Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# AL2023 Pengerasan Kernel
Kernel Linux 6.1 di AL2023 dikonfigurasi dan dibangun dengan beberapa opsi dan fitur pengerasan.
## Opsi Pengerasan Kernel (arsitektur independen)
| `CONFIG`pilihan | AL2023/6.1/aarch64 | AL2023/6.1/x86\_64 | AL2023/6.12/aarch64 | AL2023/6.12/x86\_64 | AL2023/6.18/aarch64 | AL2023/6.18/x86\_64 |
| --- | --- | --- | --- | --- | --- | --- |
| [`CONFIG_ACPI_CUSTOM_METHOD`](#CONFIG_ACPI_CUSTOM_METHOD) | n | n | N/A | N/A | N/A | N/A |
| [`CONFIG_BINFMT_MISC`](#CONFIG_BINFMT_MISC) | m | m | m | m | m | m |
| [`CONFIG_BUG`](#CONFIG_BUG) | y | y | y | y | y | y |
| [`CONFIG_BUG_ON_DATA_CORRUPTION`](#CONFIG_BUG_ON_DATA_CORRUPTION) | y | y | y | y | y | y |
| [`CONFIG_CFI_CLANG`](#CONFIG_CFI_CLANG) | N/A | N/A | N/A | N/A | N/A | N/A |
| [`CONFIG_CFI_PERMISSIVE`](#CONFIG_CFI_PERMISSIVE) | N/A | N/A | N/A | N/A | N/A | N/A |
| [`CONFIG_COMPAT`](#CONFIG_COMPAT) | y | y | y | y | y | y |
| [`CONFIG_COMPAT_BRK`](#CONFIG_COMPAT_BRK) | n | n | n | n | n | n |
| [`CONFIG_COMPAT_VDSO`](#CONFIG_COMPAT_VDSO) | N/A | n | N/A | n | N/A | n |
| [`CONFIG_DEBUG_CREDENTIALS`](#CONFIG_DEBUG_CREDENTIALS) | n | n | N/A | N/A | N/A | N/A |
| [`CONFIG_DEBUG_LIST`](#CONFIG_DEBUG_LIST) | y | y | y | y | y | y |
| [`CONFIG_DEBUG_NOTIFIERS`](#CONFIG_DEBUG_NOTIFIERS) | n | n | n | n | n | n |
| [`CONFIG_DEBUG_SG`](#CONFIG_DEBUG_SG) | n | n | n | n | n | n |
| [`CONFIG_DEBUG_VIRTUAL`](#CONFIG_DEBUG_VIRTUAL) | n | n | n | n | n | n |
| [`CONFIG_DEBUG_WX`](#CONFIG_DEBUG_WX) | n | n | n | n | n | n |
| [`CONFIG_DEFAULT_MMAP_MIN_ADDR`](#CONFIG_DEFAULT_MMAP_MIN_ADDR) | 65536 | 65536 | 65536 | 65536 | 65536 | 65536 |
| [`CONFIG_DEVKMEM`](compare-with-al2-kernel.md#CONFIG_DEVKMEM) | N/A | N/A | N/A | N/A | N/A | N/A |
| [`CONFIG_DEVMEM`](compare-with-al2-kernel.md#CONFIG_DEVMEM) | n | n | n | n | n | n |
| [`CONFIG_EFI_DISABLE_PCI_DMA`](#CONFIG_EFI_DISABLE_PCI_DMA) | n | n | n | n | n | n |
| [`CONFIG_FORTIFY_SOURCE`](compare-with-al2-kernel.md#CONFIG_FORTIFY_SOURCE) | y | y | y | y | y | y |
| [`CONFIG_HARDENED_USERCOPY`](#CONFIG_HARDENED_USERCOPY) | y | y | y | y | y | y |
| [`CONFIG_HARDENED_USERCOPY_FALLBACK`](#CONFIG_HARDENED_USERCOPY_FALLBACK) | N/A | N/A | N/A | N/A | N/A | N/A |
| [`CONFIG_HARDENED_USERCOPY_PAGESPAN`](#CONFIG_HARDENED_USERCOPY_PAGESPAN) | N/A | N/A | N/A | N/A | N/A | N/A |
| [`CONFIG_HIBERNATION`](#CONFIG_HIBERNATION) | y | y | y | y | y | y |
| [`CONFIG_HW_RANDOM_TPM`](#CONFIG_HW_RANDOM_TPM) | N/A | N/A | N/A | N/A | N/A | N/A |
| [`CONFIG_INET_DIAG`](#CONFIG_INET_DIAG) | m | m | m | m | m | m |
| [`CONFIG_INIT_ON_ALLOC_DEFAULT_ON`](#CONFIG_INIT_ON_ALLOC_DEFAULT_ON) | n | n | n | n | n | n |
| [`CONFIG_INIT_ON_FREE_DEFAULT_ON`](#CONFIG_INIT_ON_FREE_DEFAULT_ON) | n | n | n | n | n | n |
| [`CONFIG_INIT_STACK_ALL_ZERO`](#CONFIG_INIT_STACK_ALL_ZERO) | N/A | N/A | N/A | N/A | N/A | N/A |
| [`CONFIG_IOMMU_DEFAULT_DMA_STRICT`](#CONFIG_IOMMU_DEFAULT_DMA_STRICT) | n | n | n | n | n | n |
| [`CONFIG_IOMMU_SUPPORT`](#CONFIG_IOMMU_SUPPORT) | y | y | y | y | y | y |
| [`CONFIG_IO_STRICT_DEVMEM`](compare-with-al2-kernel.md#CONFIG_IO_STRICT_DEVMEM) | N/A | N/A | N/A | N/A | N/A | N/A |
| [`CONFIG_KEXEC`](#CONFIG_KEXEC) | y | y | y | y | y | y |
| [`CONFIG_KFENCE`](#CONFIG_KFENCE) | n | n | n | n | n | n |
| [`CONFIG_LDISC_AUTOLOAD`](compare-with-al2-kernel.md#CONFIG_LDISC_AUTOLOAD) | n | n | n | n | n | n |
| [`CONFIG_LEGACY_PTYS`](#CONFIG_LEGACY_PTYS) | n | n | n | n | n | n |
| [`CONFIG_LOCK_DOWN_KERNEL_FORCE_CONFIDENTIALITY`](#CONFIG_LOCK_DOWN_KERNEL_FORCE_CONFIDENTIALITY) | n | n | n | n | n | n |
| [`CONFIG_MODULES`](#CONFIG_MODULES) | y | y | y | y | y | y |
| [`CONFIG_MODULE_SIG`](#CONFIG_MODULE_SIG) | y | y | y | y | y | y |
| [`CONFIG_MODULE_SIG_ALL`](#CONFIG_MODULE_SIG_ALL) | y | y | y | y | y | y |
| [`CONFIG_MODULE_SIG_FORCE`](#CONFIG_MODULE_SIG_FORCE) | n | n | n | n | n | n |
| [`CONFIG_MODULE_SIG_HASH`](#CONFIG_MODULE_SIG_HASH) | sha512 | sha512 | sha512 | sha512 | sha512 | sha512 |
| [`CONFIG_MODULE_SIG_KEY`](#CONFIG_MODULE_SIG_KEY) | certs/signing\_key.pem | certs/signing\_key.pem | certs/signing\_key.pem | certs/signing\_key.pem | certs/signing\_key.pem | certs/signing\_key.pem |
| [`CONFIG_MODULE_SIG_SHA512`](#CONFIG_MODULE_SIG_SHA512) | y | y | y | y | y | y |
| [`CONFIG_PAGE_POISONING`](#CONFIG_PAGE_POISONING) | n | n | n | n | n | n |
| [`CONFIG_PAGE_POISONING_NO_SANITY`](#CONFIG_PAGE_POISONING_NO_SANITY) | N/A | N/A | N/A | N/A | N/A | N/A |
| [`CONFIG_PAGE_POISONING_ZERO`](#CONFIG_PAGE_POISONING_ZERO) | N/A | N/A | N/A | N/A | N/A | N/A |
| [`CONFIG_PANIC_ON_OOPS`](compare-with-al2-kernel.md#CONFIG_PANIC_ON_OOPS) | y | y | y | y | y | y |
| [`CONFIG_PANIC_TIMEOUT`](#CONFIG_PANIC_TIMEOUT) | 0 | 0 | 0 | 0 | 0 | 0 |
| [`CONFIG_PROC_KCORE`](#CONFIG_PROC_KCORE) | y | y | y | y | y | y |
| [`CONFIG_RANDOMIZE_KSTACK_OFFSET_DEFAULT`](#CONFIG_RANDOMIZE_KSTACK_OFFSET_DEFAULT) | n | n | n | n | n | n |
| [`CONFIG_RANDOM_TRUST_BOOTLOADER`](#CONFIG_RANDOM_TRUST_BOOTLOADER) | y | y | N/A | N/A | N/A | N/A |
| [`CONFIG_RANDOM_TRUST_CPU`](#CONFIG_RANDOM_TRUST_CPU) | y | y | N/A | N/A | N/A | N/A |
| [`CONFIG_REFCOUNT_FULL`](#CONFIG_REFCOUNT_FULL) | N/A | N/A | N/A | N/A | N/A | N/A |
| [`CONFIG_SCHED_CORE`](#CONFIG_SCHED_CORE) | N/A | y | N/A | y | N/A | y |
| [`CONFIG_SCHED_STACK_END_CHECK`](#CONFIG_SCHED_STACK_END_CHECK) | y | y | y | y | y | y |
| [`CONFIG_SECCOMP`](#CONFIG_SECCOMP) | y | y | y | y | y | y |
| [`CONFIG_SECCOMP_FILTER`](#CONFIG_SECCOMP_FILTER) | y | y | y | y | y | y |
| [`CONFIG_SECURITY`](#CONFIG_SECURITY) | y | y | y | y | y | y |
| [`CONFIG_SECURITY_DMESG_RESTRICT`](compare-with-al2-kernel.md#CONFIG_SECURITY_DMESG_RESTRICT) | y | y | y | y | y | y |
| [`CONFIG_SECURITY_LANDLOCK`](#CONFIG_SECURITY_LANDLOCK) | y | y | y | y | y | y |
| [`CONFIG_SECURITY_LOCKDOWN_LSM`](#CONFIG_SECURITY_LOCKDOWN_LSM) | y | y | y | y | y | y |
| [`CONFIG_SECURITY_LOCKDOWN_LSM_EARLY`](#CONFIG_SECURITY_LOCKDOWN_LSM_EARLY) | y | y | y | y | y | y |
| [`CONFIG_SECURITY_SELINUX_BOOTPARAM`](#CONFIG_SECURITY_SELINUX_BOOTPARAM) | y | y | y | y | y | y |
| [`CONFIG_SECURITY_SELINUX_DEVELOP`](#CONFIG_SECURITY_SELINUX_DEVELOP) | y | y | y | y | y | y |
| [`CONFIG_SECURITY_SELINUX_DISABLE`](compare-with-al2-kernel.md#CONFIG_SECURITY_SELINUX_DISABLE) | n | n | N/A | N/A | N/A | N/A |
| [`CONFIG_SECURITY_WRITABLE_HOOKS`](#CONFIG_SECURITY_WRITABLE_HOOKS) | N/A | N/A | N/A | N/A | N/A | N/A |
| [`CONFIG_SECURITY_YAMA`](#CONFIG_SECURITY_YAMA) | y | y | y | y | y | y |
| [`CONFIG_SHUFFLE_PAGE_ALLOCATOR`](#CONFIG_SHUFFLE_PAGE_ALLOCATOR) | y | y | y | y | y | y |
| [`CONFIG_SLAB_FREELIST_HARDENED`](#CONFIG_SLAB_FREELIST_HARDENED) | y | y | y | y | y | y |
| [`CONFIG_SLAB_FREELIST_RANDOM`](#CONFIG_SLAB_FREELIST_RANDOM) | y | y | y | y | y | y |
| [`CONFIG_SLUB_DEBUG`](#CONFIG_SLUB_DEBUG) | y | y | y | y | y | y |
| [`CONFIG_STACKPROTECTOR`](#CONFIG_STACKPROTECTOR) | y | y | y | y | y | y |
| [`CONFIG_STACKPROTECTOR_STRONG`](#CONFIG_STACKPROTECTOR_STRONG) | y | y | y | y | y | y |
| [`CONFIG_STATIC_USERMODEHELPER`](#CONFIG_STATIC_USERMODEHELPER) | n | n | n | n | n | n |
| [`CONFIG_STRICT_DEVMEM`](compare-with-al2-kernel.md#CONFIG_STRICT_DEVMEM) | n | n | n | n | n | n |
| [`CONFIG_STRICT_KERNEL_RWX`](#CONFIG_STRICT_KERNEL_RWX) | y | y | y | y | y | y |
| [`CONFIG_STRICT_MODULE_RWX`](#CONFIG_STRICT_MODULE_RWX) | y | y | y | y | y | y |
| [`CONFIG_SYN_COOKIES`](#CONFIG_SYN_COOKIES) | y | y | y | y | y | y |
| [`CONFIG_VMAP_STACK`](#CONFIG_VMAP_STACK) | y | y | y | y | y | y |
| [`CONFIG_WERROR`](#CONFIG_WERROR) | n | n | n | n | n | n |
| [`CONFIG_ZERO_CALL_USED_REGS`](#CONFIG_ZERO_CALL_USED_REGS) | n | n | n | n | n | n |
### Izinkan metode ACPI berada inserted/replaced di runtime (CONFIG\_ACPI\_CUSTOM\_METHOD)
Amazon Linux menonaktifkan opsi ini karena memungkinkan `root` pengguna untuk menulis ke memori kernel arbitrer.
Opsi ini adalah salah satu [Pengaturan Rekomendasi Proyek Perlindungan Diri Kernel](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings).
### Format Biner Lain-lain () `binfmt_misc`
Meskipun opsi ini adalah salah satu [Pengaturan yang Direkomendasikan Kernel Self Protection Project (KSPP)](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings), AL2023 tidak mengatur opsi konfigurasi ini sesuai rekomendasi KSPP. Di AL2023, fitur ini opsional, dan dibangun sebagai modul kernel.
### Dukungan `BUG()`
Opsi ini adalah salah satu [Pengaturan Rekomendasi Proyek Perlindungan Diri Kernel](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings).
### `BUG()`jika kernel mengalami kerusakan data saat memeriksa struktur memori kernel untuk validitas
Beberapa bagian dari kernel Linux akan memeriksa konsistensi internal struktur data dan dapat `BUG()` ketika mereka mendeteksi kerusakan data.
Opsi ini adalah salah satu [Pengaturan Rekomendasi Proyek Perlindungan Diri Kernel](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings).
### `COMPAT_BRK`
Dengan opsi ini dinonaktifkan (begitulah cara Amazon Linux mengkonfigurasi kernel), `randomize_va_space` `sysctl` pengaturan default ke`2`, yang juga memungkinkan pengacakan heap di atas pengacakan halaman `mmap` basis, tumpukan, dan VDSO.
Opsi ini ada di kernel untuk memberikan kompatibilitas dengan beberapa `libc.so.5` binari kuno dari tahun 1996 dan sebelumnya.
Opsi ini adalah salah satu [Pengaturan Rekomendasi Proyek Perlindungan Diri Kernel](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings).
### `COMPAT_VDSO`
Opsi konfigurasi ini relevan `x86-64` dan tidak`aarch64`. Dengan menyetelnya`n`, kernel Amazon Linux tidak membuat Dynamic Shared Object (VDSO) virtual 32-bit terlihat pada alamat yang dapat diprediksi. Yang terbaru `glibc` diketahui rusak oleh opsi ini yang disetel ke `n` adalah `glibc` 2.3.3, dari tahun 2004.
Opsi ini adalah salah satu [Pengaturan Rekomendasi Proyek Perlindungan Diri Kernel](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings).
### `CONFIG_DEBUG`pengerasan terjaga keamanannya
Opsi konfigurasi kernel Linux yang `CONFIG_DEBUG` terjaga keamanannya biasanya dirancang untuk digunakan dalam kernel yang dibangun untuk masalah debugging, dan hal-hal seperti kinerja bukanlah prioritas. AL2023 memungkinkan opsi `CONFIG_DEBUG_LIST` pengerasan.
### Nonaktifkan DMA untuk perangkat PCI di rintisan EFI sebelum mengonfigurasi IOMMU
Meskipun opsi ini adalah salah satu [Pengaturan yang Direkomendasikan Kernel Self Protection Project (KSPP)](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings), AL2023 tidak mengatur opsi konfigurasi ini sesuai rekomendasi KSPP.
### Pengerasan untuk menyalin memori antara kernel dan ruang pengguna
Ketika kernel perlu menyalin memori ke atau dari ruang pengguna, opsi ini memungkinkan beberapa pemeriksaan yang dapat melindungi terhadap beberapa kelas masalah heap overflow.
`CONFIG_HARDENED_USERCOPY_FALLBACK`Opsi ada di kernel 4.16 hingga 5.15 untuk membantu pengembang kernel menemukan entri allowlist yang hilang melalui a. `WARN()` Karena AL2023 mengirimkan kernel 6.1, opsi ini tidak lagi relevan. AL2023
`CONFIG_HARDENED_USERCOPY_PAGESPAN`Opsi ada di kernel terutama sebagai opsi debugging untuk pengembang dan tidak lagi berlaku untuk kernel 6.1 di. AL2023
Opsi ini adalah salah satu [Pengaturan Rekomendasi Proyek Perlindungan Diri Kernel](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings).
### Dukungan Hibernasi
Meskipun opsi ini adalah salah satu [Pengaturan yang Direkomendasikan Kernel Self Protection Project (KSPP)](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings), AL2023 tidak mengatur opsi konfigurasi ini sesuai rekomendasi KSPP. Opsi ini perlu diaktifkan untuk mendukung kemampuan [Hibernasi Instans Sesuai Permintaan Anda, dan untuk mendukung kemampuan Hibernasi Instans](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Hibernate.html) Spot yang [terputus](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/hibernate-spot-instances.html)
### Pembuatan Angka Acak
Kernel AL2023 dikonfigurasi untuk memastikan entropi yang memadai tersedia untuk digunakan dalam EC2.
### `CONFIG_INET_DIAG`
Meskipun opsi ini adalah salah satu [Pengaturan yang Direkomendasikan Kernel Self Protection Project (KSPP)](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings), AL2023 tidak mengatur opsi konfigurasi ini sesuai rekomendasi KSPP. Di AL2023, fitur ini opsional, dan dibangun sebagai modul kernel.
### Nol semua halaman kernel dan memori pengalokasi slab pada alokasi dan deallokasi
Meskipun opsi ini adalah salah satu [Pengaturan yang Direkomendasikan Kernel Self Protection Project (KSPP)](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings), AL2023 tidak mengatur opsi konfigurasi ini sesuai rekomendasi KSPP. Opsi ini dinonaktifkan AL2023 karena kemungkinan dampak kinerja mengaktifkan fungsi ini secara default. `CONFIG_INIT_ON_ALLOC_DEFAULT_ON`Perilaku dapat diaktifkan dengan menambahkan `init_on_alloc=1` ke baris perintah kernel, dan `CONFIG_INIT_ON_FREE_DEFAULT_ON` perilaku dapat diaktifkan dengan menambahkan`init_on_free=1`.
### Inisialisasi semua variabel tumpukan sebagai nol () `CONFIG_INIT_STACK_ALL_ZERO`
Meskipun opsi ini adalah salah satu [Pengaturan yang Direkomendasikan Kernel Self Protection Project (KSPP)](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings), AL2023 tidak mengatur opsi konfigurasi ini sesuai rekomendasi KSPP. Opsi ini membutuhkan GCC 12 atau lebih tinggi, sementara AL2023 dikirimkan dengan GCC 11.
### Penandatanganan Modul Kernel
AL2023 menandatangani dan memvalidasi tanda tangan modul kernel. `CONFIG_MODULE_SIG_FORCE`Opsi, yang mengharuskan modul memiliki tanda tangan yang valid tidak diaktifkan untuk menjaga kompatibilitas bagi pengguna yang membangun modul pihak ketiga. Untuk pengguna yang ingin memastikan bahwa semua modul kernel ditandatangani, [Modul Keamanan Linux Lockdown (LSM)](#CONFIG_SECURITY_LOCKDOWN_LSM) dapat dikonfigurasi untuk menegakkan ini.
### `kexec`
Meskipun opsi ini adalah salah satu [Pengaturan yang Direkomendasikan Kernel Self Protection Project (KSPP)](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings), AL2023 tidak mengatur opsi konfigurasi ini sesuai rekomendasi KSPP. Opsi ini diaktifkan sehingga `kdump` fungsionalitas dapat digunakan.
### `IOMMU`Support
AL2023 memungkinkan dukungan IOMMU. `CONFIG_IOMMU_DEFAULT_DMA_STRICT`Opsi ini tidak diaktifkan secara default, tetapi fungsi ini dapat dikonfigurasi dengan menambahkan `iommu.passthrough=0 iommu.strict=1` ke baris perintah kernel.
### `kfence`
Meskipun opsi ini adalah salah satu [Pengaturan yang Direkomendasikan Kernel Self Protection Project (KSPP)](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings), AL2023 tidak mengatur opsi konfigurasi ini sesuai rekomendasi KSPP.
### Support Legacy `pty`
AL2023 menggunakan PTY antarmuka modern (`devpts`).
Opsi ini adalah salah satu [Pengaturan Rekomendasi Proyek Perlindungan Diri Kernel](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings).
### Modul Keamanan Linux Lockdown (LSM)
AL2023 membangun `lockdown` LSM, yang secara otomatis akan mengunci kernel saat menggunakan Boot Aman.
`CONFIG_LOCK_DOWN_KERNEL_FORCE_CONFIDENTIALITY`Opsi ini tidak diaktifkan. Meskipun opsi ini adalah salah satu [Pengaturan yang Direkomendasikan Kernel Self Protection Project (KSPP)](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings), AL2023 tidak mengatur opsi konfigurasi ini sesuai rekomendasi KSPP. Saat tidak menggunakan Boot Aman, dimungkinkan untuk mengaktifkan LSM penguncian dan mengonfigurasi sesuai keinginan.
### Halaman Keracunan
Meskipun opsi ini adalah salah satu [Pengaturan yang Direkomendasikan Kernel Self Protection Project (KSPP)](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings), AL2023 tidak mengatur opsi konfigurasi ini sesuai rekomendasi KSPP. Demikian pula dengan[Nol semua halaman kernel dan memori pengalokasi slab pada alokasi dan deallokasi](#kernel-init-on-alloc-free), ini dinonaktifkan di AL2023 kernel karena kemungkinan dampak pada kinerja.
### Pelindung Tumpukan
AL2023 Kernel dibangun dengan fitur stack-protector GCC diaktifkan dengan opsi. `-fstack-protector-strong`
Opsi ini adalah salah satu [Pengaturan Rekomendasi Proyek Perlindungan Diri Kernel](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings).
### seccomp BPFAPI
Fitur seccomp pengerasan digunakan oleh perangkat lunak seperti `systemd` dan runtime kontainer untuk mengeraskan aplikasi ruang pengguna.
Opsi ini adalah salah satu [Pengaturan Rekomendasi Proyek Perlindungan Diri Kernel](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings).
### `panic()`batas waktu
AL2023 Kernel dikonfigurasi dengan nilai ini disetel ke`0`, yang berarti bahwa kernel tidak akan reboot setelah panik. Meskipun opsi ini adalah salah satu [Pengaturan yang Direkomendasikan Kernel Self Protection Project (KSPP)](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings), AL2023 tidak mengatur opsi konfigurasi ini sesuai rekomendasi KSPP. Ini dapat dikonfigurasi melalui`sysctl`,`/proc/sys/kernel/panic`, dan pada baris perintah kernel.
### Model Keamanan
AL2023 memungkinkan SELinux dalam mode Permisif secara default. Untuk informasi selengkapnya, lihat [SELinux Mode pengaturan untuk AL2 023](selinux-modes.md).
`yama`Modul [Modul Keamanan Linux Lockdown (LSM)](#CONFIG_SECURITY_LOCKDOWN_LSM) dan juga diaktifkan.
### `/proc/kcore`
Meskipun opsi ini adalah salah satu [Pengaturan yang Direkomendasikan Kernel Self Protection Project (KSPP)](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings), AL2023 tidak mengatur opsi konfigurasi ini sesuai rekomendasi KSPP.
### Pengacakan offset tumpukan kernel pada entri syscall
Meskipun opsi ini adalah salah satu [Pengaturan yang Direkomendasikan Kernel Self Protection Project (KSPP)](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings), AL2023 tidak mengatur opsi konfigurasi ini sesuai rekomendasi KSPP. Ini dapat diaktifkan dengan mengatur `randomize_kstack_offset=on` pada baris perintah kernel.
### Cek penghitungan referensi (`CONFIG_REFCOUNT_FULL`)
Meskipun opsi ini adalah salah satu [Pengaturan yang Direkomendasikan Kernel Self Protection Project (KSPP)](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings), AL2023 tidak mengatur opsi konfigurasi ini sesuai rekomendasi KSPP. Opsi ini tidak diaktifkan secara pasti karena kemungkinan dampaknya terhadap kinerja.
### Kesadaran penjadwal SMT inti () `CONFIG_SCHED_CORE`
AL2023 Kernel dibangun dengan`CONFIG_SCHED_CORE`, yang memungkinkan aplikasi ruang pengguna untuk digunakan`prctl(PR_SCHED_CORE)`. Opsi ini adalah salah satu [Pengaturan Rekomendasi Proyek Perlindungan Diri Kernel](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings).
### Periksa kerusakan tumpukan pada panggilan ke `schedule()` (`CONFIG_SCHED_STACK_END_CHECK`)
AL2023 Kernel dibangun dengan `CONFIG_SCHED_STACK_END_CHECK` diaktifkan. Opsi ini adalah salah satu [Pengaturan Rekomendasi Proyek Perlindungan Diri Kernel](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings).
### Pengerasan pengalokasi memori
AL2023 Kernel memungkinkan pengerasan pengalokasi memori kernel dengan`CONFIG_SHUFFLE_PAGE_ALLOCATOR`,`CONFIG_SLAB_FREELIST_HARDENED`, dan opsi. `CONFIG_SLAB_FREELIST_RANDOM` Opsi ini adalah salah satu [Pengaturan Rekomendasi Proyek Perlindungan Diri Kernel](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings).
### SLUBdukungan debugging
AL2023 Kernel memungkinkan `CONFIG_SLUB_DEBUG` karena opsi ini memungkinkan fitur debugging opsional untuk pengalokasi yang dapat diaktifkan pada baris perintah kernel. Opsi ini adalah salah satu [Pengaturan Rekomendasi Proyek Perlindungan Diri Kernel](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings).
### CONFIG\_STATIC\_USERMODEHELPER
Meskipun opsi ini adalah salah satu [Pengaturan yang Direkomendasikan Kernel Self Protection Project (KSPP)](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings), AL2023 tidak mengatur opsi konfigurasi ini sesuai rekomendasi KSPP. Ini karena `CONFIG_STATIC_USERMODEHELPER` memerlukan dukungan khusus dari distribusi, yang saat ini tidak ada di Amazon Linux.
### Teks kernel Read-Only dan rodata (dan) `CONFIG_STRICT_KERNEL_RWX` `CONFIG_STRICT_MODULE_RWX`
AL2023 Kernel dikonfigurasi untuk menandai teks dan memori modul kernel dan kernel sebagai read-only, dan rodata memori non-teks ditandai sebagai tidak dapat dieksekusi. Opsi ini adalah salah satu [Pengaturan Rekomendasi Proyek Perlindungan Diri Kernel](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings).
### TCPdukungan syncookie () `CONFIG_SYN_COOKIES`
AL2023 Kernel dibangun dengan dukungan untuk syncookies TCP. Opsi ini adalah salah satu [Pengaturan Rekomendasi Proyek Perlindungan Diri Kernel](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings).
### Tumpukan yang dipetakan secara virtual dengan halaman penjaga () `CONFIG_VMAP_STACK`
AL2023 Kernel dibangun dengan`CONFIG_VMAP_STACK`, memungkinkan tumpukan kernel yang dipetakan secara virtual dengan halaman penjaga. Opsi ini adalah salah satu [Pengaturan Rekomendasi Proyek Perlindungan Diri Kernel](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings).
### Bangun dengan peringatan kompiler sebagai error () `CONFIG_WERROR`
Meskipun opsi ini adalah salah satu [Pengaturan yang Direkomendasikan Kernel Self Protection Project (KSPP)](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings), AL2023 tidak mengatur opsi konfigurasi ini sesuai rekomendasi KSPP.
### Daftarkan zeroing pada fungsi exit () `CONFIG_ZERO_CALL_USED_REGS`
Meskipun opsi ini adalah salah satu [Pengaturan yang Direkomendasikan Kernel Self Protection Project (KSPP)](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings), AL2023 tidak mengatur opsi konfigurasi ini sesuai rekomendasi KSPP.
### Alamat minimum untuk alokasi ruang pengguna
Opsi pengerasan ini dapat membantu mengurangi dampak bug pointer NULL kernel. Opsi ini adalah salah satu [Pengaturan Rekomendasi Proyek Perlindungan Diri Kernel](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings).
### `clang`opsi pengerasan khusus
AL2023 Kernel dibangun dengan GCC bukanclang, sehingga opsi `CONFIG_CFI_CLANG` pengerasan tidak dapat diaktifkan, yang juga membuatnya `CONFIG_CFI_PERMISSIVE` tidak berlaku. Meskipun opsi ini adalah salah satu [Pengaturan yang Direkomendasikan Kernel Self Protection Project (KSPP)](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings), AL2023 tidak mengatur opsi konfigurasi ini sesuai rekomendasi KSPP.
## x86-64 opsi Pengerasan Kernel khusus
| `CONFIG`pilihan | AL2023/6.1/aarch64 | AL2023/6.1/x86\_64 | AL2023/6.12/aarch64 | AL2023/6.12/x86\_64 | AL2023/6.18/aarch64 | AL2023/6.18/x86\_64 |
| --- | --- | --- | --- | --- | --- | --- |
| [`CONFIG_AMD_IOMMU`](#CONFIG_AMD_IOMMU) | N/A | y | N/A | y | N/A | y |
| [`CONFIG_AMD_IOMMU_V2`](#CONFIG_AMD_IOMMU_V2) | N/A | y | N/A | N/A | N/A | N/A |
| [`CONFIG_IA32_EMULATION`](#CONFIG_IA32_EMULATION) | N/A | y | N/A | y | N/A | y |
| [`CONFIG_INTEL_IOMMU`](#CONFIG_INTEL_IOMMU) | N/A | y | N/A | y | N/A | y |
| [`CONFIG_INTEL_IOMMU_DEFAULT_ON`](#CONFIG_INTEL_IOMMU_DEFAULT_ON) | N/A | n | N/A | n | N/A | n |
| [`CONFIG_INTEL_IOMMU_SVM`](#CONFIG_INTEL_IOMMU_SVM) | N/A | n | N/A | n | N/A | n |
| [`CONFIG_LEGACY_VSYSCALL_NONE`](#CONFIG_LEGACY_VSYSCALL_NONE) | N/A | n | N/A | n | N/A | n |
| [`CONFIG_MODIFY_LDT_SYSCALL`](#CONFIG_MODIFY_LDT_SYSCALL) | N/A | n | N/A | n | N/A | n |
| [`CONFIG_PAGE_TABLE_ISOLATION`](#CONFIG_PAGE_TABLE_ISOLATION) | N/A | y | N/A | N/A | N/A | N/A |
| [`CONFIG_RANDOMIZE_MEMORY`](#CONFIG_RANDOMIZE_MEMORY) | N/A | y | N/A | y | N/A | y |
| [`CONFIG_X86_64`](#CONFIG_X86_64) | N/A | y | N/A | y | N/A | y |
| [`CONFIG_X86_MSR`](#CONFIG_X86_MSR) | N/A | y | N/A | y | N/A | y |
| [`CONFIG_X86_VSYSCALL_EMULATION`](#CONFIG_X86_VSYSCALL_EMULATION) | N/A | y | N/A | y | N/A | y |
| [`CONFIG_X86_X32`](#CONFIG_X86_X32) | N/A | N/A | N/A | N/A | N/A | N/A |
| [`CONFIG_X86_X32_ABI`](#CONFIG_X86_X32_ABI) | N/A | n | N/A | n | N/A | n |
### Support x86-64
Dukungan dasar x86-64 mencakup dukungan bit Physical Address Extension (PAE) dan no-execute (NX). Opsi ini adalah salah satu [Pengaturan Rekomendasi Proyek Perlindungan Diri Kernel](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings).
### Dukungan AMD dan Intel IOMMU
AL2023 Kernel dibangun dengan dukungan untuk AMD dan IntelIOMMUs. Opsi ini adalah salah satu [Pengaturan Rekomendasi Proyek Perlindungan Diri Kernel](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings).
`CONFIG_INTEL_IOMMU_DEFAULT_ON`Opsi ini tidak diatur, tetapi dapat diaktifkan dengan meneruskan `intel_iommu=on` ke baris perintah kernel. Meskipun opsi ini adalah salah satu [Pengaturan yang Direkomendasikan Kernel Self Protection Project (KSPP)](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings), AL2023 tidak mengatur opsi konfigurasi ini sesuai rekomendasi KSPP.
`CONFIG_INTEL_IOMMU_SVM`Opsi saat ini tidak diaktifkan di AL2023. Meskipun opsi ini adalah salah satu [Pengaturan yang Direkomendasikan Kernel Self Protection Project (KSPP)](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings), AL2023 tidak mengatur opsi konfigurasi ini sesuai rekomendasi KSPP.
### Support untuk userspace 32bit
**penting**
Support untuk ruang pengguna 32bit x86 tidak digunakan lagi dan dukungan untuk menjalankan binari ruang pengguna 32bit mungkin akan dihapus di versi utama Amazon Linux yang akan datang.
**catatan**
Meskipun AL2023 tidak lagi menyertakan paket 32bit, kernel masih akan mendukung menjalankan ruang pengguna 32bit. Untuk informasi selengkapnya, lihat [32bit x86 (i686) Paket](compare-with-al2.md#i686).
Untuk mendukung menjalankan aplikasi userspace 32bit, AL2023 tidak mengaktifkan `CONFIG_X86_VSYSCALL_EMULATION` opsi, dan mengaktifkan, `CONFIG_IA32_EMULATION``CONFIG_COMPAT`, dan `CONFIG_X86_VSYSCALL_EMULATION` opsi. Meskipun opsi ini adalah salah satu [Pengaturan yang Direkomendasikan Kernel Self Protection Project (KSPP)](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings), AL2023 tidak mengatur opsi konfigurasi ini sesuai rekomendasi KSPP.
ABI 32-bit x32 asli untuk prosesor 64-bit tidak diaktifkan (`CONFIG_X86_X32`dan`CONFIG_X86_X32_ABI`). Opsi ini adalah salah satu [Pengaturan Rekomendasi Proyek Perlindungan Diri Kernel](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings).
### x86 Model Specific Register (MSR) dukungan
`CONFIG_X86_MSR`Opsi ini diaktifkan untuk mendukung`turbostat`. Meskipun opsi ini adalah salah satu [Pengaturan yang Direkomendasikan Kernel Self Protection Project (KSPP)](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings), AL2023 tidak mengatur opsi konfigurasi ini sesuai rekomendasi KSPP.
### `modify_ldt`syscall
AL2023 tidak mengizinkan program pengguna untuk memodifikasi x86 Local Descriptor Table (LDT) dengan syscall. `modify_ldt` Panggilan ini diperlukan untuk menjalankan kode 16-bit atau tersegmentasi, dan ketidakhadirannya dapat merusak perangkat lunak seperti`dosemu`, menjalankan beberapa program di bawahWINE, dan beberapa pustaka threading yang sangat tua. Opsi ini adalah salah satu [Pengaturan Rekomendasi Proyek Perlindungan Diri Kernel](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings).
### Hapus pemetaan kernel dalam mode pengguna
AL2023 mengkonfigurasi kernel sehingga sebagian besar alamat kernel tidak dipetakan ke ruang pengguna. Opsi ini adalah salah satu [Pengaturan Rekomendasi Proyek Perlindungan Diri Kernel](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings).
### Acak bagian memori kernel
AL2023 mengkonfigurasi kernel untuk mengacak alamat virtual dasar dari bagian memori kernel. Opsi ini adalah salah satu [Pengaturan Rekomendasi Proyek Perlindungan Diri Kernel](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings).
## aarch64 opsi Pengerasan Kernel khusus
| `CONFIG`pilihan | AL2023/6.1/aarch64 | AL2023/6.1/x86\_64 | AL2023/6.12/aarch64 | AL2023/6.12/x86\_64 | AL2023/6.18/aarch64 | AL2023/6.18/x86\_64 |
| --- | --- | --- | --- | --- | --- | --- |
| [`CONFIG_ARM64_BTI`](#CONFIG_ARM64_BTI) | y | N/A | y | N/A | y | N/A |
| [`CONFIG_ARM64_BTI_KERNEL`](#CONFIG_ARM64_BTI_KERNEL) | N/A | N/A | N/A | N/A | N/A | N/A |
| [`CONFIG_ARM64_PTR_AUTH`](#CONFIG_ARM64_PTR_AUTH) | y | N/A | y | N/A | y | N/A |
| [`CONFIG_ARM64_PTR_AUTH_KERNEL`](#CONFIG_ARM64_PTR_AUTH_KERNEL) | y | N/A | y | N/A | y | N/A |
| [`CONFIG_ARM64_SW_TTBR0_PAN`](#CONFIG_ARM64_SW_TTBR0_PAN) | y | N/A | y | N/A | y | N/A |
| [`CONFIG_UNMAP_KERNEL_AT_EL0`](#CONFIG_UNMAP_KERNEL_AT_EL0) | y | N/A | y | N/A | y | N/A |
### Identifikasi Target Cabang
AL2023 Kernel memungkinkan dukungan untuk Branch Target Identification (`CONFIG_ARM64_BTI`). Opsi ini adalah salah satu [Pengaturan Rekomendasi Proyek Perlindungan Diri Kernel](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings).
`CONFIG_ARM64_BTI_KERNEL`Opsi ini tidak diaktifkan AL2023 seperti yang dibangunGCC, dan dukungan untuk membangun kernel dengan opsi ini [saat ini dinonaktifkan di kernel upstream](https://github.com/torvalds/linux/commit/c0a454b9044fdc99486853aa424e5b3be2107078) karena bug [gcc](https://gcc.gnu.org/bugzilla/show_bug.cgi?id=106671). Meskipun opsi ini adalah salah satu [Pengaturan yang Direkomendasikan Kernel Self Protection Project (KSPP)](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings), AL2023 tidak mengatur opsi konfigurasi ini sesuai rekomendasi KSPP.
### Otentikasi Pointer () `CONFIG_ARM64_PTR_AUTH`
AL2023 Kernel dibangun dengan dukungan untuk ekstensi Pointer Authentication (bagian dari ARMv8 .3 Extensions), yang dapat digunakan untuk membantu mengurangi teknik Return Oriented Programming (ROP). Dukungan perangkat keras yang diperlukan untuk otentikasi pointer pada Graviton diperkenalkan dengan [Graviton](https://aws.amazon.com/ec2/graviton) 3.
`CONFIG_ARM64_PTR_AUTH`Opsi ini diaktifkan dan menyediakan dukungan untuk otentikasi pointer untuk ruang pengguna. Karena `CONFIG_ARM64_PTR_AUTH_KERNEL` opsi ini juga diaktifkan, AL2023 kernel dapat menggunakan perlindungan alamat pengembalian untuk dirinya sendiri.
Opsi ini adalah salah satu [Pengaturan Rekomendasi Proyek Perlindungan Diri Kernel](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings).
### Emulate Privileged Access Jangan pernah menggunakan switching `TTBR0_EL1`
Opsi ini mencegah kernel mengakses memori ruang pengguna secara langsung, dengan hanya `TTBR0_EL1` disetel sementara ke nilai yang valid oleh rutinitas akses pengguna.
Opsi ini adalah salah satu [Pengaturan Rekomendasi Proyek Perlindungan Diri Kernel](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings).
### Buka peta kernel saat berjalan di ruang pengguna
AL2023 Kernel dikonfigurasi untuk menghapus peta kernel saat berjalan di userspace ()`CONFIG_UNMAP_KERNEL_AT_EL0`. Opsi ini adalah salah satu [Pengaturan Rekomendasi Proyek Perlindungan Diri Kernel](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings).