nginx 编译器选项

ddatsh

nginx -V gpt里 解释一下nginx的gcc编译参数

nginx version: nginx/1.27.0
built by gcc 11.3.1 20221121 (Red Hat 11.3.1-4) (GCC) 
built with OpenSSL 3.0.7 1 Nov 2022
TLS SNI support enabled
configure arguments: --prefix=/etc/nginx --sbin-path=/usr/sbin/nginx --modules-path=/usr/lib64/nginx/modules --conf-path=/etc/nginx/nginx.conf --error-log-path=/var/log/nginx/error.log --http-log-path=/var/log/nginx/access.log --pid-path=/var/run/nginx.pid --lock-path=/var/run/nginx.lock --http-client-body-temp-path=/var/cache/nginx/client_temp --http-proxy-temp-path=/var/cache/nginx/proxy_temp --http-fastcgi-temp-path=/var/cache/nginx/fastcgi_temp --http-uwsgi-temp-path=/var/cache/nginx/uwsgi_temp --http-scgi-temp-path=/var/cache/nginx/scgi_temp --user=nginx --group=nginx --with-compat --with-file-aio --with-threads --with-http_addition_module --with-http_auth_request_module --with-http_dav_module --with-http_flv_module --with-http_gunzip_module --with-http_gzip_static_module --with-http_mp4_module --with-http_random_index_module --with-http_realip_module --with-http_secure_link_module --with-http_slice_module --with-http_ssl_module --with-http_stub_status_module --with-http_sub_module --with-http_v2_module --with-http_v3_module --with-mail --with-mail_ssl_module --with-stream --with-stream_realip_module --with-stream_ssl_module --with-stream_ssl_preread_module --with-cc-opt='-O2 -flto=auto -ffat-lto-objects -fexceptions -g -grecord-gcc-switches -pipe -Wall -Werror=format-security -Wp,-D_FORTIFY_SOURCE=2 -Wp,-D_GLIBCXX_ASSERTIONS -specs=/usr/lib/rpm/redhat/redhat-hardened-cc1 -fstack-protector-strong -specs=/usr/lib/rpm/redhat/redhat-annobin-cc1 -m64 -march=x86-64-v2 -mtune=generic -fasynchronous-unwind-tables -fstack-clash-protection -fcf-protection -fPIC' --with-ld-opt='-Wl,-z,relro -Wl,-z,now -pie'

可以分为几个部分：配置路径、功能模块选项、编译优化和安全选项

路径配置

这些参数指定了 Nginx 安装和运行时使用的路径：

• --prefix=/etc/nginx：Nginx 安装目录
• --sbin-path=/usr/sbin/nginx：Nginx 主程序路径
• --modules-path=/usr/lib64/nginx/modules：模块安装路径
• --conf-path=/etc/nginx/nginx.conf：配置文件路径
• --error-log-path=/var/log/nginx/error.log：错误日志路径
• --http-log-path=/var/log/nginx/access.log：HTTP 访问日志路径
• --pid-path=/var/run/nginx.pid：PID 文件路径
• --lock-path=/var/run/nginx.lock：锁文件路径
• --http-client-body-temp-path=/var/cache/nginx/client_temp：客户端请求体临时文件路径
• --http-proxy-temp-path=/var/cache/nginx/proxy_temp：代理临时文件路径
• --http-fastcgi-temp-path=/var/cache/nginx/fastcgi_temp：FastCGI 临时文件路径
• --http-uwsgi-temp-path=/var/cache/nginx/uwsgi_temp：uWSGI 临时文件路径
• --http-scgi-temp-path=/var/cache/nginx/scgi_temp：SCGI 临时文件路径

用户和组

• --user=nginx：指定运行 Nginx 的用户
• --group=nginx：指定运行 Nginx 的用户组

功能模块

这些参数启用或禁用 Nginx 的各种模块和功能：

• --with-compat：兼容模式，用于动态模块
• --with-file-aio：启用文件异步 I/O
• --with-threads：启用线程池
• --with-http_addition_module：启用 HTTP Addition 模块
• --with-http_auth_request_module：启用 HTTP Auth Request 模块
• --with-http_dav_module：启用 HTTP WebDAV 模块
• --with-http_flv_module：启用 HTTP FLV 流媒体模块
• --with-http_gunzip_module：启用 HTTP Gunzip 模块
• --with-http_gzip_static_module：启用 HTTP Gzip 静态文件模块
• --with-http_mp4_module：启用 HTTP MP4 流媒体模块
• --with-http_random_index_module：启用 HTTP Random Index 模块
• --with-http_realip_module：启用 HTTP Real IP 模块
• --with-http_secure_link_module：启用 HTTP Secure Link 模块
• --with-http_slice_module：启用 HTTP Slice 模块
• --with-http_ssl_module：启用 HTTP SSL/TLS 模块
• --with-http_stub_status_module：启用 HTTP Stub Status 模块
• --with-http_sub_module：启用 HTTP Substitution 模块
• --with-http_v2_module：启用 HTTP/2 支持
• --with-http_v3_module：启用 HTTP/3 支持
• --with-mail：启用邮件代理模块
• --with-mail_ssl_module：启用邮件 SSL 模块
• --with-stream：启用流（TCP/UDP）代理模块
• --with-stream_realip_module：启用流的 Real IP 模块
• --with-stream_ssl_module：启用流的 SSL 模块
• --with-stream_ssl_preread_module：启用流的 SSL 预读模块

编译器选项

这些参数优化了编译过程，并增强了二进制文件的安全性和性能：

• --with-cc-opt='...options...'：传递给编译器的选项：
  • -O2：优化代码
  • -flto=auto：启用自动链接时优化
  • -ffat-lto-objects：生成多种目标文件，以便不同编译器链接使用
  • -fexceptions：启用异常处理
  • -g：生成调试信息
  • -grecord-gcc-switches：记录 GCC 编译开关
  • -pipe：使用管道而不是临时文件进行编译
  • -Wall：启用所有常见警告
  • -Werror=format-security：将格式字符串错误视为编译错误
  • -Wp,-D_FORTIFY_SOURCE=2：启用额外的安全检查
  • -Wp,-D_GLIBCXX_ASSERTIONS：启用 C++ 标准库的运行时断言
  • -specs=/usr/lib/rpm/redhat/redhat-hardened-cc1：使用特定的编译规则
  • -fstack-protector-strong：加强栈保护
  • -specs=/usr/lib/rpm/redhat/redhat-annobin-cc1：使用 Annobin 分析二进制文件安全性
  • -m64：生成 64 位代码
  • -march=x86-64-v2：针对 x86-64-v2 架构优化
  • -mtune=generic：优化生成的代码以在不同的 x86-64 处理器上表现良好
  • -fasynchronous-unwind-tables：生成异步展开表
  • -fstack-clash-protection：保护栈冲突
  • -fcf-protection：启用控制流保护
  • -fPIC：生成位置无关代码
• --with-ld-opt='...options...'：传递给链接器的选项：
  • -Wl,-z,relro：启用只读重定位
  • -Wl,-z,now：强制立即解析所有动态符号
  • -pie：生成位置无关可执行文件

-O

-O2 -O3，都是一组优化选项的集合，要知道具体做了什么，可以通过 gcc/g++ 的 -c -Q --help=optimizers 参数

gcc -c -Q --help=optimizers >/tmp/O-opts
gcc -c -Q -O2 --help=optimizers >/tmp/O2-opts
diff /tmp/O2-opts /tmp/O-opts | grep enabled

-flto

跨文件优化

其他还有 FDO（Feedback-directed Optimization）、BOLT（Binary Optimization and Layout Tool）、PGO

注意开启 LTO 后会对断点的单步执行有影响? debug 模式下还是不建议开启

-fexceptions

nginx源码全c，没搜到用的地方

#include <iostream>

void process(int num) {
    if (num <= 0) {
        throw std::runtime_error("Number must be positive");
    }
    std::cout << "Processed number: " << num << std::endl;
}

int main() {
    try {
        process(-1); // This will throw an exception
    } catch (const std::exception& e) {
        std::cerr << "Exception caught: " << e.what() << std::endl;
    }
    return 0;
}

-pipe

通常配合 -j 并行

-fstack-protector-strong

栈的保护 (Stack Protector)

很久之前，矿工在煤井中挖煤时，经常遇到瓦斯泄露的安全事故。后来有人发现一种鸟–金丝雀对瓦斯很敏感。于是矿工就用它作为安全报警装置

Stack Protector 又名 canary、stack cookie 等，gcc 中的 - fstack-protector 参数提供了一个随机的栈金丝雀 (stack canary)，类似于 Windows 平台下 Visual Studio 中的 GS

#include <string.h>
#include <stdio.h>

int main(void)
{
    char array[2] = {0};

    strcpy(array, "stackwilloverflow");

    return 0;
}

-fno-stack-protector

不保护

Segmentation fault

-fstack-protector-strong

*** stack smashing detected ***: terminated
Aborted

-fstack-protector

Segmentation fault

strcpy(array, "stackwilloverflowoooooooooo");

数组大小超过 8 字节过后，stack-protector 才能检测出栈溢出

Segmentation fault

• stack-protector 性能：stack-protector > stack-protector-strong > stack-protector-all
• stack-protector 覆盖范围：stack-protector < stack-protector-strong < stack-protector-all

-fasynchronous-unwind-tables

可以帮助调试器和异常处理机制在没有堆栈帧指针,即使在高度优化的环境中(-O3)的情况下也能正确地解码和展开调用堆栈

-fcf-protection

控制流保护

• -fcf-protection=full：启用所有类型的控制流保护，包括 IBT 和影子栈
• -fcf-protection=branch：仅启用间接分支保护（IBT）
• -fcf-protection=return：仅启用影子栈保护
• -fcf-protection=none：禁用所有控制流保护（默认）