    这个系统属性egd表示熵收集守护进程(entropy gathering daemon),但这里值为何要在dev和random之间加一个点呢?是因为一个jdk的bug,在这个bug的连接里有人反馈及时对 securerandom.source 设置为 /dev/urandom 它也仍然使用的 /dev/random,有人提供了变通的解决方法,其中一个变通的做法是对securerandom.source设置为 /dev/./urandom 才行

    多说一嘴

    在Docker中如何添加系统参数呢

    首先在build镜像时 要使用ENTRYPOINT 举个例子

    FROM jdk:alpine-security8
WORKDIR /

#解决中文乱码问题
ENV LANG en_US.UTF-8
ENV LANGUAGE en_US:en
ENV LC_ALL en_US.UTF-8

ADD sms-server.jar sms-server.jar
ADD application.properties application.properties
ADD bootstrap.properties bootstrap.properties
ENV TZ=Asia/Shanghai
RUN ln -snf /usr/share/zoneinfo/$TZ /etc/localtime && echo $TZ > /etc/timezone
##使用如下的命令  添加-e JAVA_OPT是不起作用的
#ENTRYPOINT ["java","-jar","sms-server.jar"]
##要使用这条命令才行
ENTRYPOINT java ${JAVA_OPTS} -jar sms-server.jar

    然后在启动命令中添加对应的-e参数就可以了 举个例子

    docker run --name sms-server-security 
## 如下即可
-e JAVA_OPTS='-Djava.security.egd=file:/dev/./urandom' 
-e spring.cloud.nacos.discovery.server-addr=192.169.1.82:8848 
-e spring.cloud.nacos.config.server-addr=192.169.1.82:8848 
-e spring.cloud.nacos.config.ext-config[0].data-id=sms-server-node1.properties 
-p 8070:8090  
-v /opt/sms_server/log:/log 
-v /opt/sms_server/nacos:/root/nacos 
-d 
3a1c93c34756

    参考

    https://hongjiang.info/jvm-random-and-entropy-source/
  • 相关阅读:
    STL杂记
    python实现进度条
    python socket 传输文件
    python实现生产者消费者模型
    python之线程和进程(并发编程)
    进程与线程
    python常用模块二正则表达式
    Python中的库使用之一 PIL
    Vmware中Ubuntu的各种问题
    Python当中的正则表达式支持!
  • 原文地址:https://www.cnblogs.com/songsongsun/p/14188727.html
Copyright © 2011-2022 走看看