Como habilitar PIDs aleatórios no Linux?

13

Atualmente, estou comparando a implementação aleatória de PID no OpenBSD, FreeBSD e Linux da perspectiva da segurança.

Quanto ao OpenBSD e FreeBSD, meu trabalho está concluído. No entanto, embora a resposta aqui afirme que o PID aleatório pode ser ativado no Linux apenas graças a uma sysctlconfiguração, não pude determinar qual é a configuração.

Pesquisas na Internet levam apenas a correções e discussões rejeitadas no kernel Linux principal, e ele também não aparece nos recursos de grsecurity (e, obviamente, nas minhas caixas Linux, os PIDs são incrementais em todos os lugares, sem que nenhum sysctlnome de parâmetro pareça relacionado, e algumas pesquisas em a fonte do kernel não mostrou nada relevante).

A randomização PID está realmente disponível no Linux?

security process linux-kernel WhiteWinterWolf
fonte
Qual o benefício?
Jordanm #
3
@jordanm: Sentimentos quentes e confusos de segurança. Veja a recente discussão sobre isso na lista miscelânea do OpenBSD para algumas perspectivas.
Lcd047
1
@ Jordanm: É exatamente isso que estou investigando;). Para algumas pessoas, isso parece ser uma base obrigatória para um sistema seguro, para outras coisas inúteis, e algumas consideram isso algo negativo. Infelizmente, ninguém parece ter uma resposta concreta no Security SE, então eu finalmente tive que me responder com uma resposta ainda não concluída, pois encontrei pelo menos diferenças interessantes nas abordagens do OpenBSD e FreeBSD e, portanto, fiquei curioso com a versão Linux mencionada no Linux. PIDs aleatórios (se houver realmente um).
WhiteWinterWolf
@ lcd047: Eu conheço essa discussão muito bem desde que eu era o cara que "trollava" essa lista tentando entender e comparar as diferentes opções feitas por diferentes sistemas operacionais.
WhiteWinterWolf
@WhiteWinterWolf: Para Linux, um dos patches populares do kernel costumava fazer isso em algum momento. Lembro-me de que o patch era grsecurity, mas posso estar errado. Eu realmente não olhei tão atentamente para o Linux há alguns anos.
Lcd047 28/05

Respostas:

8

A randomização de PID nunca estava disponível no kernel Linux principal. Além das iniciativas individuais, por vários anos, ele estava disponível principalmente através do patch do kernel do grsecurity , mas foi removido no final de 2006 :

O grsecurity 2.1.10 foi lançado hoje para Linux 2.4.34 e 2.6.19.2. As alterações nesta versão incluem:

  • Remoção do recurso PIDs aleatórios, pois ele não fornece segurança adicional útil e desperdiça memória com o bitmap pid do kernel 2.6

Isso completa minha comparação aleatória de implementação de PID entre Linux, OpenBSD e FreeBSD :).

WhiteWinterWolf
fonte