Tomcat 啟動時 SecureRandom 非常慢解決辦法,親測有效
1.找到jre—>lib—>security
2.找到 securerandom.source=file:/dev/random
替換成:securerandom.source=file:/dev/./urandom
3.產生這個情況的原因:
由該日誌可以看出,例項化該物件使用了253秒,導致整個應用啟動了275秒之久。
注意這條日誌:
1 2 |
org.apache.catalina.util.SessionIdGeneratorBase.createSecureRandom Creation of SecureRandom instance
for
session ID generation using [SHA1PRNG] took [
253
,
251
] milliseconds.
|
SecureRandom 這個 jre 的工具類的問題。那為什麼 SecureRandom generateSeed 這麼慢,甚至掛在 Linux 作業系統呢?
Tomcat 7/8 都使用 org.apache.catalina.util.SessionIdGeneratorBase.createSecureRandom 類產生安全隨機類 SecureRandom 的例項作為會話 ID。
Tomcat 使用 SHA1PRNG 演算法是基於 SHA-1 演算法實現且保密性較強的偽隨機數生成器。
在 SHA1PRNG 中,有一個種子產生器,它根據配置執行各種操作。
Linux 中的隨機數可以從兩個特殊的檔案中產生,一個是 /dev/urandom,另外一個是 /dev/random。他們產生隨機數的原理是利用當前系統的熵池來計算出固定一定數量的隨機位元,然後將這些位元作為位元組流返回。熵池就是當前系統的環境噪音,熵指的是一個系統的混亂程度,系統噪音可以通過很多引數來評估,如記憶體的使用,檔案的使用量,不同型別的程序數量等等。如果當前環境噪音變化的不是很劇烈或者當前環境噪音很小,比如剛開機的時候,而當前需要大量的隨機位元,這時產生的隨機數的隨機效果就不是很好了。
這就是為什麼會有 /dev/urandom 和 /dev/random 這兩種不同的檔案,後者在不能產生新的隨機數時會阻塞程式,而前者不會(ublock),當然產生的隨機數效果就不太好了,這對加密解密這樣的應用來說就不是一種很好的選擇。/dev/random 會阻塞當前的程式,直到根據熵池產生新的隨機位元組之後才返回,所以使用 /dev/random 比使用 /dev/urandom 產生大量隨機數的速度要慢。
SecureRandom generateSeed 使用 /dev/random 生成種子。但是 /dev/random 是一個阻塞數字生成器,如果它沒有足夠的隨機資料提供,它就一直等,這迫使 JVM 等待。鍵盤和滑鼠輸入以及磁碟活動可以產生所需的隨機性或熵。但在一個伺服器缺乏這樣的活動,可能會出現問題。