/dev/random 和 /dev/urandom的一点备忘，devurandom

/dev/random 和 /dev/urandom的一点备忘，devurandom

1.  基本介绍　　

　　/dev/random和/dev/urandom是Linux系统中提供的随机伪设备，这两个设备的任务，是提供永不为空的随机字节数据流。很多解密程序与安全应用程序（如SSH Keys,SSL Keys等）需要它们提供的随机数据流。

　　这两个设备的差异在于：/dev/random的random pool依赖于系统中断，因此在系统的中断数不足时，/dev/random设备会一直封锁，尝试读取的进程就会进入等待状态，直到系统的中断数充分够用, /dev/random设备可以保证数据的随机性。/dev/urandom不依赖系统的中断，也就不会造成进程忙等待，但是数据的随机性也不高。

　　使用cat 命令可以读取/dev/random 和/dev/urandom的数据流（二进制数据流,很难阅读），可以用od命令转换为十六进制后查看：

　　

　　

在cat的过程中发现，/dev/random产生的速度比较慢，有时候还会出现较大的停顿，而/dev/urandom的产生速度很快，基本没有任何停顿。

而使用dd命令从这些设备中copy数据流，发现速度差异很大：

从/dev/random中读取1KB的字节流：

　　

从/dev/urandom 中读取1KB的字节流：

　　

通过程序测试也发现：/dev/random设备被读取的越多，它的响应越慢.

使用PHP的加密扩展mcrypt时，mcrypt_create_iv()函数用于从随机源创建初始向量（initialization vector），该函数的签名为：

string mcrypt_create_iv ( int $size [, int $source = MCRYPT_DEV_URANDOM ] )

注意函数的第二个参数$source,在PHP 5.6.0以下的版本中，该参数默认是  MCRYPT_DEV_RANDOM，也就是说，mcrypt_create_iv默认从/dev/random设备获取随机数据源的。这在系统并发数较高时，系统无法提供足够的中断数，会导致访问进程挂起（锁住），从而无法正常响应。

一个简单的测试脚本如下：

1 <?php
2 define("MCRYPT_KEY","x90!-=zo2s");
3 $src = "test";
4 
5 $size = mcrypt_get_iv_size(MCRYPT_BLOWFISH,MCRYPT_MODE_ECB);
6 $iv = mcrypt_create_iv($size);
7 $encrypted = mcrypt_ecb(MCRYPT_BLOWFISH, MCRYPT_KEY, $src, MCRYPT_DECRYPT, $iv);//5.5+已废弃，请使用最新的API测试

我们之前在cat /dev/random的输出时已经发现，输出的随机数据流会出现较大的停顿。在并发数较大时，会造成读取进程的等待甚至无法响应。

幸好，我们可以指定第二个参数为MCRYPT_DEV_URANDOM使其强制使用/dev/urandom设备的随机数据流（PHP 5.6.0+版本中，已经默认使用/dev/urandom作为随机数据源）。

2.   /dev/random和/dev/random的其他用途

　　1.　　这两个伪设备可用于代替mktemp产生随机临时文件名：

cat /dev/urandom |od –x | tr –d  ' '| head –n 1

　　可以产生128位(bit)的临时文件名，具有较高的随机性和安全性。

　　2.　　可以模拟生成SSH-keygen生成的footprint,脚本如下：

 1 #/bin/sh -
 2 cat /dev/urandom |
 3 od -x |
 4 head -n 1|
 5 cut -d ' ' -f 2- |
 6 awk -v ORS=":" 
 7 '{
 8     for(i=1; i<=NF; i++){
 9         if(i == NF){
10             ORS = "\n";
11         }
12         print substr($i,1,2) ":" substr($i,3,2);
13     }
14 }'

对该脚本的简单解释：

　　(1).　　cat /dev/urandom | od -x  | head -n 1 用于从随机设备中读取一行数据流并转换为16进制。该段的输出类似于：

　　　　

　　(2).　　由于第一列实际上是数据的偏移量，并不是随机数据流，再次用cut取出后面的几个字段：cut -d ' ' -f 2-

　　(3).　　利用awk程序输出。ORS是awk的内置变量，指输出记录分割符，默认为\n。

　　脚本的输出结果：

　　

　　对比用ssh-keygen生成的footprint，是不是挺像的？ :D

　　

linux dd命令[用于制作U盘启动盘的神奇的命令]linux dd命令刻录启动U盘详解dd命令做usb启动盘十分方便,只须:sudo
dd if=xxx.iso of=/dev/sdb bs=1M
用以上命令前必须卸载u盘,sdb是你的u盘,bs=1M是块的大小,后面的数值大,写的速度相对块一点,但也不是无限的,我一般选2M,注意,执行命令后很块完成,但u盘还在闪,等不闪了,安全移除。
注意:你的镜像需要支持dd命令。
dd命令的解释。
定义
dd是Linux/UNIX 下的一个非常有用的命令,作用是用指定大小的块拷贝一个文件,并在拷贝的同时进行指定的转换。
参数
1. if=文件名:输入文件名,缺省为标准输入。即指定源文件。< if=input file >
2. of=文件名:输出文件名,缺省为标准输出。即指定目的文件。< of=output file >
3. ibs=bytes:一次读入bytes个字节,即指定一个块大小为bytes个字节。
obs=bytes:一次输出bytes个字节,即指定一个块大小为bytes个字节。
bs=bytes:同时设置读入/输出的块大小为bytes个字节。
4. cbs=bytes:一次转换bytes个字节,即指定转换缓冲区大小。
5. skip=blocks:从输入文件开头跳过blocks个块后再开始复制。
6. seek=blocks:从输出文件开头跳过blocks个块后再开始复制。
注意:通常只用当输出文件是磁盘或磁带时才有效,即备份到磁盘或磁带时才有效。
7. count=blocks:仅拷贝blocks个块,块大小等于ibs指定的字节数。
8. conv=conversion:用指定的参数转换文件。
ascii:转换ebcdic为ascii
ebcdic:转换ascii为ebcdic
ibm:转换ascii为alternate ebcdic
block:把每一行转换为长度为cbs,不足部分用空格填充
unblock:使每一行的长度都为cbs,不足部分用空格填充
lcase:把大写字符转换为小写字符
ucase:把小写字符转换为大写字符
swab:交换输入的每对字节
noerror:出错时不停止
notrunc:不截短输出文件
sync:将每个输入块填充到ibs个字节,不足部分用空(NUL)字符补齐。
编辑本段dd应用实例。
1.将本地的/dev/hdb整盘备份到/dev/hdd
dd if=/dev/hdb of=/dev/hdd
2.将/dev/hdb全盘数据备份到指定路径的image文件
dd if=/dev/hdb of=/root/image
3.将备份文件恢复到指定盘
dd if=/root/image of=/dev/hdb
4.备份/dev/hdb全盘数据,并利用gzip工具进行压缩,保存到指定路径
dd if=/dev/hdb | gzip > /root/image.gz
5.将压缩的备份文件恢复到指定盘
gzip -dc /root/image.gz | dd of=/dev/hdb
6.备份磁盘开始的512个字节大小的MBR信息到指定文件
dd if=/dev/hda of=......余下全文>>