sonnenblen.de - Das unabhängige Sun User Forum
Betriebssysteme => Solaris => Thema gestartet von: tassilo am 29. August 2008, 09:23:52
-
hallo
was macht denn der prozess kcfd ?
ein man kcfd sagt mir nur :
kcfd - kernel-level cryptographic framework daemon
The kcfd daemon helps in managing CPU usage by cryptographic operations performed in software by kernel threads. The system utilization associated with these threads is charged to the kcfd process. It also does module verification for kernel cryptographic modules.
der grund wieso ich frage: dieser prozess ist die ganze zeit aktiv und zwar mit cpu-verbrauch von 16-58% (laut gnu top).
wieso ist hier ständig dieser prozess den am laufen und verbraucht zeitweise die hälfte der cpu-zeit? soviel crypto hab ich gar nicht (oder ?)
grüße
tassilo
-
Moin,
naja - ob du viel Crypto machst oder nicht weiss ich natuerlich nicht. Haengt sicherlich von der Solaris Release ab und dann von den verwendeten Diensten (Apache SSL? ssh? kerberos? ipsec? snmp? bart? VPN-Loesung?...)
Ist denn der kcfd selber aktiv oder wird ihm nur Zeit im Kernel angelastet? Schau doch mal ob ein truss uaf den kcfd viel Output gibt oder ob der im door() Call auf Arbeit wartet.
Was fuer ein Solaris Release benutzt du denn? Solaris 10 oder Nevada?
Der kcfd hat unter anderem die Aufgabe Kernelmodule und LIbraries auf deren Integritaet zu pruefen (digitale ELF-Signatur). Vielleicht gibts da bei dir Probleme mit den Zertifikaten (/etc/certs/)?
Wenn der kcfd im truss aktiv zu sehen ist, dann kann man rein theoretisch Debugging des kcfd aktivieren und mal nachsehen werden alles so fragt bzw. was der macht. Leider muss man dazu den kcfd erst einmal stoppen und wenn der angehalten ist, geht nichts mehr im Bereich Crypto (also bitte den nachfolgenden Test nicht machen wenn man gerade per ssh dort eingeloggt ist ;-)):
# svcadm disable -t cryptosvc
# env SUNW_CRYPTO_DEBUG=syslog /usr/lib/crypto/kcfd
Nun sollte per syslog unter user.debug (notfalls in der syslog.conf vorher entsprechend konfigurieren) der Debug-Output zu sehen sein. Insbesondere siehst du dort auch die Prozess-IDs, die den kcfd ansprechen.
Debugging dann wieder abschalten:
# pkill -z `zonename` kcfd
# svcadm enable cryptosvc
Tschau,
Drusus.
-
hallo
also die kiste ist eher eine spiel und lern kiste. und es läuft nichts drauf.. ok meine emails schlagen dort auf aber mehr als 1000 / tag werden es nicht sein (998 sowieso spam). es läuft nichts was auf anhieb nach crypto aussieht, kein vpn, kein ssl, kein ssh zeugs der rechner idelt eigentlich vor sich hin, nur das eben kcfd lauft...
laut top schon seit 58stunden (also cpu stunden) .. mein mailer bringt es auf ein paar sekunden (und das seit einer fast 3 monatigen uptime).
ansonstne kann ich sagen das ich sol10 benutze.
deine tipps etc werd ich gleich heute abend mal ausprobieren, vielen dank dafür schon mal.
grüße
tassilo
-
Ist die Frage denn ausreichend beantwortet?
Claus
-
hallo
bin noch nicht dazu gekommen das auszuprobieren da ich wieder mal ausserhalb von hamburg "stationiert" worden bin. aber ich denke die antwort von drusus ist doch sehr ausfühlich...
grüße
tassilo
-
hallo
was mir gerade einfällt ... ich hab dort ein raid5 (md) und auch ein zfs installiert vielleicht brauchen die das.
grüße
tassilo