我是 Haskell 初学者。我写了一个简单的代码并用ghc编译它。使用命令 checksec 检查编译的二进制文件的结果是,未应用 PIE,并且 RelRO 设置为部分。
λ vm-ubuntu22 projects → checksec --file haskell_code
RELRO STACK CANARY NX PIE RPATH RUNPATH FILE
Partial RELRO No canary found NX enabled No PIE No RPATH No RUNPATH haskell_code
我想编译二进制文件以具有 PIE 和完整的 ReloRO。我也尝试过
-fPIE仅供参考,我使用的是 ghc 9.6.6 版本,操作系统是 ubuntu 22.04。
简短回答:尝试:
ghc -fforce-recomp -O2 -fPIE -pie -dynamic -dynload deploy -optl=-znow -optl=-s Hello.hs
生成启用 PIE 的完整 RELO、带有剥离符号的动态链接可执行文件。 如果您想要静态链接,请参见下文。
-fforce-recomp更长的答案:您应该能够使用
-fPIE -pie -dynamic$ ghc -O2 -fPIE -pie -dynamic Hello.hs
Loaded package environment from /u/buhr/.ghc/x86_64-linux-9.6.4/environments/default
[1 of 2] Compiling Main ( Hello.hs, Hello.o )
[2 of 2] Linking Hello
这里,
-pie-dynamic-fPIC编译的在我的机器上,这会提供一个启用了 PIE 的二进制文件,但带有新的 RW-RUNPATH 警告:
$ checksec --file=Hello
RELRO STACK CANARY NX PIE RPATH RUNPATH Symbols FORTIFY Fortified Fortifiable FILE
Partial RELRO No canary found NX enabled PIE enabled No RPATH RW-RUNPATH 56 Symbols No 0 0 Hello
这是因为
-dynamic$ ls -l Hello
-rwxr-xr-x 1 buhr buhr 128104 Oct 23 11:49 Hello
但是,默认的 GHC 库搜索策略是
-dynload sysdep.ghcup.stack-dynload deploy$ ghc -fforce-recomp -O2 -fPIE -pie -dynamic -dynload deploy Hello.hs
(这是一个需要
-fforce-recomp-dynload如果您想要一个仍然位置无关的静态链接可执行文件,您可以尝试删除
-dynamic$ ghc -O2 -fPIE -pie Hello.hs
如果幸运的话,您的发行版可能拥有所有已使用
-fPIC-fPIC-fPIC要获得完整的 RELRO 可执行文件,您需要将
-znow$ ghc -O2 -optl=-znow Hello.hs
您还可以使用单独的
strip-s因此,以下 GHC 命令行:
ghc -fforce-recomp -O2 -fPIE -pie -dynamic -dynload deploy -optl=-znow -optl=-s Hello.hs
应该为您提供一个可执行文件,可以通过除金丝雀和强化测试之外的所有测试:
$ ghc -fforce-recomp -O2 -fPIE -pie -dynamic -dynload deploy -optl=-znow -optl=-s Hello.hs
Loaded package environment from /u/buhr/.ghc/x86_64-linux-9.6.4/environments/default
[1 of 2] Compiling Main ( Hello.hs, Hello.o )
[2 of 2] Linking Hello [Objects changed]
$ checksec --file=Hello
RELRO STACK CANARY NX PIE RPATH RUNPATH Symbols FORTIFY Fortified Fortifiable FILE
Full RELRO No canary found NX enabled PIE enabled No RPATH No RUNPATH No Symbols No 0 0 Hello