本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
AL2023 个内核变更自 AL2
AL2023 引入了 6.1 内核以及许多配置更改,以进一步优化 Amazon Linux 的云端应用。对于大多数用户来说,这些更改应该是完全透明的。
IPv4 TTL
f TTL o IPv4 r 是通过配置的sysctl,默认值存在于中/etc/sysctl.d/00-defaults.conf。该值可以通过常用sysctl方法进行自定义。有关更多信息,请参阅sysctlman页面。
AL2将该net.ipv4.ip_default_ttl值设置为 255,而 AL2 023 将其设置为 127。这使亚马逊 Linux 的默认设置与其他主要的 Linux 发行版保持一致。如果没有证明有必要,不建议更改此默认值。
注重安全的内核配置变化
CONFIG 选项 |
AL2/4.14/aarch64 | AL2/4.14/x86_64 | AL2/5.10/aarch64 | AL2/5.10/x86_64 | AL2023/6.1/aarch64 | AL2023/6.1/x86_64 |
|---|---|---|---|---|---|---|
| CONFIG_BUG_ON_DATA_CORRUPTION |
n
|
y
|
n
|
y
|
y
|
y
|
| CONFIG_DEFAULT_MMAP_MIN_ADDR |
4096
|
4096
|
4096
|
4096
|
65536
|
65536
|
| CONFIG_DEVMEM |
n
|
y
|
n
|
y
|
n
|
n
|
| CONFIG_DEVPORT |
n
|
y
|
n
|
y
|
n
|
n
|
| CONFIG_FORTIFY_SOURCE |
n
|
y
|
n
|
y
|
y
|
y
|
| CONFIG_HARDENED_USERCOPY_FALLBACK | 不适用 | 不适用 |
y
|
y
|
不适用 | 不适用 |
| CONFIG_INIT_ON_ALLOC_DEFAULT_ON | 不适用 | 不适用 |
n
|
n
|
n
|
n
|
| CONFIG_INIT_ON_FREE_DEFAULT_ON | 不适用 | 不适用 |
n
|
n
|
n
|
n
|
| CONFIG_IOMMU_DEFAULT_DMA_STRICT | 不适用 | 不适用 | 不适用 | 不适用 |
n
|
n
|
| CONFIG_LDISC_AUTOLOAD |
y
|
y
|
y
|
y
|
n
|
n
|
| CONFIG_SCHED_CORE | 不适用 | 不适用 | 不适用 | 不适用 | 不适用 |
y
|
| CONFIG_SCHED_STACK_END_CHECK |
n
|
y
|
n
|
y
|
y
|
y
|
| CONFIG_SECURITY_DMESG_RESTRICT |
n
|
n
|
n
|
n
|
y
|
y
|
| CONFIG_SECURITY_SELINUX_DISABLE |
y
|
y
|
y
|
y
|
n
|
n
|
| CONFIG_SHUFFLE_PAGE_ALLOCATOR | 不适用 | 不适用 |
y
|
y
|
y
|
y
|
| CONFIG_SLAB_FREELIST_HARDENED |
n
|
y
|
y
|
y
|
y
|
y
|
| CONFIG_SLAB_FREELIST_RANDOM |
n
|
n
|
y
|
y
|
y
|
y
|
x86-64 以特定安全为重点的内核配置更改
CONFIG 选项 |
AL2/4.14/x86_64 | AL2/5.10/x86_64 | AL2023/6.1/x86_64 |
|---|---|---|---|
| CONFIG_AMD_IOMMU |
y
|
y
|
y
|
| CONFIG_AMD_IOMMU_V2 |
m
|
m
|
y
|
| CONFIG_RANDOMIZE_MEMORY | 不适用 |
y
|
y
|
aarch64 (ARM/Graviton) 以安全为重点的内核配置更改
CONFIG 选项 |
AL2/4.14/aarch64 | AL2/5.10/aarch64 | AL2023/6.1/aarch64 |
|---|---|---|---|
| CONFIG_ARM64_PTR_AUTH | 不适用 |
y
|
y
|
| CONFIG_ARM64_PTR_AUTH_KERNEL | 不适用 | 不适用 |
y
|
| CONFIG_ARM64_SW_TTBR0_PAN |
y
|
y
|
y
|
/dev/mem、/dev/kmem 和 /dev/port
Amazon Linux 2023 在已有的限制的基础上完全禁用/dev/memCONFIG_DEVMEM和/dev/port(而且CONFIG_DEVPORT)。AL2
在 5.13 内核中,该/dev/kmem代码已从 Linux 中完全删除,虽然它在中被禁用AL2,但现在不适用于 AL2 023。
此选项是内核自我保护项目推荐设置
FORTIFY_SOURCE
AL2023 CONFIG_FORTIFY_SOURCE 在所有支持的架构上启用。此功能是一项安全强化功能。在编译器可以确定和验证缓冲区大小的情况下,此功能可以检测常见字符串和内存函数中的缓冲区溢出。
此选项是内核自我保护项目推荐设置
线路纪律自动加载 () CONFIG_LDISC_AUTOLOAD
除非请求来自具有CAP_SYS_MODULE权限的进程,否则 AL2 023 内核不会自动加载线路规范 TIOCSETDioctl,例如通过使用的软件进行加载。
此选项是内核自我保护项目推荐设置
dmesg非特权用户的访问权限 () CONFIG_SECURITY_DMESG_RESTRICT
默认情况下,AL2023 不允许非特权用户访问。dmesg
此选项是内核自我保护项目推荐设置
SELinuxselinuxfs禁用
AL2023 禁用已弃用的CONFIG_SECURITY_SELINUX_DISABLE内核选项,该选项启用了一种在加载策略SELinux之前禁用的运行时方法。
此选项是内核自我保护项目推荐设置
其他内核配置变化
CONFIG 选项 |
AL2/4.14/aarch64 | AL2/4.14/x86_64 | AL2/5.10/aarch64 | AL2/5.10/x86_64 | AL2023/6.1/aarch64 | AL2023/6.1/x86_64 |
|---|---|---|---|---|---|---|
| CONFIG_HZ |
100
|
250
|
100
|
250
|
100
|
100
|
| CONFIG_NR_CPUS |
4096
|
8192
|
4096
|
8192
|
4096
|
8192
|
| CONFIG_PANIC_ON_OOPS |
y
|
n
|
y
|
n
|
y
|
y
|
| CONFIG_PANIC_ON_OOPS_VALUE |
1
|
0
|
1
|
0
|
1
|
1
|
| CONFIG_PPP |
m
|
m
|
m
|
m
|
n
|
n
|
| CONFIG_SLIP |
m
|
m
|
m
|
m
|
n
|
n
|
| CONFIG_XEN_PV | 不适用 |
y
|
不适用 |
n
|
不适用 |
n
|
CONFIG_HZ
AL2在两个aarch64平台上CONFIG_HZ,023 都设置为 100 x86-64。
CONFIG_NR_ CPUS
AL2023 设置CONFIG_NR_CPUS为一个更接近亚马逊EC2上可找到的最大CPU内核数的数字。
惊慌失措 OOPS
AL2023 内核出现故障时会死机。此功能等同于在内核命令行上使用 oops=panic 引导。
内核错误是指内核检测到可能影响系统的进一步可靠性的内部错误。
PPP和 Supp SLIP ort
AL2023 不支持PPP或SLIP协议。
Xen PV 访客支持
AL2023 不支持以 Xen PV 访客身份运行。
内核文件系统支持
内核支持挂载的文件系统发生了几处变化,内核AL2将要解析的分区方案也发生了变化。
CONFIG 选项 |
AL2/4.14/aarch64 | AL2/4.14/x86_64 | AL2/5.10/aarch64 | AL2/5.10/x86_64 | AL2023/6.1/aarch64 | AL2023/6.1/x86_64 |
|---|---|---|---|---|---|---|
| CONFIG_AFS_FS |
n
|
m
|
n
|
m
|
n
|
n
|
| CONFIG_AF_RXRPC |
n
|
m
|
n
|
m
|
n
|
n
|
| CONFIG_BSD_DISKLABEL |
y
|
y
|
y
|
y
|
n
|
n
|
| CONFIG_CRAMFS |
m
|
m
|
m
|
m
|
n
|
n
|
| CONFIG_CRAMFS_BLOCKDEV | 不适用 | 不适用 |
y
|
n
|
不适用 | 不适用 |
| CONFIG_DM_CLONE | 不适用 | 不适用 |
n
|
n
|
n
|
n
|
| CONFIG_DM_ERA |
m
|
n
|
m
|
n
|
n
|
n
|
| CONFIG_DM_INTEGRITY |
n
|
m
|
n
|
m
|
m
|
m
|
| CONFIG_DM_LOG_WRITES |
n
|
n
|
m
|
m
|
m
|
m
|
| CONFIG_DM_SWITCH |
m
|
n
|
m
|
n
|
n
|
n
|
| CONFIG_DM_VERITY |
m
|
n
|
m
|
n
|
n
|
n
|
| CONFIG_ECRYPT_FS |
n
|
m
|
n
|
m
|
n
|
n
|
| CONFIG_EXFAT_FS | 不适用 | 不适用 |
m
|
m
|
m
|
m
|
| CONFIG_EXT2_FS |
n
|
m
|
n
|
m
|
n
|
n
|
| CONFIG_EXT3_FS |
n
|
m
|
n
|
m
|
n
|
n
|
| CONFIG_GFS2_FS |
m
|
m
|
m
|
m
|
n
|
n
|
| CONFIG_HFSPLUS_FS |
n
|
m
|
n
|
m
|
n
|
n
|
| CONFIG_HFS_FS |
n
|
m
|
n
|
m
|
n
|
n
|
| CONFIG_JFS_FS |
n
|
n
|
n
|
n
|
n
|
n
|
| CONFIG_LDM_PARTITION |
n
|
y
|
n
|
y
|
n
|
n
|
| CONFIG_MAC_PARTITION |
n
|
y
|
n
|
y
|
n
|
n
|
| CONFIG_NFS_V2 |
n
|
m
|
n
|
m
|
n
|
n
|
| CONFIG_NTFS_FS |
n
|
m
|
n
|
n
|
n
|
n
|
| CONFIG_ROMFS_FS |
n
|
m
|
n
|
m
|
n
|
n
|
| CONFIG_SOLARIS_X86_PARTITION |
n
|
y
|
n
|
y
|
n
|
n
|
| CONFIG_SQUASHFS_ZSTD |
n
|
y
|
n
|
y
|
y
|
y
|
| CONFIG_SUN_PARTITION |
n
|
y
|
n
|
y
|
n
|
n
|
Andrew 文件系统支持 (AFS)
内核不再支持 afs 文件系统。AL2未附带的用户空间支持。afs
cramfs 支持
内核不再支持 cramfs 文件系统。AL2023 中的继任者是squashfs文件系统。
BSD磁盘标签支持
该内核不再支持BSD磁盘标签。如果需要读取带有BSD磁盘标签的卷,则BSDs可以启动各种卷标。
设备映射器变化
在 AL2 023 内核中配置的设备映射器目标进行了几处更改。
eCryptFs 支持
Amazon Linux 中已弃用了 ecryptfs 文件系统。的用户空间组件ecryptfs已存在于中并在中删除 AL1AL2,AL2023 不再使用ecryptfs支持构建内核。
前任 FAT
在 5.10 内核中AL2添加了对exFAT文件系统的支持。它在 4.14 内核AL2发布时不存在。AL2023 继续支持exFAT文件系统。
ext2、 ext3 和 ext4 文件系统
AL2023 附带CONFIG_EXT4_USE_FOR_EXT2选项,这意味着ext4文件系统代码将用于读取传统ext2文件系统。
CONFIG_ GFS2 _FS
内核不再使用 CONFIG _ GFS2 _FS 构建。
苹果扩展HFS文件系统支持 (HFS+)
在中AL2,只有内x86-64核是在支持hfsplus文件系统的情况下构建的。AL25.15 内核不hfsplus支持任何架构。AL22023 年,我们完成了对亚马逊 Linux hfsplus 支持的弃用。
HFS文件系统支持
在中AL2,只有内x86-64核是在支持hfs文件系统的情况下构建的。AL25.15 内核不hfs支持任何架构。AL22023 年,我们完成了对亚马逊 Linux hfs 支持的弃用。
JFS文件系统支持
较旧的AL2x86-64内核是在支持jfs文件系统的情况下构建的。AL25.15 内核不jfs支持任何架构。两者都不是AL2,AL1或者与JFS用户空间一起提供。AL22023 年,我们完成了对亚马逊 Linux jfs 支持的弃用。
上游 Linux 内核正在考虑删除JFSJFS文件系统上有数据,则应将其迁移到另一个文件系统。2024 JFS 年,已从所有当前的亚马逊 Linux 内核中删除。
Windows 逻辑磁盘管理器(动态磁盘)支持 (CONFIG_LDM_PARTITION)
AL2023 不再支持 Windows 2000, Windows XP,或 Windows Vista 动态磁盘,带有 MS-DOS 样式分区。此代码从来不支持中引入的GPT基于较新的动态磁盘 Windows Vista.
Macintosh 分区映射支持
AL2023 不再支持经典的 Macintosh 分区图。默认情况下,现代 macOS 版本会创建新式GPT分区表,而不是这种较旧的分区表。
NFSv2支持
AL2023 不再支持NFSv2,但继续支持NFSv3、NFSv4、NFSv4 .1 和 NFSv4 .2。我们建议您迁移到NFSv3或更新版本。
NTFS (CONFIG_NTFS_FS)
从 5.10 内核起,该ntfs3代码已被替换ntfs为在 Amazon Linux 上访问NTFS文件系统。AL2AL2023 不再包含ntfs代码,而是完全依赖ntfs3代码来访问NTFS文件系统。
romfs 文件系统
在 Amazon Linux 中,squashfsromfs文件系统是文件系统的继任者,而且 AL2 023 内核的构建不再支持romfs了。
Solaris x86 硬盘分区格式
AL2023 不再支持 Solaris x86 硬盘分区格式。
squashfszstd 压缩
AL2023 增加了对以下内容的支持 zstd 所有支持的架构上的压缩squashfs文件系统。
Sun 分区表支持
AL2023 不再支持 Sun 分区表格式 (CONFIG_SUN_PARTITION)。
