nginx 编译器选项
ddatsh
nginx -V gpt里 解释一下nginx的gcc编译参数
|
|
可以分为几个部分:配置路径、功能模块选项、编译优化和安全选项
路径配置
这些参数指定了 Nginx 安装和运行时使用的路径:
--prefix=/etc/nginx
:Nginx 安装目录--sbin-path=/usr/sbin/nginx
:Nginx 主程序路径--modules-path=/usr/lib64/nginx/modules
:模块安装路径--conf-path=/etc/nginx/nginx.conf
:配置文件路径--error-log-path=/var/log/nginx/error.log
:错误日志路径--http-log-path=/var/log/nginx/access.log
:HTTP 访问日志路径--pid-path=/var/run/nginx.pid
:PID 文件路径--lock-path=/var/run/nginx.lock
:锁文件路径--http-client-body-temp-path=/var/cache/nginx/client_temp
:客户端请求体临时文件路径--http-proxy-temp-path=/var/cache/nginx/proxy_temp
:代理临时文件路径--http-fastcgi-temp-path=/var/cache/nginx/fastcgi_temp
:FastCGI 临时文件路径--http-uwsgi-temp-path=/var/cache/nginx/uwsgi_temp
:uWSGI 临时文件路径--http-scgi-temp-path=/var/cache/nginx/scgi_temp
:SCGI 临时文件路径
用户和组
--user=nginx
:指定运行 Nginx 的用户--group=nginx
:指定运行 Nginx 的用户组
功能模块
这些参数启用或禁用 Nginx 的各种模块和功能:
--with-compat
:兼容模式,用于动态模块--with-file-aio
:启用文件异步 I/O--with-threads
:启用线程池--with-http_addition_module
:启用 HTTP Addition 模块--with-http_auth_request_module
:启用 HTTP Auth Request 模块--with-http_dav_module
:启用 HTTP WebDAV 模块--with-http_flv_module
:启用 HTTP FLV 流媒体模块--with-http_gunzip_module
:启用 HTTP Gunzip 模块--with-http_gzip_static_module
:启用 HTTP Gzip 静态文件模块--with-http_mp4_module
:启用 HTTP MP4 流媒体模块--with-http_random_index_module
:启用 HTTP Random Index 模块--with-http_realip_module
:启用 HTTP Real IP 模块--with-http_secure_link_module
:启用 HTTP Secure Link 模块--with-http_slice_module
:启用 HTTP Slice 模块--with-http_ssl_module
:启用 HTTP SSL/TLS 模块--with-http_stub_status_module
:启用 HTTP Stub Status 模块--with-http_sub_module
:启用 HTTP Substitution 模块--with-http_v2_module
:启用 HTTP/2 支持--with-http_v3_module
:启用 HTTP/3 支持--with-mail
:启用邮件代理模块--with-mail_ssl_module
:启用邮件 SSL 模块--with-stream
:启用流(TCP/UDP)代理模块--with-stream_realip_module
:启用流的 Real IP 模块--with-stream_ssl_module
:启用流的 SSL 模块--with-stream_ssl_preread_module
:启用流的 SSL 预读模块
编译器选项
这些参数优化了编译过程,并增强了二进制文件的安全性和性能:
--with-cc-opt='...options...'
:传递给编译器的选项:-O2
:优化代码-flto=auto
:启用自动链接时优化-ffat-lto-objects
:生成多种目标文件,以便不同编译器链接使用-fexceptions
:启用异常处理-g
:生成调试信息-grecord-gcc-switches
:记录 GCC 编译开关-pipe
:使用管道而不是临时文件进行编译-Wall
:启用所有常见警告-Werror=format-security
:将格式字符串错误视为编译错误-Wp,-D_FORTIFY_SOURCE=2
:启用额外的安全检查-Wp,-D_GLIBCXX_ASSERTIONS
:启用 C++ 标准库的运行时断言-specs=/usr/lib/rpm/redhat/redhat-hardened-cc1
:使用特定的编译规则-fstack-protector-strong
:加强栈保护-specs=/usr/lib/rpm/redhat/redhat-annobin-cc1
:使用 Annobin 分析二进制文件安全性-m64
:生成 64 位代码-march=x86-64-v2
:针对 x86-64-v2 架构优化-mtune=generic
:优化生成的代码以在不同的 x86-64 处理器上表现良好-fasynchronous-unwind-tables
:生成异步展开表-fstack-clash-protection
:保护栈冲突-fcf-protection
:启用控制流保护-fPIC
:生成位置无关代码
--with-ld-opt='...options...'
:传递给链接器的选项:-Wl,-z,relro
:启用只读重定位-Wl,-z,now
:强制立即解析所有动态符号-pie
:生成位置无关可执行文件
-O
-O2 -O3
,都是一组优化选项的集合,要知道具体做了什么,可以通过 gcc/g++ 的 -c -Q --help=optimizers
参数
|
|
-flto
跨文件优化
其他还有 FDO(Feedback-directed Optimization)、BOLT(Binary Optimization and Layout Tool)、PGO
注意开启 LTO 后会对断点的单步执行有影响? debug 模式下还是不建议开启
-fexceptions
nginx源码全c,没搜到用的地方
|
|
-pipe
通常配合 -j 并行
-fstack-protector-strong
栈的保护 (Stack Protector)
很久之前,矿工在煤井中挖煤时,经常遇到瓦斯泄露的安全事故。后来有人发现一种鸟–金丝雀对瓦斯很敏感。于是矿工就用它作为安全报警装置
Stack Protector 又名 canary、stack cookie 等,gcc 中的 - fstack-protector 参数提供了一个随机的栈金丝雀 (stack canary),类似于 Windows 平台下 Visual Studio 中的 GS
|
|
-fno-stack-protector
不保护
|
|
-fstack-protector-strong
|
|
-fstack-protector
|
|
|
|
数组大小超过 8 字节过后,stack-protector 才能检测出栈溢出
|
|
- stack-protector 性能:stack-protector > stack-protector-strong > stack-protector-all
- stack-protector 覆盖范围:stack-protector < stack-protector-strong < stack-protector-all
-fasynchronous-unwind-tables
可以帮助调试器和异常处理机制在没有堆栈帧指针,即使在高度优化的环境中(-O3)的情况下也能正确地解码和展开调用堆栈
-fcf-protection
控制流保护
- -fcf-protection=full:启用所有类型的控制流保护,包括 IBT 和影子栈
- -fcf-protection=branch:仅启用间接分支保护(IBT)
- -fcf-protection=return:仅启用影子栈保护
- -fcf-protection=none:禁用所有控制流保护(默认)