Bagaimana cara mengaktifkan PID acak di Linux?

13

Saya saat ini membandingkan implementasi PID acak pada OpenBSD, FreeBSD dan Linux dari perspektif keamanan.

Selama OpenBSD dan FreeBSD prihatin, pekerjaan saya selesai. Namun, sementara jawabannya di sini menyatakan bahwa PID acak dapat diaktifkan di Linux hanya berkat suatu sysctlpengaturan, saya tidak dapat menentukan pengaturan itu.

Penelitian di Internet hanya menyebabkan tambalan dan diskusi ditolak di kernel Linux utama, dan itu tidak muncul di fitur grsecurity baik (dan jelas pada kotak Linux saya PID bersifat inkremental di mana-mana, tanpa sysctlnama parameter yang tampaknya terkait, dan beberapa pencarian di sumber kernel tidak menunjukkan sesuatu yang relevan).

Apakah pengacakan PID benar-benar tersedia di Linux?

security process linux-kernel WhiteWinterWolf
sumber
Apa manfaatnya?
jordanm
3
@jordanm: Perasaan hangat, tidak jelas keamanan. Lihat diskusi terbaru tentang itu pada daftar misc OpenBSD untuk beberapa perspektif.
lcd047
1
@jordanm: Itulah tepatnya yang saya selidiki;). Bagi sebagian orang itu tampaknya menjadi dasar wajib untuk sistem yang aman, untuk sesuatu yang tidak berguna lainnya, dan beberapa menganggapnya bahkan sesuatu yang negatif. Sayangnya tidak ada yang tampaknya memiliki jawaban konkret tentang Keamanan SE jadi saya akhirnya harus menjawab sendiri dengan jawaban yang belum lengkap karena saya menemukan setidaknya perbedaan yang menarik dalam pendekatan OpenBSD dan FreeBSD, dan karena itu penasaran dengan versi Linux yang disebutkan di atas. PID acak (jika benar-benar ada).
WhiteWinterWolf
@ lcd047: Saya tahu diskusi ini dengan sangat baik karena saya adalah orang "trolling" daftar itu dengan mencoba memahami dan membandingkan berbagai pilihan yang dibuat oleh OS yang berbeda.
WhiteWinterWolf
@WhiteWinterWolf: Untuk Linux, salah satu patch kernel yang populer digunakan untuk melakukan itu di beberapa titik. Saya ingat patch itu menjadi grsecurity, tapi saya mungkin salah. Saya belum benar-benar melihat Linux sedekat itu dalam beberapa tahun.
lcd047

Jawaban:

8

Pengacakan PID tidak pernah tersedia di kernel Linux mainstream. Terlepas dari inisiatif individu, selama beberapa tahun ini terutama tersedia melalui patch kernel grsecurity , namun dihapus pada akhir 2006 :

grsecurity 2.1.10 dirilis hari ini untuk Linux 2.4.34 dan 2.6.19.2. Perubahan dalam rilis ini meliputi:

  • Penghapusan fitur PID acak, karena tidak memberikan keamanan tambahan yang berguna dan membuang-buang memori dengan bitmap pid kernel 2.6

Ini melengkapi perbandingan implementasi PID acak saya antara Linux, OpenBSD dan FreeBSD :).

WhiteWinterWolf
sumber