AL2023 Pengerasan Kernel - Amazon Linux 2023
Opsi Pengerasan Kernel (arsitektur independen)x86-64 opsi Pengerasan Kernel khususaarch64 opsi Pengerasan Kernel khusus

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

AL2023 Pengerasan Kernel

Kernel Linux 6.1 di AL2 023 dikonfigurasi dan dibangun dengan beberapa opsi dan fitur pengerasan.

Opsi Pengerasan Kernel (arsitektur independen)

CONFIGpilihan AL2023/6.1/aarch64 AL2023/6.1/x86_64
CONFIG_ACPI_CUSTOM_METHOD n n
CONFIG_BINFMT_MISC m m
CONFIG_BUG y y
CONFIG_BUG_ON_DATA_CORRUPTION y y
CONFIG_CFI_CLANG N/A N/A
CONFIG_CFI_PERMISSIVE N/A N/A
CONFIG_COMPAT y y
CONFIG_COMPAT_BRK n n
CONFIG_COMPAT_VDSO N/A n
CONFIG_DEBUG_CREDENTIALS n n
CONFIG_DEBUG_LIST y y
CONFIG_DEBUG_NOTIFIERS n n
CONFIG_DEBUG_SG n n
CONFIG_DEBUG_VIRTUAL n n
CONFIG_DEBUG_WX n n
CONFIG_DEFAULT_MMAP_MIN_ADDR 65536 65536
CONFIG_DEVKMEM N/A N/A
CONFIG_DEVMEM n n
CONFIG_EFI_DISABLE_PCI_DMA n n
CONFIG_FORTIFY_SOURCE y y
CONFIG_HARDENED_USERCOPY y y
CONFIG_HARDENED_USERCOPY_FALLBACK N/A N/A
CONFIG_HARDENED_USERCOPY_PAGESPAN N/A N/A
CONFIG_HIBERNATION y y
CONFIG_HW_RANDOM_TPM N/A N/A
CONFIG_INET_DIAG m m
CONFIG_INIT_ON_ALLOC_DEFAULT_ON n n
CONFIG_INIT_ON_FREE_DEFAULT_ON n n
CONFIG_INIT_STACK_ALL_ZERO N/A N/A
CONFIG_IOMMU_DEFAULT_DMA_STRICT n n
CONFIG_IOMMU_SUPPORT y y
CONFIG_IO_STRICT_DEVMEM N/A N/A
CONFIG_KEXEC y y
CONFIG_KFENCE n n
CONFIG_LDISC_AUTOLOAD n n
CONFIG_LEGACY_PTYS n n
CONFIG_LOCK_DOWN_KERNEL_FORCE_CONFIDENTIALITY n n
CONFIG_MODULES y y
CONFIG_MODULE_SIG y y
CONFIG_MODULE_SIG_ALL y y
CONFIG_MODULE_SIG_FORCE n n
CONFIG_MODULE_SIG_HASH sha512 sha512
CONFIG_MODULE_SIG_KEY certs/signing_key.pem certs/signing_key.pem
CONFIG_MODULE_SIG_SHA512 y y
CONFIG_PAGE_POISONING n n
CONFIG_PAGE_POISONING_NO_SANITY N/A N/A
CONFIG_PAGE_POISONING_ZERO N/A N/A
CONFIG_PANIC_ON_OOPS y y
CONFIG_PANIC_TIMEOUT 0 0
CONFIG_PROC_KCORE y y
CONFIG_RANDOMIZE_KSTACK_OFFSET_DEFAULT n n
CONFIG_RANDOM_TRUST_BOOTLOADER y y
CONFIG_RANDOM_TRUST_CPU y y
CONFIG_REFCOUNT_FULL N/A N/A
CONFIG_SCHED_CORE N/A y
CONFIG_SCHED_STACK_END_CHECK y y
CONFIG_SECCOMP y y
CONFIG_SECCOMP_FILTER y y
CONFIG_SECURITY y y
CONFIG_SECURITY_DMESG_RESTRICT y y
CONFIG_SECURITY_LANDLOCK n n
CONFIG_SECURITY_LOCKDOWN_LSM y y
CONFIG_SECURITY_LOCKDOWN_LSM_EARLY y y
CONFIG_SECURITY_SELINUX_BOOTPARAM y y
CONFIG_SECURITY_SELINUX_DEVELOP y y
CONFIG_SECURITY_SELINUX_DISABLE n n
CONFIG_SECURITY_WRITABLE_HOOKS N/A N/A
CONFIG_SECURITY_YAMA y y
CONFIG_SHUFFLE_PAGE_ALLOCATOR y y
CONFIG_SLAB_FREELIST_HARDENED y y
CONFIG_SLAB_FREELIST_RANDOM y y
CONFIG_SLUB_DEBUG y y
CONFIG_STACKPROTECTOR y y
CONFIG_STACKPROTECTOR_STRONG y y
CONFIG_STATIC_USERMODEHELPER n n
CONFIG_STRICT_DEVMEM n n
CONFIG_STRICT_KERNEL_RWX y y
CONFIG_STRICT_MODULE_RWX y y
CONFIG_SYN_COOKIES y y
CONFIG_VMAP_STACK y y
CONFIG_WERROR n n
CONFIG_ZERO_CALL_USED_REGS n n

Izinkan ACPI metode disisipkan/diganti saat runtime (CONFIG_ _ _) ACPI CUSTOM METHOD

Amazon Linux menonaktifkan opsi ini karena memungkinkan root pengguna untuk menulis ke memori kernel arbitrer.

Opsi ini adalah salah satu Pengaturan Rekomendasi Proyek Perlindungan Diri Kernel.

Format Biner Lain-lain () binfmt_misc

Meskipun opsi ini adalah salah satu dari Kernel Self Protection Project (KSPP) Pengaturan yang Direkomendasikan, AL2 023 tidak mengatur opsi konfigurasi ini ke apa yang KSPP direkomendasikan. Di AL2 023, fitur ini opsional, dan dibangun sebagai modul kernel.

Dukungan BUG()

Opsi ini adalah salah satu Pengaturan Rekomendasi Proyek Perlindungan Diri Kernel.

BUG()jika kernel mengalami kerusakan data saat memeriksa struktur memori kernel untuk validitas

Beberapa bagian dari kernel Linux akan memeriksa konsistensi internal struktur data dan dapat BUG() ketika mereka mendeteksi kerusakan data.

Opsi ini adalah salah satu Pengaturan Rekomendasi Proyek Perlindungan Diri Kernel.

COMPAT_BRK

Dengan opsi ini dinonaktifkan (yang adalah bagaimana Amazon Linux mengkonfigurasi kernel), randomize_va_space sysctl pengaturan default ke, yang juga memungkinkan pengacakan heap di atas mmap basis2, tumpukan, dan pengacakan halaman. VDSO

Opsi ini ada di kernel untuk memberikan kompatibilitas dengan beberapa libc.so.5 binari kuno dari tahun 1996 dan sebelumnya.

Opsi ini adalah salah satu Pengaturan Rekomendasi Proyek Perlindungan Diri Kernel.

COMPAT_VDSO

Opsi konfigurasi ini relevan x86-64 dan tidakaarch64. Dengan menyetelnyan, kernel Amazon Linux tidak membuat Dynamic Shared Object (VDSO) virtual 32-bit terlihat pada alamat yang dapat diprediksi. Yang terbaru glibc diketahui rusak oleh opsi ini yang disetel ke n adalah glibc 2.3.3, dari tahun 2004.

Opsi ini adalah salah satu Pengaturan Rekomendasi Proyek Perlindungan Diri Kernel.

CONFIG_DEBUGpengerasan terjaga keamanannya

Opsi konfigurasi kernel Linux yang CONFIG_DEBUG terjaga keamanannya biasanya dirancang untuk digunakan dalam kernel yang dibangun untuk masalah debugging, dan hal-hal seperti kinerja bukanlah prioritas. AL2023 memungkinkan opsi CONFIG_DEBUG_LIST pengerasan.

Nonaktifkan DMA untuk PCI perangkat dalam EFI rintisan sebelum mengonfigurasi IOMMU

Meskipun opsi ini adalah salah satu dari Kernel Self Protection Project (KSPP) Pengaturan yang Direkomendasikan, AL2 023 tidak mengatur opsi konfigurasi ini ke apa yang KSPP direkomendasikan.

Pengerasan untuk menyalin memori antara kernel dan ruang pengguna

Ketika kernel perlu menyalin memori ke atau dari ruang pengguna, opsi ini memungkinkan beberapa pemeriksaan yang dapat melindungi terhadap beberapa kelas masalah heap overflow.

CONFIG_HARDENED_USERCOPY_FALLBACKOpsi ada di kernel 4.16 hingga 5.15 untuk membantu pengembang kernel menemukan entri allowlist yang hilang melalui a. WARN() Karena AL2 023 mengirimkan kernel 6.1, opsi ini tidak lagi relevan dengan 023. AL2

CONFIG_HARDENED_USERCOPY_PAGESPANOpsi ada di kernel terutama sebagai opsi debugging untuk pengembang dan tidak lagi berlaku untuk kernel 6.1 di 023. AL2

Opsi ini adalah salah satu Pengaturan Rekomendasi Proyek Perlindungan Diri Kernel.

Dukungan Hibernasi

Meskipun opsi ini adalah salah satu dari Kernel Self Protection Project (KSPP) Pengaturan yang Direkomendasikan, AL2 023 tidak mengatur opsi konfigurasi ini ke apa yang KSPP direkomendasikan. Opsi ini perlu diaktifkan untuk mendukung kemampuan Hibernasi Instans Sesuai Permintaan Anda, dan untuk mendukung kemampuan Hibernasi Instans Spot yang terputus

Pembuatan Angka Acak

Kernel AL2 023 dikonfigurasi untuk memastikan entropi yang memadai tersedia untuk digunakan di dalamnya. EC2

CONFIG_INET_DIAG

Meskipun opsi ini adalah salah satu dari Kernel Self Protection Project (KSPP) Pengaturan yang Direkomendasikan, AL2 023 tidak mengatur opsi konfigurasi ini ke apa yang KSPP direkomendasikan. Di AL2 023, fitur ini opsional, dan dibangun sebagai modul kernel.

Nol semua halaman kernel dan memori pengalokasi slab pada alokasi dan deallokasi

Meskipun opsi ini adalah salah satu dari Kernel Self Protection Project (KSPP) Pengaturan yang Direkomendasikan, AL2 023 tidak mengatur opsi konfigurasi ini ke apa yang KSPP direkomendasikan. Opsi ini dinonaktifkan di AL2 023 karena kemungkinan dampak kinerja mengaktifkan fungsi ini secara default. CONFIG_INIT_ON_ALLOC_DEFAULT_ONPerilaku dapat diaktifkan dengan menambahkan init_on_alloc=1 ke baris perintah kernel, dan CONFIG_INIT_ON_FREE_DEFAULT_ON perilaku dapat diaktifkan dengan menambahkaninit_on_free=1.

Inisialisasi semua variabel tumpukan sebagai nol () CONFIG_INIT_STACK_ALL_ZERO

Meskipun opsi ini adalah salah satu dari Kernel Self Protection Project (KSPP) Pengaturan yang Direkomendasikan, AL2 023 tidak mengatur opsi konfigurasi ini ke apa yang KSPP direkomendasikan. Opsi ini membutuhkan GCC 12 atau lebih tinggi, sementara AL2 023 kapal dengan GCC 11.

Penandatanganan Modul Kernel

AL2023 menandatangani dan memvalidasi tanda tangan modul kernel. CONFIG_MODULE_SIG_FORCEOpsi, yang mengharuskan modul memiliki tanda tangan yang valid tidak diaktifkan untuk menjaga kompatibilitas bagi pengguna yang membangun modul pihak ketiga. Untuk pengguna yang ingin memastikan bahwa semua modul kernel ditandatangani, Modul Keamanan Linux Lockdown () LSM dapat dikonfigurasi untuk menegakkan ini.

kexec

Meskipun opsi ini adalah salah satu dari Kernel Self Protection Project (KSPP) Pengaturan yang Direkomendasikan, AL2 023 tidak mengatur opsi konfigurasi ini ke apa yang KSPP direkomendasikan. Opsi ini diaktifkan sehingga kdump fungsionalitas dapat digunakan.

IOMMUSupport

AL2023 memungkinkan IOMMU dukungan. CONFIG_IOMMU_DEFAULT_DMA_STRICTOpsi ini tidak diaktifkan secara default, tetapi fungsi ini dapat dikonfigurasi dengan menambahkan iommu.passthrough=0 iommu.strict=1 ke baris perintah kernel.

kfence

Meskipun opsi ini adalah salah satu dari Kernel Self Protection Project (KSPP) Pengaturan yang Direkomendasikan, AL2 023 tidak mengatur opsi konfigurasi ini ke apa yang KSPP direkomendasikan.

Support Legacy pty

AL2023 menggunakan modern PTY antarmuka (devpts).

Opsi ini adalah salah satu Pengaturan Rekomendasi Proyek Perlindungan Diri Kernel.

Modul Keamanan Linux Lockdown () LSM

AL2023 membangun lockdownLSM, yang secara otomatis akan mengunci kernel saat menggunakan Boot Aman.

CONFIG_LOCK_DOWN_KERNEL_FORCE_CONFIDENTIALITYOpsi ini tidak diaktifkan. Meskipun opsi ini adalah salah satu dari Kernel Self Protection Project (KSPP) Pengaturan yang Direkomendasikan, AL2 023 tidak mengatur opsi konfigurasi ini ke apa yang KSPP direkomendasikan. Saat tidak menggunakan Boot Aman, dimungkinkan untuk mengaktifkan penguncian LSM dan mengonfigurasi sesuai keinginan.

Halaman Keracunan

Meskipun opsi ini adalah salah satu dari Kernel Self Protection Project (KSPP) Pengaturan yang Direkomendasikan, AL2 023 tidak mengatur opsi konfigurasi ini ke apa yang KSPP direkomendasikan. Demikian pula denganNol semua halaman kernel dan memori pengalokasi slab pada alokasi dan deallokasi , ini dinonaktifkan di kernel AL2 023 karena kemungkinan dampak pada kinerja.

Pelindung Tumpukan

Kernel AL2 023 dibangun dengan fitur pelindung tumpukan GCC diaktifkan dengan -fstack-protector-strong opsi.

Opsi ini adalah salah satu Pengaturan Rekomendasi Proyek Perlindungan Diri Kernel.

seccomp BPF API

Bagian seccomp fitur pengerasan digunakan oleh perangkat lunak seperti systemd dan runtime kontainer untuk mengeraskan aplikasi ruang pengguna.

Opsi ini adalah salah satu Pengaturan Rekomendasi Proyek Perlindungan Diri Kernel.

panic()batas waktu

Kernel AL2 023 dikonfigurasi dengan nilai ini disetel ke0, yang berarti bahwa kernel tidak akan reboot setelah panik. Meskipun opsi ini adalah salah satu dari Kernel Self Protection Project (KSPP) Pengaturan yang Direkomendasikan, AL2 023 tidak mengatur opsi konfigurasi ini ke apa yang KSPP direkomendasikan. Ini dapat dikonfigurasi melaluisysctl,/proc/sys/kernel/panic, dan pada baris perintah kernel.

Model Keamanan

AL2023 memungkinkan SELinux dalam mode Permisif secara default. Untuk informasi selengkapnya, lihat Mengatur mode SELinux untuk AL2023.

yamaModul Modul Keamanan Linux Lockdown () LSM dan juga diaktifkan.

/proc/kcore

Meskipun opsi ini adalah salah satu dari Kernel Self Protection Project (KSPP) Pengaturan yang Direkomendasikan, AL2 023 tidak mengatur opsi konfigurasi ini ke apa yang KSPP direkomendasikan.

Pengacakan offset tumpukan kernel pada entri syscall

Meskipun opsi ini adalah salah satu dari Kernel Self Protection Project (KSPP) Pengaturan yang Direkomendasikan, AL2 023 tidak mengatur opsi konfigurasi ini ke apa yang KSPP direkomendasikan. Ini dapat diaktifkan dengan mengatur randomize_kstack_offset=on pada baris perintah kernel.

Cek penghitungan referensi (CONFIG_REFCOUNT_FULL)

Meskipun opsi ini adalah salah satu dari Kernel Self Protection Project (KSPP) Pengaturan yang Direkomendasikan, AL2 023 tidak mengatur opsi konfigurasi ini ke apa yang KSPP direkomendasikan. Opsi ini tidak diaktifkan secara pasti karena kemungkinan dampaknya terhadap kinerja.

Kesadaran penjadwal SMT inti (CONFIG_SCHED_CORE)

Kernel AL2 023 dibangun denganCONFIG_SCHED_CORE, yang memungkinkan aplikasi ruang pengguna untuk digunakan. prctl(PR_SCHED_CORE) Opsi ini adalah salah satu Pengaturan Rekomendasi Proyek Perlindungan Diri Kernel.

Periksa kerusakan tumpukan pada panggilan ke schedule() (CONFIG_SCHED_STACK_END_CHECK)

Kernel AL2 023 dibangun dengan CONFIG_SCHED_STACK_END_CHECK diaktifkan. Opsi ini adalah salah satu Pengaturan Rekomendasi Proyek Perlindungan Diri Kernel.

Pengerasan pengalokasi memori

Kernel AL2 023 memungkinkan pengerasan pengalokasi memori kernel denganCONFIG_SHUFFLE_PAGE_ALLOCATOR,, CONFIG_SLAB_FREELIST_HARDENED dan opsi. CONFIG_SLAB_FREELIST_RANDOM Opsi ini adalah salah satu Pengaturan Rekomendasi Proyek Perlindungan Diri Kernel.

SLUB dukungan debugging

Kernel AL2 023 memungkinkan CONFIG_SLUB_DEBUG karena opsi ini memungkinkan fitur debugging opsional untuk pengalokasi yang dapat diaktifkan pada baris perintah kernel. Opsi ini adalah salah satu Pengaturan Rekomendasi Proyek Perlindungan Diri Kernel.

CONFIG_STATIC_USERMODEHELPER

Meskipun opsi ini adalah salah satu dari Kernel Self Protection Project (KSPP) Pengaturan yang Direkomendasikan, AL2 023 tidak mengatur opsi konfigurasi ini ke apa yang KSPP direkomendasikan. Ini karena CONFIG_STATIC_USERMODEHELPER memerlukan dukungan khusus dari distribusi, yang saat ini tidak ada di Amazon Linux.

Teks kernel Read-Only dan rodata (CONFIG_STRICT_KERNEL_RWXdanCONFIG_STRICT_MODULE_RWX)

Kernel AL2 023 dikonfigurasi untuk menandai teks modul kernel dan kernel dan rodata memori sebagai read-only, dan memori non-teks ditandai sebagai tidak dapat dieksekusi. Opsi ini adalah salah satu Pengaturan Rekomendasi Proyek Perlindungan Diri Kernel.

TCP dukungan syncookie () CONFIG_SYN_COOKIES

Kernel AL2 023 dibangun dengan dukungan untuk TCP syncookies. Opsi ini adalah salah satu Pengaturan Rekomendasi Proyek Perlindungan Diri Kernel.

Tumpukan yang dipetakan secara virtual dengan halaman penjaga () CONFIG_VMAP_STACK

Kernel AL2 023 dibangun denganCONFIG_VMAP_STACK, memungkinkan tumpukan kernel yang dipetakan secara virtual dengan halaman penjaga. Opsi ini adalah salah satu Pengaturan Rekomendasi Proyek Perlindungan Diri Kernel.

Bangun dengan peringatan kompiler sebagai error () CONFIG_WERROR

Meskipun opsi ini adalah salah satu dari Kernel Self Protection Project (KSPP) Pengaturan yang Direkomendasikan, AL2 023 tidak mengatur opsi konfigurasi ini ke apa yang KSPP direkomendasikan.

Daftarkan zeroing pada fungsi exit () CONFIG_ZERO_CALL_USED_REGS

Meskipun opsi ini adalah salah satu dari Kernel Self Protection Project (KSPP) Pengaturan yang Direkomendasikan, AL2 023 tidak mengatur opsi konfigurasi ini ke apa yang KSPP direkomendasikan.

Alamat minimum untuk alokasi ruang pengguna

Opsi pengerasan ini dapat membantu mengurangi dampak bug NULL pointer kernel. Opsi ini adalah salah satu Pengaturan Rekomendasi Proyek Perlindungan Diri Kernel.

clangopsi pengerasan khusus

Kernel AL2 023 dibangun dengan GCC bukannya clang, sehingga opsi CONFIG_CFI_CLANG pengerasan tidak dapat diaktifkan, yang juga membuat CONFIG_CFI_PERMISSIVE tidak berlaku. Meskipun opsi ini adalah salah satu dari Kernel Self Protection Project (KSPP) Pengaturan yang Direkomendasikan, AL2 023 tidak mengatur opsi konfigurasi ini ke apa yang KSPP direkomendasikan.

x86-64 opsi Pengerasan Kernel khusus

CONFIGpilihan AL2023/6.1/aarch64 AL2023/6.1/x86_64
CONFIG_AMD_IOMMU N/A y
CONFIG_AMD_IOMMU_V2 N/A y
CONFIG_IA32_EMULATION N/A y
CONFIG_INTEL_IOMMU N/A y
CONFIG_INTEL_IOMMU_DEFAULT_ON N/A n
CONFIG_INTEL_IOMMU_SVM N/A n
CONFIG_LEGACY_VSYSCALL_NONE N/A n
CONFIG_MODIFY_LDT_SYSCALL N/A n
CONFIG_PAGE_TABLE_ISOLATION N/A y
CONFIG_RANDOMIZE_MEMORY N/A y
CONFIG_X86_64 N/A y
CONFIG_X86_MSR N/A y
CONFIG_X86_VSYSCALL_EMULATION N/A y
CONFIG_X86_X32 N/A N/A
CONFIG_X86_X32_ABI N/A n

Support x86-64

Dukungan dasar x86-64 mencakup dukungan bit Physical Address Extension (PAE) dan no-execute (NX). Opsi ini adalah salah satu Pengaturan Rekomendasi Proyek Perlindungan Diri Kernel.

AMDdan IOMMU dukungan Intel

Kernel AL2 023 dibangun dengan dukungan untuk dan Intel AMD IOMMUs. Opsi ini adalah salah satu Pengaturan Rekomendasi Proyek Perlindungan Diri Kernel.

CONFIG_INTEL_IOMMU_DEFAULT_ONOpsi ini tidak diatur, tetapi dapat diaktifkan dengan meneruskan intel_iommu=on ke baris perintah kernel. Meskipun opsi ini adalah salah satu dari Kernel Self Protection Project (KSPP) Pengaturan yang Direkomendasikan, AL2 023 tidak mengatur opsi konfigurasi ini ke apa yang KSPP direkomendasikan.

CONFIG_INTEL_IOMMU_SVMOpsi saat ini tidak diaktifkan di AL2 023. Meskipun opsi ini adalah salah satu dari Kernel Self Protection Project (KSPP) Pengaturan yang Direkomendasikan, AL2 023 tidak mengatur opsi konfigurasi ini ke apa yang KSPP direkomendasikan.

Support untuk userspace 32bit

penting

Support untuk ruang pengguna 32bit x86 tidak digunakan lagi dan dukungan untuk menjalankan binari ruang pengguna 32bit mungkin akan dihapus di versi utama Amazon Linux yang akan datang.

catatan

Sementara AL2 023 tidak lagi menyertakan paket 32bit, kernel masih akan mendukung menjalankan ruang pengguna 32bit. Untuk informasi selengkapnya, lihat 32bit x86 (i686) Paket.

Untuk mendukung menjalankan aplikasi userspace 32bit, AL2 023 tidak mengaktifkan CONFIG_X86_VSYSCALL_EMULATION opsi, dan mengaktifkan,, dan opsi. CONFIG_IA32_EMULATION CONFIG_COMPAT CONFIG_X86_VSYSCALL_EMULATION Meskipun opsi ini adalah salah satu dari Kernel Self Protection Project (KSPP) Pengaturan yang Direkomendasikan, AL2 023 tidak mengatur opsi konfigurasi ini ke apa yang KSPP direkomendasikan.

Bagian x32 32-bit asli ABI untuk prosesor 64-bit tidak diaktifkan (CONFIG_X86_X32danCONFIG_X86_X32_ABI). Opsi ini adalah salah satu Pengaturan Rekomendasi Proyek Perlindungan Diri Kernel.

Daftar Khusus Model x86 (MSR) dukungan

CONFIG_X86_MSROpsi ini diaktifkan untuk mendukungturbostat. Meskipun opsi ini adalah salah satu dari Kernel Self Protection Project (KSPP) Pengaturan yang Direkomendasikan, AL2 023 tidak mengatur opsi konfigurasi ini ke apa yang KSPP direkomendasikan.

modify_ldtsyscall

AL2023 tidak mengizinkan program pengguna untuk memodifikasi x86 Local Descriptor Table (LDT) dengan syscall. modify_ldt Panggilan ini diperlukan untuk menjalankan kode 16-bit atau tersegmentasi, dan ketidakhadirannya dapat merusak perangkat lunak sepertidosemu, menjalankan beberapa program di bawah WINE, dan beberapa perpustakaan threading yang sangat tua. Opsi ini adalah salah satu Pengaturan Rekomendasi Proyek Perlindungan Diri Kernel.

Hapus pemetaan kernel dalam mode pengguna

AL2023 mengkonfigurasi kernel sehingga sebagian besar alamat kernel tidak dipetakan ke ruang pengguna. Opsi ini adalah salah satu Pengaturan Rekomendasi Proyek Perlindungan Diri Kernel.

Acak bagian memori kernel

AL2023 mengkonfigurasi kernel untuk mengacak alamat virtual dasar dari bagian memori kernel. Opsi ini adalah salah satu Pengaturan Rekomendasi Proyek Perlindungan Diri Kernel.

aarch64 opsi Pengerasan Kernel khusus

CONFIGpilihan AL2023/6.1/aarch64 AL2023/6.1/x86_64
CONFIG_ARM64_BTI y N/A
CONFIG_ARM64_BTI_KERNEL N/A N/A
CONFIG_ARM64_PTR_AUTH y N/A
CONFIG_ARM64_PTR_AUTH_KERNEL y N/A
CONFIG_ARM64_SW_TTBR0_PAN y N/A
CONFIG_UNMAP_KERNEL_AT_EL0 y N/A

Identifikasi Target Cabang

Kernel AL2 023 memungkinkan dukungan untuk Branch Target Identification (CONFIG_ARM64_BTI). Opsi ini adalah salah satu Pengaturan Rekomendasi Proyek Perlindungan Diri Kernel.

CONFIG_ARM64_BTI_KERNELOpsi ini tidak diaktifkan di AL2 023 karena dibangun dengan GCC, dan dukungan untuk membangun kernel dengan opsi ini saat ini dinonaktifkan di kernel upstream karena bug gcc. Meskipun opsi ini adalah salah satu dari Kernel Self Protection Project (KSPP) Pengaturan yang Direkomendasikan, AL2 023 tidak mengatur opsi konfigurasi ini ke apa yang KSPP direkomendasikan.

Otentikasi Pointer () CONFIG_ARM64_PTR_AUTH

Kernel AL2 023 dibangun dengan dukungan untuk ekstensi Pointer Authentication (bagian dari ARMv8 .3 Extensions), yang dapat digunakan untuk membantu mengurangi teknik Return Oriented Programming (). ROP Dukungan perangkat keras yang diperlukan untuk otentikasi pointer pada Graviton diperkenalkan dengan Graviton 3.

CONFIG_ARM64_PTR_AUTHOpsi ini diaktifkan dan menyediakan dukungan untuk otentikasi pointer untuk ruang pengguna. Karena CONFIG_ARM64_PTR_AUTH_KERNEL opsi ini juga diaktifkan, kernel AL2 023 dapat menggunakan perlindungan alamat pengembalian untuk dirinya sendiri.

Opsi ini adalah salah satu Pengaturan Rekomendasi Proyek Perlindungan Diri Kernel.

Emulate Privileged Access Jangan pernah menggunakan switching TTBR0_EL1

Opsi ini mencegah kernel mengakses memori ruang pengguna secara langsung, dengan hanya TTBR0_EL1 disetel sementara ke nilai yang valid oleh rutinitas akses pengguna.

Opsi ini adalah salah satu Pengaturan Rekomendasi Proyek Perlindungan Diri Kernel.

Buka peta kernel saat berjalan di ruang pengguna

Kernel AL2 023 dikonfigurasi untuk menghapus peta kernel saat berjalan di userspace (). CONFIG_UNMAP_KERNEL_AT_EL0 Opsi ini adalah salah satu Pengaturan Rekomendasi Proyek Perlindungan Diri Kernel.