Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# AL2023 Kernelhärtung
Der 6.1-Linux-Kernel AL2023 ist mit verschiedenen Hardening-Optionen und -Funktionen konfiguriert und gebaut.
## Kernel-Hardening-Optionen (architekturunabhängig)
| `CONFIG`-Option | AL2023/6.1/aarch64 | AL2023/6.1/x86\_64 | AL2023/6.12/aarch64 | AL2023/6.12/x86\_64 | AL2023/6.18/aarch64 | AL2023/6.18/x86\_64 |
| --- | --- | --- | --- | --- | --- | --- |
| [`CONFIG_ACPI_CUSTOM_METHOD`](#CONFIG_ACPI_CUSTOM_METHOD) | n | n | – | – | – | – |
| [`CONFIG_BINFMT_MISC`](#CONFIG_BINFMT_MISC) | m | m | m | m | m | m |
| [`CONFIG_BUG`](#CONFIG_BUG) | y | y | y | y | y | y |
| [`CONFIG_BUG_ON_DATA_CORRUPTION`](#CONFIG_BUG_ON_DATA_CORRUPTION) | y | y | y | y | y | y |
| [`CONFIG_CFI_CLANG`](#CONFIG_CFI_CLANG) | – | – | – | – | – | – |
| [`CONFIG_CFI_PERMISSIVE`](#CONFIG_CFI_PERMISSIVE) | – | – | – | – | – | – |
| [`CONFIG_COMPAT`](#CONFIG_COMPAT) | y | y | y | y | y | y |
| [`CONFIG_COMPAT_BRK`](#CONFIG_COMPAT_BRK) | n | n | n | n | n | n |
| [`CONFIG_COMPAT_VDSO`](#CONFIG_COMPAT_VDSO) | – | n | – | n | – | n |
| [`CONFIG_DEBUG_CREDENTIALS`](#CONFIG_DEBUG_CREDENTIALS) | n | n | – | – | – | – |
| [`CONFIG_DEBUG_LIST`](#CONFIG_DEBUG_LIST) | y | y | y | y | y | y |
| [`CONFIG_DEBUG_NOTIFIERS`](#CONFIG_DEBUG_NOTIFIERS) | n | n | n | n | n | n |
| [`CONFIG_DEBUG_SG`](#CONFIG_DEBUG_SG) | n | n | n | n | n | n |
| [`CONFIG_DEBUG_VIRTUAL`](#CONFIG_DEBUG_VIRTUAL) | n | n | n | n | n | n |
| [`CONFIG_DEBUG_WX`](#CONFIG_DEBUG_WX) | n | n | n | n | n | n |
| [`CONFIG_DEFAULT_MMAP_MIN_ADDR`](#CONFIG_DEFAULT_MMAP_MIN_ADDR) | 65536 | 65536 | 65536 | 65536 | 65536 | 65536 |
| [`CONFIG_DEVKMEM`](compare-with-al2-kernel.md#CONFIG_DEVKMEM) | – | – | – | – | – | – |
| [`CONFIG_DEVMEM`](compare-with-al2-kernel.md#CONFIG_DEVMEM) | n | n | n | n | n | n |
| [`CONFIG_EFI_DISABLE_PCI_DMA`](#CONFIG_EFI_DISABLE_PCI_DMA) | n | n | n | n | n | n |
| [`CONFIG_FORTIFY_SOURCE`](compare-with-al2-kernel.md#CONFIG_FORTIFY_SOURCE) | y | y | y | y | y | y |
| [`CONFIG_HARDENED_USERCOPY`](#CONFIG_HARDENED_USERCOPY) | y | y | y | y | y | y |
| [`CONFIG_HARDENED_USERCOPY_FALLBACK`](#CONFIG_HARDENED_USERCOPY_FALLBACK) | – | – | – | – | – | – |
| [`CONFIG_HARDENED_USERCOPY_PAGESPAN`](#CONFIG_HARDENED_USERCOPY_PAGESPAN) | – | – | – | – | – | – |
| [`CONFIG_HIBERNATION`](#CONFIG_HIBERNATION) | y | y | y | y | y | y |
| [`CONFIG_HW_RANDOM_TPM`](#CONFIG_HW_RANDOM_TPM) | – | – | – | – | – | – |
| [`CONFIG_INET_DIAG`](#CONFIG_INET_DIAG) | m | m | m | m | m | m |
| [`CONFIG_INIT_ON_ALLOC_DEFAULT_ON`](#CONFIG_INIT_ON_ALLOC_DEFAULT_ON) | n | n | n | n | n | n |
| [`CONFIG_INIT_ON_FREE_DEFAULT_ON`](#CONFIG_INIT_ON_FREE_DEFAULT_ON) | n | n | n | n | n | n |
| [`CONFIG_INIT_STACK_ALL_ZERO`](#CONFIG_INIT_STACK_ALL_ZERO) | – | – | – | – | – | – |
| [`CONFIG_IOMMU_DEFAULT_DMA_STRICT`](#CONFIG_IOMMU_DEFAULT_DMA_STRICT) | n | n | n | n | n | n |
| [`CONFIG_IOMMU_SUPPORT`](#CONFIG_IOMMU_SUPPORT) | y | y | y | y | y | y |
| [`CONFIG_IO_STRICT_DEVMEM`](compare-with-al2-kernel.md#CONFIG_IO_STRICT_DEVMEM) | – | – | – | – | – | – |
| [`CONFIG_KEXEC`](#CONFIG_KEXEC) | y | y | y | y | y | y |
| [`CONFIG_KFENCE`](#CONFIG_KFENCE) | n | n | n | n | n | n |
| [`CONFIG_LDISC_AUTOLOAD`](compare-with-al2-kernel.md#CONFIG_LDISC_AUTOLOAD) | n | n | n | n | n | n |
| [`CONFIG_LEGACY_PTYS`](#CONFIG_LEGACY_PTYS) | n | n | n | n | n | n |
| [`CONFIG_LOCK_DOWN_KERNEL_FORCE_CONFIDENTIALITY`](#CONFIG_LOCK_DOWN_KERNEL_FORCE_CONFIDENTIALITY) | n | n | n | n | n | n |
| [`CONFIG_MODULES`](#CONFIG_MODULES) | y | y | y | y | y | y |
| [`CONFIG_MODULE_SIG`](#CONFIG_MODULE_SIG) | y | y | y | y | y | y |
| [`CONFIG_MODULE_SIG_ALL`](#CONFIG_MODULE_SIG_ALL) | y | y | y | y | y | y |
| [`CONFIG_MODULE_SIG_FORCE`](#CONFIG_MODULE_SIG_FORCE) | n | n | n | n | n | n |
| [`CONFIG_MODULE_SIG_HASH`](#CONFIG_MODULE_SIG_HASH) | sha512 | sha512 | sha512 | sha512 | sha512 | sha512 |
| [`CONFIG_MODULE_SIG_KEY`](#CONFIG_MODULE_SIG_KEY) | certs/signing\_key.pem | certs/signing\_key.pem | certs/signing\_key.pem | certs/signing\_key.pem | certs/signing\_key.pem | certs/signing\_key.pem |
| [`CONFIG_MODULE_SIG_SHA512`](#CONFIG_MODULE_SIG_SHA512) | y | y | y | y | y | y |
| [`CONFIG_PAGE_POISONING`](#CONFIG_PAGE_POISONING) | n | n | n | n | n | n |
| [`CONFIG_PAGE_POISONING_NO_SANITY`](#CONFIG_PAGE_POISONING_NO_SANITY) | – | – | – | – | – | – |
| [`CONFIG_PAGE_POISONING_ZERO`](#CONFIG_PAGE_POISONING_ZERO) | – | – | – | – | – | – |
| [`CONFIG_PANIC_ON_OOPS`](compare-with-al2-kernel.md#CONFIG_PANIC_ON_OOPS) | y | y | y | y | y | y |
| [`CONFIG_PANIC_TIMEOUT`](#CONFIG_PANIC_TIMEOUT) | 0 | 0 | 0 | 0 | 0 | 0 |
| [`CONFIG_PROC_KCORE`](#CONFIG_PROC_KCORE) | y | y | y | y | y | y |
| [`CONFIG_RANDOMIZE_KSTACK_OFFSET_DEFAULT`](#CONFIG_RANDOMIZE_KSTACK_OFFSET_DEFAULT) | n | n | n | n | n | n |
| [`CONFIG_RANDOM_TRUST_BOOTLOADER`](#CONFIG_RANDOM_TRUST_BOOTLOADER) | y | y | – | – | – | – |
| [`CONFIG_RANDOM_TRUST_CPU`](#CONFIG_RANDOM_TRUST_CPU) | y | y | – | – | – | – |
| [`CONFIG_REFCOUNT_FULL`](#CONFIG_REFCOUNT_FULL) | – | – | – | – | – | – |
| [`CONFIG_SCHED_CORE`](#CONFIG_SCHED_CORE) | – | y | – | y | – | y |
| [`CONFIG_SCHED_STACK_END_CHECK`](#CONFIG_SCHED_STACK_END_CHECK) | y | y | y | y | y | y |
| [`CONFIG_SECCOMP`](#CONFIG_SECCOMP) | y | y | y | y | y | y |
| [`CONFIG_SECCOMP_FILTER`](#CONFIG_SECCOMP_FILTER) | y | y | y | y | y | y |
| [`CONFIG_SECURITY`](#CONFIG_SECURITY) | y | y | y | y | y | y |
| [`CONFIG_SECURITY_DMESG_RESTRICT`](compare-with-al2-kernel.md#CONFIG_SECURITY_DMESG_RESTRICT) | y | y | y | y | y | y |
| [`CONFIG_SECURITY_LANDLOCK`](#CONFIG_SECURITY_LANDLOCK) | y | y | y | y | y | y |
| [`CONFIG_SECURITY_LOCKDOWN_LSM`](#CONFIG_SECURITY_LOCKDOWN_LSM) | y | y | y | y | y | y |
| [`CONFIG_SECURITY_LOCKDOWN_LSM_EARLY`](#CONFIG_SECURITY_LOCKDOWN_LSM_EARLY) | y | y | y | y | y | y |
| [`CONFIG_SECURITY_SELINUX_BOOTPARAM`](#CONFIG_SECURITY_SELINUX_BOOTPARAM) | y | y | y | y | y | y |
| [`CONFIG_SECURITY_SELINUX_DEVELOP`](#CONFIG_SECURITY_SELINUX_DEVELOP) | y | y | y | y | y | y |
| [`CONFIG_SECURITY_SELINUX_DISABLE`](compare-with-al2-kernel.md#CONFIG_SECURITY_SELINUX_DISABLE) | n | n | – | – | – | – |
| [`CONFIG_SECURITY_WRITABLE_HOOKS`](#CONFIG_SECURITY_WRITABLE_HOOKS) | – | – | – | – | – | – |
| [`CONFIG_SECURITY_YAMA`](#CONFIG_SECURITY_YAMA) | y | y | y | y | y | y |
| [`CONFIG_SHUFFLE_PAGE_ALLOCATOR`](#CONFIG_SHUFFLE_PAGE_ALLOCATOR) | y | y | y | y | y | y |
| [`CONFIG_SLAB_FREELIST_HARDENED`](#CONFIG_SLAB_FREELIST_HARDENED) | y | y | y | y | y | y |
| [`CONFIG_SLAB_FREELIST_RANDOM`](#CONFIG_SLAB_FREELIST_RANDOM) | y | y | y | y | y | y |
| [`CONFIG_SLUB_DEBUG`](#CONFIG_SLUB_DEBUG) | y | y | y | y | y | y |
| [`CONFIG_STACKPROTECTOR`](#CONFIG_STACKPROTECTOR) | y | y | y | y | y | y |
| [`CONFIG_STACKPROTECTOR_STRONG`](#CONFIG_STACKPROTECTOR_STRONG) | y | y | y | y | y | y |
| [`CONFIG_STATIC_USERMODEHELPER`](#CONFIG_STATIC_USERMODEHELPER) | n | n | n | n | n | n |
| [`CONFIG_STRICT_DEVMEM`](compare-with-al2-kernel.md#CONFIG_STRICT_DEVMEM) | n | n | n | n | n | n |
| [`CONFIG_STRICT_KERNEL_RWX`](#CONFIG_STRICT_KERNEL_RWX) | y | y | y | y | y | y |
| [`CONFIG_STRICT_MODULE_RWX`](#CONFIG_STRICT_MODULE_RWX) | y | y | y | y | y | y |
| [`CONFIG_SYN_COOKIES`](#CONFIG_SYN_COOKIES) | y | y | y | y | y | y |
| [`CONFIG_VMAP_STACK`](#CONFIG_VMAP_STACK) | y | y | y | y | y | y |
| [`CONFIG_WERROR`](#CONFIG_WERROR) | n | n | n | n | n | n |
| [`CONFIG_ZERO_CALL_USED_REGS`](#CONFIG_ZERO_CALL_USED_REGS) | n | n | n | n | n | n |
### ACPI-Methoden zur Laufzeit zulassen (CONFIG\_ACPI\_CUSTOM\_METHOD) inserted/replaced
Diese Option ist in Amazon Linux deaktiviert, da sie `root`-Benutzern erlaubt, in beliebigen Kernelspeicher zu schreiben.
Diese Option ist eine der [empfohlenen Einstellungen des Kernel Self Protection Project](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings).
### Verschiedene Binärformate (`binfmt_misc`)
Diese Option gehört zwar zu den vom [Kernel Self Protection Project (KSPP) empfohlenen Einstellungen, setzt diese Konfigurationsoption AL2023 jedoch nicht auf das, was KSPP empfiehlt](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings). In AL2023 ist diese Funktion optional und wurde als Kernelmodul erstellt.
### `BUG()`-Support
Diese Option ist eine der [empfohlenen Einstellungen des Kernel Self Protection Project](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings).
### `BUG()` wenn der Kernel bei der Gültigkeitspprüfung der Kernel-Speicherstrukturen auf beschädigte Daten stößt
Einige Teile des Linux-Kernels prüfen die interne Konsistenz von Datenstrukturen und können `BUG()`, falls beschädigte Daten gefunden werden.
Diese Option ist eine der [empfohlenen Einstellungen des Kernel Self Protection Project](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings).
### `COMPAT_BRK`
Wenn diese Option deaktiviert ist (dies ist die Kernelkonfiguration in Amazon Linux), wird die `randomize_va_space`-`sysctl`-Einstellung standardmäßig auf `2` gesetzt, wodurch zusätzlich eine Randomisierungen der `mmap`-Basis-, -Stack- und -VDSO-Seite aktiviert wird.
Der Kernel bietet diese Option, um Kompatibilität mit einigen alten `libc.so.5`-Binärdateien aus 1996 und früher zu gewährleisten.
Diese Option ist eine der [empfohlenen Einstellungen des Kernel Self Protection Project](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings).
### `COMPAT_VDSO`
Diese Konfigurationsoption ist relevant für `x86-64` und nicht `aarch64`. Wenn Sie diese Option auf `n` setzen, macht der Amazon Linux-Kernel kein virtuelles dynamisches Shared Object (VDSO) mit 32 Bit an einer vorhersehbaren Adresse sichtbar. Die jüngste `glibc`, von der bekannt ist, dass sie durch die Festlegung dieser Option auf `n` beschädigt wurde, ist `glibc` 2.3.3 aus dem Jahr 2004.
Diese Option ist eine der [empfohlenen Einstellungen des Kernel Self Protection Project](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings).
### `CONFIG_DEBUG`kontrolliertes Härten
Die Konfigurationsoptionen des Linux-Kernels, von denen Gated by gesteuert wird, `CONFIG_DEBUG` sind normalerweise für die Verwendung in Kerneln konzipiert, die für Debugging-Probleme gebaut wurden, und Dinge wie Leistung haben keine Priorität. AL2023 aktiviert die `CONFIG_DEBUG_LIST` Härtungsoption.
### Deaktivieren von DMA für PCI-Geräte im EFI-Stub vor der IOMMU-Konfigurierung
Diese Option gehört zwar zu den vom [Kernel Self Protection Project (KSPP) empfohlenen Einstellungen](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings), AL2023 setzt diese Konfigurationsoption jedoch nicht auf die von KSPP empfohlenen Einstellungen.
### Hardening für das Kopieren von Speicher zwischen Kernel und Userspace
Wenn der Kernel Speicher in den oder aus dem Userspace kopieren muss, aktiviert diese Option einige Prüfungen, die vor einigen Arten von Heap-Overflow-Problemen schützen können.
Die `CONFIG_HARDENED_USERCOPY_FALLBACK`-Option war bereits in den Kerneln 4.16 bis 5.15 vorhanden, um Kernel-Entwicklern zu helfen, fehlende Allowlist-Einträge mithilfe von `WARN()` aufzufinden. Da ein 6.1-Kernel AL2023 ausgeliefert wird, ist diese Option nicht mehr relevant für. AL2023
Die `CONFIG_HARDENED_USERCOPY_PAGESPAN` Option existierte in Kerneln hauptsächlich als Debugging-Option für Entwickler und gilt nicht mehr für den 6.1-Kernel in. AL2023
Diese Option ist eine der [empfohlenen Einstellungen des Kernel Self Protection Project](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings).
### Hibernation-Unterstützung
Diese Option gehört zwar zu den vom [Kernel Self Protection Project (KSPP) empfohlenen Einstellungen](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings), AL2023 setzt diese Konfigurationsoption jedoch nicht auf das, was KSPP empfiehlt. Diese Option muss aktiviert sein, um [Hibernation der On-Demand Instance](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Hibernate.html) und [Hibernation für unterbrochene Spot Instances](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/hibernate-spot-instances.html) zu unterstützen.
### Generierung von Zufallszahlen
Der AL2023-Kernel ist so konfiguriert, dass sichergestellt ist, dass eine angemessene Entropie für die Verwendung in EC2 verfügbar ist.
### `CONFIG_INET_DIAG`
Diese Option gehört zwar zu den vom [Kernel Self Protection Project (KSPP) empfohlenen Einstellungen](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings), AL2023 setzt diese Konfigurationsoption jedoch nicht auf das, was KSPP empfiehlt. In AL2023 ist diese Funktion optional und wurde als Kernelmodul erstellt.
### Bei der Zuweisung und Freigabe wird der gesamte Kernel-Page- und Slab-Allocator-Speicher auf Null gesetzt
Diese Option gehört zwar zu den vom [Kernel Self Protection Project (KSPP) empfohlenen Einstellungen](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings), AL2023 setzt diese Konfigurationsoption jedoch nicht auf das, was KSPP empfiehlt. Diese Optionen sind AL2023 aufgrund der möglichen Leistungseinbußen bei der standardmäßigen Aktivierung dieser Funktion deaktiviert. Das `CONFIG_INIT_ON_ALLOC_DEFAULT_ON`-Verhalten kann durch Hinzufügen von `init_on_alloc=1` zur Kernel-Befehlszeile aktiviert werden, und das `CONFIG_INIT_ON_FREE_DEFAULT_ON`-Verhalten kann durch Hinzufügen von `init_on_free=1` aktiviert werden.
### Alle Stack-Variablen als Null (`CONFIG_INIT_STACK_ALL_ZERO`) initialisieren
Diese Option gehört zwar zu den vom [Kernel Self Protection Project (KSPP) empfohlenen Einstellungen](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings), legt diese Konfigurationsoption AL2023 jedoch nicht auf die von KSPP empfohlenen Einstellungen fest. Diese Option erfordert GCC 12 oder höher und ist im Lieferumfang von GCC 11 enthalten AL2023 .
### Signieren des Kernel-Moduls
AL2023 signiert und validiert die Signaturen von Kernelmodulen. Die `CONFIG_MODULE_SIG_FORCE`-Option, nach der Module über eine gültige Signatur verfügen müssten, ist nicht aktiviert, um die Kompatibilität für Benutzer zu gewährleisten, die Module von Drittanbietern erstellen. Für Benutzer, die sicherstellen möchten, dass alle Kernelmodule signiert sind, kann [Lockdown Linux-Sicherheitsmodul (LSM)](#CONFIG_SECURITY_LOCKDOWN_LSM) so konfiguriert werden, dass eine Verifizierung erzwungen wird.
### `kexec`
Diese Option gehört zwar zu den vom [Kernel Self Protection Project (KSPP) empfohlenen Einstellungen](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings), AL2023 setzt diese Konfigurationsoption jedoch nicht auf das, was KSPP empfiehlt. Diese Option ist aktiviert, sodass die `kdump`-Funktionalität genutzt werden kann.
### `IOMMU`Support
AL2023 aktiviert IOMMU-Unterstützung. Die `CONFIG_IOMMU_DEFAULT_DMA_STRICT`-Option ist standardmäßig nicht aktiviert, aber diese Funktionalität kann durch eine Hinzufügung von `iommu.passthrough=0 iommu.strict=1` zur Kernel-Befehlszeile konfiguriert werden.
### `kfence`
Diese Option gehört zwar zu den vom [Kernel Self Protection Project (KSPP) empfohlenen Einstellungen](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings), AL2023 setzt diese Konfigurationsoption jedoch nicht auf die von KSPP empfohlenen Einstellungen.
### Legacy-`pty`-Unterstützung
AL2023 verwendet die moderne PTY Schnittstelle (). `devpts`
Diese Option ist eine der [empfohlenen Einstellungen des Kernel Self Protection Project](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings).
### Lockdown Linux-Sicherheitsmodul (LSM)
AL2023 erstellt das `lockdown` LSM, das den Kernel automatisch sperrt, wenn Secure Boot verwendet wird.
Die `CONFIG_LOCK_DOWN_KERNEL_FORCE_CONFIDENTIALITY`-Option ist nicht aktiviert. Diese Option gehört zwar zu den vom [Kernel Self Protection Project (KSPP) empfohlenen Einstellungen](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings), AL2023 setzt diese Konfigurationsoption jedoch nicht auf die von KSPP empfohlenen Einstellungen. Wenn Secure Boot nicht verwendet wird, kann das Lockdown-LSM aktiviert und nach Bedarf konfiguriert werden.
### Seitenvergiftung
Diese Option gehört zwar zu den empfohlenen Einstellungen des [Kernel Self Protection Project (KSPP), AL2023 setzt diese Konfigurationsoption jedoch nicht auf die von KSPP empfohlenen Einstellungen](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings). In ähnlicher Weise ist diese Option im AL2023 Kernel aufgrund möglicher Auswirkungen auf die Leistung deaktiviert. [Bei der Zuweisung und Freigabe wird der gesamte Kernel-Page- und Slab-Allocator-Speicher auf Null gesetzt](#kernel-init-on-alloc-free)
### Stack Protector
Der AL2023 Kernel wurde so gebaut, dass die Stack-Protector-Funktion mit der GCC Option aktiviert wurde. `-fstack-protector-strong`
Diese Option ist eine der [empfohlenen Einstellungen des Kernel Self Protection Project](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings).
### seccomp BPFAPI
Das seccomp-Hardening-Feature wird von Software wie `systemd` und Container-Runtimes verwendet, um Userspace-Anwendungen zu schützen.
Diese Option ist eine der [empfohlenen Einstellungen des Kernel Self Protection Project](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings).
### `panic()` timeout
Der AL2023 Kernel ist so konfiguriert, dass dieser Wert auf gesetzt ist`0`, was bedeutet, dass der Kernel nicht neu gestartet wird, wenn er in Panik gerät. Diese Option gehört zwar zu den vom [Kernel Self Protection Project (KSPP) empfohlenen Einstellungen](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings), AL2023 setzt diese Konfigurationsoption jedoch nicht auf das, was KSPP empfiehlt. Dies kann über `sysctl` `/proc/sys/kernel/panic` oder über die Kernel-Befehlszeile konfiguriert werden.
### Sicherheitsmodelle
AL2023 ist SELinux standardmäßig im permissiven Modus aktiviert. Weitere Informationen finden Sie unter [SELinux Einstellmodi für AL2 023](selinux-modes.md).
Die `yama`- und [Lockdown Linux-Sicherheitsmodul (LSM)](#CONFIG_SECURITY_LOCKDOWN_LSM)-Module sind ebenfalls aktiviert.
### `/proc/kcore`
Diese Option gehört zwar zu den vom [Kernel Self Protection Project (KSPP) empfohlenen Einstellungen](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings), AL2023 setzt diese Konfigurationsoption jedoch nicht auf die von KSPP empfohlenen Einstellungen.
### Randomisierung des Kernel-Stack-Offsets bei Eingabe von „syscall“
Diese Option gehört zwar zu den vom [Kernel Self Protection Project (KSPP) empfohlenen Einstellungen](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings), AL2023 setzt diese Konfigurationsoption jedoch nicht auf das, was KSPP empfiehlt. Dies kann durch eine Einstellung `randomize_kstack_offset=on` in der Kernel-Befehlszeile aktiviert werden.
### Prüfungen zur Referenzzählung (`CONFIG_REFCOUNT_FULL`)
Diese Option gehört zwar zu den vom [Kernel Self Protection Project (KSPP) empfohlenen Einstellungen](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings), AL2023 setzt diese Konfigurationsoption jedoch nicht auf das, was KSPP empfiehlt. Diese Option ist derzeit aufgrund möglicher Auswirkungen auf die Leistung nicht aktiviert.
### Scheduler-Kenntnisnahme der SMT-Cores (`CONFIG_SCHED_CORE`)
Der AL2023 Kernel ist mit gebaut`CONFIG_SCHED_CORE`, was die Verwendung von Userspace-Anwendungen ermöglicht. `prctl(PR_SCHED_CORE)` Diese Option ist eine der [empfohlenen Einstellungen des Kernel Self Protection Project](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings).
### Stack-Fehlerprüfung bei Aufrufen von `schedule()` (`CONFIG_SCHED_STACK_END_CHECK`)
Der AL2023 Kernel wird mit `CONFIG_SCHED_STACK_END_CHECK` aktivierter Option erstellt. Diese Option ist eine der [empfohlenen Einstellungen des Kernel Self Protection Project](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings).
### Härtung der Speicherzuweisung
Der AL2023 Kernel ermöglicht das Härten des Kernel-Speicherzuweisers mit den Optionen`CONFIG_SHUFFLE_PAGE_ALLOCATOR`, und`CONFIG_SLAB_FREELIST_HARDENED`. `CONFIG_SLAB_FREELIST_RANDOM` Diese Option ist eine der [empfohlenen Einstellungen des Kernel Self Protection Project](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings).
### SLUB Debugging-Support
Der AL2023 Kernel aktiviert, `CONFIG_SLUB_DEBUG` da diese Option optionale Debugging-Funktionen für den Allocator aktiviert, die in der Kernel-Befehlszeile aktiviert werden können. Diese Option ist eine der [empfohlenen Einstellungen des Kernel Self Protection Project](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings).
### CONFIG\_STATIC\_USERMODEHELPER
Diese Option gehört zwar zu den vom [Kernel Self Protection Project (KSPP) empfohlenen Einstellungen](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings), AL2023 setzt diese Konfigurationsoption jedoch nicht auf das, was KSPP empfiehlt. Dies liegt daran, dass `CONFIG_STATIC_USERMODEHELPER` besonderen Support von der Distribution benötigt, der derzeit in Amazon Linux nicht verfügbar ist.
### Schreibgeschützter Kerneltext und rodata (`CONFIG_STRICT_KERNEL_RWX` und `CONFIG_STRICT_MODULE_RWX`)
Der AL2023 Kernel ist so konfiguriert, dass er Text und Speicher des Kernels und des Kernelmoduls als schreibgeschützt und rodata Nicht-Textspeicher als nicht ausführbar markiert. Diese Option ist eine der [empfohlenen Einstellungen des Kernel Self Protection Project](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings).
### TCP Syncookie-Support (`CONFIG_SYN_COOKIES`)
Der AL2023 Kernel ist mit Unterstützung für TCP-Syncookies gebaut. Diese Option ist eine der [empfohlenen Einstellungen des Kernel Self Protection Project](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings).
### Virtuell zugeordneter Stack mit Guard-Seiten (`CONFIG_VMAP_STACK`)
Der AL2023 Kernel ist mit gebaut`CONFIG_VMAP_STACK`, was virtuell zugeordnete Kernel-Stacks mit Schutzseiten ermöglicht. Diese Option ist eine der [empfohlenen Einstellungen des Kernel Self Protection Project](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings).
### Build mit Compiler-Warnungen als Fehler angezeigt (`CONFIG_WERROR`)
Diese Option gehört zwar zu den vom [Kernel Self Protection Project (KSPP) empfohlenen Einstellungen](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings), AL2023 setzt diese Konfigurationsoption jedoch nicht auf das, was KSPP empfiehlt.
### Nullstellung des Registers bei Funktionsbeendigung (`CONFIG_ZERO_CALL_USED_REGS`)
Diese Option gehört zwar zu den vom [Kernel Self Protection Project (KSPP) empfohlenen Einstellungen](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings), AL2023 setzt diese Konfigurationsoption jedoch nicht auf das, was KSPP empfiehlt.
### Mindestadresse für Userspace-Zuweisungen
Diese Hardening-Option kann die Auswirkungen von Kernel-NULL-Pointer-Bugs reduzieren. Diese Option ist eine der [empfohlenen Einstellungen des Kernel Self Protection Project](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings).
### `clang`spezifische Härtungsoptionen
Der AL2023 Kernel ist mit und GCC nicht gebautclang, daher kann die `CONFIG_CFI_CLANG` Hardening-Option nicht aktiviert werden, weshalb sie auch `CONFIG_CFI_PERMISSIVE` nicht anwendbar ist. Diese Option gehört zwar zu den vom [Kernel Self Protection Project (KSPP) empfohlenen Einstellungen](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings), AL2023 setzt diese Konfigurationsoption jedoch nicht auf die von KSPP empfohlenen Einstellungen.
## Spezifische Kernel-Hardening-Optionen für x86-64
| `CONFIG`-Option | AL2023/6.1/aarch64 | AL2023/6.1/x86\_64 | AL2023/6.12/aarch64 | AL2023/6.12/x86\_64 | AL2023/6.18/aarch64 | AL2023/6.18/x86\_64 |
| --- | --- | --- | --- | --- | --- | --- |
| [`CONFIG_AMD_IOMMU`](#CONFIG_AMD_IOMMU) | – | y | – | y | – | y |
| [`CONFIG_AMD_IOMMU_V2`](#CONFIG_AMD_IOMMU_V2) | – | y | – | – | – | – |
| [`CONFIG_IA32_EMULATION`](#CONFIG_IA32_EMULATION) | – | y | – | y | – | y |
| [`CONFIG_INTEL_IOMMU`](#CONFIG_INTEL_IOMMU) | – | y | – | y | – | y |
| [`CONFIG_INTEL_IOMMU_DEFAULT_ON`](#CONFIG_INTEL_IOMMU_DEFAULT_ON) | – | n | – | n | – | n |
| [`CONFIG_INTEL_IOMMU_SVM`](#CONFIG_INTEL_IOMMU_SVM) | – | n | – | n | – | n |
| [`CONFIG_LEGACY_VSYSCALL_NONE`](#CONFIG_LEGACY_VSYSCALL_NONE) | – | n | – | n | – | n |
| [`CONFIG_MODIFY_LDT_SYSCALL`](#CONFIG_MODIFY_LDT_SYSCALL) | – | n | – | n | – | n |
| [`CONFIG_PAGE_TABLE_ISOLATION`](#CONFIG_PAGE_TABLE_ISOLATION) | – | y | – | – | – | – |
| [`CONFIG_RANDOMIZE_MEMORY`](#CONFIG_RANDOMIZE_MEMORY) | – | y | – | y | – | y |
| [`CONFIG_X86_64`](#CONFIG_X86_64) | – | y | – | y | – | y |
| [`CONFIG_X86_MSR`](#CONFIG_X86_MSR) | – | y | – | y | – | y |
| [`CONFIG_X86_VSYSCALL_EMULATION`](#CONFIG_X86_VSYSCALL_EMULATION) | – | y | – | y | – | y |
| [`CONFIG_X86_X32`](#CONFIG_X86_X32) | – | – | – | – | – | – |
| [`CONFIG_X86_X32_ABI`](#CONFIG_X86_X32_ABI) | – | n | – | n | – | n |
### x86-64-Unterstützung
Basis-Support für x86-64 umfasst die Unterstützung für Physical Address Extension (PAE) und No-Execute-Bits (NX). Diese Option ist eine der [empfohlenen Einstellungen des Kernel Self Protection Project](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings).
### Unterstützung für AMD und Intel IOMMU
Der AL2023 Kernel wird mit Unterstützung für AMD und Intel gebaut. IOMMUs Diese Option ist eine der [empfohlenen Einstellungen des Kernel Self Protection Project](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings).
Die `CONFIG_INTEL_IOMMU_DEFAULT_ON`-Option ist nicht gesetzt, kann aber durch Übergabe von `intel_iommu=on` an die Kernel-Befehlszeile aktiviert werden. Obwohl es sich bei dieser Option um eine der [empfohlenen Einstellungen des Kernel Self Protection Project (KSPP)](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings) handelt, AL2023 entspricht diese Konfigurationsoption nicht den Empfehlungen von KSPP.
Die `CONFIG_INTEL_IOMMU_SVM` Option ist derzeit in nicht aktiviert. AL2023 Diese Option gehört zwar zu den vom [Kernel Self Protection Project (KSPP) empfohlenen Einstellungen](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings), AL2023 setzt diese Konfigurationsoption jedoch nicht auf die von KSPP empfohlenen Einstellungen.
### Support für 32-Bit-Userspace
**Wichtig**
Support für 32-Bit-x86-Userspace ist veraltet und Unterstützung für die Ausführung von 32-Bit-Userspace-Binärdateien wird möglicherweise in einer zukünftigen Hauptversion von Amazon Linux entfernt.
**Anmerkung**
Der Kernel enthält zwar AL2023 keine 32-Bit-Pakete mehr, unterstützt aber weiterhin den Betrieb von 32-Bit-Userspace. Weitere Informationen finden Sie unter [32-Bit x86-(i686)-Pakete](compare-with-al2.md#i686).
Um die Ausführung von 32-Bit-Userspace-Anwendungen zu unterstützen, aktiviert die `CONFIG_X86_VSYSCALL_EMULATION` Option AL2023 nicht und aktiviert die `CONFIG_IA32_EMULATION` Optionen, und. `CONFIG_COMPAT` `CONFIG_X86_VSYSCALL_EMULATION` Diese Option gehört zwar zu den empfohlenen Einstellungen des [Kernel Self Protection Project (KSPP), AL2023 setzt diese Konfigurationsoption jedoch nicht auf die von KSPP empfohlenen Einstellungen](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings).
Die x32-native 32-Bit-ABI für 64-Bit-Prozessoren ist nicht aktiviert (`CONFIG_X86_X32` und `CONFIG_X86_X32_ABI`). Diese Option ist eine der [empfohlenen Einstellungen des Kernel Self Protection Project](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings).
### x86 Model Specific Register (MSR)-Support
Die `CONFIG_X86_MSR`-Option ist aktiviert, um Unterstützung für `turbostat` zuzulassen. Diese Option gehört zwar zu den vom [Kernel Self Protection Project (KSPP) empfohlenen Einstellungen](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings), AL2023 setzt diese Konfigurationsoption jedoch nicht auf das, was KSPP empfiehlt.
### `modify_ldt`-Syscall
AL2023 erlaubt Benutzerprogrammen nicht, die x86-Local Descriptor Table (LDT) mit dem Syscall zu ändern. `modify_ldt` Dieser Aufruf ist erforderlich, um 16-Bit-Code oder segmentierten Code auszuführen, und sein Fehlen kann dazu führen, dass Software wie `dosemu`, das Ausführen einiger Programme unter WINE und einige sehr alte Threading-Bibliotheken beschädigt werden könnte. Diese Option ist eine der [empfohlenen Einstellungen des Kernel Self Protection Project](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings).
### Entfernen der Kernelzuordnung im Benutzermodus
AL2023 konfiguriert den Kernel so, dass die meisten Kerneladressen nicht dem Benutzerbereich zugeordnet werden. Diese Option ist eine der [empfohlenen Einstellungen des Kernel Self Protection Project](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings).
### Randomisieren von Kernel-Speicherbereichen
AL2023 konfiguriert den Kernel so, dass er die virtuellen Basisadressen der Kernel-Speicherbereiche nach dem Zufallsprinzip sortiert. Diese Option ist eine der [empfohlenen Einstellungen des Kernel Self Protection Project](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings).
## aarch64-spezifische Kernel-Hardening-Optionen
| `CONFIG`-Option | AL2023/6.1/aarch64 | AL2023/6.1/x86\_64 | AL2023/6.12/aarch64 | AL2023/6.12/x86\_64 | AL2023/6.18/aarch64 | AL2023/6.18/x86\_64 |
| --- | --- | --- | --- | --- | --- | --- |
| [`CONFIG_ARM64_BTI`](#CONFIG_ARM64_BTI) | y | – | y | – | y | – |
| [`CONFIG_ARM64_BTI_KERNEL`](#CONFIG_ARM64_BTI_KERNEL) | – | – | – | – | – | – |
| [`CONFIG_ARM64_PTR_AUTH`](#CONFIG_ARM64_PTR_AUTH) | y | – | y | – | y | – |
| [`CONFIG_ARM64_PTR_AUTH_KERNEL`](#CONFIG_ARM64_PTR_AUTH_KERNEL) | y | – | y | – | y | – |
| [`CONFIG_ARM64_SW_TTBR0_PAN`](#CONFIG_ARM64_SW_TTBR0_PAN) | y | – | y | – | y | – |
| [`CONFIG_UNMAP_KERNEL_AT_EL0`](#CONFIG_UNMAP_KERNEL_AT_EL0) | y | – | y | – | y | – |
### Identifizierung des -Abzweigungsziels
Der AL2023 Kernel aktiviert die Unterstützung für Branch Target Identification (). `CONFIG_ARM64_BTI` Diese Option ist eine der [empfohlenen Einstellungen des Kernel Self Protection Project](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings).
Die `CONFIG_ARM64_BTI_KERNEL` Option ist nicht aktiviert, AL2023 da sie mit gebaut wurdeGCC, und die Unterstützung für das Erstellen des Kernels mit dieser Option ist [derzeit im Upstream-Kernel aufgrund eines [GCC−Fehlers](https://gcc.gnu.org/bugzilla/show_bug.cgi?id=106671) deaktiviert](https://github.com/torvalds/linux/commit/c0a454b9044fdc99486853aa424e5b3be2107078). Diese Option gehört zwar zu den vom [Kernel Self Protection Project (KSPP) empfohlenen Einstellungen](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings), AL2023 setzt diese Konfigurationsoption jedoch nicht auf das, was KSPP empfiehlt.
### Pointer-Authentifizierung (`CONFIG_ARM64_PTR_AUTH`)
Der AL2023 Kernel unterstützt die Pointer Authentication-Erweiterung (Teil der ARMv8 3.3-Erweiterungen), mit deren Hilfe Return Oriented Programming (ROP) -Techniken (Return Oriented Programming) vermieden werden können. Die erforderliche Hardwareunterstützung für Pointer-Authentifizierung unter [Graviton](https://aws.amazon.com/ec2/graviton) wurde mit Graviton 3 eingeführt.
Die `CONFIG_ARM64_PTR_AUTH`-Option ist aktiviert und unterstützt die Pointer-Authentifizierung für den Userspace. Da die `CONFIG_ARM64_PTR_AUTH_KERNEL` Option ebenfalls aktiviert ist, kann der AL2023 Kernel den Schutz der Absenderadresse für sich selbst nutzen.
Diese Option ist eine der [empfohlenen Einstellungen des Kernel Self Protection Project](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings).
### Privilegierten Zugriff emulieren – Niemals `TTBR0_EL1`-Switching verwenden
Diese Option verhindert direkten Kernel-Zugriff auf den Userspace-Speicher. `TTBR0_EL1` wird von den Benutzerzugriffsroutinen nur vorübergehend auf einen gültigen Wert gesetzt.
Diese Option ist eine der [empfohlenen Einstellungen des Kernel Self Protection Project](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings).
### Entfernen der Kernel-Zuweisung bei Ausführung im Userspace
Der AL2023 Kernel ist so konfiguriert, dass er die Zuordnung des Kernels aufhebt, wenn er in userspace () `CONFIG_UNMAP_KERNEL_AT_EL0` ausgeführt wird. Diese Option ist eine der [empfohlenen Einstellungen des Kernel Self Protection Project](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings).