Jak włączyć losowe PID w systemie Linux?

13

Obecnie porównuję losową implementację PID w OpenBSD, FreeBSD i Linux z punktu widzenia bezpieczeństwa.

Jeśli chodzi o OpenBSD i FreeBSD, moja praca jest skończona. Jednakże, chociaż odpowiedź tutaj stwierdza, że ​​losowe PID można włączyć w Linuksie tylko dzięki sysctlustawieniu, nie byłem w stanie określić, które to ustawienie.

Badania w Internecie prowadzą tylko do łatek i dyskusji odrzuconych w głównym jądrze Linuksa, i nie pojawia się to również w funkcjach grsecurity (i oczywiście na moich Linux-ach PID są wszędzie inkrementalne, bez sysctlnazwy parametrów pozornie powiązanych, i kilka wyszukiwań w źródło jądra nie pokazało niczego istotnego).

Czy randomizacja PID jest naprawdę dostępna w systemie Linux?

WhiteWinterWolf
źródło
Jaka jest korzyść?
jordanm
3
@jordanm: Ciepłe, niewyraźne poczucie bezpieczeństwa. Zobacz ostatnią dyskusję na ten temat na liście różnych OpenBSD, aby zobaczyć jakąś perspektywę.
lcd047
1
@jordanm: Właśnie to badam;). Dla niektórych osób jest to obowiązkowa podstawa bezpiecznego systemu, dla innych coś bezużytecznego, a niektórzy uważają to za coś wręcz negatywnego. Niestety wydaje się, że nikt nie ma konkretnej odpowiedzi na temat Security SE, więc w końcu musiałem odpowiedzieć sobie jeszcze nieukończoną odpowiedzią, ponieważ znalazłem co najmniej interesujące różnice w podejściach do OpenBSD i FreeBSD i dlatego byłem ciekawy wspomnianej wersji Linuxa losowe PID (jeśli tak naprawdę jest).
WhiteWinterWolf
@ lcd047: Znam tę dyskusję bardzo dobrze, ponieważ byłem facetem „trollującym” tę listę, próbując zrozumieć i porównać różne wybory dokonane przez różne systemy operacyjne.
WhiteWinterWolf
@WhiteWinterWolf: W Linuksie była to jedna z popularnych łatek jądra. Pamiętam, że ta łatka jest bezpieczna, ale mogę się mylić. Tak naprawdę od kilku lat nie przyglądałem się Linuxowi tak dokładnie.
lcd047

Odpowiedzi:

8

Randomizacja PID nigdy nie była dostępna w głównym jądrze Linuksa. Oprócz indywidualnych inicjatyw, przez kilka lat był dostępny głównie poprzez łatkę do jądra grsecurity , jednak został usunięty pod koniec 2006 roku :

Grsecurity 2.1.10 zostało wydane dzisiaj dla Linuksa 2.4.34 i 2.6.19.2. Zmiany w tej wersji obejmują:

  • Usunięcie losowej funkcji PID, ponieważ nie zapewnia żadnej użytecznej dodatkowej ochrony i marnuje pamięć dzięki bitmapie pid jądra 2.6

To uzupełnia moje losowe porównanie implementacji PID między Linuksem, OpenBSD i FreeBSD :).

WhiteWinterWolf
źródło