NAMN¶

dpkg-buildflags - returnerar byggflaggor att använda för att bygga paket

SYNOPS¶

dpkg-buildflags [flagga...] kommando

BESKRIVNING¶

dpkg-buildflags är ett verktyg för att hämta kompileringsflaggor att använda för att bygga Debianpaket. De förvalda flaggorna anges av leverantören, men de kan utökas/överstyras på flera sätt:

1.

på hela systemet med /etc/dpkg/buildflags.conf;

2.

för den nuvarande användaren med $XDG_CONFIG_HOME/dpkg/buildflags.conf där $XDG_CONFIG_HOME har standardvärdet $HOME/.config;

3.

temporärt av användaren med miljövariabler (se stycket MILJÖ).

4.

dynamiskt av paketansvariga med miljövariabler som sätts via debian/rules (se stycket MILJÖ).

Konfigurationsfilerna kan innehålla två sorters direktiv:

SET flagga värde

Överstyr flaggan flagga till att ha värdet värde.

STRIP flagga värde

Ta bort alla flaggor som listas i värde från flaggan som anges i flagga.

APPEND flagga värde

Utöka flaggan flagga genom att lägga till alternativen som anges i värde. Ett blanksteg läggs till före värdet om flaggans nuvarande värde inte är tomt.

PREPEND flagga värde

Utöka flaggan flagga genom att lägga till alternativen som anges i värde först. Ett blanksteg läggs till efter värdet om flaggans nuvarande värde inte är tomt.

Konfigurationsfilerna kan innehålla kommentarer på rader som börjar med ett nummertecken (#). Även tomma rader ignoreras.

KOMMANDON¶

--dump

Skriv alla kompileringsflaggor och deras värde på standard ut. En flagga skrivs per rad, avdelade från sitt värde med ett likamedtecken (" flagga=värde"). Detta är standardåtgärden.

--list

Skriv ut listan över flaggor som stöds av den aktuella leverantören (en per rad). Se stycket FLAGGOR SOM STÖDS för mer information om dem.

--status

Visa information som kan vara användbar för att förklara dpkg-buildflags beteende: relevanta miljövariabler, aktuell återförsäljare, status för alla funktionsflaggor. Skriv även ut slutgiltiga kompilatorflaggor och deras källa.

 

Detta är tänkt att köras från debian/rules så att byggloggen innehåller ett tydligt spår över de använda byggflaggorna. Det kan vara användbart för att diagnostisera problem rörande dessa.

--export=format

Skriv skal- (om format är sh) eller make-kommandon (om format är make) som kan användas för att exportera alla kompileringsflaggor i miljön till standard ut. Om format är configure kan utdata användas på en ./configure-kommandorad. Om format inte anges antas sh. Endast kompileringsflaggor som börjar med en stor bokstav tas med, andra antas att inte vara lämpliga för miljön.

--get flagga

Skriv ut värdet på flaggan på standard ut. Avslutar med 0 om flaggan är känd, om inte avslutar den med 1.

--origin flagga

Anger ursprunget till flaggan som returneras av --get. Avslutar med 0 om flaggan är känd, om inte avslutar med 1. Ursprunget kan vara ett av följande värden:

--query-features area

Visa funktioner aktiverade för en given area. Den enda kända arean är för närvarande hardening. Avslutar med 0 om arean är okänd, avslutar annars med 1.

Utdataformatet är på RFC822-headerformat, med en sektion per funktion. Till exempel:

  Feature: pie
  Enabled: no

  Feature: stackprotector
  Enabled: yes
    

--help

Visar hjälpskärm och avslutar.

--version

Visar version och avslutar.

FLAGGOR SOM STÖDS¶

CFLAGS

Flaggor för C-kompilatorn. Standardvärdet som satts av leverantören innehåller -g och den förvalda optimeringsnivån (vanligtvis -O2, eller -O0 om miljövariabeln DEB_BUILD_OPTIONS definierar noopt).

CPPFLAGS

Flaggor för C-förprocesseraren. Förvalt värde: tomt.

CXXFLAGS

Flaggor för C++-kompilatorn. Samma som CFLAGS.

FFLAGS

Flaggor för Fortrankompilatorn. Samma som CFLAGS.

LDFLAGS

Flaggor som sänds till kompilatorn vid länkning av binärer eller delade objekt (om länkaren anropas direkt måste -Wl och , tas bort från dessa flaggor). Standardvärde: tomt.

FILER¶

/etc/dpkg/buildflags.conf

Konfigurationsfil för hela systemet.

$XDG_CONFIG_HOME/dpkg/buildflags.conf eller $HOME/.config/dpkg/buildflags.conf

Användarens konfigurationsfil.

MILJÖVARIABLER¶

Det finns två uppsättningar miljövariabler som utför samma operationer, den första (DEB_ flagga_op) bör aldrig användas inuti debian/rules). Den är tänkt för användare som vill bygga om källkodspaketet med andra byggflaggor. Den andra uppsättningen (DEB_ flagga_MAINT_op) bör endast användas i debian/rules av paketansvariga för att ändra de slutgiltiga byggflaggorna.

DEB_flagga_SET

DEB_flagga_MAINT_SET Denna variabel kan användas för att tvinga fram värdet som returneras för given flagga.

DEB_flagga_STRIP

DEB_flagga_MAINT_STRIP Denna variabel kan användas för att tillhandahålla en blankstegsavdelad lista med flaggor som kommer att tas bort från uppsättningen flaggor som ges för given flagga.

DEB_flagga_APPEND

DEB_flagga_MAINT_APPEND Denna variabel kan användas för att lägga till ytterligare flaggor till värdet som returneras för given flagga.

DEB_flagga_PREPEND

DEB_flagga_MAINT_PREPEND Denna variabel kan användas för att lägga till ytterligare flaggor först i värdet som returneras för given flagga.

DEB_BUILD_MAINT_OPTIONS

Den här variabeln kan användas för att slå av/på olika härdningsbyggflaggor genom alternativet hardening. Se avsnittet HÄRDNING för mer information.

HÄRDNING¶

Du kan använda flera kompileringsflaggor (se detaljer nedan) för att härda den färdiga binären mot minnesfördärvningsangrepp, eller för att ge ytterligare varningsmeddelanden under kompileringen. Förutom det som anges nedan aktiveras dessa som standard för arkitekturer som stöder dem. Varje härdningsfunktion kan aktiveras och inaktiveras i miljövariabeln DEB_BUILD_MAINT_OPTIONS värde hardening med modifierarna "+" och "-". Du kan till exempel aktivera och funktionen "pie" och inaktivera funktionen "fortify" genom att ange detta i debian/rules:
export DEB_BUILD_MAINT_OPTIONS=hardening=+pie,-fortify Den speciella funktionen all kan användas för att aktivera eller inaktivera alla härdningsfunktioner samtidigt. Du kan till exempel inaktivera allt och endast aktivera "format" och "fortify" med:
export DEB_BUILD_MAINT_OPTIONS=hardening=-all,+format,+fortify

format

Inställningen (aktiverad som standard) lägger till -Wformat -Werror=format-security till CFLAGS och CXXFLAGS. Detta kommer att varna om olämplig användning av formatsträngar, och att misslyckas när formatfunktionerna används på ett sätt som representerar möjliga säkerhetsproblem. För närvarande varnar detta om anrop till funktionerna printf och scanf där formatsträngen inte är en fast sträng och när det inte finns några formatargument, som i printf(foo); istället för printf("%s", foo); Detta kan vara ett säkerhetshål om formatsträngen kommer från en obetrodd källa och innehåller "%n".

fortify

Inställningen (aktiverad som standard) lägger till -D_FORTIFY_SOURCE=2 till CPPFLAGS. Kompilatorn har under kodgenereringen kännedom om en hel del information om buffertstorlekar (där tillämpligt) och försöker ersätta osäkra funktionsanrop med obegränsade buffertlängder med längdbegränsade dito. Det här är speciellt användbart för gammal, skräpig kod. Dessutom blockeras formatsträngar i skrivbart minne som innehåller "%n". Om ett program är beroende av en sådan formatsträng måste det gås runt i kod.

 

Observera att, för att den här flaggan skall ha någon effekt, måste källkoden också kompileras med -O1 eller högre.

stackprotector

Inställningen (aktiverad som standard) lägger till -fstack-protector --param=ssp-buffer-size=4 till CFLAGS och CXXFLAGS. Detta lägger till säkerhetskontroller mot stacköverskrivningar, vilket gör att många möjliga kodinjiceringsangrepp istället avbryter programmet. I det bästa fallet gör det kodinjiceringsangrepp till överbelastnignsangrepp eller icke-problem (beroende på programmet).

 

Den här funktionen kräver länkning mot glibc (eller ett annat bibliotek som tillhandahåller __stack_chk_fail), så det måste inaktiveras när du bygger med -nostdlib eller -ffreestanding eller liknande.

relro

Inställningen (aktiverad som standard) lägger till -Wl,-z,relro till LDFLAGS. Vid inläsning av programmet måste länkaren skriva till flera ELF-minnessektioner. Den här inställningen flaggar till inläsaren att dessa sektioner skall göras skrivskyddade innan programmet får kontroll. Detta skyddar huvudsaklingen mot GOT-överskrivningsangrepp. Om inställningen inaktiveras kommer även bindnow att inaktiveras.

bindnow

Inställningen (inaktiverad som standard) lägger till -Wl,-z,bindnow till LDFLAGS. Vid inläsning av programmet löses alla dynamiska symboler, vilket gör att hela PLT kan markeras som skrivskyddad (på grund av relro ovan). Inställningen kan inte aktiveras om relro inte är aktiverad.

pie

Inställningen (inaktiverad som standard) lägger till -fPIE till CFLAGS och CXXFLAGS, samt -fPIE -pie till LDFLAGS. Positionsoberoende exekverbara program (PIE) behövs för att dra fördel av slumpmässig adressrymd (ASLR), vilket stöds av vissa versioner av kärnan. Medan ASLR redan kan användas för datautrymmen i stacken och heap:en (brk och mmap), måste kodområden först kompileras som positionsoberoende. Delade bibliotek gör redan detta (-fPI C), så de drar automatiskt fördel av ASLR medan binära .text-regioner måste byggas med PIE för att uppnå ASLR. När detta sker är ROP-angrepp (Return Oriented Programming) mycket svårare eftersom det inte finns några statiska platser att studsa från i ett minnesfördärvningsangrepp.

 

Detta är inte kompatibelt med -fPIC så man måste vara försiktig när man bygger delade objekt.

 

Eftersom PIE i tillägg implementeras med ett generellt register kan vissa arkitekturer (huvudsakligen i386) se prestandaförluster upp till 15% i väldigt textsegment-tunga programs körning; de flesta körningar ser mindre än 1%. Arkitekturer med många generella register (t.ex amd64) ser inte en lika stor värsta falls-förlust.

ÖVERSÄTTNING¶

Peter Krefting och Daniel Nylander.