Как включить случайные PID в Linux?

13

В настоящее время я сравниваю случайную реализацию PID в OpenBSD, FreeBSD и Linux с точки зрения безопасности.

Что касается OpenBSD и FreeBSD, моя работа завершена. Однако, хотя в ответе здесь говорится, что случайный PID может быть включен в Linux только благодаря sysctlнастройке, я не смог определить, какой это параметр.

Исследования в Интернете приводят только к исправлениям и дискуссиям, отклоненным в основном ядре Linux, и они также не отображаются в функциях grsecurity (и, очевидно, в моих блоках Linux PID повсюду увеличиваются, при этом sysctlимя параметра не кажется связанным, и несколько поисков в источник ядра не показывал ничего актуального).

Действительно ли рандомизация PID доступна в Linux?

security process linux-kernel WhiteWinterWolf
источник
В чем выгода?
Иордания
3
@jordanm: Теплые, нечеткие чувства безопасности. Посмотрите недавнюю дискуссию об этом в списке разногласий OpenBSD для некоторой перспективы.
lcd047
1
@jordanm: Это именно то, что я расследую;). Для некоторых людей это кажется обязательной основой для безопасной системы, для других - чем-то бесполезным, а некоторые считают это даже чем-то негативным. К сожалению, ни у кого, похоже, нет конкретного ответа на Security SE, поэтому мне, наконец, пришлось ответить себе еще не полностью, так как я нашел по крайней мере интересные различия в подходах OpenBSD и FreeBSD, и поэтому мне было любопытно упомянуть упомянутую версию Linux для Linux. случайные PID (если они есть).
WhiteWinterWolf
@ lcd047: Я очень хорошо знаю эту дискуссию, так как я был парнем, «троллящим» этот список, пытаясь понять и сравнить различные варианты, сделанные разными ОС.
WhiteWinterWolf
@WhiteWinterWolf: Для Linux один из популярных патчей для ядра когда-то делал это. Я помню, что этот патч был grsecurity, но я могу ошибаться. Я не особо внимательно изучал Linux в течение нескольких лет.
lcd047

Ответы:

8

Рандомизация PID никогда не была доступна в основном ядре Linux. Помимо отдельных инициатив, в течение нескольких лет он был в основном доступен через патч ядра grsecurity , однако он был удален в конце 2006 года :

grsecurity 2.1.10 был выпущен сегодня для Linux 2.4.34 и 2.6.19.2. Изменения в этом выпуске включают в себя:

  • Удаление функции рандомизированных PID, поскольку она не обеспечивает никакой дополнительной безопасности и тратит память с помощью растрового изображения pid ядра 2.6.

На этом мое рандомизированное сравнение реализации PID между Linux, OpenBSD и FreeBSD :) завершено .

WhiteWinterWolf
источник