利用Yocto图像的缓解/安全硬化

Question

Yocto/OE提供了什么来启用内核、工具链和用户空间中现有的漏洞缓解技术？像ASLR，堆栈保护，安全的用户拷贝，禁用ptrace，.

我是否必须手动配置这些东西，或者Yocto中有什么东西可以帮助我？

Answer 1

解决我的问题的文档入口点可以在这里找到：https://www.yoctoproject.org/docs/latest/dev-manual/dev-manual.html#making-images-more-secure

https://www.yoctoproject.org/docs/latest/dev-manual/dev-manual.html#security-flags描述了如何使用更安全的编译器标志编译程序。

这些标志支持堆栈保护器、FORTIFY_SOURCE、位置独立代码(用于ASLR)、字符串格式检查和只读重定位。它还维护了已知不使用这些选项构建的软件包的黑名单。这些都是用不那么严格的标志编译的。这些标志会影响用户空间。

Yocto没有提供一个中央开关来启用内核本身的缓解/硬化。这必须通过内核配置片段手动完成。

在这里可以找到一个Yocto层，它包含各种增强图像的手段和工具：https://git.yoctoproject.org/cgit/cgit.cgi/meta-security/tree/README

Answer 2

在元-安全/食谱-安全有一些工具，如校验秒(检查精灵，共享库等，以支持aslr，relro，nx，饼)。您可以检查目录，并可以使用类似的工具。