Come abilitare i PID casuali su Linux?

13

Attualmente sto confrontando l'implementazione PID casuale su OpenBSD, FreeBSD e Linux dal punto di vista della sicurezza.

Per quanto riguarda OpenBSD e FreeBSD, il mio lavoro è finito. Tuttavia, mentre la risposta qui afferma che il PID casuale può essere abilitato su Linux solo grazie a sysctlun'impostazione, non sono stato in grado di determinare quale sia l'impostazione.

Le ricerche su Internet portano solo a patch e discussioni rifiutate nel kernel Linux tradizionale, e non appare neanche nelle funzionalità di grsecurity (e ovviamente sui miei box Linux i PID sono incrementali ovunque, senza un sysctlnome di parametro che sembra correlato e alcune ricerche in il sorgente del kernel non ha mostrato nulla di rilevante).

La randomizzazione PID è davvero disponibile su Linux?

security  process  linux-kernel 
WhiteWinterWolf
fonte
Qual è il vantaggio?
Giordania,
3
@jordanm: caldi, confusi sentimenti di sicurezza. Vedi la recente discussione sull'elenco misc di OpenBSD per alcune prospettive.
lcd047,
1
@jordanm: Questo è esattamente ciò su cui sto indagando;). Per alcune persone sembra essere una base obbligatoria per un sistema sicuro, per altri qualcosa di inutile, e alcuni lo considerano addirittura qualcosa di negativo. Purtroppo nessuno sembra avere una risposta concreta su Security SE, quindi alla fine ho dovuto rispondere con una risposta ancora da completare poiché ho trovato differenze almeno interessanti negli approcci di OpenBSD e FreeBSD, ed ero quindi curioso della menzionata versione Linux di PID casuali (se ce n'è davvero uno).
WhiteWinterWolf,
@ lcd047: Conosco molto bene questa discussione da quando ero il tipo "trolling" di quell'elenco cercando di capire e confrontare le diverse scelte fatte da diversi sistemi operativi.
WhiteWinterWolf,
@WhiteWinterWolf: per Linux, una delle popolari patch del kernel lo faceva ad un certo punto. Ricordo che patch era grsecurity, ma potrei sbagliarmi. Non guardo molto da vicino Linux da qualche anno.
lcd047,

Risposte:

8

La randomizzazione PID non è mai stata disponibile nel kernel Linux tradizionale. A parte le singole iniziative, per diversi anni è stato disponibile principalmente attraverso la patch del kernel grsecurity , tuttavia è stato rimosso alla fine del 2006 :

grsecurity 2.1.10 è stato rilasciato oggi per Linux 2.4.34 e 2.6.19.2. Le modifiche in questa versione includono:

  • Rimozione della funzione PID randomizzata, poiché non fornisce alcuna sicurezza aggiuntiva utile e spreca memoria con la bitmap pid del kernel 2.6

Questo completa il mio confronto sull'implementazione PID randomizzato tra Linux, OpenBSD e FreeBSD :).

WhiteWinterWolf
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.