Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
AL2023 Durcissement du noyau
Le noyau Linux 6.1 AL2023 est configuré et construit avec plusieurs options et fonctionnalités de renforcement.
Options de sécurisation renforcée du noyau (indépendantes de l'architecture)
Autoriser les méthodes ACPI lors de l'exécution ( inserted/replaced CONFIG_ACPI_CUSTOM_METHOD)
Amazon Linux désactive cette option, car elle permet aux utilisateurs root d'écrire dans une mémoire de noyau arbitraire.
Cette option est l'un des paramètres recommandés par le Kernel Self Protection Project
Formats binaires divers (binfmt_misc)
Bien que cette option soit l'un des paramètres recommandés par le Kernel Self Protection Project (KSPP)
Prise en charge de l’BUG()
Cette option est l'un des paramètres recommandés par le Kernel Self Protection Project
BUG() si le noyau détecte une corruption de données lors de la vérification de la validité des structures de mémoire du noyau
Certaines parties du noyau Linux vérifient la cohérence interne des structures de données et peuvent générer un élément BUG() lorsqu'elles détectent une corruption de données.
Cette option est l'un des paramètres recommandés par le Kernel Self Protection Project
COMPAT_BRK
Lorsque cette option est désactivée (ce qui est la manière dont Amazon Linux configure le noyau), le paramètre randomize_va_space sysctl est défini par défaut sur 2, ce qui permet également l'aléatorisation des tas en plus de l'aléatorisation des pages VSDO, de la pile et de la base mmap.
Cette option existe dans le noyau pour assurer la compatibilité avec certains binaires libc.so.5 anciens datant de 1996 et avant.
Cette option est l'un des paramètres recommandés par le Kernel Self Protection Project
COMPAT_VDSO
Cette option de configuration est pertinente pour x86-64 et non pour aarch64. En définissant ce paramètre sur n, le noyau Amazon Linux ne rend pas visible un objet partagé dynamique virtuel (VDSO) 32 bits à une adresse prévisible. La bibliothèque glibc la plus récente connue pour être corrompue par la définition de cette option sur n est la glibc 2.3.3, datant de 2004.
Cette option est l'un des paramètres recommandés par le Kernel Self Protection Project
CONFIG_DEBUGdurcissement clôturé
Les options de configuration du noyau Linux contrôlées par CONFIG_DEBUG sont généralement conçues pour être utilisées dans des noyaux conçus pour des problèmes de débogage, et des éléments tels que les performances ne sont pas une priorité. AL2023 active l'option de CONFIG_DEBUG_LIST durcissement.
Désactivation du DMA pour les périphériques PCI dans le stub EFI avant de configurer IOMMU
Bien que cette option soit l'un des paramètres recommandés par le Kernel Self Protection Project (KSPP)
Renforcement pour copier de la mémoire entre le noyau et l'espace utilisateur
Lorsque le noyau doit copier la mémoire avec l'espace utilisateur comme source ou comme cible, cette option active certaines vérifications qui contribuent à prévenir certaines catégories de problèmes de débordement de mémoire.
L'option CONFIG_HARDENED_USERCOPY_FALLBACK existait dans les noyaux 4.16 à 5.15 pour aider les développeurs de noyau à découvrir les entrées manquantes de la liste d'autorisation via un élément WARN(). Comme il est AL2023 livré avec un noyau 6.1, cette option n'est plus pertinente pour AL2023.
L'CONFIG_HARDENED_USERCOPY_PAGESPANoption existait dans les noyaux principalement en tant qu'option de débogage pour les développeurs et ne s'applique plus au noyau 6.1 dans. AL2023
Cette option est l'un des paramètres recommandés par le Kernel Self Protection Project
Prise en charge de la mise en veille prolongée
Bien que cette option soit l'un des paramètres recommandés par le Kernel Self Protection Project (KSPP)
Génération de nombres aléatoires
Le noyau AL2023 est configuré pour garantir la disponibilité d'une entropie adéquate pour une utilisation dans EC2.
CONFIG_INET_DIAG
Bien que cette option soit l'un des paramètres recommandés par le Kernel Self Protection Project (KSPP)
Zéro toute la mémoire de l'allocateur de pages et de dalles du noyau lors de l'allocation et de la désallocation
Bien que cette option soit l'un des paramètres recommandés par le Kernel Self Protection Project (KSPP)CONFIG_INIT_ON_ALLOC_DEFAULT_ON peut être activé en ajoutant init_on_alloc=1 à la ligne de commande du noyau, et le comportement CONFIG_INIT_ON_FREE_DEFAULT_ON peut être activé en ajoutant init_on_free=1.
Initialise toutes les variables de pile poru qu'elles correspondent à zéro (CONFIG_INIT_STACK_ALL_ZERO)
Bien que cette option soit l'un des paramètres recommandés par le Kernel Self Protection Project (KSPP)
Signature du module Kernel
AL2023 signe et valide les signatures des modules du noyau. L'option CONFIG_MODULE_SIG_FORCE, qui oblige les modules à avoir une signature valide, n'est pas activée afin de préserver la compatibilité pour les utilisateurs qui créent des modules tiers. Pour les utilisateurs qui souhaitent s'assurer que tous les modules du noyau sont signés, le Module de sécurité Lockdown Linux (LSM) peut être configuré pour l'appliquer.
kexec
Bien que cette option soit l'un des paramètres recommandés par le Kernel Self Protection Project (KSPP)kdump puisse être utilisée.
IOMMUSupport
AL2023 permet le support de l'IOMMU. L'option CONFIG_IOMMU_DEFAULT_DMA_STRICT n'est pas activée par défaut, mais cette fonctionnalité peut être configurée en ajoutant iommu.passthrough=0 iommu.strict=1 à la ligne de commande du noyau.
kfence
Bien que cette option soit l'un des paramètres recommandés par le Kernel Self Protection Project (KSPP)
Prise en charge de l'ancienne version de pty
AL2023 utilise l'PTYinterface moderne (devpts).
Cette option est l'un des paramètres recommandés par le Kernel Self Protection Project
Module de sécurité Lockdown Linux (LSM)
AL2023 construit le lockdown LSM, qui verrouille automatiquement le noyau lors de l'utilisation de Secure Boot.
L'option CONFIG_LOCK_DOWN_KERNEL_FORCE_CONFIDENTIALITY n'est pas activée. Bien que cette option soit l'un des paramètres recommandés par le Kernel Self Protection Project (KSPP)
Empoisonnement des pages
Bien que cette option soit l'un des paramètres recommandés par le Kernel Self Protection Project (KSPP)
Protecteur de pile
Le AL2023 noyau est construit avec la fonction Stack-Protector GCC activée avec l'option. -fstack-protector-strong
Cette option est l'un des paramètres recommandés par le Kernel Self Protection Project
seccomp BPFAPI
La fonctionnalité de sécurisation renforcée seccomp est utilisée par des logiciels tels que systemd et les environnements d'exécution de conteneurs pour renforcer la sécurité des applications de l'espace utilisateur.
Cette option est l'un des paramètres recommandés par le Kernel Self Protection Project
Délai d'expiration panic()
Le AL2023 noyau est configuré avec cette valeur définie sur0, ce qui signifie qu'il ne redémarrera pas après avoir paniqué. Bien que cette option soit l'un des paramètres recommandés par le Kernel Self Protection Project (KSPP)sysctl, /proc/sys/kernel/panic et la ligne de commande du noyau.
Modèles de sécurité
AL2023 active SELinux en mode permissif par défaut. Pour de plus amples informations, veuillez consulter SELinux Modes de réglage pour AL2 023.
Les modules Module de sécurité Lockdown Linux (LSM) et yama sont également activés.
/proc/kcore
Bien que cette option soit l'un des paramètres recommandés par le Kernel Self Protection Project (KSPP)
Aléatorisation par décalage de la pile du noyau lors d'une entrée syscall
Bien que cette option soit l'un des paramètres recommandés par le Kernel Self Protection Project (KSPP)randomize_kstack_offset=on dans la ligne de commande du noyau.
Vérification du comptage des références (CONFIG_REFCOUNT_FULL)
Bien que cette option soit l'un des paramètres recommandés par le Kernel Self Protection Project (KSPP)
Connaissance des noyaux SMT par le planificateur (CONFIG_SCHED_CORE)
Le AL2023 noyau est construit avecCONFIG_SCHED_CORE, ce qui permet aux applications en espace utilisateur de les utiliserprctl(PR_SCHED_CORE). Cette option est l'un des paramètres recommandés par le Kernel Self Protection Project
Recherche de toute corruption de la pile lors des appels à schedule() (CONFIG_SCHED_STACK_END_CHECK)
Le AL2023 noyau est construit avec CONFIG_SCHED_STACK_END_CHECK Enabled. Cette option est l'un des paramètres recommandés par le Kernel Self Protection Project
Durcissement de l'allocateur de mémoire
Le AL2023 noyau permet de renforcer l'allocateur de mémoire du noyau avec les optionsCONFIG_SHUFFLE_PAGE_ALLOCATOR,CONFIG_SLAB_FREELIST_HARDENED, et. CONFIG_SLAB_FREELIST_RANDOM Cette option est l'un des paramètres recommandés par le Kernel Self Protection Project
Prise en charge du débogage de SLUB
Le AL2023 noyau est activé CONFIG_SLUB_DEBUG car cette option active des fonctionnalités de débogage facultatives pour l'allocateur qui peuvent être activées sur la ligne de commande du noyau. Cette option est l'un des paramètres recommandés par le Kernel Self Protection Project
CONFIG_STATIC_USERMODEHELPER
Bien que cette option soit l'un des paramètres recommandés par le Kernel Self Protection Project (KSPP)CONFIG_STATIC_USERMODEHELPER nécessite une prise en charge spéciale de la part de la distribution, qui n'est actuellement pas présente dans Amazon Linux.
Texte du noyau en lecture seule et rodata (CONFIG_STRICT_KERNEL_RWX et CONFIG_STRICT_MODULE_RWX)
Le AL2023 noyau est configuré pour marquer le texte et la rodata mémoire du noyau et du module noyau comme étant en lecture seule, et pour marquer la mémoire non textuelle comme non exécutable. Cette option est l'un des paramètres recommandés par le Kernel Self Protection Project
Prise en charge des cookies de synchronisation TCP (CONFIG_SYN_COOKIES)
Le AL2023 noyau est construit avec le support des syncookies TCP. Cette option est l'un des paramètres recommandés par le Kernel Self Protection Project
Pile mappée virtuellement avec pages de protection (CONFIG_VMAP_STACK)
Le AL2023 noyau est intégréCONFIG_VMAP_STACK, ce qui permet de mapper virtuellement des piles de noyaux avec des pages de protection. Cette option est l'un des paramètres recommandés par le Kernel Self Protection Project
Compilation avec les avertissements du compilateur sous forme d'erreurs (CONFIG_WERROR)
Bien que cette option soit l'un des paramètres recommandés par le Kernel Self Protection Project (KSPP)
Enregistrement de la mise à zéro à la sortie de la fonction (CONFIG_ZERO_CALL_USED_REGS)
Bien que cette option soit l'un des paramètres recommandés par le Kernel Self Protection Project (KSPP)
Adresse minimale pour l'allocation d'espace utilisateur
Cette option de sécurisation renforcée contribue à réduire l'impact des bogues de pointeur NULL du noyau. Cette option est l'un des paramètres recommandés par le Kernel Self Protection Project
clangoptions de durcissement spécifiques
Le AL2023 noyau est construit avec GCC plutôt queclang, de sorte que l'option CONFIG_CFI_CLANG de renforcement ne peut pas être activée, ce qui la rend également CONFIG_CFI_PERMISSIVE inapplicable. Bien que cette option soit l'un des paramètres recommandés par le Kernel Self Protection Project (KSPP)
Options de sécurisation renforcée du noyau spécifiques à x86-64
Option CONFIG |
AL2023/6.1/aarch64 | AL2023/6,1/x86_64 | AL2023/6.12/aarch64 | AL2023/6,12/x86_64 |
|---|---|---|---|---|
| CONFIG_AMD_IOMMU | N/A |
y
|
N/A |
y
|
| CONFIG_AMD_IOMMU_V2 | N/A |
y
|
N/A | N/A |
| CONFIG_IA32_EMULATION | N/A |
y
|
N/A |
y
|
| CONFIG_INTEL_IOMMU | N/A |
y
|
N/A |
y
|
| CONFIG_INTEL_IOMMU_DEFAULT_ON | N/A |
n
|
N/A |
n
|
| CONFIG_INTEL_IOMMU_SVM | N/A |
n
|
N/A |
n
|
| CONFIG_LEGACY_VSYSCALL_NONE | N/A |
n
|
N/A |
n
|
| CONFIG_MODIFY_LDT_SYSCALL | N/A |
n
|
N/A |
n
|
| CONFIG_PAGE_TABLE_ISOLATION | N/A |
y
|
N/A | N/A |
| CONFIG_RANDOMIZE_MEMORY | N/A |
y
|
N/A |
y
|
| CONFIG_X86_64 | N/A |
y
|
N/A |
y
|
| CONFIG_X86_MSR | N/A |
y
|
N/A |
y
|
| CONFIG_X86_VSYSCALL_EMULATION | N/A |
y
|
N/A |
y
|
| CONFIG_X86_X32 | N/A | N/A | N/A | N/A |
| CONFIG_X86_X32_ABI | N/A |
n
|
N/A |
n
|
Prise en charge de x86-64
La prise en charge de base x86-64 inclut la prise en charge des bits d'extension d'adresse physique (PAE) et de non-exécution (NX). Cette option est l'un des paramètres recommandés par le Kernel Self Protection Project
Compatibilité avec AMD et Intel IOMMU
Le AL2023 noyau est construit avec le support d'AMD et d'IntelIOMMUs. Cette option est l'un des paramètres recommandés par le Kernel Self Protection Project
L'option CONFIG_INTEL_IOMMU_DEFAULT_ON n'est pas définie, mais elle peut être activée en transmettant intel_iommu=on à la ligne de commande du noyau. Bien que cette option soit l'un des paramètres recommandés par le Kernel Self Protection Project (KSPP)
L'CONFIG_INTEL_IOMMU_SVMoption n'est actuellement pas activée dans AL2023. Bien que cette option soit l'un des paramètres recommandés par le Kernel Self Protection Project (KSPP)
Support pour l'espace utilisateur 32 bits
Important
La prise en charge de l'espace utilisateur x86 32 bits est obsolète, et la prise en charge de l'exécution de fichiers binaires d'espace utilisateur 32 bits pourrait être supprimée dans une future version majeure d'Amazon Linux.
Note
Bien qu' AL2023 il n'inclue plus de paquets 32 bits, le noyau continuera à prendre en charge l'exécution de l'espace utilisateur 32 bits. Pour plus d’informations, consultez Packages x86 (i686) 32 bits.
Pour prendre en charge l'exécution d'applications 32 bits en espace utilisateur, AL2023 n'active pas l'CONFIG_X86_VSYSCALL_EMULATIONoption, mais active les options CONFIG_IA32_EMULATIONCONFIG_COMPAT, etCONFIG_X86_VSYSCALL_EMULATION. Bien que cette option soit l'un des paramètres recommandés par le Kernel Self Protection Project (KSPP)
L'ABI 32 bits natif x32 pour les processeurs 64 bits n'est pas activé (CONFIG_X86_X32 et CONFIG_X86_X32_ABI). Cette option est l'un des paramètres recommandés par le Kernel Self Protection Project
Prise en charge du registre spécifique au modèle x86 (MSR)
L'option CONFIG_X86_MSR est activée afin de prendre en charge turbostat. Bien que cette option soit l'un des paramètres recommandés par le Kernel Self Protection Project (KSPP)
Syscall modify_ldt
AL2023 n'autorise pas les programmes utilisateur à modifier la table de descripteurs locaux (LDT) x86 avec l'modify_ldtappel système. Cet appel est nécessaire pour exécuter du code 16 bits ou segmenté, et son absence peut corrompre des logiciels tels que dosemu, l'exécution de certains programmes sous WINE et de très anciennes bibliothèques de threads. Cette option est l'un des paramètres recommandés par le Kernel Self Protection Project
Suppression du mappage du noyau en mode utilisateur
AL2023 configure le noyau de telle sorte que la majorité des adresses du noyau ne soient pas mappées dans l'espace utilisateur. Cette option est l'un des paramètres recommandés par le Kernel Self Protection Project
Aléatorisation des sections de mémoire du noyau
AL2023 configure le noyau pour randomiser les adresses virtuelles de base des sections de mémoire du noyau. Cette option est l'un des paramètres recommandés par le Kernel Self Protection Project
Options de sécurisation renforcée du noyau spécifiques à aarch64
Option CONFIG |
AL2023/6.1/aarch64 | AL2023/6,1/x86_64 | AL2023/6.12/aarch64 | AL2023/6,12/x86_64 |
|---|---|---|---|---|
| CONFIG_ARM64_BTI |
y
|
N/A |
y
|
N/A |
| CONFIG_ARM64_BTI_KERNEL | N/A | N/A | N/A | N/A |
| CONFIG_ARM64_PTR_AUTH |
y
|
N/A |
y
|
N/A |
| CONFIG_ARM64_PTR_AUTH_KERNEL |
y
|
N/A |
y
|
N/A |
| CONFIG_ARM64_SW_TTBR0_PAN |
y
|
N/A |
y
|
N/A |
| CONFIG_UNMAP_KERNEL_AT_EL0 |
y
|
N/A |
y
|
N/A |
Identification de la cible de branche
Le AL2023 noyau permet la prise en charge de Branch Target Identification (CONFIG_ARM64_BTI). Cette option est l'un des paramètres recommandés par le Kernel Self Protection Project
L'CONFIG_ARM64_BTI_KERNELoption n'est pas activée AL2023 car elle est construite avecGCC, et le support pour la compilation du noyau avec cette option est actuellement désactivé dans le noyau en amont en
Authentification par pointeur (CONFIG_ARM64_PTR_AUTH)
Le AL2023 noyau prend en charge l'extension Pointer Authentication (qui fait partie des extensions ARMv8 .3), qui peut être utilisée pour atténuer les techniques de programmation orientée retour (ROP). La prise en charge du matériel requis pour l'authentification par pointeur sur Graviton
L'option CONFIG_ARM64_PTR_AUTH est activée et prend en charge l'authentification par pointeur pour l'espace utilisateur. Comme l'CONFIG_ARM64_PTR_AUTH_KERNELoption est également activée, le AL2023 noyau est en mesure d'utiliser lui-même la protection de l'adresse de retour.
Cette option est l'un des paramètres recommandés par le Kernel Self Protection Project
Émulation de l'accès privilégié Jamais à l'aide de la commutation TTBR0_EL1
Cette option empêche le noyau d'accéder directement à la mémoire de l'espace utilisateur. TTBR0_EL1 n'est défini que temporairement sur une valeur valide par les routines d'accès utilisateur.
Cette option est l'un des paramètres recommandés par le Kernel Self Protection Project
Annulation du mappage du noyau lors de l'exécution dans l'espace utilisateur
Le AL2023 noyau est configuré pour démapper le noyau lors de l'exécution dans userspace ()CONFIG_UNMAP_KERNEL_AT_EL0. Cette option est l'un des paramètres recommandés par le Kernel Self Protection Project
