¿Cómo habilitar PID aleatorios en Linux?

13

Actualmente estoy comparando la implementación PID aleatoria en OpenBSD, FreeBSD y Linux desde la perspectiva de seguridad.

En lo que respecta a OpenBSD y FreeBSD, mi trabajo está hecho. Sin embargo, aunque la respuesta aquí indica que PID aleatorio puede habilitarse en Linux solo gracias a una sysctlconfiguración, no pude determinar qué configuración es.

Las investigaciones en Internet solo conducen a parches y discusiones rechazadas en el núcleo principal de Linux, y tampoco aparece en las funciones de seguridad (y, obviamente, en mis cuadros de Linux, los PID son incrementales en todas partes, sin sysctlque el nombre del parámetro parezca relacionado, y algunas búsquedas en la fuente del kernel no mostró nada relevante).

¿La aleatorización PID está realmente disponible en Linux?

security process linux-kernel WhiteWinterWolf
fuente
¿Cuál es el beneficio?
jordanm
3
@jordanm: sentimientos cálidos y confusos de seguridad. Vea la discusión reciente sobre eso en la lista de misceláneos de OpenBSD para obtener una perspectiva
lcd047
1
@jordanm: Eso es precisamente lo que estoy investigando;). Para algunas personas, parece ser una base obligatoria para un sistema seguro, para otros algo inútil, y algunos lo consideran incluso algo negativo. Lamentablemente, nadie parece tener una respuesta concreta sobre Security SE, así que finalmente tuve que responderme a mí mismo con una respuesta aún por completar, ya que encontré al menos diferencias interesantes en los enfoques de OpenBSD y FreeBSD, y por lo tanto sentía curiosidad por la mencionada versión de Linux de PID aleatorios (si realmente hay uno).
WhiteWinterWolf
@ lcd047: Conozco muy bien esta discusión ya que yo era el tipo "trolling" de esa lista al tratar de comprender y comparar las diferentes elecciones realizadas por los diferentes sistemas operativos.
WhiteWinterWolf
@WhiteWinterWolf: para Linux, uno de los parches populares del kernel solía hacerlo en algún momento. Recuerdo que ese parche es de seguridad, pero podría estar equivocado. Realmente no he mirado Linux tan de cerca en unos años.
lcd047

Respuestas:

8

La aleatorización PID nunca estuvo disponible en el núcleo principal de Linux. Además de las iniciativas individuales, durante varios años estuvo disponible principalmente a través del parche de kernel de grsecurity , sin embargo , se eliminó a fines de 2006 :

grsecurity 2.1.10 fue lanzado hoy para Linux 2.4.34 y 2.6.19.2. Los cambios en esta versión incluyen:

  • Eliminación de la función de PID aleatorios, ya que no proporciona seguridad adicional útil y desperdicia memoria con el mapa de bits pid del kernel 2.6

Esto completa mi comparación de implementación PID aleatoria entre Linux, OpenBSD y FreeBSD :).

WhiteWinterWolf
fuente