117笔记问答Linux GCC编译器提供了多种安全设置选项,以增强编译出的程序的安全性。以下是一些常见的安全设置选项及其说明:
-
FORTIFY_SOURCE:
- 用于在编译阶段检查缓冲区溢出问题。
- 示例:
gcc -O2 -D_FORTIFY_SOURCE=2 -o test test.c
-
PIE 和 fPIE:
- PIE(Position Independent Executable):使程序在内存中任意位置加载时都能正确运行,增加攻击难度。
- 示例:
gcc -fpie -pie helloworld.c
- 示例:
- fPIE:与PIE类似,但用于编译可执行文件时。
- 示例:
gcc -fPIE -pie helloworld.c
- 示例:
- PIE(Position Independent Executable):使程序在内存中任意位置加载时都能正确运行,增加攻击难度。
-
NX(DEP):
- 禁用或启用数据执行保护(DEP),防止在堆栈上执行恶意代码。
- 示例:
-z execstack启用堆栈执行保护,-z noexecstack禁用。
- 示例:
- 禁用或启用数据执行保护(DEP),防止在堆栈上执行恶意代码。
-
堆栈保护:
- -fstack-protector:启用堆栈保护。
- 示例:
-fstack-protector
- 示例:
- -fstack-protector-strong:启用更强的堆栈保护。
- 示例:
-fstack-protector-strong
- 示例:
- -fstack-protector:启用堆栈保护。
-
RELRO:
- 控制重定位表的完整性。
- 示例:
-z relro:关闭重定位表保护(默认)。-z now:全部开启重定位表保护。-z,relro:部分开启重定位表保护。
- 示例:
- 控制重定位表的完整性。
-
PIC 和 fPIC:
- PIC(Position Independent Code):用于编译共享库,使代码在内存中任意位置加载时都能正确运行。
- 示例:
-fpic
- 示例:
- fPIC:与PIC类似,但针对某些特殊机型做了特殊处理。
- 示例:
-fPIC
- 示例:
- PIC(Position Independent Code):用于编译共享库,使代码在内存中任意位置加载时都能正确运行。
-
地址空间布局随机化(ASLR):
- 随机化程序的内存地址布局,增加攻击难度。
- 示例:在编译时启用相关选项。
- 随机化程序的内存地址布局,增加攻击难度。
-
其他选项:
-z execstack:启用堆栈执行保护。-z noexecstack:禁用堆栈执行保护。-z,relro:部分开启重定位表保护。-z,now:全部开启重定位表保护。
通过合理配置这些安全选项,可以显著提高编译出的程序的安全性,防止多种常见的安全漏洞。