RPM/hardening: различия между версиями
< RPM
Vt (обсуждение | вклад) (Move references above categories) |
Vt (обсуждение | вклад) (CFI) |
||
| Строка 17: | Строка 17: | ||
Нельзя добавлять в итоговый пакет, но полезно использовать для (периодического) тестирования. | Нельзя добавлять в итоговый пакет, но полезно использовать для (периодического) тестирования. | ||
* <code>-fsanitize=address</code>. (NB: Медленно работает leak detector на aarch64 (отключается <code>ASAN_OPTIONS=detect_leaks=0</code>).) | * <code>-fsanitize=address</code>. (NB: Медленно работает leak detector на aarch64 (отключается <code>ASAN_OPTIONS=detect_leaks=0</code>).) | ||
= В будущем ожидается = | |||
Пока нет поддержки следующих hardening'ов: | |||
* Control-flow integrity (CFI) -- есть поддержка в hardware (на x86-64 и aarch64), в GCC и Clang<ref>[https://developers.redhat.com/articles/2022/06/02/use-compiler-flags-stack-protection-gcc-and-clang Use compiler flags for stack protection in GCC and Clang]</ref>, но, к сожалению, до сих пор нет поддержки в Linux kernel<ref>[https://lwn.net/Articles/900099/ Kernel support for hardware-based control-flow integrity]</ref>. | |||
[[LTO]] может скрывать так и добавлять новые сообщения об ошибках, поэтому рекомендуется для эксперимента собрать пакет (с и) без LTO. | [[LTO]] может скрывать так и добавлять новые сообщения об ошибках, поэтому рекомендуется для эксперимента собрать пакет (с и) без LTO. | ||
Версия от 01:03, 20 июля 2022
Включено по умолчанию в GCC
Эти опции не нужно добавлять вручную в CFLAGS, так как они включены у нас в ALT по умолчанию. Список взят из info gcc поиском по ALT.*gcc
-Wformat=2и-Wformat-security-Wtrampolines-D_FORTIFY_SOURCE=2(activated when-O2or higher)-fstack-protectorи-fstack-protector-strong-fstack-clash-protection
Также наш GCC всегда передает линкеру: -pie -z now и --as-needed.
Что еще может быть в CFLAGS
-fanalyzer, но остерегайтесь ложных срабатываний, а так же эта опция потребляет много памяти.- Старайтесь не собирать с
-O0, так как это отключает многие проверки. - Для устранения verify-elf варнинга при сборке библиотек:
verify-elf: ERROR: ./usr/lib64/..: found executable STACK entry: GNU_STACK ... RWE 0x10
(он возникает, например, если в asm файлах нет соответствующего заголовка) может быть полезно добавить-Wa,--noexecstackили-Wl,-z,noexecstack(выбор в зависимости от обстоятельств). - В GCC-12 появилось
-D_FORTIFY_SOURCE=3(конфликтует с-Werrorи может замедлять код [1]).
CFLAGS для тестирования пакета
Нельзя добавлять в итоговый пакет, но полезно использовать для (периодического) тестирования.
-fsanitize=address. (NB: Медленно работает leak detector на aarch64 (отключаетсяASAN_OPTIONS=detect_leaks=0).)
В будущем ожидается
Пока нет поддержки следующих hardening'ов:
- Control-flow integrity (CFI) -- есть поддержка в hardware (на x86-64 и aarch64), в GCC и Clang[2], но, к сожалению, до сих пор нет поддержки в Linux kernel[3].
LTO может скрывать так и добавлять новые сообщения об ошибках, поэтому рекомендуется для эксперимента собрать пакет (с и) без LTO.