Springe zum Inhalt

Nach dem Update von Stretch auf Buster braucht OpenSSH, speziell auf VMs, schon mal gerne mehrere Minuten zum Starten. Grund dafür ist, dass systemd alle Dienste ziemlich parallel startet und für OpenSSH-Verschlüsselungsroutinen einfach noch nicht genug Entropie vorhanden ist. OpenSSH wartet deshalb erst einmal ab und lässt noch keine Verbindungen von außen zu. Erst wenn im Kernel-Log die Meldung "random: crng init done" auftaucht, ist die Initialisierung abgeschlossen und OpenSSH startet komplett.

Probleme beim Systemstart betreffend der noch nicht vohandener Entropie können auch bei Webservern auftreten, die wiederrum SSL-Bibliotheken verwenden und diese ebenfalls noch nicht initialisieren können.

Eine einfache Lösung für diese Probleme ist die Installation von haveged, einem User-Space-Daemon, welcher beim Systemstart Entropie liefert, sobald der "Füllstand" von /dev/random unter eine gewisse Grenze fällt.

Siehe hierzu auch:

5

Bei einer frischen Installation eines Ubuntu 12.04 LTS Servers und nach dem Aktivieren von logcheck (was auf keinem Server fehlen sollte), flatterten immer wieder E-Mails mit folgender Fehlermeldung ins Postfach:

sshd[21743]: error: Could not load host key: /etc/ssh/ssh_host_ecdsa_key

Unter oben angegebener Ubuntu-Version wurde zwar in der Konfigurationsdatei des sshd (/etc/ssh/sshd_config) der Eintrag

HostKey /etc/ssh/ssh_host_ecdsa_key

gesetzt, dieser Key aber nicht unter /etc/ssh/ generiert. Ein

ssh-keygen -t ecdsa -f /etc/ssh/ssh_host_ecdsa_key -N ''

holt das nach und die E-Mails von logcheck enthalten nun zumindest diese Fehlermeldung nicht mehr.