4.6. Annobin 项目
Annobin 项目是 Watermark 规格项目的实现。水位线规格项目旨在向可执行文件和可链接格式(ELF)对象添加标记,以确定其属性。Annobin 项目由 annobin
插件和 annockeck
程序组成。
anobin
插件扫描 GNU Compiler Collection(GCC)命令行、编译状态和编译过程,并生成 ELF 备注。ELF 备注记录了二进制文件的构建方式,并为 annocheck
程序提供信息来执行安全强化检查。
安全强化检查程序是 annocheck
程序的一部分,默认是启用的。它检查二进制文件,以确定是否使用必要的安全强化选项构建程序。annocheck
能够为 ELF 对象文件递归扫描目录、存档和 RPM 软件包。
这些文件必须采用 ELF 格式。anocheck
不处理任何其他二进制文件类型。
下面的部分描述了如何:
-
使用
annobin
插件 -
使用
annocheck
程序 -
删除冗余
annobin
备注
4.6.1. 使用 annobin 插件
下面的部分描述了如何:
-
启用
annobin
插件 -
将选项传递给
annobin
插件
4.6.1.1. 启用 annobin 插件
下面的部分论述了如何通过 gcc
和 clang
启用 annobin
插件。
步骤
要启用带有
annobin
插件的gcc
,请使用:$ gcc -fplugin=annobin
如果
gcc
找不到annobin
插件,请使用:$ gcc -iplugindir=/path/to/directory/containing/annobin/
将 /path/to/directory/containing/annobin/ 替换为包含
annobin
的目录的绝对路径。要查找包含
annobin
插件的目录,请使用:$ gcc --print-file-name=plugin
要启用带有
clang
的gcc
,请使用:$ clang -fplugin=/path/to/directory/containing/annobin/
将 /path/to/directory/containing/annobin/ 替换为包含
annobin
的目录的绝对路径。
4.6.1.2. 将选项传递给 annobin 插件
下面的部分论述了如何通过 gcc
和 clang
将选项传递给 annobin
插件。
步骤
要将选项传递给带有
gcc
的annobin
插件,请使用:$ gcc -fplugin=annobin -fplugin-arg-annobin-option file-name
使用
annobin
命令行参数替换 option,并使用文件名替换 file-name。示例
要显示
annobin
正在进行的操作的其他详情,请使用:$ gcc -fplugin=annobin -fplugin-arg-annobin-verbose file-name
用文件名替换 file-name。
要将选项传递给带有
clang
的annobin
插件,请使用:$ clang -fplugin=/path/to/directory/containing/annobin/ -Xclang -plugin-arg-annobin -Xclang option file-name
使用
annobin
命令行参数替换 option,并将 /path/to/directory/containing/annobin/ 替换为包含annobin
的目录的绝对路径。示例
要显示
annobin
正在进行的操作的其他详情,请使用:$ clang -fplugin=/usr/lib64/clang/10/lib/annobin.so -Xclang -plugin-arg-annobin -Xclang verbose file-name
用文件名替换 file-name。
4.6.2. 使用 annocheck 程序
下面的部分论述了如何使用 annocheck
:
- 文件
- 目录
- RPM 软件包
-
annocheck
额外工具
annocheck
递归扫描 ELF 对象文件的目录、存档和 RPM 软件包。文件必须采用 ELF 格式。annocheck
不处理任何其他二进制文件类型。
4.6.2.1. 使用 annocheck 检查文件
下面的部分论述了如何使用 annocheck
检查 ELF 文件。
步骤
要检查文件,请使用:
$ annocheck file-name
使用文件名替换 file-name。
文件必须采用 ELF 格式。anocheck
不处理任何其他二进制文件类型。annocheck
会处理包含 ELF 对象文件的静态库。
附加信息
-
有关
annocheck
和可能命令行选项的更多信息,请参阅系统中的annocheck
手册页。
4.6.2.2. 使用 annocheck 检查目录
下面的部分论述了如何使用 annocheck
检查目录中的 ELF 文件。
步骤
要扫描目录,请使用:
$ annocheck directory-name
使用目录名称替换 directory-name。
annocheck
会自动检查目录的内容、其子目录以及该目录中的任何存档和 RPM 软件包。
annocheck
仅查找 ELF 文件。其他文件类型将被忽略。
附加信息
-
有关
annocheck
和可能命令行选项的更多信息,请参阅系统中的annocheck
手册页。
4.6.2.3. 使用 annocheck 检查 RPM 软件包
下面的部分论述了如何使用 annocheck
检查 RPM 软件包中的 ELF 文件。
步骤
要扫描 RPM 软件包,请使用:
$ annocheck rpm-package-name
使用 RPM 软件包的名称替换 rpm-package-name。
nocheck
会以递归方式扫描 RPM 软件包中的所有 ELF 文件。
annocheck
仅查找 ELF 文件。其他文件类型将被忽略。
要使用提供 debug info RPM 扫描 RPM 软件包,请使用:
$ annocheck rpm-package-name --debug-rpm debuginfo-rpm
使用 RPM 软件包的名称替换 rpm-package-name,使用与二进制 RPM 关联的调试信息 RPM 的名称替换 debuginfo-rpm。
附加信息
-
有关
annocheck
和可能命令行选项的更多信息,请参阅系统中的annocheck
手册页。
4.6.2.4. 使用 annocheck 额外的工具
annocheck
包括多个检查二进制文件的工具。您可以使用命令行选项启用这些工具。
下面的部分描述了如何启用:
-
built-by
工具 -
notes
工具 -
section-size
工具
您可以同时启用多个工具。
强化检查程序被默认启用。
4.6.2.4.1. 启用 built-by
工具
您可以使用 annocheck
built-by
工具来查找用于构建二进制文件的编译器的名称。
步骤
要启用
built-by
工具,请使用:$ annocheck --enable-built-by
附加信息
-
有关
built-by
工具的更多信息,请参阅--help
命令行选项。
4.6.2.4.2. 启用 notes
工具
您可以使用 annocheck
notes
工具显示存储在 annobin
插件创建的二进制文件中的注释。
步骤
要启用
notes
工具,请使用:$ annocheck --enable-notes
注释按地址范围排序。
附加信息
-
有关
notes
工具的详情,请查看--help
命令行选项。
4.6.2.4.3. 启用 section-size
工具
您可以使用 annocheck
section-size
工具显示指定部分的大小。
步骤
要启用
section-size
工具,请使用:$ annocheck --section-size=name
使用指定部分的名称替换 name。输出仅限于特定的部分。结束时会生成累积结果。
附加信息
-
有关
section-size
工具的更多信息,请参阅--help
命令行选项。
4.6.2.4.4. 强化检查程序基础知识
强化检查程序被默认启用。您可以使用 --disable-hardened
命令行选项禁用强化检查程序。
4.6.2.4.4.1. 强化检查程序选项
annocheck
程序检查以下选项:
-
使用
-z now
linker 选项禁用 lazy 绑定。 - 该程序没有堆栈在内存中的可执行区域。
- GOT 表的重新定位被设置为只读。
- 没有程序片段设置所有三个读取、写入和执行权限。
- 没有针对可执行代码重新定位。
- 在运行时查找共享库的 runpath 信息仅包含在 /usr 中根目录。
-
程序在启用了
annobin
备注的情况下编译。 -
程序在启用了
-fstack-protector-strong
选项的情况下被编译。 -
程序使用
-D_FORTIFY_SOURCE=2
编译。 -
程序使用
-D_GLIBCXX_ASSERTIONS
编译。 -
程序被编译时启用了
-fexceptions
。 -
程序在启用了
-fstack-clash-protection
的情况下被编译。 -
程序于
-O2
或更高版本编译。 - 程序没有处于写入状态的重新定位状态。
- 动态可执行文件具有动态片段。
-
共享库使用
-fPIC
或-fPIE
编译。 -
动态可执行文件使用
-fPIE
编译并通过-pie
链接。 -
如果可用,则使用
-fcf-protection=full
选项。 -
如果可用,则使用
-mbranch-protection
选项。 -
如果可用,则使用
-mstackrealign
选项。
4.6.2.4.4.2. 禁用强化检查程序
下面的部分论述了如何禁用强化检查程序。
步骤
要在没有强化检查程序的情况下扫描文件中的备注,请使用:
$ annocheck --enable-notes --disable-hardened file-name
使用文件名替换 file-name。
4.6.3. 删除冗余 annobin 备注
使用 annobin
会增加二进制文件的大小。要减少使用 annobin
编译的二进制文件的大小,您可以删除冗余的 annobin
备注。要删除冗余的 annobin
注释,请使用 objcopy
程序,这是 binutils
软件包的一部分。
步骤
要删除冗余的
annobin
备注,请使用:$ objcopy --merge-notes file-name
用文件名替换 file-name。
4.6.4. GCC Toolset 12 中的 annobin 的具体内容
在某些情况下,由于 GCC Toolset 12 中的 annobin
和 gcc
之间的同步问题,您的编译可能会失败,并显示类似如下的错误消息:
cc1: fatal error: inaccessible plugin file
opt/rh/gcc-toolset-12/root/usr/lib/gcc/architecture-linux-gnu/12/plugin/gcc-annobin.so
expanded from short plugin name gcc-annobin: No such file or directory
要临时解决这个问题,请从 annobin.so
文件中创建一个符号链接到 gcc-annobin.so
文件中:
# cd /opt/rh/gcc-toolset-12/root/usr/lib/gcc/architecture-linux-gnu/12/plugin
# ln -s annobin.so gcc-annobin.so
使用您系统中使用的构架替换 architecture :
-
aarch64
-
i686
-
ppc64le
-
s390x
-
x86_64