Dies ist die Befehlshärtungsprüfung, die beim kostenlosen Hosting-Anbieter OnWorks mit einer unserer zahlreichen kostenlosen Online-Workstations wie Ubuntu Online, Fedora Online, dem Windows-Online-Emulator oder dem MAC OS-Online-Emulator ausgeführt werden kann
PROGRAMM:
NAME/FUNKTION
Hardening-Check – Binärdateien auf Sicherheitshärtungsfunktionen prüfen
ZUSAMMENFASSUNG
hardening-check [Optionen] [ELF ...]
Untersuchen Sie einen bestimmten Satz von ELF-Binärdateien und prüfen Sie, ob mehrere Sicherheitsfunktionen vorhanden sind.
schlägt fehl, wenn nicht alle gefunden werden.
BESCHREIBUNG
Dieses Dienstprogramm überprüft eine bestimmte Liste von ELF-Binärdateien auf verschiedene Sicherheitsfunktionen
das in eine ausführbare Datei kompiliert werden kann. Diese Funktionen sind:
Position Unabhängig Ausführbar
Dies weist darauf hin, dass die ausführbare Datei so erstellt wurde (PIE), dass der „Text“
Programmabschnitt kann im Speicher verschoben werden. Um dies voll auszunutzen
Um diese Funktion nutzen zu können, muss der ausführende Kernel die Text-Adressraum-Layout-Randomisierung unterstützen
(ASLR).
Stapeln Geschützt
Dies weist darauf hin, dass es Beweise dafür gibt, dass das ELF mit dem erstellt wurde gcc(1)
zu erhalten -stapelschutz (z. B. verwendet __stack_chk_fail). Das Programm wird sein
resistent gegen einen Stapelüberlauf.
Wenn eine ausführbare Datei erstellt wurde, ohne dass Zeichenarrays zugewiesen wurden
Stack führt diese Prüfung zu Fehlalarmen (da keine Verwendung von erfolgt).
__stack_chk_fail), obwohl es mit den richtigen Optionen kompiliert wurde.
Stärken Quelle Funktionen
Dies zeigt an, dass die ausführbare Datei mit kompiliert wurde -D_FORTIFY_SOURCE=2 und -O1
oder höher. Dies führt dazu, dass bestimmte unsichere Glibc-Funktionen sicherer werden
Gegenstücke (z streng statt strcpy) oder ersetzt Anrufe, die vorhanden sind
Zur Laufzeit überprüfbar mit der Runtime-Check-Version (z. B __memcpy_chk stattdessen
of memcpy).
Wenn eine ausführbare Datei so erstellt wurde, dass die verstärkten Versionen der glibc
Funktionen sind nicht nützlich (z. B. wird die Verwendung zur Kompilierungszeit als sicher überprüft, oder use
zur Laufzeit nicht verifiziert werden kann), führt diese Prüfung zu Fehlalarmen. In einem (n
Bemühen Sie sich, dies zu mildern, die Prüfung wird bestanden, wenn eine verstärkte Funktion gefunden wird,
und schlägt fehl, wenn nur nicht befestigte Funktionen gefunden werden. Auch nicht überprüfbare Bedingungen
bestanden (z. B. wurden keine Funktionen gefunden, die verstärkt werden könnten, oder gegen die nicht verlinkt wurde).
glibc).
Nur-Lese- Umzüge
Dies zeigt an, dass die ausführbare Datei mit erstellt wurde -Wl,-z,relro ELF haben
Markierungen (RELRO), die den Laufzeitlinker auffordern, alle Regionen der Verschiebung zu markieren
Tabelle als „schreibgeschützt“, wenn sie vor Beginn der Ausführung aufgelöst wurden. Dies reduziert
die möglichen Speicherbereiche in einem Programm, die von einem Angreifer genutzt werden können
führt einen erfolgreichen Speicherbeschädigungs-Exploit durch.
Unmittelbar Bindung
Dies zeigt an, dass die ausführbare Datei mit erstellt wurde -Wl,-z,jetzt ELF-Markierungen haben
(BIND_NOW), die den Laufzeitlinker auffordern, alle Verschiebungen vor dem Start aufzulösen
Programmausführung. In Kombination mit RELRO oben wird dies weiter reduziert
Speicherbereiche, die für Speicherbeschädigungsangriffe verfügbar sind.
OPTIONAL
--nopie, -p
Nein, es ist nicht erforderlich, dass die überprüften Binärdateien als PIE erstellt werden.
--nostackprotector, -s
Nein, es ist nicht erforderlich, dass die überprüften Binärdateien mit dem Stapelschutz erstellt werden.
--nofortify, -f
Nein, es ist nicht erforderlich, dass die überprüften Binärdateien mit Fority Source erstellt werden.
--norelro, -r
Nein, es ist nicht erforderlich, dass die überprüften Binärdateien mit RELRO erstellt werden.
--nobindnow, -b
Nein, es ist nicht erforderlich, dass die überprüften Binärdateien mit BIND_NOW erstellt werden.
--ruhig, -q
Melden Sie nur Fehler.
- ausführlich, -v
Melden Sie Fehler ausführlich.
--report-functions, -R
Zeigen Sie nach dem Bericht alle externen Funktionen an, die das ELF benötigt.
--find-libc-functions, -F
Suchen Sie anstelle des regulären Berichts die libc für das erste ELF im Befehl
Zeile und melden Sie alle bekannten „verstärkten“ Funktionen, die von libc exportiert werden.
--color, -c
Aktivieren Sie die farbige Statusausgabe.
--lintian, -l
Schalten Sie die Berichterstellung auf die Lintian-Check-Parsable-Ausgabe um.
--debuggen Melden Sie einige Debugging-Vorgänge während der Verarbeitung.
--help, -h, -?
Drucken Sie eine kurze Hilfenachricht und beenden Sie das Programm.
--Mann, -H
Drucken Sie die Handbuchseite und beenden Sie den Vorgang.
RÜCKKEHR BEWERTUNG
Wenn alle überprüften Binärdateien alle überprüfbaren Härtungsfunktionen erkannt haben, wird dieses Programm ausgeführt
wird mit einem Exit-Code von 0 beendet. Wenn eine Prüfung fehlschlägt, ist der Exit-Code 1.
Einzelne Prüfungen können über Befehlszeilenoptionen deaktiviert werden.
Nutzen Sie den Hardening-Check online über die Dienste von onworks.net
