翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AL2023 カーネルの AL2 からの変更
AL2023 は、6.1 カーネルと、クラウド用の Amazon Linux をさらに最適化するための多くの設定変更を提供します。ほとんどのユーザーにとって、これらの変更は完全に透過的である必要があります。
IPv4 TTL
TTL for IPv4 は を介して設定されsysctl、デフォルト値は にあります/etc/sysctl.d/00-defaults.conf。この値は、通常のsysctl方法でカスタマイズできます。詳細については、sysctlman「」ページを参照してください。
AL2 はnet.ipv4.ip_default_ttl値を 255 に設定し、AL2023 は値を 127 に設定します。これにより、Amazon Linux のデフォルトは他の主要な Linux ディストリビューションと一致します。このデフォルトは、実証された必要性なしに変更することはお勧めしません。
セキュリティに重点を置いたカーネル設定の変更
CONFIG オプション |
AL2/4.14/aarch64 | AL2/4.14/x86_64 | AL2/5.10/aarch64 | AL2/5.10/x86_64 | AL2023/6.1/aarch64 | AL2023/6.1/x86_64 |
|---|---|---|---|---|---|---|
| CONFIG_BUG_ON_DATA_CORRUPTION |
n
|
y
|
n
|
y
|
y
|
y
|
| CONFIG_DEFAULT_MMAP_MIN_ADDR |
4096
|
4096
|
4096
|
4096
|
65536
|
65536
|
| CONFIG_DEVMEM |
n
|
y
|
n
|
y
|
n
|
n
|
| CONFIG_DEVPORT |
n
|
y
|
n
|
y
|
n
|
n
|
| CONFIG_FORTIFY_SOURCE |
n
|
y
|
n
|
y
|
y
|
y
|
| CONFIG_HARDENED_USERCOPY_FALLBACK | 該当なし | 該当なし |
y
|
y
|
該当なし | 該当なし |
| CONFIG_INIT_ON_ALLOC_DEFAULT_ON | 該当なし | 該当なし |
n
|
n
|
n
|
n
|
| CONFIG_INIT_ON_FREE_DEFAULT_ON | 該当なし | 該当なし |
n
|
n
|
n
|
n
|
| CONFIG_IOMMU_DEFAULT_DMA_STRICT | 該当なし | 該当なし | 該当なし | 該当なし |
n
|
n
|
| CONFIG_LDISC_AUTOLOAD |
y
|
y
|
y
|
y
|
n
|
n
|
| CONFIG_SCHED_CORE | 該当なし | 該当なし | 該当なし | 該当なし | 該当なし |
y
|
| CONFIG_SCHED_STACK_END_CHECK |
n
|
y
|
n
|
y
|
y
|
y
|
| CONFIG_SECURITY_DMESG_RESTRICT |
n
|
n
|
n
|
n
|
y
|
y
|
| CONFIG_SECURITY_SELINUX_DISABLE |
y
|
y
|
y
|
y
|
n
|
n
|
| CONFIG_SHUFFLE_PAGE_ALLOCATOR | 該当なし | 該当なし |
y
|
y
|
y
|
y
|
| CONFIG_SLAB_FREELIST_HARDENED |
n
|
y
|
y
|
y
|
y
|
y
|
| CONFIG_SLAB_FREELIST_RANDOM |
n
|
n
|
y
|
y
|
y
|
y
|
x86-64 特定のセキュリティに焦点を当てたカーネル設定の変更
CONFIG オプション |
AL2/4.14/x86_64 | AL2/5.10/x86_64 | AL2023/6.1/x86_64 |
|---|---|---|---|
| CONFIG_AMD_IOMMU |
y
|
y
|
y
|
| CONFIG_AMD_IOMMU_V2 |
m
|
m
|
y
|
| CONFIG_RANDOMIZE_MEMORY | 該当なし |
y
|
y
|
aarch64 (ARM/Graviton) 固有のセキュリティに焦点を当てたカーネル設定の変更
CONFIG オプション |
AL2/4.14/aarch64 | AL2/5.10/aarch64 | AL2023/6.1/aarch64 |
|---|---|---|---|
| CONFIG_ARM64_PTR_AUTH | 該当なし |
y
|
y
|
| CONFIG_ARM64_PTR_AUTH_KERNEL | 該当なし | 該当なし |
y
|
| CONFIG_ARM64_SW_TTBR0_PAN |
y
|
y
|
y
|
/dev/mem、/dev/kmem、および /dev/port
Amazon Linux 2023 は/dev/mem、AL2 で既に導入されている制限に基づいて、、、 /dev/port (CONFIG_DEVMEM および CONFIG_DEVPORT) を完全に無効にします。
/dev/kmem コードは 5.13 カーネルの Linux から完全に削除され、AL2 では無効になりましたが、AL2023 には適用できません。
このオプションは、カーネルセルフプロテクションプロジェクト推奨設定
FORTIFY_SOURCE
AL2023 は、サポートされているすべてのアーキテクチャCONFIG_FORTIFY_SOURCEで を有効にします。この機能はセキュリティを強化する機能です。コンパイラがバッファサイズを判別して検証できる場合、この機能は一般的な文字列やメモリ関数のバッファオーバーフローを検出できます。
このオプションは、カーネルセルフプロテクションプロジェクト推奨設定
ライン規律オートロード (CONFIG_LDISC_AUTOLOAD)
AL2023 カーネルは、 を使用するソフトウェアなど、 のアクセスCAP_SYS_MODULE許可を持つプロセスからリクエストが発生しない限りTIOCSETDioctl、ライン規律を自動的にロードしません。
このオプションは、カーネルセルフプロテクションプロジェクト推奨設定
dmesg 権限のないユーザーのアクセス (CONFIG_SECURITY_DMESG_RESTRICT)
デフォルトでは、AL2023 は、権限のないユーザーに へのアクセスを許可しませんdmesg。
このオプションは、カーネルセルフプロテクションプロジェクト推奨設定
SELinuxselinuxfsの無効化
AL2023 は、廃止されたCONFIG_SECURITY_SELINUX_DISABLEカーネルオプションを無効にします。これにより、ポリシーがロードされる前に SELinux を無効にするランタイムメソッドが有効になります。
このオプションは、カーネルセルフプロテクションプロジェクト推奨設定
その他のカーネル設定の変更
CONFIG オプション |
AL2/4.14/aarch64 | AL2/4.14/x86_64 | AL2/5.10/aarch64 | AL2/5.10/x86_64 | AL2023/6.1/aarch64 | AL2023/6.1/x86_64 |
|---|---|---|---|---|---|---|
| CONFIG_HZ |
100
|
250
|
100
|
250
|
100
|
100
|
| CONFIG_NR_CPUS |
4096
|
8192
|
4096
|
8192
|
4096
|
8192
|
| CONFIG_PANIC_ON_OOPS |
y
|
n
|
y
|
n
|
y
|
y
|
| CONFIG_PANIC_ON_OOPS_VALUE |
1
|
0
|
1
|
0
|
1
|
1
|
| CONFIG_PPP |
m
|
m
|
m
|
m
|
n
|
n
|
| CONFIG_SLIP |
m
|
m
|
m
|
m
|
n
|
n
|
| CONFIG_XEN_PV | 該当なし |
y
|
該当なし |
n
|
該当なし |
n
|
CONFIG_HZ
AL2023 は、 x86-64 と aarch64プラットフォームの両方で 100 CONFIG_HZに設定します。
CONFIG_NR_CPUS
AL2023 は、Amazon CPU で見つかった EC2 コアの最大数に近い数CONFIG_NR_CPUSに設定します。
OOPSのパニック
AL2023 カーネルは、オペーズするとパニックになります。この機能は、カーネルコマンドラインで oops=panic を起動するのと同じです。
カーネル oops とは、システムのさらなる信頼性に影響を与える可能性のある内部エラーをカーネルが検出したときです。
PPP と SLIP サポート
AL2023 は PPP または SLIP プロトコルをサポートしていません。
Xen PV ゲストのサポート
AL2023 は Xen PV ゲストとしての実行をサポートしていません。
カーネルファイルシステムのサポート
AL2 のカーネルがマウントをサポートするファイルシステムには、カーネルが解析するパーティション分割スキームの変更に加えて、いくつかの変更があります。
CONFIG オプション |
AL2/4.14/aarch64 | AL2/4.14/x86_64 | AL2/5.10/aarch64 | AL2/5.10/x86_64 | AL2023/6.1/aarch64 | AL2023/6.1/x86_64 |
|---|---|---|---|---|---|---|
| CONFIG_AFS_FS |
n
|
m
|
n
|
m
|
n
|
n
|
| CONFIG_AF_RXRPC |
n
|
m
|
n
|
m
|
n
|
n
|
| CONFIG_BSD_DISKLABEL |
y
|
y
|
y
|
y
|
n
|
n
|
| CONFIG_CRAMFS |
m
|
m
|
m
|
m
|
n
|
n
|
| CONFIG_CRAMFS_BLOCKDEV | 該当なし | 該当なし |
y
|
n
|
該当なし | 該当なし |
| CONFIG_DM_CLONE | 該当なし | 該当なし |
n
|
n
|
n
|
n
|
| CONFIG_DM_ERA |
m
|
n
|
m
|
n
|
n
|
n
|
| CONFIG_DM_INTEGRITY |
n
|
m
|
n
|
m
|
m
|
m
|
| CONFIG_DM_LOG_WRITES |
n
|
n
|
m
|
m
|
m
|
m
|
| CONFIG_DM_SWITCH |
m
|
n
|
m
|
n
|
n
|
n
|
| CONFIG_DM_VERITY |
m
|
n
|
m
|
n
|
n
|
n
|
| CONFIG_ECRYPT_FS |
n
|
m
|
n
|
m
|
n
|
n
|
| CONFIG_EXFAT_FS | 該当なし | 該当なし |
m
|
m
|
m
|
m
|
| CONFIG_EXT2_FS |
n
|
m
|
n
|
m
|
n
|
n
|
| CONFIG_EXT3_FS |
n
|
m
|
n
|
m
|
n
|
n
|
| CONFIG_GFS2_FS |
m
|
m
|
m
|
m
|
n
|
n
|
| CONFIG_HFSPLUS_FS |
n
|
m
|
n
|
m
|
n
|
n
|
| CONFIG_HFS_FS |
n
|
m
|
n
|
m
|
n
|
n
|
| CONFIG_JFS_FS |
n
|
n
|
n
|
n
|
n
|
n
|
| CONFIG_LDM_PARTITION |
n
|
y
|
n
|
y
|
n
|
n
|
| CONFIG_MAC_PARTITION |
n
|
y
|
n
|
y
|
n
|
n
|
| CONFIG_NFS_V2 |
n
|
m
|
n
|
m
|
n
|
n
|
| CONFIG_NTFS_FS |
n
|
m
|
n
|
n
|
n
|
n
|
| CONFIG_ROMFS_FS |
n
|
m
|
n
|
m
|
n
|
n
|
| CONFIG_SOLARIS_X86_PARTITION |
n
|
y
|
n
|
y
|
n
|
n
|
| CONFIG_SQUASHFS_ZSTD |
n
|
y
|
n
|
y
|
y
|
y
|
| CONFIG_SUN_PARTITION |
n
|
y
|
n
|
y
|
n
|
n
|
Andrew ファイルシステムのサポート (AFS)
カーネルは afs ファイルシステムをサポートするように構築されなくなりました。AL2 は、 のユーザースペースサポートで出荷されませんでしたafs。
cramfs のサポート
カーネルは cramfs ファイルシステムをサポートするように構築されなくなりました。AL2023 の後継はsquashfsファイルシステムです。
BSD ディスクラベルのサポート
カーネルは BSD ディスクラベルのサポートで構築されなくなりました。BSD ディスクラベルでボリュームを読み取る必要がある場合は、さまざまな BSDs を起動できます。
デバイスマッパーの変更
AL2023 カーネルで設定された Device Mapper ターゲットにはいくつかの変更があります。
eCryptFs サポート
ecryptfs ファイルシステムは Amazon Linux では廃止されました。のユーザースペースコンポーネントecryptfsは AL1 に存在し、AL2 で削除され、AL2023 はecryptfsサポート付きカーネルを構築しなくなりました。
exFAT
exFAT ファイルシステムのサポートが AL2 の 5.10 カーネルに追加されました。4.14 カーネルを使用した AL2 起動時には存在しませんでした。AL2023 は引き続きexFATファイルシステムをサポートしています。
ext2、 ext3、および ext4 のファイルシステム
AL2023 には CONFIG_EXT4_USE_FOR_EXT2オプションが付属しています。つまり、ext4ファイルシステムコードはレガシーext2ファイルシステムの読み取りに使用されます。
CONFIG_GFS2_FS
カーネルは CONFIG_GFS2_FS で構築されなくなりました。
Apple Extended HFS ファイルシステムのサポート (HFS+)
AL2 では、x86-64カーネルのみがhfsplusファイルシステムサポートで構築されました。AL2 5.15 カーネルには、アーキテクチャhfsplusのサポートは含まれていません。AL2023 では、Amazon Linux でhfsplusのサポートの廃止を完了します。
HFS ファイルシステムのサポート
AL2 では、x86-64カーネルのみがhfsファイルシステムサポートで構築されました。AL2 5.15 カーネルには、アーキテクチャhfsのサポートは含まれていません。AL2023 では、Amazon Linux でhfsのサポートの廃止を完了します。
JFS ファイルシステムのサポート
古い AL2 x86-64 カーネルは、jfsファイルシステムサポートを使用して構築されました。AL2 5.15 カーネルには、アーキテクチャjfsのサポートは含まれていません。AL1 または AL2 JFS ユーザースペースに同梱されていない。AL2023 では、Amazon Linux でjfsのサポートの廃止を完了します。
アップストリーム Linux カーネルは、 の削除を検討JFSJFSファイルシステムにデータがある場合は、別のファイルシステムに移行する必要があります。2024 年、 JFSは現在のすべての Amazon Linux カーネルから削除されました。
Windows Logical Disk Manager (Dynamic Disk) のサポート (CONFIG_LDM_PARTITION)
AL2023 はサポートしなくなりました Windows 2000, Windows XP、または Windows Vista を使用した動的ディスク MS-DOS スタイルパーティション。このコードは、 で導入された新しい GPT ベースの動的ディスクをサポートしていませんでした。Windows Vista.
Macintosh パーティションマップのサポート
AL2023 は、従来の Macintosh パーティションマップをサポートしていません。最新の macOS バージョンでは、この古いタイプに対して、デフォルトで最新の GPT パーティションテーブルが作成されます。
NFSv2 サポート
AL2023 は NFSv2 をサポートしていませんが、引き続き NFSv3、NFSv4、NFSv4.1、および NFSv4.2 をサポートしています。NFSv3 以降に移行することをお勧めします。
NTFS (CONFIG_NTFS_FS)
NTFS の 5.10 カーネルの時点で、Amazon Linux の AL2 ファイルシステムにアクセスntfsするために置き換えられたntfs3コード。AL2023 にはntfsコードが含まれなくなり、NTFS ファイルシステムにアクセスするためのntfs3コードのみに依存します。
romfs ファイルシステム
squashfs ファイルシステムは Amazon Linux のromfsファイルシステムの後継であり、AL2023 カーネルは のサポートで構築されなくなりましたromfs。
Solaris x86 ハードディスクパーティションフォーマット
AL2023 は Solaris x86 ハードディスクパーティション形式をサポートしていません。
squashfszstd compression
AL2023 が のサポートを追加 zstd サポートされているすべてのアーキテクチャ上の圧縮squashfsファイルシステム。
Sun パーティションテーブルのサポート
AL2023 には Sun パーティションテーブル形式 () のサポートが含まれなくなりましたCONFIG_SUN_PARTITION。
