Debian Buster - Exim - exim-gencert - Can't load /root/.rnd into RNG

To: Liste Debian <debian-user-french@lists.debian.org>
Subject: Debian Buster - Exim - exim-gencert - Can't load /root/.rnd into RNG
From: G2PC <g2pc@visionduweb.com>
Date: Sun, 7 Jun 2020 16:25:19 +0200
Message-id: <[🔎] 92041ec7-949c-fa83-7542-99842625b241@visionduweb.com>

# Générer un certificat :
sudo bash /usr/share/doc/exim4-base/examples/exim-gencert
[*] Creating a self signed SSL certificate for Exim!
    This may be sufficient to establish encrypted connections but for
    secure identification you need to buy a real certificate!

    Please enter the hostname of your MTA at the Common Name (CN) prompt!

Can't load /root/.rnd into RNG

Source : https://wiki.visionduweb.fr/index.php?title=Installer_un_serveur_mail#G.C3.A9n.C3.A9rer_un_certificat_pour_Exim


# Pour ne plus rencontrer l'erreur "Can't load /root/.rnd into RNG", éditer le script proposé par Exim pour générer le certificat :
sudo nano /usr/share/doc/exim4-base/examples/exim-gencert
# Commenter la ligne suivante pourrait être suffisant ?
RANDFILE = $HOME/.rnd


# Malgré cette erreur rencontrée avec le script de génération de certificat proposé par Exim, une clé privée RSA de 2048 bits sera bien générée.
# Le fichier /root/.rnd n'a pas besoin d'exister initialement car le fichier /usr/share/doc/exim4-base/examples/exim-gencert va le créer puisqu'il n'existe pas.
# Le fichier /root/.rnd existera effectivement par après :
-rw-------  1 root root  1024 juin   6 18:41 .rnd
# Il faudrait remonter ce manque de clarté au projet Exim, pour que le message d'erreur soit moins ambigu : non, le fichier n'existe pas, mais, oui, il va être créé.

# Le système d'exploitation fournit automatiquement ce fichier de hash en utilisant son propre RNG via /dev/urandom ou via des appels système tels que getentropy() ou CryptGenRandom().
# Le fichier .rnd est un résidu du temps où le système d'exploitation manquait d'un bon CSPRNG, peut-être lorsque le Linux /dev/urandom était considéré comme de mauvaise qualité et que /dev/random produisait des données trop lentement en raison de problématiques d'entropie. Ce n'est plus le cas à ce jour.
# S'appuyer entièrement sur un fichier de hash stocké dans votre homedir serait en fait moins sûr.


# Suite à ce message, j'ouvre une issue à but d'information, sur le bogue tracker de Exim.
# On me répondra que ce n'est pas un problème de Exim mais de Debian, qui fournit le script.
Source : https://bugs.exim.org/show_bug.cgi?id=2591
Source : https://salsa.debian.org/exim-team/exim4/-/blob/master/debian/exim-gencert


A suivre, pour vos avis, et, éventuelle maintenance à proposer ?

Reply to:

Prev by Date: Re: iptables ou nftables ?
Next by Date: [un peu HS] Compresser un DVD en divX avec les menus
Previous by thread: Re: iptables ou nftables ?
Next by thread: [un peu HS] Compresser un DVD en divX avec les menus
Index(es):
- Date
- Thread