Red Hat Summit4.4. Annobin プロジェクト
Annobin プロジェクトは Watermark 仕様プロジェクトの実装です。Watermark 仕様プロジェクトは、マーカーを Executable and Linkable Format (ELF) オブジェクトに追加してそのプロパティーを判断するためのものです。Annobin プロジェクトは、annobin プラグインと annockeck プログラムで構成されます。
annobin プラグインは、GNU コンパイラーコレクション (GCC) コマンドライン、コンパイル状態、およびコンパイルプロセスをスキャンし、ELF ノートを生成します。ELF ノートでは、バイナリーの構築方法を記録し、セキュリティー強化チェックを実行する annocheck プログラムの情報を得ることができます。
セキュリティー強化チェッカーは annocheck プログラムの一部で、デフォルトで有効になっています。バイナリーファイルをチェックして、必要なセキュリティー強化オプションでプログラムが構築されていて、正しくコンパイルされているかを判断します。annocheck は、ELF オブジェクトファイルのディレクトリー、アーカイブ、および RPM パッケージを再帰的にスキャンできます。
ファイルは ELF 形式である必要があります。annocheck は、他のバイナリーファイルタイプの処理に対応していません。
次のセクションでは、以下を行う方法を説明します。
-
annobinプラグインの使用 -
annocheckプログラムの使用 -
冗長な
annobinノートの削除
4.4.1. annobin プラグインの使用
次のセクションでは、以下を行う方法を説明します。
-
annobinプラグインの有効化 -
annobinプラグインにオプションを渡します。
4.4.1.1. annobin プラグインの有効化
次のセクションでは、gcc および clang を使用して annobin プラグインを有効にする方法を説明します。
手順
gccでannobinプラグインを有効にするには、以下を使用します。$ gcc -fplugin=annobingccでannobinプラグインを見つることができない場合は、以下を使用します。$ gcc -iplugindir=/path/to/directory/containing/annobin//path/to/directory/containing/annobin/ は、
annobinを含むディレクトリーへの絶対パスに置き換えます。annobinプラグインを含むディレクトリーを検索するには、以下を使用します。$ gcc --print-file-name=plugin
clangでannobinプラグインを有効にするには、以下を使用します。$ clang -fplugin=/path/to/directory/containing/annobin//path/to/directory/containing/annobin/ は、
annobinを含むディレクトリーへの絶対パスに置き換えます。
4.4.1.2. annobin プラグインへのオプションの指定
次のセクションでは、gcc および clang を使用して annobin プラグインにオプションを渡す方法を説明します。
手順
gccを使用してannobinプラグインにオプションを渡すには、以下を使用します。$ gcc -fplugin=annobin -fplugin-arg-annobin-option file-nameoption は
annobinコマンドライン引数に、file-name はファイル名に置き換えます。たとえば、
annobinが何を実行しているかについての追加情報を表示するには、次のコマンドを使用します。$ gcc -fplugin=annobin -fplugin-arg-annobin-verbose file-namefile-name は、ファイルの名前に置き換えます。
clangを使用してannobinプラグインにオプションを渡すには、以下を使用します。$ clang -fplugin=/path/to/directory/containing/annobin/ -Xclang -plugin-arg-annobin -Xclang option file-nameoption は
annobinコマンドライン引数に、/path/to/directory/containing/annobin/ は、annobinを含むディレクトリーへの絶対パスに置き換えます。たとえば、
annobinが何を実行しているかについての追加情報を表示するには、次のコマンドを使用します。$ clang -fplugin=/usr/lib64/clang/10/lib/annobin.so -Xclang -plugin-arg-annobin -Xclang verbose file-namefile-name は、ファイルの名前に置き換えます。
4.4.2. annocheck プログラムの使用
次のセクションでは、annocheck を使用して検証する方法を説明します。
- ファイル
- ディレクトリー
- RPM パッケージ
-
annocheckの追加ツール
annocheck は、ELF オブジェクトファイルのディレクトリー、アーカイブ、および RPM パッケージを再帰的にスキャンします。ファイルは ELF 形式である必要があります。annocheck は、他のバイナリーファイルタイプの処理に対応していません。
4.4.2.1. annocheck を使用したファイルの検証
次のセクションでは、annocheck を使用して ELF ファイルを検証する方法を説明します。
手順
ファイルを検証するには、以下を使用します。
$ annocheck file-namefile-name は、ファイルの名前に置き換えます。
注記ファイルは ELF 形式である必要があります。
annocheckは、他のバイナリーファイルタイプの処理に対応していません。annocheckは、ELF オブジェクトファイルなどの静的ライブラリーを処理します。
4.4.2.2. annocheck を使用したディレクトリーの検証
次のセクションでは、annocheck を使用してディレクトリー内の ELF ファイルを検証する方法を説明します。
手順
ディレクトリーをスキャンするには、以下を使用します。
$ annocheck directory-namedirectory-name は、ディレクトリー名に置き換えます。
annocheckは、ディレクトリー、ディレクトリー内のサブディレクトリー、アーカイブおよび RPM パッケージの内容を自動的に検査します。注記annocheckは ELF ファイルのみを検索します。他のファイルタイプは無視されます。
4.4.2.3. annocheck を使用した RPM パッケージの検証
次のセクションでは、annocheck を使用して RPM パッケージの ELF ファイルを検証する方法を説明します。
手順
RPM パッケージをスキャンするには、以下を使用します。
$ annocheck rpm-package-namerpm-package-name は、RPM パッケージ名に置き換えます。
annocheckは、RPM パッケージ内のすべての ELF ファイルを再帰的にスキャンします。注記annocheckは ELF ファイルのみを検索します。他のファイルタイプは無視されます。debug info RPM が含まれる RPM パッケージをスキャンするには、以下を使用します。
$ annocheck rpm-package-name --debug-rpm debuginfo-rpmrpm-package-name は RPM パッケージの名前に、debuginfo-rpm はバイナリー RPM に関連付けられた debug info RPM の名前に置き換えます。
4.4.2.4. annocheck の追加ツールの使用
annocheck には、バイナリーファイルを検証する複数のツールが含まれます。コマンドラインオプションを使用してこれらのツールを有効にできます。
次のセクションでは、以下を有効にする方法を説明します。
-
built-byツール -
notesツール -
section-sizeツール
複数のツールを同時に有効にできます。
強化チェッカーはデフォルトで有効になっています。
4.4.2.4.1. built-by ツールの有効化
annocheck built-by ツールを使用して、バイナリーファイルを構築したコンパイラーの名前を検索できます。
手順
built-byツールを有効にするには以下を使用します。$ annocheck --enable-built-bybuilt-byツールの詳細は、コマンドラインオプション--helpを参照してください。
4.4.2.4.2. notes ツールの有効化
annocheck notes ツールを使用して、annobin プラグインが作成したバイナリーファイルに保存されたノートを表示できます。
手順
notesツールを有効にするには、以下を使用します。$ annocheck --enable-notesこのノートは、アドレス範囲順に表示されます。
notesツールの詳細は、コマンドラインオプション--helpを参照してください。
4.4.2.4.3. section-size ツールの有効化
annocheck section-size ツールを使用すると、名前付きセクションのサイズを表示できます。
手順
section-sizeツールを有効にするには、以下を使用します。$ annocheck --section-size=namename は、名前付きセクションの名前に置き換えます。出力は、特定のセクションに限定されます。累積結果は、最後に生成されます。
section-sizeツールの詳細は、コマンドラインオプション--helpを参照してください。
4.4.2.4.4. 強化チェッカーの基本
強化チェッカーはデフォルトで有効になっています。コマンドラインオプション --disable-hardened で、強化チェッカーを無効にできます。
4.4.2.4.4.1. 強化チェッカーのオプション
annocheck プログラムは、以下のオプションをチェックします。
-
-z nowリンカーオプションを使用して遅延結合が無効になる。 - プログラムのメモリーの実行可能なリージョン内にスタックがない。
- GOT テーブルの再配置が読み取り専用に設定されている。
- プログラムセグメントには、読み取り、書き込み、および実行権限ビットセットの 3 つすべてがある。
- 実行コードに対する再配置がない。
- ランタイム時に共有ライブラリーを見つけるための runpath 情報には、/usr にルート指定されたディレクトリーのみが含まれている。
-
プログラムが
annobinノートを有効にしてコンパイルされている。 -
プログラムが
-fstack-protector-strongオプションを有効にしてコンパイルされている。 -
プログラムが
-D_FORTIFY_SOURCE=2でコンパイルされている。 -
プログラムが
-D_GLIBCXX_ASSERTIONSでコンパイルされている。 -
プログラムが
-fexceptionsを有効にしてコンパイルされている。 -
プログラムが
-fstack-clash-protectionを有効にしてコンパイルされている。 -
プログラムが
-O2以降でコンパイルされている。 - プログラムには書き込み可能な再配置がない。
- 動的実行可能ファイルには動的セグメントがある。
-
共有ライブラリーが
-fPICまたは-fPIEでコンパイルされている。 -
動的実行可能ファイルは
-fPIEでコンパイルされ、-pieでリンクされている。 -
利用可能な場合は、
-fcf-protection=fullオプションが使用されている。 -
利用可能な場合は、
-mbranch-protectionオプションが使用されている。 -
利用可能な場合は、
-mstackrealignオプションが使用されている。
4.4.2.4.4.2. 強化チェッカーの無効化
次のセクションでは、強化チェッカーを無効にする方法を説明します。
手順
強化チェッカーがないファイルでノートをスキャンするには、以下を使用します。
$ annocheck --enable-notes --disable-hardened file-namefile-name は、ファイルの名前に置き換えます。
4.4.3. 冗長する annobin ノートの削除
annobin を使用すると、バイナリーのサイズが増えます。annobin でコンパイルしたバイナリーのサイズを縮小するには、冗長な annobin ノートを削除できます。冗長する annobin ノートを削除するには、binutils パッケージに含まれる objcopy プログラムを使用します。
手順
冗長な
annobinノートを削除するには、以下を使用します。$ objcopy --merge-notes file-namefile-name は、ファイルの名前に置き換えます。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}