Wie aktiviere ich zufällige PIDs unter Linux?

13

Momentan vergleiche ich die zufällige PID-Implementierung unter OpenBSD, FreeBSD und Linux aus der Sicherheitsperspektive.

Solange es sich um OpenBSD und FreeBSD handelt, ist meine Arbeit erledigt. Obwohl die Antwort hier besagt, dass die zufällige PID unter Linux nur dank einer sysctlEinstellung aktiviert werden kann, konnte ich nicht feststellen, welche Einstellung dies ist.

Nachforschungen im Internet führen nur zu Patches und Diskussionen, die im Mainstream-Linux-Kernel abgelehnt wurden, und sie erscheinen auch nicht in den Sicherheitsfunktionen (und natürlich sind die PIDs auf meinen Linux-Boxen überall inkrementell, ohne dass ein sysctlParametername in Zusammenhang zu stehen scheint, und einige Suchanfragen in Die Kernelquelle zeigte nichts Relevantes an.

Ist die PID-Randomisierung wirklich unter Linux verfügbar?

security process linux-kernel WhiteWinterWolf
quelle
Was ist der vorteil
Jordanien
3
@jordanm: Warme, unscharfe Gefühle der Sicherheit. Die jüngste Diskussion darüber in der OpenBSD-Liste enthält einige Perspektiven.
lcd047
1
@jordanm: Genau das untersuche ich;). Für manche Menschen scheint es eine obligatorische Grundlage für ein sicheres System zu sein, für andere etwas Nutzloses, und manche betrachten es sogar als etwas Negatives. Leider scheint niemand eine konkrete Antwort auf Security SE zu haben, und so musste ich mich endlich mit einer noch nicht vollständigen Antwort auseinandersetzen, da ich zumindest interessante Unterschiede in den OpenBSD- und FreeBSD-Ansätzen fand und deshalb auf die erwähnte Linux-Version von neugierig war zufällige PIDs (wenn es wirklich eine gibt).
WhiteWinterWolf
@ lcd047: Ich kenne diese Diskussion sehr gut, da ich der Typ war, der diese Liste "trollte", indem er versuchte, die verschiedenen Entscheidungen der verschiedenen Betriebssysteme zu verstehen und zu vergleichen.
WhiteWinterWolf
@WhiteWinterWolf: Unter Linux wurde dies irgendwann mit einem der beliebten Kernel-Patches durchgeführt. Ich erinnere mich, dass dieser Patch Grsecurity ist, aber ich könnte mich irren. Ich habe mir Linux seit einigen Jahren nicht mehr so ​​genau angesehen.
lcd047

Antworten:

8

Die PID-Randomisierung war im Mainstream-Linux-Kernel nie verfügbar. Abgesehen von einzelnen Initiativen war es mehrere Jahre lang hauptsächlich über den grsecurity- Kernel-Patch verfügbar , wurde jedoch Ende 2006 entfernt :

grsecurity 2.1.10 wurde heute für Linux 2.4.34 und 2.6.19.2 veröffentlicht. Änderungen in dieser Version umfassen:

  • Das Entfernen der Funktion für randomisierte PIDs bietet keine nützliche zusätzliche Sicherheit und verschwendet Speicherplatz mit der PID-Bitmap des 2.6-Kernels

Dies vervollständigt meinen randomisierten PID-Implementierungsvergleich zwischen Linux, OpenBSD und FreeBSD :).

WhiteWinterWolf
quelle