Superuser

Autor Thema: kcfd ?  (Gelesen 3566 mal)

Offline tassilo

  • Sobl Master
  • ****
  • Beiträge: 437
    • Freie Jobbörse rund um Linux
kcfd ?
« am: 29. August 2008, 09:23:52 »
hallo

was macht denn der prozess kcfd ?
ein man kcfd sagt mir nur :
 kcfd - kernel-level cryptographic framework daemon
The kcfd daemon helps in managing CPU usage by cryptographic operations performed in software by kernel threads. The system utilization associated with these threads is charged to the kcfd process. It also does module verification for kernel cryptographic modules.

der grund wieso ich frage: dieser prozess ist die ganze zeit aktiv und zwar mit cpu-verbrauch von 16-58% (laut gnu top).
wieso ist hier ständig dieser prozess den am laufen und verbraucht zeitweise die hälfte der cpu-zeit? soviel crypto hab ich gar nicht (oder ?)

grüße

tassilo

« Letzte Änderung: 29. August 2008, 10:08:16 von tassilo »

sonnenblen.de - Das unabhängige Sun User Forum

kcfd ?
« am: 29. August 2008, 09:23:52 »

Offline Drusus

  • Sobl Master
  • ****
  • Beiträge: 424
  • Intentionally left blank
Re: kcfd ?
« Antwort #1 am: 29. August 2008, 14:00:51 »
Moin,

naja - ob du viel Crypto machst oder nicht weiss ich natuerlich nicht. Haengt sicherlich von der Solaris Release ab und dann von den verwendeten Diensten (Apache SSL? ssh? kerberos? ipsec? snmp? bart? VPN-Loesung?...)

Ist denn der kcfd selber aktiv oder wird ihm nur Zeit im Kernel angelastet? Schau doch mal ob ein truss uaf den kcfd viel Output gibt oder ob der im door() Call auf Arbeit wartet.

Was fuer ein Solaris Release benutzt du denn? Solaris 10 oder Nevada?

Der kcfd hat unter anderem die Aufgabe Kernelmodule und LIbraries auf deren Integritaet zu pruefen (digitale ELF-Signatur). Vielleicht gibts da bei dir Probleme mit den Zertifikaten (/etc/certs/)?

Wenn der kcfd im truss aktiv zu sehen ist, dann kann man rein theoretisch Debugging des kcfd aktivieren und mal nachsehen werden alles so fragt bzw. was der macht. Leider muss man dazu den kcfd erst einmal stoppen und wenn der angehalten ist, geht nichts mehr im Bereich Crypto (also bitte den nachfolgenden Test nicht machen wenn man gerade per ssh dort eingeloggt ist ;-)):
# svcadm disable -t cryptosvc
# env SUNW_CRYPTO_DEBUG=syslog /usr/lib/crypto/kcfd
Nun sollte per syslog unter user.debug (notfalls in der syslog.conf vorher entsprechend konfigurieren) der Debug-Output zu sehen sein. Insbesondere siehst du dort auch die Prozess-IDs, die den kcfd ansprechen.
Debugging dann wieder abschalten:
# pkill -z `zonename` kcfd
# svcadm enable cryptosvc

Tschau,
  Drusus.

Offline tassilo

  • Sobl Master
  • ****
  • Beiträge: 437
    • Freie Jobbörse rund um Linux
Re: kcfd ?
« Antwort #2 am: 29. August 2008, 14:06:19 »
hallo

also die kiste ist eher eine spiel und lern kiste. und es läuft nichts drauf.. ok meine emails schlagen dort auf aber mehr als 1000 / tag werden es nicht sein (998 sowieso spam). es läuft nichts was auf anhieb nach crypto aussieht, kein vpn, kein ssl, kein ssh zeugs der rechner idelt eigentlich vor sich hin, nur das eben kcfd lauft...
laut top schon seit 58stunden (also cpu stunden) .. mein mailer bringt es auf ein paar sekunden (und das seit einer fast 3 monatigen uptime).
ansonstne kann ich sagen das ich sol10 benutze.
deine tipps etc werd ich gleich heute abend mal ausprobieren, vielen dank dafür schon mal.

grüße

tassilo

claus

  • Gast
Re: kcfd ?
« Antwort #3 am: 16. September 2008, 13:58:38 »
Ist die Frage denn ausreichend beantwortet?

Claus

Offline tassilo

  • Sobl Master
  • ****
  • Beiträge: 437
    • Freie Jobbörse rund um Linux
Re: kcfd ?
« Antwort #4 am: 16. September 2008, 14:22:33 »
hallo

bin noch nicht dazu gekommen das auszuprobieren da ich wieder mal ausserhalb von hamburg "stationiert" worden bin. aber ich denke die antwort von drusus  ist doch sehr ausfühlich...

grüße

tassilo

Offline tassilo

  • Sobl Master
  • ****
  • Beiträge: 437
    • Freie Jobbörse rund um Linux
Re: kcfd ?
« Antwort #5 am: 16. September 2008, 14:26:15 »
hallo

was mir gerade einfällt ... ich hab dort ein raid5 (md) und auch ein zfs installiert vielleicht brauchen die das.

grüße

tassilo