[Gelistirici] Smash that stack harder aka Pardus 2008 C(XX)FLAGS

[S.Çağlar Onur]

03 Şub 2008 Paz tarihinde, Ismail Dönmez şunları yazmıştı: 
> Pardus 2008 en güvenli Pardus olsun çalışması kapsamında şu flagları 
> öneriyorum :
> 
> -mtune=generic -march=i686 -O2 -pipe -fomit-frame-pointer

Halen -O2/O3 veya Os arasında kararsızım ben :)
 
> bunlar temel optimizasyon flagleri, ek güvenlik için
> 
> -fstack-protector
> 
> Bu flag ile stack smashing [0] saldırıları önleniyor daha önceden yazdığım 
> ASLR özelliğine ek bir koruma sistemi. Stack protector genel olarak açılınca 
> bazı paketlerde özel olarak kapatılması gerekicek ( kernel kendisi kapatıyor 
> mesela).

1.0 -fstack-protector-all ile derlenmişti ve o zamanki gcc'miz SPP yamalarını yanında taşıyordu, multimedia hedelerindeki sorunlar dışında (ne olduklarını hatırlamıyorum) bir sorun yaşadığımızı hatırlamıyorum,
 
> -D_FORTIFY_SOURCE=2
> 
> Derleme sırasında buffer overflowlara karşı önlem alıyor. Gcc 4.3 ve glibc 
> 2.7+ ile birlikte artık C++ programlarını da destekliyor. [1]

Bunu her paket için mi yapmalı yoksa SUSE'nin yaptığı gibi sadece glibc için mi bunu kullanmalı bilemiyorum.

> Yorumlar/fikirler/öneriler ?

Diğer dağıtımların ne yaptığı ile ilgili kesin bilgi var mı elimizde? Suse wiki'sinde toplantı notları arasında bir seri tartışma var şu mu olsun bu mu olsun diye ama kesin sonuç bulamadım (aslında çok da aramadım ne yalan söyleyeyim). Onları da öğrensek fena olmayacak.

-- 
S.Çağlar Onur <caglar at pardus.org.tr>
http://cekirdek.pardus.org.tr/~caglar/

Linux is like living in a teepee. No Windows, no Gates and an Apache in house!
-------------- sonraki bölüm --------------
A non-text attachment was scrubbed...
Name: kullanılamıyor
Type: application/pgp-signature
Size: 189 bytes
Desc: This is a digitally signed message part.
URL: <http://liste.pardus.org.tr/gelistirici/attachments/20080203/dbc48709/attachment-0002.pgp>