Comment activer des PID aléatoires sous Linux?

13

Je compare actuellement l'implémentation PID aléatoire sur OpenBSD, FreeBSD et Linux du point de vue de la sécurité.

Tant que OpenBSD et FreeBSD sont concernés, mon travail est terminé. Cependant, alors que la réponse ici indique qu'un PID aléatoire peut être activé sur Linux simplement grâce à un sysctlparamètre, je n'ai pas pu déterminer de quel paramètre il s'agit.

Les recherches sur Internet ne conduisent qu'à des correctifs et des discussions rejetés dans le noyau Linux traditionnel, et ils n'apparaissent pas non plus dans les fonctionnalités de sécurité (et évidemment sur mes boîtes Linux, les PID sont incrémentiels partout, sans sysctlnom de paramètre apparemment lié, et quelques recherches dans la source du noyau n'a rien montré de pertinent).

La randomisation PID est-elle vraiment disponible sur Linux?

security process linux-kernel WhiteWinterWolf
la source
Quel est l'avantage?
jordanm
3
@jordanm: sentiments de sécurité chaleureux et flous. Voir la discussion récente à ce sujet sur la liste misc d'OpenBSD pour une certaine perspective.
lcd047
1
@jordanm: C'est précisément ce que j'étudie;). Pour certaines personnes, cela semble être une base obligatoire pour un système sécurisé, pour d'autres quelque chose d'inutile, et certains considèrent même que c'est quelque chose de négatif. Malheureusement, personne ne semble avoir de réponse concrète sur Security SE , j'ai donc finalement dû me répondre avec une réponse encore incomplète car j'ai trouvé au moins des différences intéressantes dans les approches OpenBSD et FreeBSD, et j'étais donc curieux de la version Linux mentionnée de PID aléatoires (s'il y en a vraiment un).
WhiteWinterWolf
@ lcd047: Je connais très bien cette discussion puisque j'étais le type "à la traîne" de cette liste en essayant de comprendre et de comparer les différents choix faits par les différents OS.
WhiteWinterWolf
@WhiteWinterWolf: Pour Linux, l'un des correctifs de noyau populaires utilisé pour le faire à un moment donné. Je me souviens que ce correctif était de sécurité, mais je peux me tromper. Je n'ai pas vraiment regardé Linux de si près depuis quelques années.
lcd047

Réponses:

8

La randomisation PID n'était jamais disponible dans le noyau Linux traditionnel. Hormis les initiatives individuelles, pendant plusieurs années, il était principalement disponible via le correctif du noyau grsecurity , mais il a été supprimé fin 2006 :

grsecurity 2.1.10 a été publié aujourd'hui pour Linux 2.4.34 et 2.6.19.2. Les changements dans cette version incluent:

  • Suppression de la fonction PID aléatoires, car elle n'offre aucune sécurité supplémentaire utile et gaspille de la mémoire avec la bitmap pid du noyau 2.6

Ceci termine ma comparaison d'implémentation PID randomisée entre Linux, OpenBSD et FreeBSD :).

WhiteWinterWolf
la source