Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# AL2023 Durcissement du noyau
Le noyau Linux 6.1 AL2023 est configuré et construit avec plusieurs options et fonctionnalités de renforcement.
## Options de sécurisation renforcée du noyau (indépendantes de l'architecture)
| Option `CONFIG` | AL2023/6.1/aarch64 | AL2023/6,1/x86\_64 | AL2023/6.12/aarch64 | AL2023/6,12/x86\_64 | AL2023/6.18/aarch64 | AL2023/6,18/x86\_64 |
| --- | --- | --- | --- | --- | --- | --- |
| [`CONFIG_ACPI_CUSTOM_METHOD`](#CONFIG_ACPI_CUSTOM_METHOD) | n | n | N/A | N/A | N/A | N/A |
| [`CONFIG_BINFMT_MISC`](#CONFIG_BINFMT_MISC) | m | m | m | m | m | m |
| [`CONFIG_BUG`](#CONFIG_BUG) | y | y | y | y | y | y |
| [`CONFIG_BUG_ON_DATA_CORRUPTION`](#CONFIG_BUG_ON_DATA_CORRUPTION) | y | y | y | y | y | y |
| [`CONFIG_CFI_CLANG`](#CONFIG_CFI_CLANG) | N/A | N/A | N/A | N/A | N/A | N/A |
| [`CONFIG_CFI_PERMISSIVE`](#CONFIG_CFI_PERMISSIVE) | N/A | N/A | N/A | N/A | N/A | N/A |
| [`CONFIG_COMPAT`](#CONFIG_COMPAT) | y | y | y | y | y | y |
| [`CONFIG_COMPAT_BRK`](#CONFIG_COMPAT_BRK) | n | n | n | n | n | n |
| [`CONFIG_COMPAT_VDSO`](#CONFIG_COMPAT_VDSO) | N/A | n | N/A | n | N/A | n |
| [`CONFIG_DEBUG_CREDENTIALS`](#CONFIG_DEBUG_CREDENTIALS) | n | n | N/A | N/A | N/A | N/A |
| [`CONFIG_DEBUG_LIST`](#CONFIG_DEBUG_LIST) | y | y | y | y | y | y |
| [`CONFIG_DEBUG_NOTIFIERS`](#CONFIG_DEBUG_NOTIFIERS) | n | n | n | n | n | n |
| [`CONFIG_DEBUG_SG`](#CONFIG_DEBUG_SG) | n | n | n | n | n | n |
| [`CONFIG_DEBUG_VIRTUAL`](#CONFIG_DEBUG_VIRTUAL) | n | n | n | n | n | n |
| [`CONFIG_DEBUG_WX`](#CONFIG_DEBUG_WX) | n | n | n | n | n | n |
| [`CONFIG_DEFAULT_MMAP_MIN_ADDR`](#CONFIG_DEFAULT_MMAP_MIN_ADDR) | 65536 | 65536 | 65536 | 65536 | 65536 | 65536 |
| [`CONFIG_DEVKMEM`](compare-with-al2-kernel.md#CONFIG_DEVKMEM) | N/A | N/A | N/A | N/A | N/A | N/A |
| [`CONFIG_DEVMEM`](compare-with-al2-kernel.md#CONFIG_DEVMEM) | n | n | n | n | n | n |
| [`CONFIG_EFI_DISABLE_PCI_DMA`](#CONFIG_EFI_DISABLE_PCI_DMA) | n | n | n | n | n | n |
| [`CONFIG_FORTIFY_SOURCE`](compare-with-al2-kernel.md#CONFIG_FORTIFY_SOURCE) | y | y | y | y | y | y |
| [`CONFIG_HARDENED_USERCOPY`](#CONFIG_HARDENED_USERCOPY) | y | y | y | y | y | y |
| [`CONFIG_HARDENED_USERCOPY_FALLBACK`](#CONFIG_HARDENED_USERCOPY_FALLBACK) | N/A | N/A | N/A | N/A | N/A | N/A |
| [`CONFIG_HARDENED_USERCOPY_PAGESPAN`](#CONFIG_HARDENED_USERCOPY_PAGESPAN) | N/A | N/A | N/A | N/A | N/A | N/A |
| [`CONFIG_HIBERNATION`](#CONFIG_HIBERNATION) | y | y | y | y | y | y |
| [`CONFIG_HW_RANDOM_TPM`](#CONFIG_HW_RANDOM_TPM) | N/A | N/A | N/A | N/A | N/A | N/A |
| [`CONFIG_INET_DIAG`](#CONFIG_INET_DIAG) | m | m | m | m | m | m |
| [`CONFIG_INIT_ON_ALLOC_DEFAULT_ON`](#CONFIG_INIT_ON_ALLOC_DEFAULT_ON) | n | n | n | n | n | n |
| [`CONFIG_INIT_ON_FREE_DEFAULT_ON`](#CONFIG_INIT_ON_FREE_DEFAULT_ON) | n | n | n | n | n | n |
| [`CONFIG_INIT_STACK_ALL_ZERO`](#CONFIG_INIT_STACK_ALL_ZERO) | N/A | N/A | N/A | N/A | N/A | N/A |
| [`CONFIG_IOMMU_DEFAULT_DMA_STRICT`](#CONFIG_IOMMU_DEFAULT_DMA_STRICT) | n | n | n | n | n | n |
| [`CONFIG_IOMMU_SUPPORT`](#CONFIG_IOMMU_SUPPORT) | y | y | y | y | y | y |
| [`CONFIG_IO_STRICT_DEVMEM`](compare-with-al2-kernel.md#CONFIG_IO_STRICT_DEVMEM) | N/A | N/A | N/A | N/A | N/A | N/A |
| [`CONFIG_KEXEC`](#CONFIG_KEXEC) | y | y | y | y | y | y |
| [`CONFIG_KFENCE`](#CONFIG_KFENCE) | n | n | n | n | n | n |
| [`CONFIG_LDISC_AUTOLOAD`](compare-with-al2-kernel.md#CONFIG_LDISC_AUTOLOAD) | n | n | n | n | n | n |
| [`CONFIG_LEGACY_PTYS`](#CONFIG_LEGACY_PTYS) | n | n | n | n | n | n |
| [`CONFIG_LOCK_DOWN_KERNEL_FORCE_CONFIDENTIALITY`](#CONFIG_LOCK_DOWN_KERNEL_FORCE_CONFIDENTIALITY) | n | n | n | n | n | n |
| [`CONFIG_MODULES`](#CONFIG_MODULES) | y | y | y | y | y | y |
| [`CONFIG_MODULE_SIG`](#CONFIG_MODULE_SIG) | y | y | y | y | y | y |
| [`CONFIG_MODULE_SIG_ALL`](#CONFIG_MODULE_SIG_ALL) | y | y | y | y | y | y |
| [`CONFIG_MODULE_SIG_FORCE`](#CONFIG_MODULE_SIG_FORCE) | n | n | n | n | n | n |
| [`CONFIG_MODULE_SIG_HASH`](#CONFIG_MODULE_SIG_HASH) | sha512 | sha512 | sha512 | sha512 | sha512 | sha512 |
| [`CONFIG_MODULE_SIG_KEY`](#CONFIG_MODULE_SIG_KEY) | certs/signing\_key.pem | certs/signing\_key.pem | certs/signing\_key.pem | certs/signing\_key.pem | certs/signing\_key.pem | certs/signing\_key.pem |
| [`CONFIG_MODULE_SIG_SHA512`](#CONFIG_MODULE_SIG_SHA512) | y | y | y | y | y | y |
| [`CONFIG_PAGE_POISONING`](#CONFIG_PAGE_POISONING) | n | n | n | n | n | n |
| [`CONFIG_PAGE_POISONING_NO_SANITY`](#CONFIG_PAGE_POISONING_NO_SANITY) | N/A | N/A | N/A | N/A | N/A | N/A |
| [`CONFIG_PAGE_POISONING_ZERO`](#CONFIG_PAGE_POISONING_ZERO) | N/A | N/A | N/A | N/A | N/A | N/A |
| [`CONFIG_PANIC_ON_OOPS`](compare-with-al2-kernel.md#CONFIG_PANIC_ON_OOPS) | y | y | y | y | y | y |
| [`CONFIG_PANIC_TIMEOUT`](#CONFIG_PANIC_TIMEOUT) | 0 | 0 | 0 | 0 | 0 | 0 |
| [`CONFIG_PROC_KCORE`](#CONFIG_PROC_KCORE) | y | y | y | y | y | y |
| [`CONFIG_RANDOMIZE_KSTACK_OFFSET_DEFAULT`](#CONFIG_RANDOMIZE_KSTACK_OFFSET_DEFAULT) | n | n | n | n | n | n |
| [`CONFIG_RANDOM_TRUST_BOOTLOADER`](#CONFIG_RANDOM_TRUST_BOOTLOADER) | y | y | N/A | N/A | N/A | N/A |
| [`CONFIG_RANDOM_TRUST_CPU`](#CONFIG_RANDOM_TRUST_CPU) | y | y | N/A | N/A | N/A | N/A |
| [`CONFIG_REFCOUNT_FULL`](#CONFIG_REFCOUNT_FULL) | N/A | N/A | N/A | N/A | N/A | N/A |
| [`CONFIG_SCHED_CORE`](#CONFIG_SCHED_CORE) | N/A | y | N/A | y | N/A | y |
| [`CONFIG_SCHED_STACK_END_CHECK`](#CONFIG_SCHED_STACK_END_CHECK) | y | y | y | y | y | y |
| [`CONFIG_SECCOMP`](#CONFIG_SECCOMP) | y | y | y | y | y | y |
| [`CONFIG_SECCOMP_FILTER`](#CONFIG_SECCOMP_FILTER) | y | y | y | y | y | y |
| [`CONFIG_SECURITY`](#CONFIG_SECURITY) | y | y | y | y | y | y |
| [`CONFIG_SECURITY_DMESG_RESTRICT`](compare-with-al2-kernel.md#CONFIG_SECURITY_DMESG_RESTRICT) | y | y | y | y | y | y |
| [`CONFIG_SECURITY_LANDLOCK`](#CONFIG_SECURITY_LANDLOCK) | y | y | y | y | y | y |
| [`CONFIG_SECURITY_LOCKDOWN_LSM`](#CONFIG_SECURITY_LOCKDOWN_LSM) | y | y | y | y | y | y |
| [`CONFIG_SECURITY_LOCKDOWN_LSM_EARLY`](#CONFIG_SECURITY_LOCKDOWN_LSM_EARLY) | y | y | y | y | y | y |
| [`CONFIG_SECURITY_SELINUX_BOOTPARAM`](#CONFIG_SECURITY_SELINUX_BOOTPARAM) | y | y | y | y | y | y |
| [`CONFIG_SECURITY_SELINUX_DEVELOP`](#CONFIG_SECURITY_SELINUX_DEVELOP) | y | y | y | y | y | y |
| [`CONFIG_SECURITY_SELINUX_DISABLE`](compare-with-al2-kernel.md#CONFIG_SECURITY_SELINUX_DISABLE) | n | n | N/A | N/A | N/A | N/A |
| [`CONFIG_SECURITY_WRITABLE_HOOKS`](#CONFIG_SECURITY_WRITABLE_HOOKS) | N/A | N/A | N/A | N/A | N/A | N/A |
| [`CONFIG_SECURITY_YAMA`](#CONFIG_SECURITY_YAMA) | y | y | y | y | y | y |
| [`CONFIG_SHUFFLE_PAGE_ALLOCATOR`](#CONFIG_SHUFFLE_PAGE_ALLOCATOR) | y | y | y | y | y | y |
| [`CONFIG_SLAB_FREELIST_HARDENED`](#CONFIG_SLAB_FREELIST_HARDENED) | y | y | y | y | y | y |
| [`CONFIG_SLAB_FREELIST_RANDOM`](#CONFIG_SLAB_FREELIST_RANDOM) | y | y | y | y | y | y |
| [`CONFIG_SLUB_DEBUG`](#CONFIG_SLUB_DEBUG) | y | y | y | y | y | y |
| [`CONFIG_STACKPROTECTOR`](#CONFIG_STACKPROTECTOR) | y | y | y | y | y | y |
| [`CONFIG_STACKPROTECTOR_STRONG`](#CONFIG_STACKPROTECTOR_STRONG) | y | y | y | y | y | y |
| [`CONFIG_STATIC_USERMODEHELPER`](#CONFIG_STATIC_USERMODEHELPER) | n | n | n | n | n | n |
| [`CONFIG_STRICT_DEVMEM`](compare-with-al2-kernel.md#CONFIG_STRICT_DEVMEM) | n | n | n | n | n | n |
| [`CONFIG_STRICT_KERNEL_RWX`](#CONFIG_STRICT_KERNEL_RWX) | y | y | y | y | y | y |
| [`CONFIG_STRICT_MODULE_RWX`](#CONFIG_STRICT_MODULE_RWX) | y | y | y | y | y | y |
| [`CONFIG_SYN_COOKIES`](#CONFIG_SYN_COOKIES) | y | y | y | y | y | y |
| [`CONFIG_VMAP_STACK`](#CONFIG_VMAP_STACK) | y | y | y | y | y | y |
| [`CONFIG_WERROR`](#CONFIG_WERROR) | n | n | n | n | n | n |
| [`CONFIG_ZERO_CALL_USED_REGS`](#CONFIG_ZERO_CALL_USED_REGS) | n | n | n | n | n | n |
### Autoriser les méthodes ACPI lors de l'exécution ( inserted/replaced CONFIG\_ACPI\_CUSTOM\_METHOD)
Amazon Linux désactive cette option, car elle permet aux utilisateurs `root` d'écrire dans une mémoire de noyau arbitraire.
Cette option est l'un des [paramètres recommandés par le Kernel Self Protection Project](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings).
### Formats binaires divers (`binfmt_misc`)
Bien que cette option soit l'un des [paramètres recommandés par le Kernel Self Protection Project (KSPP)](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings), AL2023 elle ne définit pas cette option de configuration selon les recommandations du KSPP. Dans AL2023, cette fonctionnalité est facultative et est construite en tant que module du noyau.
### Prise en charge de l’`BUG()`
Cette option est l'un des [paramètres recommandés par le Kernel Self Protection Project](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings).
### `BUG()` si le noyau détecte une corruption de données lors de la vérification de la validité des structures de mémoire du noyau
Certaines parties du noyau Linux vérifient la cohérence interne des structures de données et peuvent générer un élément `BUG()` lorsqu'elles détectent une corruption de données.
Cette option est l'un des [paramètres recommandés par le Kernel Self Protection Project](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings).
### `COMPAT_BRK`
Lorsque cette option est désactivée (ce qui est la manière dont Amazon Linux configure le noyau), le paramètre `randomize_va_space` `sysctl` est défini par défaut sur `2`, ce qui permet également l'aléatorisation des tas en plus de l'aléatorisation des pages VSDO, de la pile et de la base `mmap`.
Cette option existe dans le noyau pour assurer la compatibilité avec certains binaires `libc.so.5` anciens datant de 1996 et avant.
Cette option est l'un des [paramètres recommandés par le Kernel Self Protection Project](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings).
### `COMPAT_VDSO`
Cette option de configuration est pertinente pour `x86-64` et non pour `aarch64`. En définissant ce paramètre sur `n`, le noyau Amazon Linux ne rend pas visible un objet partagé dynamique virtuel (VDSO) 32 bits à une adresse prévisible. La bibliothèque `glibc` la plus récente connue pour être corrompue par la définition de cette option sur `n` est la `glibc` 2.3.3, datant de 2004.
Cette option est l'un des [paramètres recommandés par le Kernel Self Protection Project](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings).
### `CONFIG_DEBUG`durcissement clôturé
Les options de configuration du noyau Linux contrôlées par `CONFIG_DEBUG` sont généralement conçues pour être utilisées dans des noyaux conçus pour des problèmes de débogage, et des éléments tels que les performances ne sont pas une priorité. AL2023 active l'option de `CONFIG_DEBUG_LIST` durcissement.
### Désactivation du DMA pour les périphériques PCI dans le stub EFI avant de configurer IOMMU
Bien que cette option soit l'un des [paramètres recommandés par le Kernel Self Protection Project (KSPP)](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings), AL2023 elle ne définit pas cette option de configuration selon les recommandations du KSPP.
### Renforcement pour copier de la mémoire entre le noyau et l'espace utilisateur
Lorsque le noyau doit copier la mémoire avec l'espace utilisateur comme source ou comme cible, cette option active certaines vérifications qui contribuent à prévenir certaines catégories de problèmes de débordement de mémoire.
L'option `CONFIG_HARDENED_USERCOPY_FALLBACK` existait dans les noyaux 4.16 à 5.15 pour aider les développeurs de noyau à découvrir les entrées manquantes de la liste d'autorisation via un élément `WARN()`. Comme il est AL2023 livré avec un noyau 6.1, cette option n'est plus pertinente pour AL2023.
L'`CONFIG_HARDENED_USERCOPY_PAGESPAN`option existait dans les noyaux principalement en tant qu'option de débogage pour les développeurs et ne s'applique plus au noyau 6.1 dans. AL2023
Cette option est l'un des [paramètres recommandés par le Kernel Self Protection Project](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings).
### Prise en charge de la mise en veille prolongée
Bien que cette option soit l'un des [paramètres recommandés par le Kernel Self Protection Project (KSPP)](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings), AL2023 elle ne définit pas cette option de configuration selon les recommandations du KSPP. Cette option doit être activée afin de permettre la [mise en veille prolongée de votre instance à la demande](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Hibernate.html) et la [mise en veille des instances Spot interrompues](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/hibernate-spot-instances.html)
### Génération de nombres aléatoires
Le noyau AL2023 est configuré pour garantir la disponibilité d'une entropie adéquate pour une utilisation dans EC2.
### `CONFIG_INET_DIAG`
Bien que cette option soit l'un des [paramètres recommandés par le Kernel Self Protection Project (KSPP)](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings), AL2023 elle ne définit pas cette option de configuration selon les recommandations du KSPP. Dans AL2023, cette fonctionnalité est facultative et est construite en tant que module du noyau.
### Zéro toute la mémoire de l'allocateur de pages et de dalles du noyau lors de l'allocation et de la désallocation
Bien que cette option soit l'un des [paramètres recommandés par le Kernel Self Protection Project (KSPP)](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings), AL2023 elle ne définit pas cette option de configuration selon les recommandations du KSPP. Ces options sont désactivées en AL2023 raison de l'impact possible sur les performances de l'activation de cette fonctionnalité par défaut. Le comportement `CONFIG_INIT_ON_ALLOC_DEFAULT_ON` peut être activé en ajoutant `init_on_alloc=1` à la ligne de commande du noyau, et le comportement `CONFIG_INIT_ON_FREE_DEFAULT_ON` peut être activé en ajoutant `init_on_free=1`.
### Initialise toutes les variables de pile poru qu'elles correspondent à zéro (`CONFIG_INIT_STACK_ALL_ZERO`)
Bien que cette option soit l'un des [paramètres recommandés par le Kernel Self Protection Project (KSPP)](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings), AL2023 elle ne définit pas cette option de configuration selon les recommandations du KSPP. Cette option nécessite GCC 12 ou plus, lorsqu'elle est AL2023 livrée avec GCC 11.
### Signature du module Kernel
AL2023 signe et valide les signatures des modules du noyau. L'option `CONFIG_MODULE_SIG_FORCE`, qui oblige les modules à avoir une signature valide, n'est pas activée afin de préserver la compatibilité pour les utilisateurs qui créent des modules tiers. Pour les utilisateurs qui souhaitent s'assurer que tous les modules du noyau sont signés, le [Module de sécurité Lockdown Linux (LSM)](#CONFIG_SECURITY_LOCKDOWN_LSM) peut être configuré pour l'appliquer.
### `kexec`
Bien que cette option soit l'un des [paramètres recommandés par le Kernel Self Protection Project (KSPP)](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings), AL2023 elle ne définit pas cette option de configuration selon les recommandations du KSPP. Cette option est activée afin que la fonctionnalité `kdump` puisse être utilisée.
### `IOMMU`Support
AL2023 permet le support de l'IOMMU. L'option `CONFIG_IOMMU_DEFAULT_DMA_STRICT` n'est pas activée par défaut, mais cette fonctionnalité peut être configurée en ajoutant `iommu.passthrough=0 iommu.strict=1` à la ligne de commande du noyau.
### `kfence`
Bien que cette option soit l'un des [paramètres recommandés par le Kernel Self Protection Project (KSPP)](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings), AL2023 elle ne définit pas cette option de configuration selon les recommandations du KSPP.
### Prise en charge de l'ancienne version de `pty`
AL2023 utilise l'PTYinterface moderne (`devpts`).
Cette option est l'un des [paramètres recommandés par le Kernel Self Protection Project](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings).
### Module de sécurité Lockdown Linux (LSM)
AL2023 construit le `lockdown` LSM, qui verrouille automatiquement le noyau lors de l'utilisation de Secure Boot.
L'option `CONFIG_LOCK_DOWN_KERNEL_FORCE_CONFIDENTIALITY` n'est pas activée. Bien que cette option soit l'un des [paramètres recommandés par le Kernel Self Protection Project (KSPP)](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings), AL2023 elle ne définit pas cette option de configuration selon les recommandations du KSPP. Lorsque vous n'utilisez pas le démarrage sécurisé, il est possible d'activer le module LSM de verrouillage et de le configurer comme vous le souhaitez.
### Empoisonnement des pages
Bien que cette option soit l'un des [paramètres recommandés par le Kernel Self Protection Project (KSPP)](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings), AL2023 elle ne définit pas cette option de configuration selon les recommandations du KSPP. De même[Zéro toute la mémoire de l'allocateur de pages et de dalles du noyau lors de l'allocation et de la désallocation](#kernel-init-on-alloc-free), cela est désactivé dans le AL2023 noyau en raison de l'impact possible sur les performances.
### Protecteur de pile
Le AL2023 noyau est construit avec la fonction Stack-Protector GCC activée avec l'option. `-fstack-protector-strong`
Cette option est l'un des [paramètres recommandés par le Kernel Self Protection Project](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings).
### seccomp BPFAPI
La fonctionnalité de sécurisation renforcée seccomp est utilisée par des logiciels tels que `systemd` et les environnements d'exécution de conteneurs pour renforcer la sécurité des applications de l'espace utilisateur.
Cette option est l'un des [paramètres recommandés par le Kernel Self Protection Project](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings).
### Délai d'expiration `panic()`
Le AL2023 noyau est configuré avec cette valeur définie sur`0`, ce qui signifie qu'il ne redémarrera pas après avoir paniqué. Bien que cette option soit l'un des [paramètres recommandés par le Kernel Self Protection Project (KSPP)](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings), AL2023 elle ne définit pas cette option de configuration selon les recommandations du KSPP. Cette option est configurable via `sysctl`, `/proc/sys/kernel/panic` et la ligne de commande du noyau.
### Modèles de sécurité
AL2023 active SELinux en mode permissif par défaut. Pour de plus amples informations, veuillez consulter [SELinux Modes de réglage pour AL2 023](selinux-modes.md).
Les modules [Module de sécurité Lockdown Linux (LSM)](#CONFIG_SECURITY_LOCKDOWN_LSM) et `yama` sont également activés.
### `/proc/kcore`
Bien que cette option soit l'un des [paramètres recommandés par le Kernel Self Protection Project (KSPP)](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings), AL2023 elle ne définit pas cette option de configuration selon les recommandations du KSPP.
### Aléatorisation par décalage de la pile du noyau lors d'une entrée syscall
Bien que cette option soit l'un des [paramètres recommandés par le Kernel Self Protection Project (KSPP)](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings), AL2023 elle ne définit pas cette option de configuration selon les recommandations du KSPP. Cette option peut être activée en configurant `randomize_kstack_offset=on` dans la ligne de commande du noyau.
### Vérification du comptage des références (`CONFIG_REFCOUNT_FULL`)
Bien que cette option soit l'un des [paramètres recommandés par le Kernel Self Protection Project (KSPP)](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings), AL2023 elle ne définit pas cette option de configuration selon les recommandations du KSPP. Cette option n'est pas activée actuellement en raison de son impact possible sur les performances.
### Connaissance des noyaux SMT par le planificateur (`CONFIG_SCHED_CORE`)
Le AL2023 noyau est construit avec`CONFIG_SCHED_CORE`, ce qui permet aux applications en espace utilisateur de les utiliser`prctl(PR_SCHED_CORE)`. Cette option est l'un des [paramètres recommandés par le Kernel Self Protection Project](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings).
### Recherche de toute corruption de la pile lors des appels à `schedule()` (`CONFIG_SCHED_STACK_END_CHECK`)
Le AL2023 noyau est construit avec `CONFIG_SCHED_STACK_END_CHECK` Enabled. Cette option est l'un des [paramètres recommandés par le Kernel Self Protection Project](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings).
### Durcissement de l'allocateur de mémoire
Le AL2023 noyau permet de renforcer l'allocateur de mémoire du noyau avec les options`CONFIG_SHUFFLE_PAGE_ALLOCATOR`,`CONFIG_SLAB_FREELIST_HARDENED`, et. `CONFIG_SLAB_FREELIST_RANDOM` Cette option est l'un des [paramètres recommandés par le Kernel Self Protection Project](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings).
### Prise en charge du débogage de SLUB
Le AL2023 noyau est activé `CONFIG_SLUB_DEBUG` car cette option active des fonctionnalités de débogage facultatives pour l'allocateur qui peuvent être activées sur la ligne de commande du noyau. Cette option est l'un des [paramètres recommandés par le Kernel Self Protection Project](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings).
### CONFIG\_STATIC\_USERMODEHELPER
Bien que cette option soit l'un des [paramètres recommandés par le Kernel Self Protection Project (KSPP)](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings), AL2023 elle ne définit pas cette option de configuration selon les recommandations du KSPP. Cela est dû au fait que `CONFIG_STATIC_USERMODEHELPER` nécessite une prise en charge spéciale de la part de la distribution, qui n'est actuellement pas présente dans Amazon Linux.
### Texte du noyau en lecture seule et rodata (`CONFIG_STRICT_KERNEL_RWX` et `CONFIG_STRICT_MODULE_RWX`)
Le AL2023 noyau est configuré pour marquer le texte et la rodata mémoire du noyau et du module noyau comme étant en lecture seule, et pour marquer la mémoire non textuelle comme non exécutable. Cette option est l'un des [paramètres recommandés par le Kernel Self Protection Project](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings).
### Prise en charge des cookies de synchronisation TCP (`CONFIG_SYN_COOKIES`)
Le AL2023 noyau est construit avec le support des syncookies TCP. Cette option est l'un des [paramètres recommandés par le Kernel Self Protection Project](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings).
### Pile mappée virtuellement avec pages de protection (`CONFIG_VMAP_STACK`)
Le AL2023 noyau est intégré`CONFIG_VMAP_STACK`, ce qui permet de mapper virtuellement des piles de noyaux avec des pages de protection. Cette option est l'un des [paramètres recommandés par le Kernel Self Protection Project](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings).
### Compilation avec les avertissements du compilateur sous forme d'erreurs (`CONFIG_WERROR`)
Bien que cette option soit l'un des [paramètres recommandés par le Kernel Self Protection Project (KSPP)](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings), AL2023 elle ne définit pas cette option de configuration selon les recommandations du KSPP.
### Enregistrement de la mise à zéro à la sortie de la fonction (`CONFIG_ZERO_CALL_USED_REGS`)
Bien que cette option soit l'un des [paramètres recommandés par le Kernel Self Protection Project (KSPP)](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings), AL2023 elle ne définit pas cette option de configuration selon les recommandations du KSPP.
### Adresse minimale pour l'allocation d'espace utilisateur
Cette option de sécurisation renforcée contribue à réduire l'impact des bogues de pointeur NULL du noyau. Cette option est l'un des [paramètres recommandés par le Kernel Self Protection Project](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings).
### `clang`options de durcissement spécifiques
Le AL2023 noyau est construit avec GCC plutôt queclang, de sorte que l'option `CONFIG_CFI_CLANG` de renforcement ne peut pas être activée, ce qui la rend également `CONFIG_CFI_PERMISSIVE` inapplicable. Bien que cette option soit l'un des [paramètres recommandés par le Kernel Self Protection Project (KSPP)](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings), AL2023 elle ne définit pas cette option de configuration selon les recommandations du KSPP.
## Options de sécurisation renforcée du noyau spécifiques à x86-64
| Option `CONFIG` | AL2023/6.1/aarch64 | AL2023/6,1/x86\_64 | AL2023/6.12/aarch64 | AL2023/6,12/x86\_64 | AL2023/6.18/aarch64 | AL2023/6,18/x86\_64 |
| --- | --- | --- | --- | --- | --- | --- |
| [`CONFIG_AMD_IOMMU`](#CONFIG_AMD_IOMMU) | N/A | y | N/A | y | N/A | y |
| [`CONFIG_AMD_IOMMU_V2`](#CONFIG_AMD_IOMMU_V2) | N/A | y | N/A | N/A | N/A | N/A |
| [`CONFIG_IA32_EMULATION`](#CONFIG_IA32_EMULATION) | N/A | y | N/A | y | N/A | y |
| [`CONFIG_INTEL_IOMMU`](#CONFIG_INTEL_IOMMU) | N/A | y | N/A | y | N/A | y |
| [`CONFIG_INTEL_IOMMU_DEFAULT_ON`](#CONFIG_INTEL_IOMMU_DEFAULT_ON) | N/A | n | N/A | n | N/A | n |
| [`CONFIG_INTEL_IOMMU_SVM`](#CONFIG_INTEL_IOMMU_SVM) | N/A | n | N/A | n | N/A | n |
| [`CONFIG_LEGACY_VSYSCALL_NONE`](#CONFIG_LEGACY_VSYSCALL_NONE) | N/A | n | N/A | n | N/A | n |
| [`CONFIG_MODIFY_LDT_SYSCALL`](#CONFIG_MODIFY_LDT_SYSCALL) | N/A | n | N/A | n | N/A | n |
| [`CONFIG_PAGE_TABLE_ISOLATION`](#CONFIG_PAGE_TABLE_ISOLATION) | N/A | y | N/A | N/A | N/A | N/A |
| [`CONFIG_RANDOMIZE_MEMORY`](#CONFIG_RANDOMIZE_MEMORY) | N/A | y | N/A | y | N/A | y |
| [`CONFIG_X86_64`](#CONFIG_X86_64) | N/A | y | N/A | y | N/A | y |
| [`CONFIG_X86_MSR`](#CONFIG_X86_MSR) | N/A | y | N/A | y | N/A | y |
| [`CONFIG_X86_VSYSCALL_EMULATION`](#CONFIG_X86_VSYSCALL_EMULATION) | N/A | y | N/A | y | N/A | y |
| [`CONFIG_X86_X32`](#CONFIG_X86_X32) | N/A | N/A | N/A | N/A | N/A | N/A |
| [`CONFIG_X86_X32_ABI`](#CONFIG_X86_X32_ABI) | N/A | n | N/A | n | N/A | n |
### Prise en charge de x86-64
La prise en charge de base x86-64 inclut la prise en charge des bits d'extension d'adresse physique (PAE) et de non-exécution (NX). Cette option est l'un des [paramètres recommandés par le Kernel Self Protection Project](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings).
### Compatibilité avec AMD et Intel IOMMU
Le AL2023 noyau est construit avec le support d'AMD et d'IntelIOMMUs. Cette option est l'un des [paramètres recommandés par le Kernel Self Protection Project](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings).
L'option `CONFIG_INTEL_IOMMU_DEFAULT_ON` n'est pas définie, mais elle peut être activée en transmettant `intel_iommu=on` à la ligne de commande du noyau. Bien que cette option soit l'un des [paramètres recommandés par le Kernel Self Protection Project (KSPP)](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings), AL2023 elle ne définit pas cette option de configuration selon les recommandations du KSPP.
L'`CONFIG_INTEL_IOMMU_SVM`option n'est actuellement pas activée dans AL2023. Bien que cette option soit l'un des [paramètres recommandés par le Kernel Self Protection Project (KSPP)](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings), AL2023 elle ne définit pas cette option de configuration selon les recommandations du KSPP.
### Support pour l'espace utilisateur 32 bits
**Important**
La prise en charge de l'espace utilisateur x86 32 bits est obsolète, et la prise en charge de l'exécution de fichiers binaires d'espace utilisateur 32 bits pourrait être supprimée dans une future version majeure d'Amazon Linux.
**Note**
Bien qu' AL2023 il n'inclue plus de paquets 32 bits, le noyau continuera à prendre en charge l'exécution de l'espace utilisateur 32 bits. Pour plus d’informations, consultez [Packages x86 (i686) 32 bits](compare-with-al2.md#i686).
Pour prendre en charge l'exécution d'applications 32 bits en espace utilisateur, AL2023 n'active pas l'`CONFIG_X86_VSYSCALL_EMULATION`option et active les options `CONFIG_IA32_EMULATION``CONFIG_COMPAT`, et`CONFIG_X86_VSYSCALL_EMULATION`. Bien que cette option soit l'un des [paramètres recommandés par le Kernel Self Protection Project (KSPP)](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings), AL2023 elle ne définit pas cette option de configuration selon les recommandations du KSPP.
L'ABI 32 bits natif x32 pour les processeurs 64 bits n'est pas activé (`CONFIG_X86_X32` et `CONFIG_X86_X32_ABI`). Cette option est l'un des [paramètres recommandés par le Kernel Self Protection Project](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings).
### Prise en charge du registre spécifique au modèle x86 (MSR)
L'option `CONFIG_X86_MSR` est activée afin de prendre en charge `turbostat`. Bien que cette option soit l'un des [paramètres recommandés par le Kernel Self Protection Project (KSPP)](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings), AL2023 elle ne définit pas cette option de configuration selon les recommandations du KSPP.
### Syscall `modify_ldt`
AL2023 n'autorise pas les programmes utilisateur à modifier la table de descripteurs locaux (LDT) x86 avec l'`modify_ldt`appel système. Cet appel est nécessaire pour exécuter du code 16 bits ou segmenté, et son absence peut corrompre des logiciels tels que `dosemu`, l'exécution de certains programmes sous WINE et de très anciennes bibliothèques de threads. Cette option est l'un des [paramètres recommandés par le Kernel Self Protection Project](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings).
### Suppression du mappage du noyau en mode utilisateur
AL2023 configure le noyau de telle sorte que la majorité des adresses du noyau ne soient pas mappées dans l'espace utilisateur. Cette option est l'un des [paramètres recommandés par le Kernel Self Protection Project](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings).
### Aléatorisation des sections de mémoire du noyau
AL2023 configure le noyau pour randomiser les adresses virtuelles de base des sections de mémoire du noyau. Cette option est l'un des [paramètres recommandés par le Kernel Self Protection Project](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings).
## Options de sécurisation renforcée du noyau spécifiques à aarch64
| Option `CONFIG` | AL2023/6.1/aarch64 | AL2023/6,1/x86\_64 | AL2023/6.12/aarch64 | AL2023/6,12/x86\_64 | AL2023/6.18/aarch64 | AL2023/6,18/x86\_64 |
| --- | --- | --- | --- | --- | --- | --- |
| [`CONFIG_ARM64_BTI`](#CONFIG_ARM64_BTI) | y | N/A | y | N/A | y | N/A |
| [`CONFIG_ARM64_BTI_KERNEL`](#CONFIG_ARM64_BTI_KERNEL) | N/A | N/A | N/A | N/A | N/A | N/A |
| [`CONFIG_ARM64_PTR_AUTH`](#CONFIG_ARM64_PTR_AUTH) | y | N/A | y | N/A | y | N/A |
| [`CONFIG_ARM64_PTR_AUTH_KERNEL`](#CONFIG_ARM64_PTR_AUTH_KERNEL) | y | N/A | y | N/A | y | N/A |
| [`CONFIG_ARM64_SW_TTBR0_PAN`](#CONFIG_ARM64_SW_TTBR0_PAN) | y | N/A | y | N/A | y | N/A |
| [`CONFIG_UNMAP_KERNEL_AT_EL0`](#CONFIG_UNMAP_KERNEL_AT_EL0) | y | N/A | y | N/A | y | N/A |
### Identification de la cible de branche
Le AL2023 noyau permet la prise en charge de Branch Target Identification (`CONFIG_ARM64_BTI`). Cette option est l'un des [paramètres recommandés par le Kernel Self Protection Project](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings).
L'`CONFIG_ARM64_BTI_KERNEL`option n'est pas activée AL2023 car elle est construite avecGCC, et le support pour la compilation du noyau avec cette option est [actuellement désactivé dans le noyau en amont en](https://github.com/torvalds/linux/commit/c0a454b9044fdc99486853aa424e5b3be2107078) raison d'un [bogue gcc](https://gcc.gnu.org/bugzilla/show_bug.cgi?id=106671). Bien que cette option soit l'un des [paramètres recommandés par le Kernel Self Protection Project (KSPP)](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings), AL2023 elle ne définit pas cette option de configuration selon les recommandations du KSPP.
### Authentification par pointeur (`CONFIG_ARM64_PTR_AUTH`)
Le AL2023 noyau prend en charge l'extension Pointer Authentication (qui fait partie des extensions ARMv8 .3), qui peut être utilisée pour atténuer les techniques de programmation orientée retour (ROP). La prise en charge du matériel requis pour l'authentification par pointeur sur [Graviton](https://aws.amazon.com/ec2/graviton) a été ajoutée avec Graviton 3.
L'option `CONFIG_ARM64_PTR_AUTH` est activée et prend en charge l'authentification par pointeur pour l'espace utilisateur. Comme l'`CONFIG_ARM64_PTR_AUTH_KERNEL`option est également activée, le AL2023 noyau est en mesure d'utiliser lui-même la protection de l'adresse de retour.
Cette option est l'un des [paramètres recommandés par le Kernel Self Protection Project](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings).
### Émulation de l'accès privilégié Jamais à l'aide de la commutation `TTBR0_EL1`
Cette option empêche le noyau d'accéder directement à la mémoire de l'espace utilisateur. `TTBR0_EL1` n'est défini que temporairement sur une valeur valide par les routines d'accès utilisateur.
Cette option est l'un des [paramètres recommandés par le Kernel Self Protection Project](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings).
### Annulation du mappage du noyau lors de l'exécution dans l'espace utilisateur
Le AL2023 noyau est configuré pour démapper le noyau lors de l'exécution dans userspace ()`CONFIG_UNMAP_KERNEL_AT_EL0`. Cette option est l'un des [paramètres recommandés par le Kernel Self Protection Project](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings).