Yocto / OE提供了什么来启用内核,工具链和用户空间中现有的漏洞利用缓解技术?像ASLR,堆栈保护程序,安全用户副本,禁用ptrace,......
我是否需要手动配置这些东西,或者Yocto中有什么东西可以帮助我吗?
答案 0 :(得分:1)
可以在此处找到解决我的问题的文档入口点: https://www.yoctoproject.org/docs/latest/dev-manual/dev-manual.html#making-images-more-secure
https://www.yoctoproject.org/docs/latest/dev-manual/dev-manual.html#security-flags描述了如何使用更安全的编译器标志编译程序。
标志启用堆栈保护器,FORTIFY_SOURCE,位置无关代码(用于ASLR),字符串格式检查和只读重定位。它还维护一个黑名单包,这些包已知不会使用这些选项构建。这些是用不那么严格的标志编译的。这些标志会影响用户空间。
Yocto没有提供中央交换机来启用内核本身的缓解/强化。这必须通过内核配置片段手动完成。
可以在此处找到包含各种硬化图像的手段和工具的Yocto图层: https://git.yoctoproject.org/cgit/cgit.cgi/meta-security/tree/README
答案 1 :(得分:0)
在meta-security / recipes-security内部,有一些工具,例如checksec(检查elf,共享库等,以支持aslr,relro,nx,pie)。您可以检查目录,并可以使用工具进行此类操作。