有用的 GCC 标志可以提高程序的安全性吗？

发布于 2025-01-08 06:07:01 字数 253 浏览 3 评论 0原文

纯属偶然，我偶然发现一篇文章提到您可以使用 -pie -fPIE “启用”ASLR（或者更确切地说，使您的应用程序能够感知 ASLR）。 -fstack-protector 也通常被推荐（尽管我很少看到它如何保护以及针对哪种类型的攻击的解释）。

是否有有用的选项列表以及它们如何提高安全性的解释？

...

当您的应用程序使用大约 30 个库而这些库都不使用时，这些措施到底有多大用处？ ;)

原文

分享到QQ

分享到微博

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

需要登录才能够评论，你可以免费注册一个本站的账号。

表情可笑 2025-01-15 06:07:01

Hardened Gentoo 使用这些标志：

CFLAGS="-fPIE -fstack-protector-all -D_FORTIFY_SOURCE=2" 
LDFLAGS="-Wl,-z,now -Wl,-z,relro"

与默认 phoronix 基准测试套件中优化的 Gentoo linux（包括 PaX/SElinux 和其他措施，而不仅仅是 CFLAGS）相比，我发现性能下降了大约 5-10%。

Hardened Gentoo uses these flags:

CFLAGS="-fPIE -fstack-protector-all -D_FORTIFY_SOURCE=2" 
LDFLAGS="-Wl,-z,now -Wl,-z,relro"

I saw about 5-10% performance drop in comparison to optimized Gentoo linux (incl. PaX/SElinux and other measures, not just CFLAGS) in default phoronix benchmark suite.

回复收藏 0 原文

几味少女 2025-01-15 06:07:01

至于你的最后一个问题：

当您的应用程序使用大约 30 个库而这些库都不使用时，这些措施到底有多大用处？ ;)

PIE 仅对于能够在随机地址加载主程序来说是必需的。 ASLR 始终适用于共享库，因此无论您使用一个共享库还是 100 个共享库，PIE 的好处都是相同的。

堆栈保护器只会使使用堆栈保护器编译的代码受益，因此仅在主程序中使用它不会有帮助如果您的库充满漏洞。

无论如何，我鼓励您不要将这些选项视为应用程序的一部分，而应将其视为整个系统集成的一部分。如果您在一个将与不受信任的、潜在恶意数据交互的程序中使用 30 多个库（就代码质量和安全性而言，其中大部分可能都是垃圾），那么构建整个系统将是一个好主意具有堆栈保护器和其他安全强化选项。

但请记住，最高级别的 _FORTIFY_SOURCE 以及其他一些新的安全选项可能会破坏合法、正确的程序可能需要执行的有效操作，因此您可能需要分析它是否安全使用它们。其中一个选项所做的一件已知危险的事情（我忘了是哪一个）是使得 %n 到 printf 的说明符不起作用，至少在某些情况下是这样。如果应用程序使用 %n 获取生成字符串的偏移量，并且需要使用该偏移量稍后写入其中，并且该值未填写，那么这本身就是一个潜在的漏洞。 ..