Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Le noyau Linux 6.1 de AL2 023 est configuré et construit avec plusieurs options et fonctionnalités de renforcement.
Options de sécurisation renforcée du noyau (indépendantes de l'architecture)
Autoriser l'insertion/le remplacement des méthodes ACPI lors de l'exécution (CONFIG_ACPI_CUSTOM_METHOD)
Amazon Linux désactive cette option, car elle permet aux utilisateurs root d'écrire dans une mémoire de noyau arbitraire.
Cette option est l'un des paramètres recommandés par le Kernel Self Protection Project
Formats binaires divers (binfmt_misc)
Bien que cette option soit l'un des paramètres recommandés par le Kernel Self Protection Project (KSPP)
Prise en charge de BUG()
Cette option est l'un des paramètres recommandés par le Kernel Self Protection Project
BUG() si le noyau détecte une corruption de données lors de la vérification de la validité des structures de mémoire du noyau
Certaines parties du noyau Linux vérifient la cohérence interne des structures de données et peuvent générer un élément BUG() lorsqu'elles détectent une corruption de données.
Cette option est l'un des paramètres recommandés par le Kernel Self Protection Project
COMPAT_BRK
Lorsque cette option est désactivée (ce qui est la manière dont Amazon Linux configure le noyau), le paramètre randomize_va_space sysctl est défini par défaut sur 2, ce qui permet également l'aléatorisation des tas en plus de l'aléatorisation des pages VSDO, de la pile et de la base mmap.
Cette option existe dans le noyau pour assurer la compatibilité avec certains binaires libc.so.5 anciens datant de 1996 et avant.
Cette option est l'un des paramètres recommandés par le Kernel Self Protection Project
COMPAT_VDSO
Cette option de configuration est pertinente pour x86-64 et non pour aarch64. En définissant ce paramètre sur n, le noyau Amazon Linux ne rend pas visible un objet partagé dynamique virtuel (VDSO) 32 bits à une adresse prévisible. La bibliothèque glibc la plus récente connue pour être corrompue par la définition de cette option sur n est la glibc 2.3.3, datant de 2004.
Cette option est l'un des paramètres recommandés par le Kernel Self Protection Project
Sécurisation renforcée contrôlée par CONFIG_DEBUG
Les options de configuration du noyau Linux contrôlées par CONFIG_DEBUG sont généralement conçues pour être utilisées dans des noyaux conçus pour des problèmes de débogage, et des éléments tels que les performances ne sont pas une priorité. AL2023 active l'option de CONFIG_DEBUG_LIST durcissement.
Désactivation du DMA pour les périphériques PCI dans le stub EFI avant de configurer IOMMU
Bien que cette option soit l'un des paramètres recommandés par le Kernel Self Protection Project (KSPP)
Sécurisation renforcée pour copier la mémoire entre le noyau et l'espace utilisateur
Lorsque le noyau doit copier la mémoire avec l'espace utilisateur comme source ou comme cible, cette option active certaines vérifications qui contribuent à prévenir certaines catégories de problèmes de débordement de mémoire.
L'option CONFIG_HARDENED_USERCOPY_FALLBACK existait dans les noyaux 4.16 à 5.15 pour aider les développeurs de noyau à découvrir les entrées manquantes de la liste d'autorisation via un élément WARN(). Comme AL2 023 fournit un noyau 6.1, cette option n'est plus pertinente pour AL2 023.
L'CONFIG_HARDENED_USERCOPY_PAGESPANoption existait dans les noyaux principalement en tant qu'option de débogage pour les développeurs et ne s'applique plus au noyau 6.1 en AL2 2023.
Cette option est l'un des paramètres recommandés par le Kernel Self Protection Project
Prise en charge de la mise en veille prolongée
Bien que cette option soit l'un des paramètres recommandés par le Kernel Self Protection Project (KSPP)
Génération de nombres aléatoires
Le noyau AL2 023 est configuré pour garantir qu'une entropie adéquate est disponible pour une utilisation en son sein. EC2
CONFIG_INET_DIAG
Bien que cette option soit l'un des paramètres recommandés par le Kernel Self Protection Project (KSPP)
Mise à zéro de toutes les pages du noyau et de la mémoire de l'allocateur de sections lors de l'allocation et de la désallocation
Bien que cette option soit l'un des paramètres recommandés par le Kernel Self Protection Project (KSPP)CONFIG_INIT_ON_ALLOC_DEFAULT_ON peut être activé en ajoutant init_on_alloc=1 à la ligne de commande du noyau, et le comportement CONFIG_INIT_ON_FREE_DEFAULT_ON peut être activé en ajoutant init_on_free=1.
Initialise toutes les variables de pile poru qu'elles correspondent à zéro (CONFIG_INIT_STACK_ALL_ZERO)
Bien que cette option soit l'un des paramètres recommandés par le Kernel Self Protection Project (KSPP)
Signature des modules du noyau
AL2023 signe et valide les signatures des modules du noyau. L'option CONFIG_MODULE_SIG_FORCE, qui oblige les modules à avoir une signature valide, n'est pas activée afin de préserver la compatibilité pour les utilisateurs qui créent des modules tiers. Pour les utilisateurs qui souhaitent s'assurer que tous les modules du noyau sont signés, le Module de sécurité Linux (LSM) de verrouillage peut être configuré pour l'appliquer.
kexec
Bien que cette option soit l'un des paramètres recommandés par le Kernel Self Protection Project (KSPP)kdump puisse être utilisée.
Prise en charge de IOMMU
AL2023 active le support IOMMU. L'option CONFIG_IOMMU_DEFAULT_DMA_STRICT n'est pas activée par défaut, mais cette fonctionnalité peut être configurée en ajoutant iommu.passthrough=0 iommu.strict=1 à la ligne de commande du noyau.
kfence
Bien que cette option soit l'un des paramètres recommandés par le Kernel Self Protection Project (KSPP)
Prise en charge de l'ancienne version de pty
AL2023 utilise le moderne PTY interface (devpts).
Cette option est l'un des paramètres recommandés par le Kernel Self Protection Project
Module de sécurité Linux (LSM) de verrouillage
AL2023 construit le lockdown LSM, qui verrouille automatiquement le noyau lors de l'utilisation du démarrage sécurisé.
L'option CONFIG_LOCK_DOWN_KERNEL_FORCE_CONFIDENTIALITY n'est pas activée. Bien que cette option soit l'un des paramètres recommandés par le Kernel Self Protection Project (KSPP)
Empoisonnement des pages
Bien que cette option soit l'un des paramètres recommandés par le Kernel Self Protection Project (KSPP)
Protecteur de pile
Le noyau AL2 023 est construit avec la fonction Stack-Protector de GCC activé avec l'-fstack-protector-strongoption.
Cette option est l'un des paramètres recommandés par le Kernel Self Protection Project
seccomp BPF « Hello, World! »
Le seccomp la fonctionnalité de renforcement est utilisée par des logiciels tels que les environnements d'exécution systemd de conteneurs pour renforcer les applications de l'espace utilisateur.
Cette option est l'un des paramètres recommandés par le Kernel Self Protection Project
Délai d'expiration panic()
Le noyau AL2 023 est configuré avec cette valeur définie sur0, ce qui signifie qu'il ne redémarrera pas après avoir paniqué. Bien que cette option soit l'un des paramètres recommandés par le Kernel Self Protection Project (KSPP)sysctl, /proc/sys/kernel/panic et la ligne de commande du noyau.
Modèles de sécurité
AL2023 active SELinux le mode permissif par défaut. Pour de plus amples informations, veuillez consulter SELinux Modes de réglage pour AL2 023.
Les modules Module de sécurité Linux (LSM) de verrouillage et yama sont également activés.
/proc/kcore
Bien que cette option soit l'un des paramètres recommandés par le Kernel Self Protection Project (KSPP)
Aléatorisation par décalage de la pile du noyau lors d'une entrée syscall
Bien que cette option soit l'un des paramètres recommandés par le Kernel Self Protection Project (KSPP)randomize_kstack_offset=on dans la ligne de commande du noyau.
Vérification du comptage des références (CONFIG_REFCOUNT_FULL)
Bien que cette option soit l'un des paramètres recommandés par le Kernel Self Protection Project (KSPP)
Sensibilisation du planificateur à SMT noyaux (CONFIG_SCHED_CORE)
Le noyau AL2 023 est intégréCONFIG_SCHED_CORE, ce qui permet aux applications en espace utilisateur de les utiliser. prctl(PR_SCHED_CORE) Cette option est l'un des paramètres recommandés par le Kernel Self Protection Project
Recherche de toute corruption de la pile lors des appels à schedule() (CONFIG_SCHED_STACK_END_CHECK)
Le noyau AL2 023 est construit avec CONFIG_SCHED_STACK_END_CHECK enabled. Cette option est l'un des paramètres recommandés par le Kernel Self Protection Project
Sécurisation renforcée de l'allocateur de mémoire
Le noyau AL2 023 permet de renforcer l'allocateur de mémoire du noyau avec les optionsCONFIG_SHUFFLE_PAGE_ALLOCATOR, etCONFIG_SLAB_FREELIST_HARDENED. CONFIG_SLAB_FREELIST_RANDOM Cette option est l'un des paramètres recommandés par le Kernel Self Protection Project
SLUB support de débogage
Le noyau AL2 023 est activé CONFIG_SLUB_DEBUG car cette option active des fonctionnalités de débogage facultatives pour l'allocateur qui peuvent être activées sur la ligne de commande du noyau. Cette option est l'un des paramètres recommandés par le Kernel Self Protection Project
CONFIG_STATIC_USERMODEHELPER
Bien que cette option soit l'un des paramètres recommandés par le Kernel Self Protection Project (KSPP)CONFIG_STATIC_USERMODEHELPER nécessite une prise en charge spéciale de la part de la distribution, qui n'est actuellement pas présente dans Amazon Linux.
texte du noyau en lecture seule et rodata (CONFIG_STRICT_KERNEL_RWXetCONFIG_STRICT_MODULE_RWX)
Le noyau AL2 023 est configuré pour marquer le texte du noyau et du module du noyau et rodata mémoire en lecture seule et mémoire non textuelle marquée comme non exécutable. Cette option est l'un des paramètres recommandés par le Kernel Self Protection Project
TCP support syncookie () CONFIG_SYN_COOKIES
Le noyau AL2 023 est construit avec le support des syncookies TCP. Cette option est l'un des paramètres recommandés par le Kernel Self Protection Project
Pile mappée virtuellement avec pages de protection (CONFIG_VMAP_STACK)
Le noyau AL2 023 est intégréCONFIG_VMAP_STACK, ce qui permet de mapper virtuellement des piles de noyaux avec des pages de protection. Cette option est l'un des paramètres recommandés par le Kernel Self Protection Project
Compilation avec les avertissements du compilateur sous forme d'erreurs (CONFIG_WERROR)
Bien que cette option soit l'un des paramètres recommandés par le Kernel Self Protection Project (KSPP)
Enregistrement de la mise à zéro à la sortie de la fonction (CONFIG_ZERO_CALL_USED_REGS)
Bien que cette option soit l'un des paramètres recommandés par le Kernel Self Protection Project (KSPP)
Adresse minimale pour l'allocation d'espace utilisateur
Cette option de sécurisation renforcée contribue à réduire l'impact des bogues de pointeur NULL du noyau. Cette option est l'un des paramètres recommandés par le Kernel Self Protection Project
Options de sécurisation renforcée spécifiques à clang
Le noyau AL2 023 est construit avec GCC plutôt que clang, de sorte que l'option de CONFIG_CFI_CLANG durcissement ne peut pas être activée, ce qui la rend également CONFIG_CFI_PERMISSIVE inapplicable. Bien que cette option soit l'un des paramètres recommandés par le Kernel Self Protection Project (KSPP)
Options de sécurisation renforcée du noyau spécifiques à x86-64
Option CONFIG |
AL2023/6.1/aarch64 | AL2023/6,1/x86_64 |
|---|---|---|
| CONFIG_AMD_IOMMU | N/A |
y
|
| CONFIG_AMD_IOMMU_V2 | N/A |
y
|
| CONFIG_IA32_EMULATION | N/A |
y
|
| CONFIG_INTEL_IOMMU | N/A |
y
|
| CONFIG_INTEL_IOMMU_DEFAULT_ON | N/A |
n
|
| CONFIG_INTEL_IOMMU_SVM | N/A |
n
|
| CONFIG_LEGACY_VSYSCALL_NONE | N/A |
n
|
| CONFIG_MODIFY_LDT_SYSCALL | N/A |
n
|
| CONFIG_PAGE_TABLE_ISOLATION | N/A |
y
|
| CONFIG_RANDOMIZE_MEMORY | N/A |
y
|
| CONFIG_X86_64 | N/A |
y
|
| CONFIG_X86_MSR | N/A |
y
|
| CONFIG_X86_VSYSCALL_EMULATION | N/A |
y
|
| CONFIG_X86_X32 | N/A | N/A |
| CONFIG_X86_X32_ABI | N/A |
n
|
Prise en charge de x86-64
La prise en charge de base x86-64 inclut la prise en charge des bits d'extension d'adresse physique (PAE) et de non-exécution (NX). Cette option est l'un des paramètres recommandés par le Kernel Self Protection Project
Prise en charge d'AMD et Intel IOMMU
Le noyau AL2 023 est compilé avec le support d'AMD et d'Intel IOMMUs. Cette option est l'un des paramètres recommandés par le Kernel Self Protection Project
L'option CONFIG_INTEL_IOMMU_DEFAULT_ON n'est pas définie, mais elle peut être activée en transmettant intel_iommu=on à la ligne de commande du noyau. Bien que cette option soit l'un des paramètres recommandés par le Kernel Self Protection Project (KSPP)
L'CONFIG_INTEL_IOMMU_SVMoption n'est actuellement pas activée dans AL2 023. Bien que cette option soit l'un des paramètres recommandés par le Kernel Self Protection Project (KSPP)
Prise en charge de l'espace utilisateur 32 bits
Important
La prise en charge de l'espace utilisateur x86 32 bits est obsolète, et la prise en charge de l'exécution de fichiers binaires d'espace utilisateur 32 bits pourrait être supprimée dans une future version majeure d'Amazon Linux.
Note
Bien que AL2 023 n'inclue plus de paquets 32 bits, le noyau continuera à prendre en charge l'exécution d'un espace utilisateur 32 bits. Pour plus d’informations, consultez Packages x86 (i686) 32 bits.
Pour prendre en charge l'exécution d'applications 32 bits en espace utilisateur, AL2 023 n'active pas l'CONFIG_X86_VSYSCALL_EMULATIONoption, mais active les options CONFIG_IA32_EMULATIONCONFIG_COMPAT, et. CONFIG_X86_VSYSCALL_EMULATION Bien que cette option soit l'un des paramètres recommandés par le Kernel Self Protection Project (KSPP)
Le x32 l'ABI 32 bits native pour les processeurs 64 bits n'est pas activée (CONFIG_X86_X32etCONFIG_X86_X32_ABI). Cette option est l'un des paramètres recommandés par le Kernel Self Protection Project
Registre spécifique au modèle x86 (MSR) soutien
L'option CONFIG_X86_MSR est activée afin de prendre en charge turbostat. Bien que cette option soit l'un des paramètres recommandés par le Kernel Self Protection Project (KSPP)
Syscall modify_ldt
AL2023 n'autorise pas les programmes utilisateur à modifier la table de descripteurs locaux (LDT) x86 avec l'appel système. modify_ldt Cet appel est nécessaire pour exécuter du code 16 bits ou segmenté, et son absence peut endommager des logiciels tels que dosemu l'exécution de certains programmes sous WINE, et de très anciennes bibliothèques de threads. Cette option est l'un des paramètres recommandés par le Kernel Self Protection Project
Suppression du mappage du noyau en mode utilisateur
AL2023 configure le noyau de telle sorte que la majorité des adresses du noyau ne soient pas mappées dans l'espace utilisateur. Cette option est l'un des paramètres recommandés par le Kernel Self Protection Project
Aléatorisation des sections de mémoire du noyau
AL2023 configure le noyau pour randomiser les adresses virtuelles de base des sections de mémoire du noyau. Cette option est l'un des paramètres recommandés par le Kernel Self Protection Project
Options de sécurisation renforcée du noyau spécifiques à aarch64
Option CONFIG |
AL2023/6.1/aarch64 | AL2023/6,1/x86_64 |
|---|---|---|
| CONFIG_ARM64_BTI |
y
|
N/A |
| CONFIG_ARM64_BTI_KERNEL | N/A | N/A |
| CONFIG_ARM64_PTR_AUTH |
y
|
N/A |
| CONFIG_ARM64_PTR_AUTH_KERNEL |
y
|
N/A |
| CONFIG_ARM64_SW_TTBR0_PAN |
y
|
N/A |
| CONFIG_UNMAP_KERNEL_AT_EL0 |
y
|
N/A |
Identification de la cible de branche
Le noyau AL2 023 permet la prise en charge de Branch Target Identification (CONFIG_ARM64_BTI). Cette option est l'un des paramètres recommandés par le Kernel Self Protection Project
L'CONFIG_ARM64_BTI_KERNELoption n'est pas activée dans AL2 0.23 car elle est construite avec GCC, et la prise en charge de la construction du noyau avec cette option est actuellement désactivée dans le noyau en amont en
Authentification par pointeur (CONFIG_ARM64_PTR_AUTH)
Le noyau AL2 023 prend en charge l'extension Pointer Authentication (qui fait partie des extensions ARMv8 .3), qui peut être utilisée pour atténuer les techniques de programmation orientée retour (ROP). La prise en charge du matériel requis pour l'authentification par pointeur sur Graviton
L'option CONFIG_ARM64_PTR_AUTH est activée et prend en charge l'authentification par pointeur pour l'espace utilisateur. Comme l'CONFIG_ARM64_PTR_AUTH_KERNELoption est également activée, le noyau AL2 023 peut utiliser lui-même la protection des adresses de retour.
Cette option est l'un des paramètres recommandés par le Kernel Self Protection Project
Émulation de l'accès privilégié Jamais à l'aide de la commutation TTBR0_EL1
Cette option empêche le noyau d'accéder directement à la mémoire de l'espace utilisateur. TTBR0_EL1 n'est défini que temporairement sur une valeur valide par les routines d'accès utilisateur.
Cette option est l'un des paramètres recommandés par le Kernel Self Protection Project
Annulation du mappage du noyau lors de l'exécution dans l'espace utilisateur
Le noyau AL2 023 est configuré pour démapper le noyau lors de l'exécution dans userspace (). CONFIG_UNMAP_KERNEL_AT_EL0 Cette option est l'un des paramètres recommandés par le Kernel Self Protection Project
