Флаги безопасности gcc

Если ты об этом спрашиваешь, значит тебе это не нужно.

Хотя... для скородрочера любые средства хороши.

Есть ли влияние на стабильность и производительность?

Несомненно.

Много смысла использовать их на домашней машине?

Если 1) у вас паранойя и 2) вы gentoo user, то есть, иначе нет.

-W опции ни на что не влияют - они настраивают информационные сообщения при компиляции.

В Fedora/RHEL есть опции круче:

-Wp,-D_FORTIFY_SOURCE=2 -fexceptions -fstack-protector --param=ssp-buffer-size=4

-pie и -fPIE тоже никаким местом не относятся к безопасности.

Короче, man gcc!!

С -fstack-protector не собирается куча софта

Я про -pie и -fPIE прочитал в официальном мануале по секуризации дебиана.

Чтобы точно знать, что можно включать без отрицательных последствий, смотри правила сборки пакетов Debian Wheezy и Sid.

В Fedora порядка 10 000 пакетов собраны с этой опцией - даж не знаю что и сказать ;)

А у меня линковщик вылетает :(

Не балуйтесь с оптимизацией при сборке binutils - `-O2 -march=native` - это единственно правильные флаги сборки для 99.99% пакетов.

У меня на все пакеты такие флаги:

-march=core2 -mtune=generic -O2 -pipe -mfpmath=sse -msse3 -Wno-all

Для binutils убрать -pipe -mfpmath=sse -msse3 -Wno-all?

Я уже сказал что надо использовать.

-march=core2 overrides -mtune=generic в вашем случае.

-mfpmath=sse -msse3 - нужны для полутора числодробильных пакетов, кроме этого от -mfpmath=sse кое-что крашится.

Итого, либо

-march=core2 -O2 -pipe

либо (чтобы я бы выбрал)

-march=native -O2 -pipe

-march=core2 overrides -mtune=generic в вашем случае.

4.2

Sil vy? ;)

Ты не совсем права.

march=core2 генерирует код лучше, чем -mtune generic, поэтому mtune в этом случае - бессмысленная (и даже вредная из-за разбухания кода) опция.

march=core2 генерирует код лучше, чем -mtune generic, поэтому mtune в этом случае - бессмысленная (и даже вредная из-за разбухания кода) опция.

А ты ничего не спутал? Как раз таки оптимизации увеличивают размер кода.

Вот так трапом и сделают :(

Я - нет ))

-march - генерит код под конкретную архитектуру.

-mtune - добавляет код ещё под некую универсальную (AMD/Intel) архитектуру.

-mtune=generic Produce code optimized for the most common IA32/AMD64/EM64T processors. If you know the CPU on which your code will run, then you should use the corresponding -mtune option instead of -mtune=generic. But, if you do not know exactly what CPU users of your application will have, then you should use this option.

As new processors are deployed in the marketplace, the behavior of this option will change. Therefore, if you upgrade to a newer version of GCC, the code generated option will change to reflect the processors that were most common when that version of GCC was released.

There is no -march=generic option because -march indicates the instruction set the compiler can use, and there is no generic instruction set applicable to all processors. In contrast, -mtune indicates the processor (or, in this case, collection of processors) for which the code is optimized.

-march=cpu-type Generate instructions for the machine type cpu-type. The choices for cpu-type are the same as for -mtune. Moreover, specifying -march=cpu-type implies -mtune=cpu-type.

Итого, в лучшем случае -mtune никогда не использовать.

Дистрибутивы её используют, но (!) только потому, что они не знают на каком процессоре сидит пользователь.

Простите, либо я не русский, но что значит «сделать трапом»?

-pie 
-fPIE

man ASLR

-fstack-protector

http://www.gentoo-wiki.info/Stack_smash_protection

-Wformat 
-Wformat-security

-W

Что-то у меня с -fstack-protector glibc не собирается.

Надо переключаться на hardended, будет там и -fstack-protector и прочие радости, всё под них пропатчено и собирается.

Ты пишешь фигню.

Возьми генту. Там уже давно все фильтры для CFLAGS есть, и хардендед тулчейн, и патчи

А в hardened весь десктопный софт работает?

Вроде проблем не замечал. У меня именно тулчейн с дефолтным ssp и pie. А не весь профиль целиком, если что. Ну и hardended в use.force

Всё работает.