Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Keamanan dan Kepatuhan di Amazon Linux 2023
**penting**
Jika Anda ingin melaporkan kerentanan atau memiliki masalah keamanan terkait layanan AWS cloud atau proyek sumber terbuka, hubungi AWS Keamanan menggunakan halaman Pelaporan [Kerentanan](https://aws.amazon.com/security/vulnerability-reporting/)
Keamanan cloud di AWS adalah prioritas tertinggi. Sebagai AWS pelanggan, Anda mendapat manfaat dari pusat data dan arsitektur jaringan yang dibangun untuk memenuhi persyaratan organisasi yang paling sensitif terhadap keamanan.
Keamanan adalah tanggung jawab bersama antara Anda AWS dan Anda. [Model tanggung jawab bersama](https://aws.amazon.com/compliance/shared-responsibility-model/) menjelaskan hal ini sebagai keamanan *dari* cloud dan keamanan *dalam* cloud:
+ **Keamanan cloud** — AWS bertanggung jawab untuk melindungi infrastruktur yang menjalankan AWS layanan di AWS Cloud. AWS juga memberi Anda layanan yang dapat Anda gunakan dengan aman. Auditor pihak ketiga secara teratur menguji dan memverifikasi efektivitas keamanan kami sebagai bagian dari [Program AWS Kepatuhan Program AWS Kepatuhan](https://aws.amazon.com/compliance/programs/) . Untuk mempelajari tentang program kepatuhan yang berlaku AL2023, lihat [AWS Layanan dalam Lingkup oleh AWS Layanan Program Kepatuhan](https://aws.amazon.com/compliance/services-in-scope/) .
+ **Keamanan di cloud** – Tanggung jawab Anda ditentukan menurut layanan AWS yang Anda gunakan. Anda juga bertanggung jawab atas faktor lain termasuk sensitivitas data Anda, persyaratan perusahaan Anda, serta undang-undang dan peraturan yang berlaku.
**Topics**
+ [Penasihat Keamanan Amazon Linux untuk AL2023](alas.md)
+ [Daftar Saran yang berlaku](listing-applicable-advisories.md)
+ [Menerapkan pembaruan keamanan di tempat](security-inplace-update.md)
+ [SELinux Mode pengaturan untuk AL2 023](selinux-modes.md)
+ [Aktifkan Mode FIPS pada 023 AL2](fips-mode.md)
+ [Aktifkan Mode FIPS dalam Kontainer AL2 023](fips-mode-container.md)
+ [Tukar penyedia OpenSSL FIPS di 023 AL2](fips-openssl-swap-provider.md)
+ [AL2023 Pengerasan Kernel](kernel-hardening.md)
+ [Metadata repositori masuk AL2023](repo-metadata-signing.md)
+ [Boot Aman UEFI aktif AL2023](uefi-secure-boot.md)
# Penasihat Keamanan Amazon Linux untuk AL2023
Meskipun kami bekerja keras untuk membuat Amazon Linux aman, kadang-kadang akan ada masalah keamanan yang perlu diperbaiki. *Penasihat* dikeluarkan ketika perbaikan tersedia. Lokasi utama tempat kami mempublikasikan saran adalah Amazon Linux Security Center (ALAS). Untuk informasi selengkapnya, lihat [Pusat Keamanan Amazon Linux](https://alas.aws.amazon.com/alas2023.html).
**penting**
Jika Anda ingin melaporkan kerentanan atau memiliki masalah keamanan terkait layanan AWS cloud atau proyek sumber terbuka, hubungi AWS Keamanan menggunakan halaman Pelaporan [Kerentanan](https://aws.amazon.com/security/vulnerability-reporting/)
Informasi tentang masalah dan pembaruan relevan AL2023 yang memengaruhi diterbitkan oleh tim Amazon Linux di beberapa lokasi. Ini umum untuk alat keamanan untuk mengambil informasi dari sumber-sumber utama ini dan menyajikan hasilnya kepada Anda. Dengan demikian, Anda mungkin tidak berinteraksi langsung dengan sumber utama yang dipublikasikan Amazon Linux, melainkan antarmuka yang disediakan oleh perkakas pilihan Anda, seperti Amazon [Inspector](https://docs.aws.amazon.com/inspector/latest/user/what-is-inspector.html).
## Pengumuman Pusat Keamanan Amazon Linux
*Pengumuman* Amazon Linux disediakan untuk item yang tidak sesuai dengan penasihat. Bagian ini berisi pengumuman tentang ALAS itu sendiri, bersama dengan informasi yang tidak sesuai dengan penasehat. Untuk informasi selengkapnya, lihat [Pengumuman Amazon Linux Security Center (ALAS)](https://alas.aws.amazon.com/announcements.html).
Misalnya, [2021-001 - Pengumuman Hotpatch Amazon Linux untuk Apache Log4j cocok dengan pengumuman](https://alas.aws.amazon.com/announcements/2021-001.html) daripada penasihat. Dalam pengumuman ini, Amazon Linux menambahkan paket untuk membantu pelanggan mengurangi masalah keamanan dalam perangkat lunak yang bukan bagian dari Amazon Linux.
[Pusat Keamanan Amazon Linux CVE Explorer](https://explore.alas.aws.amazon.com/) juga diumumkan pada pengumuman ALAS. Untuk informasi lebih lanjut, lihat [Situs web baru untuk CVEs](https://alas.aws.amazon.com/announcements/2023-001.html).
## Pusat Keamanan Amazon Linux Pertanyaan yang Sering Diajukan
Untuk jawaban atas beberapa pertanyaan umum tentang ALAS dan bagaimana Amazon Linux mengevaluasi CVEs, lihat Pertanyaan yang [Sering Diajukan Pusat Keamanan Amazon Linux (ALAS) (FAQs)](https://alas.aws.amazon.com/faqs.html).
## Penasihat ALAS
Amazon Linux Advisory berisi informasi penting yang relevan dengan pengguna Amazon Linux, biasanya informasi tentang pembaruan keamanan. [Pusat Keamanan Amazon Linux](https://alas.aws.amazon.com/alas2023.html) adalah tempat Penasihat terlihat di web. Informasi penasehat juga merupakan bagian dari metadata repositori paket RPM.
## Saran dan repositori RPM
Repositori paket Amazon Linux 2023 mungkin berisi metadata yang menjelaskan nol atau lebih pembaruan. `dnf updateinfo`Perintah ini dinamai nama file metadata repositori yang berisi informasi ini,. `updateinfo.xml` Sementara perintah diberi nama`updateinfo`, dan file metadata mengacu pada`update`, ini semua mengacu pada pembaruan paket yang merupakan bagian dari Penasihat.
Amazon Linux Advisories dipublikasikan di situs web [Amazon Linux Security Center](https://alas.aws.amazon.com/alas2023.html), bersama dengan informasi yang ada dalam metadata repositori RPM yang dirujuk oleh manajer paket. `dnf` Situs web dan metadata repositori pada akhirnya konsisten, dan mungkin ada inkonsistensi dalam informasi di situs web dan dalam metadata repositori. Ini biasanya akan terjadi ketika rilis baru AL2023 sedang dalam proses dirilis, telah ada pembaruan untuk Penasihat setelah AL2023 rilis terbaru.
Meskipun biasanya Penasihat baru dikeluarkan bersamaan dengan pembaruan paket yang membahas masalah ini, hal ini tidak selalu terjadi. Advisory dapat dibuat untuk masalah baru yang dibahas dalam paket yang sudah dirilis. Advisory yang ada juga dapat diperbarui dengan CVEs yang baru yang ditangani oleh pembaruan yang ada.
[Peningkatan deterministik melalui repositori berversi pada AL2023](deterministic-upgrades.md)Fitur Amazon Linux 2023 berarti bahwa repositori RPM untuk AL2023 versi tertentu berisi snapshot metadata repositori RPM pada versi tersebut. Ini *termasuk* metadata yang menjelaskan pembaruan keamanan. Repositori RPM untuk AL2023 versi tertentu *tidak diperbarui setelah rilis*. Penasihat keamanan baru atau yang diperbarui *tidak akan terlihat saat melihat versi repositori AL2023 RPM yang lebih lama*. Lihat [Daftar Saran yang berlaku](listing-applicable-advisories.md) bagian untuk cara menggunakan manajer `dnf` paket untuk melihat versi `latest` repositori, atau rilis tertentu AL2023 .
## Penasehat IDs
Setiap Penasehat dirujuk oleh sebuah`id`. Saat ini merupakan kekhasan Amazon Linux di mana situs web [Amazon Linux Security Center](https://alas.aws.amazon.com/alas2023.html) akan mencantumkan Penasihat sebagai [ALAS-2024-581, sedangkan manajer `dnf` paket akan [mencantumkan](listing-applicable-advisories.md) penasihat itu sebagai memiliki ID -2024-581](https://alas.aws.amazon.com/AL2023/ALAS-2024-581.html). ALAS2023 Ketika [Menerapkan pembaruan keamanan di tempat](security-inplace-update.md) ID manajer paket perlu digunakan jika mengacu pada Penasihat tertentu.
Untuk Amazon Linux, setiap versi utama OS memiliki namespace Advisory sendiri. IDs Seharusnya tidak ada asumsi yang dibuat mengenai format Amazon Linux IDs Advisory. Secara historis, Amazon Linux Advisory IDs telah mengikuti pola. `NAMESPACE-YEAR-NUMBER` Rentang lengkap nilai yang mungkin untuk tidak `NAMESPACE` didefinisikan, tetapi telah mencakup`ALAS`,`ALASCORRETTO8`,`ALAS2023`,`ALAS2`,`ALASPYTHON3.8`, dan`ALASUNBOUND-1.17`. `YEAR`Telah menjadi tahun di mana penasehat dibuat, dan `NUMBER` menjadi bilangan bulat unik dalam namespace.
Sementara Advisory *biasanya IDs * akan berurutan dan dalam urutan pembaruan dirilis, ada banyak alasan mengapa hal ini tidak dapat terjadi, jadi ini tidak boleh diasumsikan.
Perlakukan ID Penasihat sebagai string buram yang unik untuk setiap versi utama Amazon Linux.
Di Amazon Linux 2, setiap Ekstra berada dalam repositori RPM terpisah, dan metadata Penasihat hanya terkandung dalam repositori yang relevan. Penasihat untuk satu repositori *tidak berlaku* untuk repositori lain. Di situs web [Amazon Linux Security Center](https://alas.aws.amazon.com/alas2.html), saat ini ada satu daftar Penasihat untuk setiap versi Amazon Linux utama, dan tidak dipisahkan ke dalam daftar per-repositori.
Karena AL2023 tidak menggunakan mekanisme Ekstra untuk mengemas versi paket alternatif, saat ini hanya ada dua repositori RPM, yang masing-masing memiliki Advisories, repositori dan `core` repositori. `livepatch` `livepatch`Repositori adalah untuk. [Kernel Live Patching pada 023 AL2](live-patching.md)
## Tanggal Rilis Penasihat dan Tanggal Diperbarui Penasihat
Tanggal Rilis Penasihat untuk Amazon Linux Advisories menunjukkan kapan pembaruan keamanan pertama kali tersedia untuk umum di repositori RPM. Penasihat diposting di situs web [Amazon Linux Security Center](https://alas.aws.amazon.com/alas2023.html) segera setelah perbaikan dibuat tersedia untuk instalasi melalui repositori RPM.
Tanggal Diperbarui Penasihat menunjukkan kapan informasi baru ditambahkan ke penasihat setelah diterbitkan sebelumnya.
Seharusnya tidak ada asumsi yang dibuat antara nomor AL2023 versi (misalnya 2023.6.20241031) dan Tanggal Rilis Penasihat Penasihat yang diterbitkan bersamaan dengan rilis tersebut.
## Jenis Penasihat
Metadata repositori RPM mendukung Advisories dari berbagai jenis. Sementara Amazon Linux hampir secara universal hanya mengeluarkan Advisories yang merupakan pembaruan keamanan, ini tidak boleh diasumsikan. Ada kemungkinan bahwa Penasihat untuk acara seperti perbaikan bug, penyempurnaan, dan paket baru dapat dikeluarkan, dan Penasihat ditandai sebagai berisi jenis pembaruan tersebut.
## Tingkat Penasehat
Setiap Penasihat memiliki Tingkat Keparahannya sendiri karena setiap masalah dievaluasi secara terpisah. Beberapa CVEs dapat ditangani dalam satu Penasihat, dan setiap CVE mungkin memiliki evaluasi yang berbeda, tetapi Penasihat itu sendiri memiliki satu Keparahan. Mungkin ada beberapa Penasihat yang mengacu pada pembaruan paket tunggal, sehingga dapat ada beberapa Severities untuk pembaruan paket tertentu (satu per Penasihat).
Untuk mengurangi Keparahan, Amazon Linux telah menggunakan Kritis, Penting, Sedang, dan Rendah untuk menunjukkan Tingkat Keparahan Penasihat. Amazon Linux Advisories mungkin juga *tidak memiliki Keparahan*, meskipun ini sangat jarang.
Amazon Linux adalah salah satu distribusi Linux berbasis RPM yang menggunakan istilah Moderate, sementara beberapa distribusi Linux berbasis RPM lainnya menggunakan istilah yang setara Medium. Manajer paket Amazon Linux memperlakukan kedua istilah tersebut sebagai setara, dan repositori paket pihak ketiga dapat menggunakan istilah Medium.
Amazon Linux Advisories dapat *mengubah Keparahan* dari waktu ke waktu karena lebih banyak yang dipelajari tentang masalah relevan yang dibahas dalam Penasihat.
The Severity of a Advisory *biasanya* akan melacak skor CVSS Amazon Linux yang dievaluasi tertinggi untuk yang CVEs direferensikan oleh Advisory. Mungkin ada kasus di mana ini tidak terjadi. Salah satu contohnya adalah di mana ada masalah yang ditangani yang tidak ada CVE yang ditetapkan.
Lihat [FAQ ALAS](https://alas.aws.amazon.com/faqs.html) untuk informasi selengkapnya tentang cara Amazon Linux menggunakan peringkat keparahan Advisory.
## Saran dan Paket
Mungkin ada banyak Penasihat untuk satu paket, dan tidak semua paket akan memiliki Penasihat yang diterbitkan untuk mereka. Versi paket tertentu dapat direferensikan dalam beberapa Penasihat, masing-masing dengan Keparahan dan. CVEs
Ada kemungkinan beberapa Penasihat untuk pembaruan paket yang sama dikeluarkan secara bersamaan dalam satu AL2023 rilis baru, atau secara berurutan.
Seperti distribusi Linux lainnya, mungkin ada satu hingga banyak paket biner berbeda yang dibangun dari paket sumber yang sama. Misalnya, [ALAS-2024-698](https://alas.aws.amazon.com/AL2023/ALAS-2024-698.html) adalah Penasihat yang terdaftar di bagian [AL2023 situs web Amazon Linux Security Center](https://alas.aws.amazon.com/alas2023.html) yang berlaku untuk paket. `mariadb105` Ini adalah nama paket *sumber*, dan Advisory itu sendiri mengacu pada paket *biner* di samping paket sumber. Dalam hal ini, lebih dari selusin paket biner dibangun dari satu paket `mariadb105` sumber. Meskipun sangat umum untuk ada paket biner dengan nama yang sama dengan paket sumber, ini tidak universal.
Meskipun Amazon Linux Advisories biasanya mencantumkan semua paket biner yang dibangun dari paket sumber yang diperbarui, ini tidak boleh diasumsikan. Manajer paket dan format metadata repositori RPM memungkinkan Advisories yang mencantumkan subset dari paket biner yang diperbarui.
Penasihat tertentu mungkin juga hanya berlaku untuk Arsitektur CPU tertentu. Mungkin ada paket yang tidak dibangun untuk semua arsitektur, atau masalah yang tidak memengaruhi semua arsitektur. Dalam kasus di mana paket tersedia di semua arsitektur tetapi masalah hanya berlaku untuk satu, Amazon Linux biasanya tidak mengeluarkan Penasihat hanya merujuk hanya arsitektur yang terpengaruh, meskipun ini tidak boleh diasumsikan.
Karena sifat dependensi paket, adalah umum bahwa Advisory mereferensikan satu paket, tetapi menginstal pembaruan itu akan memerlukan pembaruan paket lainnya, termasuk paket yang tidak tercantum dalam Penasihat. Manajer `dnf` paket akan menangani penginstalan dependensi yang diperlukan.
## Penasihat dan CVEs
Penasihat dapat membahas nol atau lebih CVEs, dan mungkin ada beberapa Penasihat yang mereferensikan CVE yang sama.
Contoh kapan Penasihat dapat merujuk nol CVEs adalah ketika CVE belum (atau pernah) ditugaskan untuk masalah tersebut.
Contoh di mana beberapa Penasihat dapat mereferensikan CVE yang sama ketika (misalnya) CVE berlaku untuk beberapa paket. Misalnya, [CVE-2024-21208 berlaku untuk Corretto 8](https://alas.aws.amazon.com/cve/html/CVE-2024-21208.html), 11, 17, dan 21. [https://alas.aws.amazon.com/AL2023/ALAS-2024-752.html](https://alas.aws.amazon.com/AL2023/ALAS-2024-752.html) Meskipun rilis Corretto ini semuanya memiliki daftar CVEs yang sama, ini tidak boleh diasumsikan.
CVE tertentu dapat dievaluasi secara berbeda untuk paket yang berbeda. Misalnya, jika CVE tertentu direferensikan dalam Penasihat dengan Keparahan Penting, ada kemungkinan bahwa Penasihat lain dikeluarkan dengan merujuk CVE yang sama dengan Tingkat Keparahan yang berbeda.
Metadata repositori RPM memungkinkan daftar Referensi untuk setiap Penasihat. Meskipun Amazon Linux biasanya hanya direferensikan CVEs, format metadata memungkinkan untuk jenis referensi lainnya.
Metadata repositori paket RPM hanya akan merujuk pada perbaikan CVEs yang tersedia. [Bagian Explore dari situs web Amazon Linux Security Center](https://explore.alas.aws.amazon.com) berisi informasi tentang Amazon Linux CVEs yang telah dievaluasi. Evaluasi ini dapat menghasilkan skor dasar CVSS, Keparahan, dan status untuk berbagai rilis dan paket Amazon Linux. Status CVE untuk rilis atau paket Amazon Linux tertentu mungkin Tidak Terkena, Perbaikan Tertunda, atau Tidak Ada Perbaikan yang Direncanakan. Status dan evaluasi CVEs dapat berubah berkali-kali dan *dengan cara apa pun* sebelum Penasihat dikeluarkan. Ini termasuk evaluasi ulang penerapan CVE ke Amazon Linux.
Daftar yang CVEs direferensikan oleh Penasihat dapat berubah setelah publikasi awal Penasihat tersebut.
## Teks Penasehat
Penasihat juga akan berisi teks yang menjelaskan masalah atau masalah yang menjadi alasan untuk membuat Penasihat. Adalah umum bahwa teks ini akan menjadi teks CVE yang tidak dimodifikasi. Teks ini dapat merujuk ke nomor versi upstream di mana perbaikan tersedia yang berbeda dari versi paket yang Amazon Linux telah menerapkan perbaikan untuk. Adalah umum bahwa Amazon Linux akan melakukan back-port perbaikan dari rilis upstream yang lebih baru. Dalam kasus di mana teks Advisory menyebutkan rilis upstream yang berbeda dari versi yang dikirimkan dalam versi Amazon Linux, versi paket Amazon Linux di Advisory akan akurat untuk Amazon Linux.
Dimungkinkan untuk teks Penasihat dalam metadata repositori RPM menjadi teks placeholder hanya merujuk ke situs web [Amazon Linux](https://alas.aws.amazon.com/alas2023.html) Security Center untuk detailnya.
## Penasihat Patch Kernel Live
Penasihat untuk tambalan langsung unik karena merujuk ke paket yang berbeda (kernel Linux) dari paket yang ditentang oleh Advisory (mis.). `kernel-livepatch-6.1.15-28.43`
Penasihat untuk [Kernel Live Patch](live-patching.md) akan mereferensikan masalah (seperti CVEs) yang dapat ditangani oleh paket Live Patch *tertentu untuk versi kernel tertentu* yang diterapkan paket patch langsung.
Setiap patch langsung adalah untuk versi kernel *tertentu*. Untuk menerapkan tambalan langsung untuk CVE, paket patch langsung yang tepat untuk versi kernel Anda perlu diinstal, dan tambalan langsung diterapkan.
Misalnya, [CVE-2023-6111](https://alas.aws.amazon.com/cve/html/CVE-2023-6111.html) dapat ditambal langsung untuk versi kernel,, dan. AL2023 `6.1.56-82.125` `6.1.59-84.139` `6.1.61-85.141` Versi kernel baru dengan perbaikan untuk CVE ini juga dirilis, dan memiliki [penasihat terpisah](https://alas.aws.amazon.com/AL2023/ALAS-2023-461.html). Agar [CVE-2023-6111](https://alas.aws.amazon.com/cve/html/CVE-2023-6111.html) ditangani pada versi kernel yang AL2023 sama dengan atau lebih lambat dari yang ditentukan [ALAS2023-2023-461](https://alas.aws.amazon.com/AL2023/ALAS-2023-461.html) perlu *dijalankan, atau salah satu versi kernel dengan tambalan langsung untuk CVE ini harus berjalan* dengan livepatch yang berlaku diterapkan.
Ketika ada tambalan langsung baru yang tersedia untuk versi kernel tertentu yang sudah memiliki tambalan langsung yang tersedia, versi baru dari `kernel-livepatch-KERNEL_VERSION` paket tersebut dirilis. Misalnya, [https://alas.aws.amazon.com/AL2023/ALASLIVEPATCH-2023-003.html](https://alas.aws.amazon.com/AL2023/ALASLIVEPATCH-2023-003.html)Advisory dikeluarkan dengan `kernel-livepatch-6.1.15-28.43-1.0-1.amzn2023` paket yang berisi tambalan langsung untuk `6.1.15-28.43` kernel yang mencakup tiga. CVEs Kemudian, [https://alas.aws.amazon.com/AL2023/ALASLIVEPATCH-2023-009.html](https://alas.aws.amazon.com/AL2023/ALASLIVEPATCH-2023-009.html)Advisory dikeluarkan dengan `kernel-livepatch-6.1.15-28.43-1.0-2.amzn2023` paket; pembaruan ke paket patch langsung sebelumnya untuk `6.1.15-28.43` kernel yang berisi tambalan langsung untuk tiga lainnya. CVEs Ada juga masalah Penasihat patch langsung lainnya untuk versi kernel lainnya, dengan paket yang berisi tambalan langsung untuk versi kernel tertentu tersebut.
Untuk informasi lebih lanjut tentang kernel live patching, lihat[Kernel Live Patching pada 023 AL2](live-patching.md).
Bagi siapa pun yang mengembangkan alat seputar penasihat keamanan, disarankan juga untuk melihat [Skema XHTML untuk Penasihat dan `updateinfo.xml`](#advisory-schema) bagian ini untuk informasi lebih lanjut.
## Skema XHTML untuk Penasihat dan `updateinfo.xml`
`updateinfo.xml`File adalah bagian dari format repositori paket. Ini adalah metadata yang diurai manajer `dnf` paket untuk mengimplementasikan fungsionalitas seperti dan. [Daftar Saran yang berlaku](listing-applicable-advisories.md) [Menerapkan pembaruan keamanan di tempat](security-inplace-update.md)
Kami merekomendasikan agar API manajer `dnf` paket digunakan daripada menulis kode khusus untuk mengurai format metadata repositori. Versi `dnf` in AL2023 dapat mengurai format AL2023 dan AL2 repositori, dan dengan demikian API dapat digunakan untuk memeriksa informasi penasihat untuk salah satu versi OS.
Proyek [Manajemen Perangkat Lunak RPM](https://github.com/rpm-software-management/) mendokumentasikan format metadata RPM dalam repositori [rpm-metadata](https://github.com/rpm-software-management/rpm-metadata) pada. GitHub
Bagi mereka yang mengembangkan alat untuk mengurai `updateinfo.xml` metadata secara langsung, sangat disarankan untuk memperhatikan dokumentasi [rpm-metadata](https://github.com/rpm-software-management/rpm-metadata). Dokumentasi mencakup apa yang telah dilihat di alam liar, yang mencakup banyak pengecualian untuk apa yang dapat Anda tafsirkan secara wajar sebagai aturan untuk format metadata.
Ada juga serangkaian contoh `updateinfo.xml` file dunia nyata yang berkembang di repositori [raw-historical-rpm-repository-examples](https://github.com/rpm-software-management/raw-historical-rpm-repository-examples) di. GitHub
Jika ada yang tidak jelas dalam dokumentasi, Anda dapat membuka masalah pada GitHub proyek sehingga kami dapat menjawab pertanyaan dan memperbarui dokumentasi dengan tepat. Sebagai proyek Open Source, permintaan tarik memperbarui dokumentasi juga diterima.
# Daftar Saran yang berlaku
Manajer `dnf` paket memiliki akses ke metadata yang menjelaskan Advisories apa yang diperbaiki dalam versi paket apa. Dengan demikian dapat mencantumkan Advisories apa yang berlaku untuk instance atau gambar kontainer.
**catatan**
Alat seperti [AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/)dapat menggunakan fungsi ini untuk menunjukkan pembaruan apa yang relevan di seluruh armada, bukan hanya satu instance.
Saat mencantumkan pembaruan, Anda dapat menginstruksikan `dnf` untuk melihat metadata rilis AL2 023 tertentu, atau metadata dari rilis terbaru.
**catatan**
Setelah rilis AL2 023 dibuat, itu tidak dapat diubah. Dengan demikian, saran baru atau yang diperbarui di [Pusat Keamanan Amazon Linux](https://alas.aws.amazon.com/alas2023.html) hanya ditambahkan ke metadata rilis *baru 023* AL2
Kami sekarang akan membahas contoh melihat saran apa yang berlaku untuk beberapa gambar kontainer AL2 023. Semua perintah ini bekerja pada lingkungan non-kontainer seperti instance. EC2
------
#### [ Listing advisories in a specific version ]
[Dalam contoh ini kita akan melihat saran apa dalam rilis [2023.1.20230628 yang relevan dalam gambar kontainer rilis 2023.0.20230315](https://docs.aws.amazon.com/linux/al2023/release-notes/relnotes-2023.1.20230628.html).](https://docs.aws.amazon.com/linux/al2023/release-notes/relnotes-2023.0.20230315.html)
**catatan**
[Contoh ini menggunakan rilis [2023.0.20230315](https://docs.aws.amazon.com/linux/al2023/release-notes/relnotes-2023.0.20230315.html) dan [2023.1.20230628](https://docs.aws.amazon.com/linux/al2023/release-notes/relnotes-2023.1.20230628.html), dan ini *bukan rilis terbaru AL2 023 Lihat Catatan* Rilis 023 untuk rilis terbaru, yang berisi pembaruan AL2 keamanan terbaru.](https://docs.aws.amazon.com/linux/al2023/release-notes/)
Dalam contoh ini kita akan mulai dengan image container untuk rilis [2023.0.20230315](https://docs.aws.amazon.com/linux/al2023/release-notes/relnotes-2023.0.20230315.html).
Pertama, kita mengambil gambar kontainer ini dari registri kontainer. `.0`Pada akhirnya menunjukkan versi gambar untuk rilis tertentu; versi gambar ini biasanya nol.
```
$ docker pull public.ecr.aws/amazonlinux/amazonlinux:2023.0.20230315.0
2023.0.20230315.0: Pulling from amazonlinux/amazonlinux
b76f3b09316a: Pull complete
Digest: sha256:94e7183b0739140dbd5b639fb7600f0a2299cec5df8780c26d9cb409da5315a9
Status: Downloaded newer image for public.ecr.aws/amazonlinux/amazonlinux:2023.0.20230315.0
public.ecr.aws/amazonlinux/amazonlinux:2023.0.20230315.0
```
Kita sekarang dapat menelurkan cangkang di dalam wadah, dari mana kita akan meminta `dnf` untuk membuat daftar saran apa yang relevan dengan paket yang dipasang di wadah.
```
$ docker run -it public.ecr.aws/amazonlinux/amazonlinux:2023.0.20230315.0
bash-5.2#
```
`dnf updateinfo`Perintah sekarang digunakan untuk menampilkan ringkasan saran apa dalam rilis [2023.1.20230628](https://docs.aws.amazon.com/linux/al2023/release-notes/relnotes-2023.1.20230628.html) yang relevan dengan paket yang diinstal kami.
```
$ dnf updateinfo --releasever=2023.1.20230628
Amazon Linux 2023 repository 42 MB/s | 15 MB 00:00
Last metadata expiration check: 0:00:02 ago on Mon Jul 22 20:24:24 2024.
Updates Information Summary: available
8 Security notice(s)
1 Important Security notice(s)
5 Medium Security notice(s)
2 Low Security notice(s)
```
Untuk mendapatkan daftar saran, `--list` opsi dapat diberikan kepada`dnf updateinfo`.
```
$ dnf updateinfo --releasever=2023.1.20230628 --list
Last metadata expiration check: 0:01:22 ago on Mon Jul 22 20:24:24 2024.
ALAS2023-2023-193 Medium/Sec. curl-minimal-8.0.1-1.amzn2023.x86_64
ALAS2023-2023-225 Medium/Sec. glib2-2.74.7-688.amzn2023.0.1.x86_64
ALAS2023-2023-195 Low/Sec. libcap-2.48-2.amzn2023.0.3.x86_64
ALAS2023-2023-193 Medium/Sec. libcurl-minimal-8.0.1-1.amzn2023.x86_64
ALAS2023-2023-145 Low/Sec. libgcc-11.3.1-4.amzn2023.0.3.x86_64
ALAS2023-2023-145 Low/Sec. libgomp-11.3.1-4.amzn2023.0.3.x86_64
ALAS2023-2023-145 Low/Sec. libstdc++-11.3.1-4.amzn2023.0.3.x86_64
ALAS2023-2023-163 Medium/Sec. libxml2-2.10.4-1.amzn2023.0.1.x86_64
ALAS2023-2023-220 Important/Sec. ncurses-base-6.2-4.20200222.amzn2023.0.4.noarch
ALAS2023-2023-220 Important/Sec. ncurses-libs-6.2-4.20200222.amzn2023.0.4.x86_64
ALAS2023-2023-181 Medium/Sec. openssl-libs-1:3.0.8-1.amzn2023.0.2.x86_64
ALAS2023-2023-222 Medium/Sec. openssl-libs-1:3.0.8-1.amzn2023.0.3.x86_64
```
------
#### [ Listing advisories in the latest version ]
Dalam contoh ini kita akan melihat pembaruan apa yang tersedia di `latest` versi AL2 023 jika kita meluncurkan wadah rilis [2023.4.20240319](https://docs.aws.amazon.com/linux/al2023/release-notes/relnotes-2023.4.20240319.html). Pada saat penulisan, `latest` rilisnya adalah [2023.5.20240708](https://docs.aws.amazon.com/linux/al2023/release-notes/relnotes-2023.5.20240708.html), jadi pembaruan yang tercantum dalam contoh ini adalah pada rilis itu.
**catatan**
*Contoh ini menggunakan rilis [2023.4.20240319 dan [2023.5.20240708](https://docs.aws.amazon.com/linux/al2023/release-notes/relnotes-2023.5.20240708.html)](https://docs.aws.amazon.com/linux/al2023/release-notes/relnotes-2023.4.20240319.html), yang terakhir menjadi rilis terbaru pada saat penulisan.* Untuk informasi selengkapnya tentang rilis terbaru, lihat [Catatan Rilis AL2 023](https://docs.aws.amazon.com/linux/al2023/release-notes/).
Dalam contoh ini kita akan mulai dengan image container untuk rilis [2023.4.20240319](https://docs.aws.amazon.com/linux/al2023/release-notes/relnotes-2023.4.20240319.html).
Pertama, kita mengambil gambar kontainer ini dari registri kontainer. `.1`Pada akhirnya menunjukkan versi gambar untuk rilis tertentu. Meskipun versi gambar biasanya nol, contoh ini menggunakan rilis di mana versi gambar adalah satu.
```
$ docker pull public.ecr.aws/amazonlinux/amazonlinux:2023.4.20240319.1
2023.4.20240319.1: Pulling from amazonlinux/amazonlinux
6de065fda9a2: Pull complete
Digest: sha256:b4838c4cc9211d966b6ea158dacc9eda7433a16ba94436508c2d9f01f7658b4e
Status: Downloaded newer image for public.ecr.aws/amazonlinux/amazonlinux:2023.4.20240319.1
public.ecr.aws/amazonlinux/amazonlinux:2023.4.20240319.1
```
Kita sekarang dapat menelurkan cangkang di dalam wadah, dari mana kita akan memeriksa pembaruan.
```
$ docker run -it public.ecr.aws/amazonlinux/amazonlinux:2023.4.20240319.1
bash-5.2#
```
`dnf updateinfo`Perintah ini sekarang digunakan untuk menampilkan ringkasan dari saran apa dalam rilis terbaru yang relevan dengan paket yang diinstal kami. Pada saat penulisan, [2023.1.20230628](https://docs.aws.amazon.com/linux/al2023/release-notes/relnotes-2023.1.20230628.html) adalah rilis terbaru.
```
$ dnf --releasever=latest updateinfo
Amazon Linux 2023 repository 76 MB/s | 25 MB 00:00
Last metadata expiration check: 0:00:04 ago on Mon Jul 22 20:59:54 2024.
Updates Information Summary: available
9 Security notice(s)
4 Important Security notice(s)
4 Medium Security notice(s)
1 Low Security notice(s)
```
Untuk mendapatkan daftar saran, `--list` opsi dapat diberikan kepada`dnf updateinfo`.
```
$ dnf updateinfo --releasever=latest --list
Last metadata expiration check: 0:00:58 ago on Mon Jul 22 20:59:54 2024.
ALAS2023-2024-581 Low/Sec. curl-minimal-8.5.0-1.amzn2023.0.3.x86_64
ALAS2023-2024-596 Medium/Sec. curl-minimal-8.5.0-1.amzn2023.0.4.x86_64
ALAS2023-2024-576 Important/Sec. expat-2.5.0-1.amzn2023.0.4.x86_64
ALAS2023-2024-589 Important/Sec. glibc-2.34-52.amzn2023.0.10.x86_64
ALAS2023-2024-589 Important/Sec. glibc-common-2.34-52.amzn2023.0.10.x86_64
ALAS2023-2024-589 Important/Sec. glibc-minimal-langpack-2.34-52.amzn2023.0.10.x86_64
ALAS2023-2024-586 Medium/Sec. krb5-libs-1.21-3.amzn2023.0.4.x86_64
ALAS2023-2024-581 Low/Sec. libcurl-minimal-8.5.0-1.amzn2023.0.3.x86_64
ALAS2023-2024-596 Medium/Sec. libcurl-minimal-8.5.0-1.amzn2023.0.4.x86_64
ALAS2023-2024-592 Important/Sec. libnghttp2-1.59.0-3.amzn2023.0.1.x86_64
ALAS2023-2024-640 Medium/Sec. openssl-libs-1:3.0.8-1.amzn2023.0.12.x86_64
ALAS2023-2024-605 Medium/Sec. python3-3.9.16-1.amzn2023.0.7.x86_64
ALAS2023-2024-616 Important/Sec. python3-3.9.16-1.amzn2023.0.8.x86_64
ALAS2023-2024-605 Medium/Sec. python3-libs-3.9.16-1.amzn2023.0.7.x86_64
ALAS2023-2024-616 Important/Sec. python3-libs-3.9.16-1.amzn2023.0.8.x86_64
```
------
# Menerapkan pembaruan keamanan di tempat
Untuk ikhtisar penerapan pembaruan, lihat[Menerapkan pembaruan keamanan menggunakan DNF dan versi repositori](managing-repos-os-updates.md#apply-security-updates). `--security`Opsi untuk `dnf upgrade` akan membatasi pembaruan paket hanya untuk mereka yang memiliki Penasihat. Sisa bagian ini akan mencakup cara menginstal hanya pembaruan keamanan tertentu.
**catatan**
Disarankan untuk menerapkan *semua* pembaruan yang tersedia dalam rilis AL2 023 baru. Memilih hanya pembaruan keamanan, atau hanya pembaruan tertentu harus menjadi pengecualian daripada aturan.
## Menerapkan pembaruan yang disebutkan dalam Penasihat
Pengidentifikasi penasihat di kolom pertama output `dnf upgradeinfo` dapat digunakan untuk menerapkan pembaruan untuk paket yang disebutkan dalam penasehat. Manajer `dnf` paket dapat diinstruksikan untuk memperbarui paket dalam penasihat ke yang terbaru yang tersedia, atau hanya hingga versi yang disebutkan dalam penasihat. Jika pembaruan sudah diinstal, perintah pembaruan adalah no-op.
Untuk menerapkan pembaruan untuk paket yang terpengaruh *hanya hingga versi yang disebutkan dalam penasihat*, gunakan `dnf upgrade-minimal` perintah saat menggunakan `--advisory` opsi untuk menentukan penasihat. Contoh berikut berjalan `dnf upgrade-minimal` dalam wadah AL2 023 versi [2023.0.20230315](https://docs.aws.amazon.com/linux/al2023/release-notes/relnotes-2023.0.20230315.html).
```
$ dnf upgrade-minimal -y --releasever=2023.1.20230628 --advisory ALAS2023-2023-193
Amazon Linux 2023 repository 46 MB/s | 15 MB 00:00
Last metadata expiration check: 0:00:03 ago on Mon Jul 22 20:36:13 2024.
Dependencies resolved.
================================================================================
Package Arch Version Repository Size
================================================================================
Upgrading:
curl-minimal x86_64 8.0.1-1.amzn2023 amazonlinux 150 k
libcurl-minimal x86_64 8.0.1-1.amzn2023 amazonlinux 249 k
Transaction Summary
================================================================================
Upgrade 2 Packages
Total download size: 399 k
Downloading Packages:
(1/2): curl-minimal-8.0.1-1.amzn2023.x86_64.rpm 2.7 MB/s | 150 kB 00:00
(2/2): libcurl-minimal-8.0.1-1.amzn2023.x86_64. 3.8 MB/s | 249 kB 00:00
--------------------------------------------------------------------------------
Total 2.5 MB/s | 399 kB 00:00
Running transaction check
Transaction check succeeded.
Running transaction test
Transaction test succeeded.
Running transaction
Preparing : 1/1
Upgrading : libcurl-minimal-8.0.1-1.amzn2023.x86_64 1/4
Upgrading : curl-minimal-8.0.1-1.amzn2023.x86_64 2/4
Cleanup : curl-minimal-7.88.1-1.amzn2023.0.1.x86_64 3/4
Cleanup : libcurl-minimal-7.88.1-1.amzn2023.0.1.x86_64 4/4
Running scriptlet: libcurl-minimal-7.88.1-1.amzn2023.0.1.x86_64 4/4
Verifying : libcurl-minimal-8.0.1-1.amzn2023.x86_64 1/4
Verifying : libcurl-minimal-7.88.1-1.amzn2023.0.1.x86_64 2/4
Verifying : curl-minimal-8.0.1-1.amzn2023.x86_64 3/4
Verifying : curl-minimal-7.88.1-1.amzn2023.0.1.x86_64 4/4
Upgraded:
curl-minimal-8.0.1-1.amzn2023.x86_64 libcurl-minimal-8.0.1-1.amzn2023.x86_64
Complete!
```
Versi paket yang sama diperbarui bahkan jika `--releasever=latest` digunakan sebagai permintaan `dnf` untuk melakukan *pembaruan minimal yang diperlukan* untuk mengatasi penasihat.
Menggunakan `dnf upgrade` perintah reguler dengan `--advisory` opsi akan memperbarui paket yang relevan yang disebutkan dalam penasihat ke versi *terbaru* yang tersedia, yang mungkin lebih baru dari versi yang disebutkan dalam penasihat.
**catatan**
Kecuali `system-release` paket diperbarui, versi repositori AL2 023 yang `dnf` dikunci *tidak* berubah.
**Awas**
Saat menginstal pembaruan dari rilis AL2 023 yang berbeda tanpa mengubah versi repositori yang `dnf` dikunci, kehati-hatian *harus* dilakukan pada setiap operasi mutasi berikutnya. `dnf` Misalnya, saat menginstal atau memperbarui paket, karena dependensi paket mungkin telah berubah dalam rilis yang lebih baru, rilis lama yang Anda gunakan mungkin tidak dapat memenuhi dependensi baru ini.
[Contoh berikut dijalankan dalam wadah AL2 023 versi [2023.0.20230315](https://docs.aws.amazon.com/linux/al2023/release-notes/relnotes-2023.0.20230315.html) mengacu pada rilis terbaru AL2 023 yang waktu penulisannya adalah 2023.5.20240708.](https://docs.aws.amazon.com/linux/al2023/release-notes/relnotes-2023.5.20240708.html) Perhatikan bahwa kedua versi yang `curl` diperbarui ke lebih baru daripada versi yang `update-minimal` diperbarui, tetapi versi yang lebih baru ini membawa dependensi baru.
```
$ dnf upgrade -y --releasever=latest --advisory ALAS2023-2023-193
Amazon Linux 2023 repository 80 MB/s | 25 MB 00:00
Last metadata expiration check: 0:00:04 ago on Mon Jul 22 20:48:38 2024.
Dependencies resolved.
================================================================================
Package Arch Version Repository Size
================================================================================
Upgrading:
curl-minimal x86_64 8.5.0-1.amzn2023.0.4 amazonlinux 160 k
libcurl-minimal x86_64 8.5.0-1.amzn2023.0.4 amazonlinux 275 k
libnghttp2 x86_64 1.59.0-3.amzn2023.0.1 amazonlinux 79 k
Installing dependencies:
libpsl x86_64 0.21.1-3.amzn2023.0.2 amazonlinux 61 k
publicsuffix-list-dafsa noarch 20240212-61.amzn2023 amazonlinux 59 k
Transaction Summary
================================================================================
Install 2 Packages
Upgrade 3 Packages
Total download size: 634 k
Downloading Packages:
(1/5): publicsuffix-list-dafsa-20240212-61.amzn 1.1 MB/s | 59 kB 00:00
(2/5): curl-minimal-8.5.0-1.amzn2023.0.4.x86_64 2.6 MB/s | 160 kB 00:00
(3/5): libpsl-0.21.1-3.amzn2023.0.2.x86_64.rpm 949 kB/s | 61 kB 00:00
(4/5): libnghttp2-1.59.0-3.amzn2023.0.1.x86_64. 3.7 MB/s | 79 kB 00:00
(5/5): libcurl-minimal-8.5.0-1.amzn2023.0.4.x86 6.7 MB/s | 275 kB 00:00
--------------------------------------------------------------------------------
Total 3.5 MB/s | 634 kB 00:00
Running transaction check
Transaction check succeeded.
Running transaction test
Transaction test succeeded.
Running transaction
Preparing : 1/1
Upgrading : libnghttp2-1.59.0-3.amzn2023.0.1.x86_64 1/8
Installing : publicsuffix-list-dafsa-20240212-61.amzn2023.noarch 2/8
Installing : libpsl-0.21.1-3.amzn2023.0.2.x86_64 3/8
Upgrading : libcurl-minimal-8.5.0-1.amzn2023.0.4.x86_64 4/8
Upgrading : curl-minimal-8.5.0-1.amzn2023.0.4.x86_64 5/8
Cleanup : curl-minimal-7.88.1-1.amzn2023.0.1.x86_64 6/8
Cleanup : libcurl-minimal-7.88.1-1.amzn2023.0.1.x86_64 7/8
Cleanup : libnghttp2-1.51.0-1.amzn2023.x86_64 8/8
Running scriptlet: libnghttp2-1.51.0-1.amzn2023.x86_64 8/8
Verifying : libpsl-0.21.1-3.amzn2023.0.2.x86_64 1/8
Verifying : publicsuffix-list-dafsa-20240212-61.amzn2023.noarch 2/8
Verifying : curl-minimal-8.5.0-1.amzn2023.0.4.x86_64 3/8
Verifying : curl-minimal-7.88.1-1.amzn2023.0.1.x86_64 4/8
Verifying : libcurl-minimal-8.5.0-1.amzn2023.0.4.x86_64 5/8
Verifying : libcurl-minimal-7.88.1-1.amzn2023.0.1.x86_64 6/8
Verifying : libnghttp2-1.59.0-3.amzn2023.0.1.x86_64 7/8
Verifying : libnghttp2-1.51.0-1.amzn2023.x86_64 8/8
Upgraded:
curl-minimal-8.5.0-1.amzn2023.0.4.x86_64
libcurl-minimal-8.5.0-1.amzn2023.0.4.x86_64
libnghttp2-1.59.0-3.amzn2023.0.1.x86_64
Installed:
libpsl-0.21.1-3.amzn2023.0.2.x86_64
publicsuffix-list-dafsa-20240212-61.amzn2023.noarch
Complete!
```
# SELinux Mode pengaturan untuk AL2 023
Secara default, Security Enhanced Linux (SELinux) adalah `enabled` dan diatur ke `permissive` mode untuk AL2 023. Dalam mode permisif, penolakan izin dicatat tetapi tidak diberlakukan. SELinux adalah kumpulan fitur kernel dan utilitas untuk menyediakan arsitektur kontrol akses (MAC) yang kuat, fleksibel, wajib ke subsistem utama kernel.
SELinux menyediakan mekanisme yang ditingkatkan untuk menegakkan pemisahan informasi berdasarkan persyaratan kerahasiaan dan integritas. Pemisahan informasi ini mengurangi ancaman gangguan dan melewati mekanisme keamanan aplikasi. Ini juga membatasi kerusakan yang dapat disebabkan oleh aplikasi berbahaya atau cacat.
SELinux mencakup serangkaian contoh file konfigurasi kebijakan keamanan yang dirancang untuk memenuhi tujuan keamanan sehari-hari.
Untuk informasi selengkapnya tentang SELinux fitur dan fungsionalitas, lihat [SELinux Buku Catatan](https://github.com/SELinuxProject/selinux-notebook/blob/main/src/toc.md) dan [Bahasa Kebijakan”](https://github.com/SELinuxProject/selinux-notebook/blob/main/src/policy_languages.md).
**Topics**
+ [SELinux Status dan mode default untuk AL2 023](default-SELinux-modes-states.md)
+ [Ubah ke `enforcing` mode](enforcing-mode.md)
+ [Opsi untuk menonaktifkan SELinux untuk AL2 023](disable-option-selinux.md)
# SELinux Status dan mode default untuk AL2 023
Untuk AL2 023, secara SELinux default adalah `enabled` dan diatur ke `permissive` mode. Dalam `permissive` mode, penolakan izin dicatat tetapi tidak diberlakukan.
**sestatus**Perintah **getenforce** atau memberi tahu Anda SELinux status, kebijakan, dan mode saat ini.
Dengan status default diatur ke `enabled` dan`permissive`, **getenforce** perintah kembali`permissive`.
**sestatus**Perintah mengembalikan SELinux status dan SELinux kebijakan saat ini seperti yang ditunjukkan pada contoh berikut:
```
$ sestatus
SELinux status: enabled
SELinuxfs mount: /sys/fs/selinux
SELinux root directory: /etc/selinux
Loaded policy name: targeted
Current mode: permissive
Mode from config file: permissive
Policy MLS status: enabled
Policy deny_unknown status: allowed
Memory protection checking: actual (secure)
Max kernel policy version: 33
```
Saat Anda menjalankan SELinux dalam `permissive` mode, pengguna mungkin memberi label file secara tidak benar. Saat Anda menjalankan SELinux `disabled` status, file tidak diberi label. File yang salah atau tidak berlabel dapat menyebabkan masalah saat Anda mengubah ke `enforcing` mode.
SELinux secara otomatis melabel ulang file untuk menghindari masalah ini. SELinux mencegah masalah pelabelan dengan pelabelan ulang otomatis saat Anda mengubah status menjadi. `enabled`
# Ubah ke `enforcing` mode
Saat Anda berlari SELinux dalam `enforcing` mode, SELinux utilitas adalah kebijakan `enforcing` yang dikonfigurasi. SELinux mengatur kemampuan aplikasi tertentu dengan mengizinkan atau menolak akses berdasarkan aturan kebijakan.
Untuk menemukan arus SELinux modus, jalankan `getenforce` perintah.
```
getenforce
Permissive
```
## Edit file konfigurasi untuk mengaktifkan mode `enforcing`
Untuk mengubah mode ke`enforcing`, gunakan langkah-langkah berikut.
1. Edit `/etc/selinux/config` file untuk mengubah ke `enforcing` mode. `SELINUX`Pengaturan akan terlihat seperti contoh berikut.
```
SELINUX=enforcing
```
1. Mulai ulang sistem Anda untuk menyelesaikan perubahan ke `enforcing` mode.
```
$ sudo reboot
```
Pada boot berikutnya, SELinux relabels semua file dan direktori dalam sistem. SELinux juga menambahkan SELinux konteks untuk file dan direktori yang dibuat saat SELinux adalah`disabled`.
Setelah beralih ke `enforcing` mode, SELinux mungkin menyangkal beberapa tindakan karena salah atau hilang SELinux aturan kebijakan. Anda dapat melihat tindakan yang SELinux menyangkal dengan perintah berikut.
```
$ sudo ausearch -m AVC,USER_AVC,SELINUX_ERR,USER_SELINUX_ERR -ts recent
```
## Gunakan cloud-init untuk mengaktifkan `enforcing` mode
Sebagai alternatif, saat Anda meluncurkan instance Anda, teruskan yang berikut ini `cloud-config` sebagai data pengguna untuk mengaktifkan `enforcing` mode.
```
#cloud-config
selinux:
mode: enforcing
```
Secara default, pengaturan ini menyebabkan instance reboot. Untuk stabilitas yang lebih baik, kami sarankan untuk me-reboot instance Anda. Namun, jika Anda mau, Anda dapat melewati reboot dengan memberikan yang berikut ini`cloud-config`.
```
#cloud-config
selinux:
mode: enforcing
selinux_no_reboot: 1
```
# Opsi untuk menonaktifkan SELinux untuk AL2 023
Saat Anda menonaktifkan SELinux, SELinux kebijakan tidak dimuat atau diberlakukan dan pesan Access Vector Cache (AVC) tidak dicatat. Anda kehilangan semua manfaat berlari SELinux.
Alih-alih menonaktifkan SELinux, kami sarankan menggunakan `permissive` mode. Biayanya hanya sedikit lebih mahal untuk dijalankan dalam `permissive` mode daripada menonaktifkan SELinux sepenuhnya. Transisi dari `permissive` mode ke `enforcing` mode membutuhkan penyesuaian konfigurasi yang jauh lebih sedikit daripada beralih kembali ke mode setelah menonaktifkan `enforcing` SELinux. Anda dapat memberi label pada file, dan sistem dapat melacak dan mencatat tindakan yang mungkin ditolak oleh kebijakan aktif.
## Perubahan SELinux ke `permissive` mode
Saat Anda berlari SELinux dalam `permissive` mode, SELinux Kebijakan tidak ditegakkan. Dalam `permissive` mode, SELinux mencatat pesan AVC tetapi tidak menolak operasi. Anda dapat menggunakan pesan AVC ini untuk pemecahan masalah, debugging, dan SELinux perbaikan kebijakan.
Untuk berubah SELinux ke mode permisif, gunakan langkah-langkah berikut.
1. Edit `/etc/selinux/config` file untuk mengubah ke `permissive` mode. `SELINUX`Nilai akan terlihat seperti contoh berikut.
```
SELINUX=permissive
```
1. Mulai ulang sistem Anda untuk menyelesaikan perubahan ke `permissive` mode.
```
sudo reboot
```
## Nonaktifkan SELinux
Saat Anda menonaktifkan SELinux, SELinux kebijakan tidak dimuat atau diberlakukan, dan pesan AVC tidak dicatat. Anda kehilangan semua manfaat berlari SELinux.
Untuk menonaktifkan SELinux, gunakan langkah-langkah berikut.
1. Pastikan `grubby` paket sudah terpasang.
```
rpm -q grubby
grubby-version
```
1. Konfigurasikan bootloader Anda untuk ditambahkan `selinux=0` ke baris perintah kernel.
```
sudo grubby --update-kernel ALL --args selinux=0
```
1. Mulai ulang sistem Anda.
```
sudo reboot
```
1. Jalankan `getenforce ` perintah untuk mengonfirmasi bahwa SELinux adalah`Disabled`.
```
$ getenforce
Disabled
```
Untuk informasi lebih lanjut tentang SELinux, lihat [SELinux Notebook ](https://github.com/SELinuxProject/selinux-notebook/blob/main/src/toc.md) dan [SELinux konfigurasi](http://selinuxproject.org/page/Guide/Mode#SELinux_Config).
# Aktifkan Mode FIPS pada 023 AL2
Bagian ini menjelaskan cara mengaktifkan Federal Information Processing Standards (FIPS) pada AL2 023. Untuk informasi lebih lanjut tentang FIPS, lihat:
+ [Standar Pemrosesan Informasi Federal (FIPS)](https://aws.amazon.com/compliance/fips/)
+ [Kepatuhan FAQs: Standar Pemrosesan Informasi Federal](https://www.nist.gov/standardsgov/compliance-faqs-federal-information-processing-standards-fips)
**catatan**
Bagian ini mendokumentasikan cara mengaktifkan FIPS mode di AL2 023, itu tidak mencakup status sertifikasi modul kriptografi AL2 023.
**Prasyarat**
+ EC2 Instans Amazon AL2 023 (AL2023.2 atau lebih tinggi) yang ada dengan akses ke internet untuk mengunduh paket yang diperlukan. Untuk informasi selengkapnya tentang meluncurkan EC2 instans Amazon AL2 023, lihat[Meluncurkan AL2023 menggunakan konsol Amazon EC2](ec2.md#launch-from-ec2-console).
+ Anda harus terhubung ke EC2 instans Amazon Anda menggunakan SSH atau AWS Systems Manager. Untuk informasi selengkapnya, lihat [Menghubungkan ke AL2023 instance](connecting-to-instances.md).
**penting**
ED25519 Kunci pengguna SSH tidak didukung dalam mode FIPS. Jika meluncurkan EC2 instans Amazon menggunakan key pair ED25519 SSH, Anda harus membuat kunci baru menggunakan algoritma lain (seperti RSA) atau Anda mungkin kehilangan akses ke instans setelah mengaktifkan mode FIPS. Untuk informasi selengkapnya, lihat [Membuat pasangan kunci](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/create-key-pairs.html) di *Panduan EC2 Pengguna Amazon*.
**Aktifkan Mode FIPS**
1. Connect ke instans AL2 023 Anda menggunakan SSH atau. AWS Systems Manager
1. Pastikan sistem up to date. Untuk informasi selengkapnya, lihat [Kelola pembaruan paket dan sistem operasi di AL2023](managing-repos-os-updates.md).
1. Pastikan `crypto-policies` utilitas diinstal dan up-to-date.
```
sudo dnf -y install crypto-policies crypto-policies-scripts
```
1. Aktifkan mode FIPS dengan menjalankan perintah berikut. [Ini akan mengaktifkan mode FIPS di seluruh sistem untuk modul yang tercantum dalam FAQ 023 AL2](https://aws.amazon.com/linux/amazon-linux-2023/faqs/)
```
sudo fips-mode-setup --enable
```
1. Boot ulang instans menggunakan perintah berikut.
```
sudo reboot
```
1. Untuk memverifikasi bahwa mode FIPS diaktifkan, sambungkan kembali ke instans Anda dan jalankan perintah berikut.
```
sudo fips-mode-setup --check
```
Contoh output berikut menunjukkan mode FIPS diaktifkan:
```
FIPS mode is enabled.
```
# Aktifkan Mode FIPS dalam Kontainer AL2 023
Bagian ini menjelaskan cara mengaktifkan Federal Information Processing Standards (FIPS) dalam wadah AL2 023. Untuk informasi lebih lanjut tentang FIPS, lihat:
+ [Standar Pemrosesan Informasi Federal (FIPS)](https://aws.amazon.com/compliance/fips/)
+ [Kepatuhan FAQs: Standar Pemrosesan Informasi Federal](https://www.nist.gov/standardsgov/compliance-faqs-federal-information-processing-standards-fips)
**catatan**
Bagian ini mendokumentasikan cara mengaktifkan FIPS mode dalam wadah AL2 023. Ini tidak mencakup status sertifikasi AL2 023 modul kriptografi.
**Prasyarat**
+ EC2 Instans Amazon AL2 023 (AL2023.2 atau lebih tinggi) yang ada dengan akses ke internet untuk mengunduh paket yang diperlukan. Untuk informasi selengkapnya tentang meluncurkan EC2 instans Amazon AL2 023, lihat[Meluncurkan AL2023 menggunakan konsol Amazon EC2](ec2.md#launch-from-ec2-console).
+ Anda harus terhubung ke EC2 instans Amazon Anda menggunakan SSH atau AWS Systems Manager. Untuk informasi selengkapnya, lihat [Menghubungkan ke AL2023 instance](connecting-to-instances.md).
**penting**
`fips-mode-setup`Perintah tidak akan berfungsi dengan benar dari dalam wadah. Silakan baca langkah-langkah di bawah ini untuk mengkonfigurasi mode FIPS dengan benar dalam wadah AL2 023.
**Aktifkan Mode FIPS dalam Kontainer AL2 023**
1. Mode FIPS harus diaktifkan terlebih dahulu pada Host kontainer AL2 023. Ikuti petunjuk di [Aktifkan Mode FIPS pada 023 AL2](fips-mode.md) untuk mengaktifkan mode FIPS di Host.
1. Connect ke instans host kontainer AL2 023 Anda menggunakan SSH atau. AWS Systems Manager
1. Mode FIPS akan diaktifkan secara otomatis dalam wadah AL2 023 jika host AL2 023 dalam mode FIPS dan `/proc/sys/crypto/fips_enabled` dapat diakses dari dalam wadah. Jika isi dari `/proc/sys/crypto/fips_enabled` adalah `0` maka FIPS tidak diaktifkan, dan nilai `1` menunjukkan bahwa mode FIPS diaktifkan.
Anda dapat memverifikasi bahwa FIPS diaktifkan dengan menjalankan perintah berikut pada host AL2 023 dan container:
```
cat /proc/sys/crypto/fips_enabled
```
1. Selanjutnya, aktifkan crypto-policies FIPS di dalam wadah. Ada beberapa cara untuk mencapai ini, dijelaskan dalam opsi di bawah ini. Gunakan opsi yang paling cocok untuk lingkungan Anda.
1. Aktifkan crypto-policies FIPS secara manual di dalam wadah menggunakan perintah: `update-crypto-policies`
```
# Run these commands inside the container
dnf install -y crypto-policies-scripts
update-crypto-policies --set FIPS
```
1. Buat `bind` mount dalam wadah AL2 023 (ini mirip dengan cara `podman` kerja di distribusi lain):
```
# Run these commands inside the container
mount --bind /usr/share/crypto-policies/back-ends/FIPS /etc/crypto-policies/back-ends
echo "FIPS" > /usr/share/crypto-policies/default-fips-config
mount --bind /usr/share/crypto-policies/default-fips-config /etc/crypto-policies/config
```
1. Dimungkinkan juga untuk membuat bind mount sehingga wadah AL2 023 cocok dengan crypto-policies host AL2 023. Berikut ini hanya diberikan sebagai contoh. Konfigurasi ini dapat menyebabkan masalah jika ada perbedaan yang tidak kompatibel dalam crypto-policies dan versi paket antara container dan host:
```
sudo docker pull amazonlinux:2023
sudo docker run --mount type=bind,readonly,src=/etc/crypto-policies,dst=/etc/crypto-policies -it amazonlinux:2023
```
1. Setelah melakukan langkah-langkah di atas, Anda dapat kembali memverifikasi bahwa FIPS diaktifkan dalam wadah dengan perintah berikut:
```
$ cat /etc/crypto-policies/config
FIPS
$ cat /proc/sys/crypto/fips_enabled
1
```
# Tukar penyedia OpenSSL FIPS di 023 AL2
Bagian ini menjelaskan cara beralih antara penyedia FIPS OpenSSL `latest` dan `certified` OpenSSL di 023. AL2
Untuk informasi lebih lanjut tentang FIPS, lihat:
+ [Standar Pemrosesan Informasi Federal (FIPS)](https://aws.amazon.com/compliance/fips/)
+ [Kepatuhan FAQs: Standar Pemrosesan Informasi Federal](https://www.nist.gov/standardsgov/compliance-faqs-federal-information-processing-standards-fips)
+ [Kebijakan FedRAMP untuk Pemilihan dan Penggunaan Modul Kriptografi](https://www.fedramp.gov/rev5/fips/)
**penting**
Pada AL2 023.7 dan lebih tinggi, penyedia FIPS OpenSSL default adalah `openssl-fips-provider-latest` paket, yang menerima perbaikan bug dan pembaruan keamanan reguler.
Petunjuk di bawah ini hanya untuk pelanggan yang ingin pin ke `openssl-fips-provider-certified` paket. Versi penyedia FIPS ini akan cocok dengan checksum pada sertifikat NIST, dan mungkin tidak memiliki pembaruan terbaru.
Lihat [FAQ AL2 023](https://aws.amazon.com/linux/amazon-linux-2023/faqs/) untuk informasi lebih lanjut tentang modul dan versi paket bersertifikat FIPS.
**Prasyarat**
+ EC2 Instans Amazon AL2 023 (AL2023,7 atau lebih tinggi) yang ada dengan akses ke internet untuk mengunduh paket yang diperlukan. Untuk informasi selengkapnya tentang meluncurkan EC2 instans Amazon AL2 023, lihat[Meluncurkan AL2023 menggunakan konsol Amazon EC2](ec2.md#launch-from-ec2-console).
+ Anda harus terhubung ke EC2 instans Amazon Anda menggunakan SSH atau AWS Systems Manager. Untuk informasi selengkapnya, lihat [Menghubungkan ke AL2023 instance](connecting-to-instances.md).
+ Untuk mengaktifkan mode FIPS pada AL2 023, ikuti instruksi di. [Aktifkan Mode FIPS pada 023 AL2](fips-mode.md)
**Beralih antara `openssl-fips-provider-latest` dan `openssl-fips-provider-certified`**
1. Gunakan `dnf` untuk mengganti penyedia OpenSSL FIPS:
```
sudo dnf -y swap openssl-fips-provider-latest openssl-fips-provider-certified
```
1. Periksa apakah Anda menggunakan penyedia FIPS OpenSSL bersertifikat. Dengan AL2 023 dalam mode FIPS, jalankan perintah berikut:
```
openssl list -providers
```
Anda akan melihat output berikut:
```
Providers:
base
name: OpenSSL Base Provider
version: 3.2.2
status: active
default
name: OpenSSL Default Provider
version: 3.2.2
status: active
fips
name: Amazon Linux 2023 - OpenSSL FIPS Provider
version: 3.0.8-d694bfa693b76001
status: active
```
# AL2023 Pengerasan Kernel
Kernel Linux 6.1 di AL2023 dikonfigurasi dan dibangun dengan beberapa opsi dan fitur pengerasan.
## Opsi Pengerasan Kernel (arsitektur independen)
| `CONFIG`pilihan | AL2023/6.1/aarch64 | AL2023/6.1/x86\$164 | AL2023/6.12/aarch64 | AL2023/6.12/x86\$164 | AL2023/6.18/aarch64 | AL2023/6.18/x86\$164 |
| --- | --- | --- | --- | --- | --- | --- |
| [`CONFIG_ACPI_CUSTOM_METHOD`](#CONFIG_ACPI_CUSTOM_METHOD) | n | n | N/A | N/A | N/A | N/A |
| [`CONFIG_BINFMT_MISC`](#CONFIG_BINFMT_MISC) | m | m | m | m | m | m |
| [`CONFIG_BUG`](#CONFIG_BUG) | y | y | y | y | y | y |
| [`CONFIG_BUG_ON_DATA_CORRUPTION`](#CONFIG_BUG_ON_DATA_CORRUPTION) | y | y | y | y | y | y |
| [`CONFIG_CFI_CLANG`](#CONFIG_CFI_CLANG) | N/A | N/A | N/A | N/A | N/A | N/A |
| [`CONFIG_CFI_PERMISSIVE`](#CONFIG_CFI_PERMISSIVE) | N/A | N/A | N/A | N/A | N/A | N/A |
| [`CONFIG_COMPAT`](#CONFIG_COMPAT) | y | y | y | y | y | y |
| [`CONFIG_COMPAT_BRK`](#CONFIG_COMPAT_BRK) | n | n | n | n | n | n |
| [`CONFIG_COMPAT_VDSO`](#CONFIG_COMPAT_VDSO) | N/A | n | N/A | n | N/A | n |
| [`CONFIG_DEBUG_CREDENTIALS`](#CONFIG_DEBUG_CREDENTIALS) | n | n | N/A | N/A | N/A | N/A |
| [`CONFIG_DEBUG_LIST`](#CONFIG_DEBUG_LIST) | y | y | y | y | y | y |
| [`CONFIG_DEBUG_NOTIFIERS`](#CONFIG_DEBUG_NOTIFIERS) | n | n | n | n | n | n |
| [`CONFIG_DEBUG_SG`](#CONFIG_DEBUG_SG) | n | n | n | n | n | n |
| [`CONFIG_DEBUG_VIRTUAL`](#CONFIG_DEBUG_VIRTUAL) | n | n | n | n | n | n |
| [`CONFIG_DEBUG_WX`](#CONFIG_DEBUG_WX) | n | n | n | n | n | n |
| [`CONFIG_DEFAULT_MMAP_MIN_ADDR`](#CONFIG_DEFAULT_MMAP_MIN_ADDR) | 65536 | 65536 | 65536 | 65536 | 65536 | 65536 |
| [`CONFIG_DEVKMEM`](compare-with-al2-kernel.md#CONFIG_DEVKMEM) | N/A | N/A | N/A | N/A | N/A | N/A |
| [`CONFIG_DEVMEM`](compare-with-al2-kernel.md#CONFIG_DEVMEM) | n | n | n | n | n | n |
| [`CONFIG_EFI_DISABLE_PCI_DMA`](#CONFIG_EFI_DISABLE_PCI_DMA) | n | n | n | n | n | n |
| [`CONFIG_FORTIFY_SOURCE`](compare-with-al2-kernel.md#CONFIG_FORTIFY_SOURCE) | y | y | y | y | y | y |
| [`CONFIG_HARDENED_USERCOPY`](#CONFIG_HARDENED_USERCOPY) | y | y | y | y | y | y |
| [`CONFIG_HARDENED_USERCOPY_FALLBACK`](#CONFIG_HARDENED_USERCOPY_FALLBACK) | N/A | N/A | N/A | N/A | N/A | N/A |
| [`CONFIG_HARDENED_USERCOPY_PAGESPAN`](#CONFIG_HARDENED_USERCOPY_PAGESPAN) | N/A | N/A | N/A | N/A | N/A | N/A |
| [`CONFIG_HIBERNATION`](#CONFIG_HIBERNATION) | y | y | y | y | y | y |
| [`CONFIG_HW_RANDOM_TPM`](#CONFIG_HW_RANDOM_TPM) | N/A | N/A | N/A | N/A | N/A | N/A |
| [`CONFIG_INET_DIAG`](#CONFIG_INET_DIAG) | m | m | m | m | m | m |
| [`CONFIG_INIT_ON_ALLOC_DEFAULT_ON`](#CONFIG_INIT_ON_ALLOC_DEFAULT_ON) | n | n | n | n | n | n |
| [`CONFIG_INIT_ON_FREE_DEFAULT_ON`](#CONFIG_INIT_ON_FREE_DEFAULT_ON) | n | n | n | n | n | n |
| [`CONFIG_INIT_STACK_ALL_ZERO`](#CONFIG_INIT_STACK_ALL_ZERO) | N/A | N/A | N/A | N/A | N/A | N/A |
| [`CONFIG_IOMMU_DEFAULT_DMA_STRICT`](#CONFIG_IOMMU_DEFAULT_DMA_STRICT) | n | n | n | n | n | n |
| [`CONFIG_IOMMU_SUPPORT`](#CONFIG_IOMMU_SUPPORT) | y | y | y | y | y | y |
| [`CONFIG_IO_STRICT_DEVMEM`](compare-with-al2-kernel.md#CONFIG_IO_STRICT_DEVMEM) | N/A | N/A | N/A | N/A | N/A | N/A |
| [`CONFIG_KEXEC`](#CONFIG_KEXEC) | y | y | y | y | y | y |
| [`CONFIG_KFENCE`](#CONFIG_KFENCE) | n | n | n | n | n | n |
| [`CONFIG_LDISC_AUTOLOAD`](compare-with-al2-kernel.md#CONFIG_LDISC_AUTOLOAD) | n | n | n | n | n | n |
| [`CONFIG_LEGACY_PTYS`](#CONFIG_LEGACY_PTYS) | n | n | n | n | n | n |
| [`CONFIG_LOCK_DOWN_KERNEL_FORCE_CONFIDENTIALITY`](#CONFIG_LOCK_DOWN_KERNEL_FORCE_CONFIDENTIALITY) | n | n | n | n | n | n |
| [`CONFIG_MODULES`](#CONFIG_MODULES) | y | y | y | y | y | y |
| [`CONFIG_MODULE_SIG`](#CONFIG_MODULE_SIG) | y | y | y | y | y | y |
| [`CONFIG_MODULE_SIG_ALL`](#CONFIG_MODULE_SIG_ALL) | y | y | y | y | y | y |
| [`CONFIG_MODULE_SIG_FORCE`](#CONFIG_MODULE_SIG_FORCE) | n | n | n | n | n | n |
| [`CONFIG_MODULE_SIG_HASH`](#CONFIG_MODULE_SIG_HASH) | sha512 | sha512 | sha512 | sha512 | sha512 | sha512 |
| [`CONFIG_MODULE_SIG_KEY`](#CONFIG_MODULE_SIG_KEY) | certs/signing\$1key.pem | certs/signing\$1key.pem | certs/signing\$1key.pem | certs/signing\$1key.pem | certs/signing\$1key.pem | certs/signing\$1key.pem |
| [`CONFIG_MODULE_SIG_SHA512`](#CONFIG_MODULE_SIG_SHA512) | y | y | y | y | y | y |
| [`CONFIG_PAGE_POISONING`](#CONFIG_PAGE_POISONING) | n | n | n | n | n | n |
| [`CONFIG_PAGE_POISONING_NO_SANITY`](#CONFIG_PAGE_POISONING_NO_SANITY) | N/A | N/A | N/A | N/A | N/A | N/A |
| [`CONFIG_PAGE_POISONING_ZERO`](#CONFIG_PAGE_POISONING_ZERO) | N/A | N/A | N/A | N/A | N/A | N/A |
| [`CONFIG_PANIC_ON_OOPS`](compare-with-al2-kernel.md#CONFIG_PANIC_ON_OOPS) | y | y | y | y | y | y |
| [`CONFIG_PANIC_TIMEOUT`](#CONFIG_PANIC_TIMEOUT) | 0 | 0 | 0 | 0 | 0 | 0 |
| [`CONFIG_PROC_KCORE`](#CONFIG_PROC_KCORE) | y | y | y | y | y | y |
| [`CONFIG_RANDOMIZE_KSTACK_OFFSET_DEFAULT`](#CONFIG_RANDOMIZE_KSTACK_OFFSET_DEFAULT) | n | n | n | n | n | n |
| [`CONFIG_RANDOM_TRUST_BOOTLOADER`](#CONFIG_RANDOM_TRUST_BOOTLOADER) | y | y | N/A | N/A | N/A | N/A |
| [`CONFIG_RANDOM_TRUST_CPU`](#CONFIG_RANDOM_TRUST_CPU) | y | y | N/A | N/A | N/A | N/A |
| [`CONFIG_REFCOUNT_FULL`](#CONFIG_REFCOUNT_FULL) | N/A | N/A | N/A | N/A | N/A | N/A |
| [`CONFIG_SCHED_CORE`](#CONFIG_SCHED_CORE) | N/A | y | N/A | y | N/A | y |
| [`CONFIG_SCHED_STACK_END_CHECK`](#CONFIG_SCHED_STACK_END_CHECK) | y | y | y | y | y | y |
| [`CONFIG_SECCOMP`](#CONFIG_SECCOMP) | y | y | y | y | y | y |
| [`CONFIG_SECCOMP_FILTER`](#CONFIG_SECCOMP_FILTER) | y | y | y | y | y | y |
| [`CONFIG_SECURITY`](#CONFIG_SECURITY) | y | y | y | y | y | y |
| [`CONFIG_SECURITY_DMESG_RESTRICT`](compare-with-al2-kernel.md#CONFIG_SECURITY_DMESG_RESTRICT) | y | y | y | y | y | y |
| [`CONFIG_SECURITY_LANDLOCK`](#CONFIG_SECURITY_LANDLOCK) | y | y | y | y | y | y |
| [`CONFIG_SECURITY_LOCKDOWN_LSM`](#CONFIG_SECURITY_LOCKDOWN_LSM) | y | y | y | y | y | y |
| [`CONFIG_SECURITY_LOCKDOWN_LSM_EARLY`](#CONFIG_SECURITY_LOCKDOWN_LSM_EARLY) | y | y | y | y | y | y |
| [`CONFIG_SECURITY_SELINUX_BOOTPARAM`](#CONFIG_SECURITY_SELINUX_BOOTPARAM) | y | y | y | y | y | y |
| [`CONFIG_SECURITY_SELINUX_DEVELOP`](#CONFIG_SECURITY_SELINUX_DEVELOP) | y | y | y | y | y | y |
| [`CONFIG_SECURITY_SELINUX_DISABLE`](compare-with-al2-kernel.md#CONFIG_SECURITY_SELINUX_DISABLE) | n | n | N/A | N/A | N/A | N/A |
| [`CONFIG_SECURITY_WRITABLE_HOOKS`](#CONFIG_SECURITY_WRITABLE_HOOKS) | N/A | N/A | N/A | N/A | N/A | N/A |
| [`CONFIG_SECURITY_YAMA`](#CONFIG_SECURITY_YAMA) | y | y | y | y | y | y |
| [`CONFIG_SHUFFLE_PAGE_ALLOCATOR`](#CONFIG_SHUFFLE_PAGE_ALLOCATOR) | y | y | y | y | y | y |
| [`CONFIG_SLAB_FREELIST_HARDENED`](#CONFIG_SLAB_FREELIST_HARDENED) | y | y | y | y | y | y |
| [`CONFIG_SLAB_FREELIST_RANDOM`](#CONFIG_SLAB_FREELIST_RANDOM) | y | y | y | y | y | y |
| [`CONFIG_SLUB_DEBUG`](#CONFIG_SLUB_DEBUG) | y | y | y | y | y | y |
| [`CONFIG_STACKPROTECTOR`](#CONFIG_STACKPROTECTOR) | y | y | y | y | y | y |
| [`CONFIG_STACKPROTECTOR_STRONG`](#CONFIG_STACKPROTECTOR_STRONG) | y | y | y | y | y | y |
| [`CONFIG_STATIC_USERMODEHELPER`](#CONFIG_STATIC_USERMODEHELPER) | n | n | n | n | n | n |
| [`CONFIG_STRICT_DEVMEM`](compare-with-al2-kernel.md#CONFIG_STRICT_DEVMEM) | n | n | n | n | n | n |
| [`CONFIG_STRICT_KERNEL_RWX`](#CONFIG_STRICT_KERNEL_RWX) | y | y | y | y | y | y |
| [`CONFIG_STRICT_MODULE_RWX`](#CONFIG_STRICT_MODULE_RWX) | y | y | y | y | y | y |
| [`CONFIG_SYN_COOKIES`](#CONFIG_SYN_COOKIES) | y | y | y | y | y | y |
| [`CONFIG_VMAP_STACK`](#CONFIG_VMAP_STACK) | y | y | y | y | y | y |
| [`CONFIG_WERROR`](#CONFIG_WERROR) | n | n | n | n | n | n |
| [`CONFIG_ZERO_CALL_USED_REGS`](#CONFIG_ZERO_CALL_USED_REGS) | n | n | n | n | n | n |
### Izinkan metode ACPI berada inserted/replaced di runtime (CONFIG\$1ACPI\$1CUSTOM\$1METHOD)
Amazon Linux menonaktifkan opsi ini karena memungkinkan `root` pengguna untuk menulis ke memori kernel arbitrer.
Opsi ini adalah salah satu [Pengaturan Rekomendasi Proyek Perlindungan Diri Kernel](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings).
### Format Biner Lain-lain () `binfmt_misc`
Meskipun opsi ini adalah salah satu [Pengaturan yang Direkomendasikan Kernel Self Protection Project (KSPP)](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings), AL2023 tidak mengatur opsi konfigurasi ini sesuai rekomendasi KSPP. Di AL2023, fitur ini opsional, dan dibangun sebagai modul kernel.
### Dukungan `BUG()`
Opsi ini adalah salah satu [Pengaturan Rekomendasi Proyek Perlindungan Diri Kernel](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings).
### `BUG()`jika kernel mengalami kerusakan data saat memeriksa struktur memori kernel untuk validitas
Beberapa bagian dari kernel Linux akan memeriksa konsistensi internal struktur data dan dapat `BUG()` ketika mereka mendeteksi kerusakan data.
Opsi ini adalah salah satu [Pengaturan Rekomendasi Proyek Perlindungan Diri Kernel](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings).
### `COMPAT_BRK`
Dengan opsi ini dinonaktifkan (begitulah cara Amazon Linux mengkonfigurasi kernel), `randomize_va_space` `sysctl` pengaturan default ke`2`, yang juga memungkinkan pengacakan heap di atas pengacakan halaman `mmap` basis, tumpukan, dan VDSO.
Opsi ini ada di kernel untuk memberikan kompatibilitas dengan beberapa `libc.so.5` binari kuno dari tahun 1996 dan sebelumnya.
Opsi ini adalah salah satu [Pengaturan Rekomendasi Proyek Perlindungan Diri Kernel](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings).
### `COMPAT_VDSO`
Opsi konfigurasi ini relevan `x86-64` dan tidak`aarch64`. Dengan menyetelnya`n`, kernel Amazon Linux tidak membuat Dynamic Shared Object (VDSO) virtual 32-bit terlihat pada alamat yang dapat diprediksi. Yang terbaru `glibc` diketahui rusak oleh opsi ini yang disetel ke `n` adalah `glibc` 2.3.3, dari tahun 2004.
Opsi ini adalah salah satu [Pengaturan Rekomendasi Proyek Perlindungan Diri Kernel](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings).
### `CONFIG_DEBUG`pengerasan terjaga keamanannya
Opsi konfigurasi kernel Linux yang `CONFIG_DEBUG` terjaga keamanannya biasanya dirancang untuk digunakan dalam kernel yang dibangun untuk masalah debugging, dan hal-hal seperti kinerja bukanlah prioritas. AL2023 memungkinkan opsi `CONFIG_DEBUG_LIST` pengerasan.
### Nonaktifkan DMA untuk perangkat PCI di rintisan EFI sebelum mengonfigurasi IOMMU
Meskipun opsi ini adalah salah satu [Pengaturan yang Direkomendasikan Kernel Self Protection Project (KSPP)](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings), AL2023 tidak mengatur opsi konfigurasi ini sesuai rekomendasi KSPP.
### Pengerasan untuk menyalin memori antara kernel dan ruang pengguna
Ketika kernel perlu menyalin memori ke atau dari ruang pengguna, opsi ini memungkinkan beberapa pemeriksaan yang dapat melindungi terhadap beberapa kelas masalah heap overflow.
`CONFIG_HARDENED_USERCOPY_FALLBACK`Opsi ada di kernel 4.16 hingga 5.15 untuk membantu pengembang kernel menemukan entri allowlist yang hilang melalui a. `WARN()` Karena AL2023 mengirimkan kernel 6.1, opsi ini tidak lagi relevan. AL2023
`CONFIG_HARDENED_USERCOPY_PAGESPAN`Opsi ada di kernel terutama sebagai opsi debugging untuk pengembang dan tidak lagi berlaku untuk kernel 6.1 di. AL2023
Opsi ini adalah salah satu [Pengaturan Rekomendasi Proyek Perlindungan Diri Kernel](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings).
### Dukungan Hibernasi
Meskipun opsi ini adalah salah satu [Pengaturan yang Direkomendasikan Kernel Self Protection Project (KSPP)](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings), AL2023 tidak mengatur opsi konfigurasi ini sesuai rekomendasi KSPP. Opsi ini perlu diaktifkan untuk mendukung kemampuan [Hibernasi Instans Sesuai Permintaan Anda, dan untuk mendukung kemampuan Hibernasi Instans](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Hibernate.html) Spot yang [terputus](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/hibernate-spot-instances.html)
### Pembuatan Angka Acak
Kernel AL2023 dikonfigurasi untuk memastikan entropi yang memadai tersedia untuk digunakan dalam EC2.
### `CONFIG_INET_DIAG`
Meskipun opsi ini adalah salah satu [Pengaturan yang Direkomendasikan Kernel Self Protection Project (KSPP)](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings), AL2023 tidak mengatur opsi konfigurasi ini sesuai rekomendasi KSPP. Di AL2023, fitur ini opsional, dan dibangun sebagai modul kernel.
### Nol semua halaman kernel dan memori pengalokasi slab pada alokasi dan deallokasi
Meskipun opsi ini adalah salah satu [Pengaturan yang Direkomendasikan Kernel Self Protection Project (KSPP)](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings), AL2023 tidak mengatur opsi konfigurasi ini sesuai rekomendasi KSPP. Opsi ini dinonaktifkan AL2023 karena kemungkinan dampak kinerja mengaktifkan fungsi ini secara default. `CONFIG_INIT_ON_ALLOC_DEFAULT_ON`Perilaku dapat diaktifkan dengan menambahkan `init_on_alloc=1` ke baris perintah kernel, dan `CONFIG_INIT_ON_FREE_DEFAULT_ON` perilaku dapat diaktifkan dengan menambahkan`init_on_free=1`.
### Inisialisasi semua variabel tumpukan sebagai nol () `CONFIG_INIT_STACK_ALL_ZERO`
Meskipun opsi ini adalah salah satu [Pengaturan yang Direkomendasikan Kernel Self Protection Project (KSPP)](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings), AL2023 tidak mengatur opsi konfigurasi ini sesuai rekomendasi KSPP. Opsi ini membutuhkan GCC 12 atau lebih tinggi, sementara AL2023 dikirimkan dengan GCC 11.
### Penandatanganan Modul Kernel
AL2023 menandatangani dan memvalidasi tanda tangan modul kernel. `CONFIG_MODULE_SIG_FORCE`Opsi, yang mengharuskan modul memiliki tanda tangan yang valid tidak diaktifkan untuk menjaga kompatibilitas bagi pengguna yang membangun modul pihak ketiga. Untuk pengguna yang ingin memastikan bahwa semua modul kernel ditandatangani, [Modul Keamanan Linux Lockdown (LSM)](#CONFIG_SECURITY_LOCKDOWN_LSM) dapat dikonfigurasi untuk menegakkan ini.
### `kexec`
Meskipun opsi ini adalah salah satu [Pengaturan yang Direkomendasikan Kernel Self Protection Project (KSPP)](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings), AL2023 tidak mengatur opsi konfigurasi ini sesuai rekomendasi KSPP. Opsi ini diaktifkan sehingga `kdump` fungsionalitas dapat digunakan.
### `IOMMU`Support
AL2023 memungkinkan dukungan IOMMU. `CONFIG_IOMMU_DEFAULT_DMA_STRICT`Opsi ini tidak diaktifkan secara default, tetapi fungsi ini dapat dikonfigurasi dengan menambahkan `iommu.passthrough=0 iommu.strict=1` ke baris perintah kernel.
### `kfence`
Meskipun opsi ini adalah salah satu [Pengaturan yang Direkomendasikan Kernel Self Protection Project (KSPP)](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings), AL2023 tidak mengatur opsi konfigurasi ini sesuai rekomendasi KSPP.
### Support Legacy `pty`
AL2023 menggunakan PTY antarmuka modern (`devpts`).
Opsi ini adalah salah satu [Pengaturan Rekomendasi Proyek Perlindungan Diri Kernel](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings).
### Modul Keamanan Linux Lockdown (LSM)
AL2023 membangun `lockdown` LSM, yang secara otomatis akan mengunci kernel saat menggunakan Boot Aman.
`CONFIG_LOCK_DOWN_KERNEL_FORCE_CONFIDENTIALITY`Opsi ini tidak diaktifkan. Meskipun opsi ini adalah salah satu [Pengaturan yang Direkomendasikan Kernel Self Protection Project (KSPP)](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings), AL2023 tidak mengatur opsi konfigurasi ini sesuai rekomendasi KSPP. Saat tidak menggunakan Boot Aman, dimungkinkan untuk mengaktifkan LSM penguncian dan mengonfigurasi sesuai keinginan.
### Halaman Keracunan
Meskipun opsi ini adalah salah satu [Pengaturan yang Direkomendasikan Kernel Self Protection Project (KSPP)](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings), AL2023 tidak mengatur opsi konfigurasi ini sesuai rekomendasi KSPP. Demikian pula dengan[Nol semua halaman kernel dan memori pengalokasi slab pada alokasi dan deallokasi](#kernel-init-on-alloc-free), ini dinonaktifkan di AL2023 kernel karena kemungkinan dampak pada kinerja.
### Pelindung Tumpukan
AL2023 Kernel dibangun dengan fitur stack-protector GCC diaktifkan dengan opsi. `-fstack-protector-strong`
Opsi ini adalah salah satu [Pengaturan Rekomendasi Proyek Perlindungan Diri Kernel](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings).
### seccomp BPFAPI
Fitur seccomp pengerasan digunakan oleh perangkat lunak seperti `systemd` dan runtime kontainer untuk mengeraskan aplikasi ruang pengguna.
Opsi ini adalah salah satu [Pengaturan Rekomendasi Proyek Perlindungan Diri Kernel](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings).
### `panic()`batas waktu
AL2023 Kernel dikonfigurasi dengan nilai ini disetel ke`0`, yang berarti bahwa kernel tidak akan reboot setelah panik. Meskipun opsi ini adalah salah satu [Pengaturan yang Direkomendasikan Kernel Self Protection Project (KSPP)](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings), AL2023 tidak mengatur opsi konfigurasi ini sesuai rekomendasi KSPP. Ini dapat dikonfigurasi melalui`sysctl`,`/proc/sys/kernel/panic`, dan pada baris perintah kernel.
### Model Keamanan
AL2023 memungkinkan SELinux dalam mode Permisif secara default. Untuk informasi selengkapnya, lihat [SELinux Mode pengaturan untuk AL2 023](selinux-modes.md).
`yama`Modul [Modul Keamanan Linux Lockdown (LSM)](#CONFIG_SECURITY_LOCKDOWN_LSM) dan juga diaktifkan.
### `/proc/kcore`
Meskipun opsi ini adalah salah satu [Pengaturan yang Direkomendasikan Kernel Self Protection Project (KSPP)](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings), AL2023 tidak mengatur opsi konfigurasi ini sesuai rekomendasi KSPP.
### Pengacakan offset tumpukan kernel pada entri syscall
Meskipun opsi ini adalah salah satu [Pengaturan yang Direkomendasikan Kernel Self Protection Project (KSPP)](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings), AL2023 tidak mengatur opsi konfigurasi ini sesuai rekomendasi KSPP. Ini dapat diaktifkan dengan mengatur `randomize_kstack_offset=on` pada baris perintah kernel.
### Cek penghitungan referensi (`CONFIG_REFCOUNT_FULL`)
Meskipun opsi ini adalah salah satu [Pengaturan yang Direkomendasikan Kernel Self Protection Project (KSPP)](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings), AL2023 tidak mengatur opsi konfigurasi ini sesuai rekomendasi KSPP. Opsi ini tidak diaktifkan secara pasti karena kemungkinan dampaknya terhadap kinerja.
### Kesadaran penjadwal SMT inti () `CONFIG_SCHED_CORE`
AL2023 Kernel dibangun dengan`CONFIG_SCHED_CORE`, yang memungkinkan aplikasi ruang pengguna untuk digunakan`prctl(PR_SCHED_CORE)`. Opsi ini adalah salah satu [Pengaturan Rekomendasi Proyek Perlindungan Diri Kernel](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings).
### Periksa kerusakan tumpukan pada panggilan ke `schedule()` (`CONFIG_SCHED_STACK_END_CHECK`)
AL2023 Kernel dibangun dengan `CONFIG_SCHED_STACK_END_CHECK` diaktifkan. Opsi ini adalah salah satu [Pengaturan Rekomendasi Proyek Perlindungan Diri Kernel](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings).
### Pengerasan pengalokasi memori
AL2023 Kernel memungkinkan pengerasan pengalokasi memori kernel dengan`CONFIG_SHUFFLE_PAGE_ALLOCATOR`,`CONFIG_SLAB_FREELIST_HARDENED`, dan opsi. `CONFIG_SLAB_FREELIST_RANDOM` Opsi ini adalah salah satu [Pengaturan Rekomendasi Proyek Perlindungan Diri Kernel](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings).
### SLUBdukungan debugging
AL2023 Kernel memungkinkan `CONFIG_SLUB_DEBUG` karena opsi ini memungkinkan fitur debugging opsional untuk pengalokasi yang dapat diaktifkan pada baris perintah kernel. Opsi ini adalah salah satu [Pengaturan Rekomendasi Proyek Perlindungan Diri Kernel](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings).
### CONFIG\$1STATIC\$1USERMODEHELPER
Meskipun opsi ini adalah salah satu [Pengaturan yang Direkomendasikan Kernel Self Protection Project (KSPP)](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings), AL2023 tidak mengatur opsi konfigurasi ini sesuai rekomendasi KSPP. Ini karena `CONFIG_STATIC_USERMODEHELPER` memerlukan dukungan khusus dari distribusi, yang saat ini tidak ada di Amazon Linux.
### Teks kernel Read-Only dan rodata (dan) `CONFIG_STRICT_KERNEL_RWX` `CONFIG_STRICT_MODULE_RWX`
AL2023 Kernel dikonfigurasi untuk menandai teks dan memori modul kernel dan kernel sebagai read-only, dan rodata memori non-teks ditandai sebagai tidak dapat dieksekusi. Opsi ini adalah salah satu [Pengaturan Rekomendasi Proyek Perlindungan Diri Kernel](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings).
### TCPdukungan syncookie () `CONFIG_SYN_COOKIES`
AL2023 Kernel dibangun dengan dukungan untuk syncookies TCP. Opsi ini adalah salah satu [Pengaturan Rekomendasi Proyek Perlindungan Diri Kernel](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings).
### Tumpukan yang dipetakan secara virtual dengan halaman penjaga () `CONFIG_VMAP_STACK`
AL2023 Kernel dibangun dengan`CONFIG_VMAP_STACK`, memungkinkan tumpukan kernel yang dipetakan secara virtual dengan halaman penjaga. Opsi ini adalah salah satu [Pengaturan Rekomendasi Proyek Perlindungan Diri Kernel](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings).
### Bangun dengan peringatan kompiler sebagai error () `CONFIG_WERROR`
Meskipun opsi ini adalah salah satu [Pengaturan yang Direkomendasikan Kernel Self Protection Project (KSPP)](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings), AL2023 tidak mengatur opsi konfigurasi ini sesuai rekomendasi KSPP.
### Daftarkan zeroing pada fungsi exit () `CONFIG_ZERO_CALL_USED_REGS`
Meskipun opsi ini adalah salah satu [Pengaturan yang Direkomendasikan Kernel Self Protection Project (KSPP)](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings), AL2023 tidak mengatur opsi konfigurasi ini sesuai rekomendasi KSPP.
### Alamat minimum untuk alokasi ruang pengguna
Opsi pengerasan ini dapat membantu mengurangi dampak bug pointer NULL kernel. Opsi ini adalah salah satu [Pengaturan Rekomendasi Proyek Perlindungan Diri Kernel](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings).
### `clang`opsi pengerasan khusus
AL2023 Kernel dibangun dengan GCC bukanclang, sehingga opsi `CONFIG_CFI_CLANG` pengerasan tidak dapat diaktifkan, yang juga membuatnya `CONFIG_CFI_PERMISSIVE` tidak berlaku. Meskipun opsi ini adalah salah satu [Pengaturan yang Direkomendasikan Kernel Self Protection Project (KSPP)](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings), AL2023 tidak mengatur opsi konfigurasi ini sesuai rekomendasi KSPP.
## x86-64 opsi Pengerasan Kernel khusus
| `CONFIG`pilihan | AL2023/6.1/aarch64 | AL2023/6.1/x86\$164 | AL2023/6.12/aarch64 | AL2023/6.12/x86\$164 | AL2023/6.18/aarch64 | AL2023/6.18/x86\$164 |
| --- | --- | --- | --- | --- | --- | --- |
| [`CONFIG_AMD_IOMMU`](#CONFIG_AMD_IOMMU) | N/A | y | N/A | y | N/A | y |
| [`CONFIG_AMD_IOMMU_V2`](#CONFIG_AMD_IOMMU_V2) | N/A | y | N/A | N/A | N/A | N/A |
| [`CONFIG_IA32_EMULATION`](#CONFIG_IA32_EMULATION) | N/A | y | N/A | y | N/A | y |
| [`CONFIG_INTEL_IOMMU`](#CONFIG_INTEL_IOMMU) | N/A | y | N/A | y | N/A | y |
| [`CONFIG_INTEL_IOMMU_DEFAULT_ON`](#CONFIG_INTEL_IOMMU_DEFAULT_ON) | N/A | n | N/A | n | N/A | n |
| [`CONFIG_INTEL_IOMMU_SVM`](#CONFIG_INTEL_IOMMU_SVM) | N/A | n | N/A | n | N/A | n |
| [`CONFIG_LEGACY_VSYSCALL_NONE`](#CONFIG_LEGACY_VSYSCALL_NONE) | N/A | n | N/A | n | N/A | n |
| [`CONFIG_MODIFY_LDT_SYSCALL`](#CONFIG_MODIFY_LDT_SYSCALL) | N/A | n | N/A | n | N/A | n |
| [`CONFIG_PAGE_TABLE_ISOLATION`](#CONFIG_PAGE_TABLE_ISOLATION) | N/A | y | N/A | N/A | N/A | N/A |
| [`CONFIG_RANDOMIZE_MEMORY`](#CONFIG_RANDOMIZE_MEMORY) | N/A | y | N/A | y | N/A | y |
| [`CONFIG_X86_64`](#CONFIG_X86_64) | N/A | y | N/A | y | N/A | y |
| [`CONFIG_X86_MSR`](#CONFIG_X86_MSR) | N/A | y | N/A | y | N/A | y |
| [`CONFIG_X86_VSYSCALL_EMULATION`](#CONFIG_X86_VSYSCALL_EMULATION) | N/A | y | N/A | y | N/A | y |
| [`CONFIG_X86_X32`](#CONFIG_X86_X32) | N/A | N/A | N/A | N/A | N/A | N/A |
| [`CONFIG_X86_X32_ABI`](#CONFIG_X86_X32_ABI) | N/A | n | N/A | n | N/A | n |
### Support x86-64
Dukungan dasar x86-64 mencakup dukungan bit Physical Address Extension (PAE) dan no-execute (NX). Opsi ini adalah salah satu [Pengaturan Rekomendasi Proyek Perlindungan Diri Kernel](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings).
### Dukungan AMD dan Intel IOMMU
AL2023 Kernel dibangun dengan dukungan untuk AMD dan IntelIOMMUs. Opsi ini adalah salah satu [Pengaturan Rekomendasi Proyek Perlindungan Diri Kernel](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings).
`CONFIG_INTEL_IOMMU_DEFAULT_ON`Opsi ini tidak diatur, tetapi dapat diaktifkan dengan meneruskan `intel_iommu=on` ke baris perintah kernel. Meskipun opsi ini adalah salah satu [Pengaturan yang Direkomendasikan Kernel Self Protection Project (KSPP)](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings), AL2023 tidak mengatur opsi konfigurasi ini sesuai rekomendasi KSPP.
`CONFIG_INTEL_IOMMU_SVM`Opsi saat ini tidak diaktifkan di AL2023. Meskipun opsi ini adalah salah satu [Pengaturan yang Direkomendasikan Kernel Self Protection Project (KSPP)](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings), AL2023 tidak mengatur opsi konfigurasi ini sesuai rekomendasi KSPP.
### Support untuk userspace 32bit
**penting**
Support untuk ruang pengguna 32bit x86 tidak digunakan lagi dan dukungan untuk menjalankan binari ruang pengguna 32bit mungkin akan dihapus di versi utama Amazon Linux yang akan datang.
**catatan**
Meskipun AL2023 tidak lagi menyertakan paket 32bit, kernel masih akan mendukung menjalankan ruang pengguna 32bit. Untuk informasi selengkapnya, lihat [32bit x86 (i686) Paket](compare-with-al2.md#i686).
Untuk mendukung menjalankan aplikasi userspace 32bit, AL2023 tidak mengaktifkan `CONFIG_X86_VSYSCALL_EMULATION` opsi, dan mengaktifkan, `CONFIG_IA32_EMULATION``CONFIG_COMPAT`, dan `CONFIG_X86_VSYSCALL_EMULATION` opsi. Meskipun opsi ini adalah salah satu [Pengaturan yang Direkomendasikan Kernel Self Protection Project (KSPP)](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings), AL2023 tidak mengatur opsi konfigurasi ini sesuai rekomendasi KSPP.
ABI 32-bit x32 asli untuk prosesor 64-bit tidak diaktifkan (`CONFIG_X86_X32`dan`CONFIG_X86_X32_ABI`). Opsi ini adalah salah satu [Pengaturan Rekomendasi Proyek Perlindungan Diri Kernel](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings).
### x86 Model Specific Register (MSR) dukungan
`CONFIG_X86_MSR`Opsi ini diaktifkan untuk mendukung`turbostat`. Meskipun opsi ini adalah salah satu [Pengaturan yang Direkomendasikan Kernel Self Protection Project (KSPP)](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings), AL2023 tidak mengatur opsi konfigurasi ini sesuai rekomendasi KSPP.
### `modify_ldt`syscall
AL2023 tidak mengizinkan program pengguna untuk memodifikasi x86 Local Descriptor Table (LDT) dengan syscall. `modify_ldt` Panggilan ini diperlukan untuk menjalankan kode 16-bit atau tersegmentasi, dan ketidakhadirannya dapat merusak perangkat lunak seperti`dosemu`, menjalankan beberapa program di bawahWINE, dan beberapa pustaka threading yang sangat tua. Opsi ini adalah salah satu [Pengaturan Rekomendasi Proyek Perlindungan Diri Kernel](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings).
### Hapus pemetaan kernel dalam mode pengguna
AL2023 mengkonfigurasi kernel sehingga sebagian besar alamat kernel tidak dipetakan ke ruang pengguna. Opsi ini adalah salah satu [Pengaturan Rekomendasi Proyek Perlindungan Diri Kernel](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings).
### Acak bagian memori kernel
AL2023 mengkonfigurasi kernel untuk mengacak alamat virtual dasar dari bagian memori kernel. Opsi ini adalah salah satu [Pengaturan Rekomendasi Proyek Perlindungan Diri Kernel](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings).
## aarch64 opsi Pengerasan Kernel khusus
| `CONFIG`pilihan | AL2023/6.1/aarch64 | AL2023/6.1/x86\$164 | AL2023/6.12/aarch64 | AL2023/6.12/x86\$164 | AL2023/6.18/aarch64 | AL2023/6.18/x86\$164 |
| --- | --- | --- | --- | --- | --- | --- |
| [`CONFIG_ARM64_BTI`](#CONFIG_ARM64_BTI) | y | N/A | y | N/A | y | N/A |
| [`CONFIG_ARM64_BTI_KERNEL`](#CONFIG_ARM64_BTI_KERNEL) | N/A | N/A | N/A | N/A | N/A | N/A |
| [`CONFIG_ARM64_PTR_AUTH`](#CONFIG_ARM64_PTR_AUTH) | y | N/A | y | N/A | y | N/A |
| [`CONFIG_ARM64_PTR_AUTH_KERNEL`](#CONFIG_ARM64_PTR_AUTH_KERNEL) | y | N/A | y | N/A | y | N/A |
| [`CONFIG_ARM64_SW_TTBR0_PAN`](#CONFIG_ARM64_SW_TTBR0_PAN) | y | N/A | y | N/A | y | N/A |
| [`CONFIG_UNMAP_KERNEL_AT_EL0`](#CONFIG_UNMAP_KERNEL_AT_EL0) | y | N/A | y | N/A | y | N/A |
### Identifikasi Target Cabang
AL2023 Kernel memungkinkan dukungan untuk Branch Target Identification (`CONFIG_ARM64_BTI`). Opsi ini adalah salah satu [Pengaturan Rekomendasi Proyek Perlindungan Diri Kernel](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings).
`CONFIG_ARM64_BTI_KERNEL`Opsi ini tidak diaktifkan AL2023 seperti yang dibangunGCC, dan dukungan untuk membangun kernel dengan opsi ini [saat ini dinonaktifkan di kernel upstream](https://github.com/torvalds/linux/commit/c0a454b9044fdc99486853aa424e5b3be2107078) karena bug [gcc](https://gcc.gnu.org/bugzilla/show_bug.cgi?id=106671). Meskipun opsi ini adalah salah satu [Pengaturan yang Direkomendasikan Kernel Self Protection Project (KSPP)](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings), AL2023 tidak mengatur opsi konfigurasi ini sesuai rekomendasi KSPP.
### Otentikasi Pointer () `CONFIG_ARM64_PTR_AUTH`
AL2023 Kernel dibangun dengan dukungan untuk ekstensi Pointer Authentication (bagian dari ARMv8 .3 Extensions), yang dapat digunakan untuk membantu mengurangi teknik Return Oriented Programming (ROP). Dukungan perangkat keras yang diperlukan untuk otentikasi pointer pada Graviton diperkenalkan dengan [Graviton](https://aws.amazon.com/ec2/graviton) 3.
`CONFIG_ARM64_PTR_AUTH`Opsi ini diaktifkan dan menyediakan dukungan untuk otentikasi pointer untuk ruang pengguna. Karena `CONFIG_ARM64_PTR_AUTH_KERNEL` opsi ini juga diaktifkan, AL2023 kernel dapat menggunakan perlindungan alamat pengembalian untuk dirinya sendiri.
Opsi ini adalah salah satu [Pengaturan Rekomendasi Proyek Perlindungan Diri Kernel](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings).
### Emulate Privileged Access Jangan pernah menggunakan switching `TTBR0_EL1`
Opsi ini mencegah kernel mengakses memori ruang pengguna secara langsung, dengan hanya `TTBR0_EL1` disetel sementara ke nilai yang valid oleh rutinitas akses pengguna.
Opsi ini adalah salah satu [Pengaturan Rekomendasi Proyek Perlindungan Diri Kernel](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings).
### Buka peta kernel saat berjalan di ruang pengguna
AL2023 Kernel dikonfigurasi untuk menghapus peta kernel saat berjalan di userspace ()`CONFIG_UNMAP_KERNEL_AT_EL0`. Opsi ini adalah salah satu [Pengaturan Rekomendasi Proyek Perlindungan Diri Kernel](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings).
# Metadata repositori masuk AL2023
Dimulai dengan rilis`2023.11.20260406`, AL2023 repositori menyertakan tanda tangan kriptografi untuk metadata repositori. Setiap file repositori disertai dengan `repomd.xml` file tanda tangan GPG terpisah (`repomd.xml.asc`) yang dapat Anda gunakan untuk memverifikasi keaslian dan integritas metadata repositori sebelum paket diunduh.
Penandatanganan ini merupakan tambahan dari penandatanganan paket RPM yang ada (`gpgcheck`), yang memverifikasi paket individual. Penandatanganan metadata repositori memverifikasi metadata yang menjelaskan isi repositori, seperti daftar paket yang tersedia dan checksumnya.
## Cara kerja penandatanganan metadata repositori
Ketika AL2023 repositori diterbitkan, metadata repositori (`repomd.xml`) ditandatangani menggunakan kunci KMS. AWS Tanda tangan terpisah (`repomd.xml.asc`) yang dihasilkan ditempatkan di samping metadata di repositori.
Saat Anda mengaktifkan `repo_gpgcheck` konfigurasi repositori Anda, DNF secara otomatis mengunduh dan memverifikasi `repomd.xml.asc` tanda tangan terhadap kunci publik GPG sebelum menggunakan metadata repositori. Jika verifikasi tanda tangan gagal, DNF tolak metadata repositori dan tidak melanjutkan operasi paket dari repositori tersebut. Untuk informasi selengkapnya`repo_gpgcheck`, lihat [Referensi DNF Konfigurasi](https://dnf.readthedocs.io/en/latest/conf_ref.html).
AL2023 Repositori berikut mencakup metadata yang ditandatangani:
+ Repositori inti () `amazonlinux`
+ Repositori Kernel Livepatch () `kernel-livepatch`
+ Repositori NVIDIA () `amazonlinux-nvidia`
+ Paket Tambahan untuk repositori Amazon Linux () `amazonlinux-spal`
## Perbedaan antara `gpgcheck` dan `repo_gpgcheck`
| Pengaturan | Apa yang diverifikasi | Default di AL2023 |
| --- | --- | --- |
| gpgcheck=1 | Memverifikasi tanda tangan GPG dari masing-masing paket RPM sebelum instalasi. | Diaktifkan |
| repo\$1gpgcheck=1 | Memverifikasi tanda tangan GPG dari metadata repositori () repomd.xml sebelum menggunakan repositori. | Dinonaktifkan (diaktifkan secara default dimulai dengan rilis 2023.12 triwulanan) |
Kami sangat menyarankan Anda mengaktifkan keduanya `gpgcheck` dan`repo_gpgcheck`. Ini memastikan bahwa metadata repositori dan paket individual diverifikasi sebelum digunakan.
## Mengaktifkan verifikasi metadata repositori
Anda dapat mengaktifkan verifikasi metadata repositori untuk masing-masing repositori dengan memperbarui file konfigurasi mereka.
**penting**
Dimulai dengan rilis `2023.12` triwulanan, `repo_gpgcheck=1` akan diaktifkan secara default di file konfigurasi AL2023 repositori.
### Aktifkan untuk repositori tertentu
File konfigurasi AL2023 repositori di `/etc/yum.repos.d/` set secara `repo_gpgcheck=0` default. Untuk mengaktifkan verifikasi metadata repositori, ubah nilai ini menjadi `1` dalam konfigurasi repositori. Misalnya, untuk mengaktifkannya untuk repositori inti:
```
[amazonlinux]
name=Amazon Linux 2023 repository
...
gpgcheck=1
repo_gpgcheck=1
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-amazon-linux-2023
```
## Memverifikasi bahwa penandatanganan metadata repositori berfungsi
Setelah mengaktifkan`repo_gpgcheck=1`, Anda dapat memverifikasi bahwa verifikasi metadata berfungsi dengan membersihkan DNF cache dan menyegarkan metadata:
```
[ec2-user ~]$ sudo dnf clean metadata
[ec2-user ~]$ sudo dnf makecache
```
Jika verifikasi metadata berhasil, DNF impor kunci GPG (jika belum diimpor) dan membuat cache metadata tanpa kesalahan. Anda akan melihat output yang mirip dengan berikut ini:
```
Amazon Linux 2023 repository 1.7 MB/s | 1.8 kB 00:00
Importing GPG key 0xD832C631:
Userid : "Amazon Linux "
Fingerprint: B21C 50FA 44A9 9720 EAA7 2F7F E951 904A D832 C631
From : /etc/pki/rpm-gpg/RPM-GPG-KEY-amazon-linux-2023
Amazon Linux 2023 repository 18 MB/s | 55 MB 00:03
Metadata cache created.
```
Jika verifikasi tanda tangan gagal, DNF menampilkan pesan kesalahan yang menunjukkan kegagalan verifikasi tanda tangan GPG dan pembuatan cache metadata gagal.
## Kunci publik GPG untuk repositori AL2023
Kunci publik GPG yang digunakan untuk verifikasi metadata repositori diinstal oleh konfigurasi repositori yang sesuai untuk. RPMs `/etc/pki/rpm-gpg/` Tabel berikut mencantumkan kunci publik yang digunakan oleh setiap repositori.
| Repositori | Kunci penandatanganan Package | Kunci penandatanganan repodata | Didistribusikan di |
| --- | --- | --- | --- |
| Inti (amazonlinux) | RPM-GPG-KEY-amazon-linux-2023 | RPM-GPG-KEY-amazon-linux-2023 | system-release |
| Kernel Livepatch () kernel-livepatch | RPM-GPG-KEY-amazon-linux-2023 | RPM-GPG-KEY-amazon-linux-2023 | system-release |
| NVIDIA (amazonlinux-nvidia) | RPM-GPG-KEY-NVIDIA-D42D0685 | RPM-GPG-KEY-amazon-linux-2023-nvidia | nvidia-release |
| SPAL () amazonlinux-spal | RPM-GPG-KEY-amazonlinux-spal | RPM-GPG-KEY-amazonlinux-spal | spal-release |
Tombol-tombol ini secara otomatis diinstal ketika Anda menginstal konfigurasi repositori yang sesuai RPM.
# Boot Aman UEFI aktif AL2023
AL2023 mendukung UEFI Secure Boot dimulai dengan rilis 2023.1. Anda harus menggunakan AL2023 dengan instans Amazon EC2 yang mendukung UEFI dan UEFI Secure Boot. *Untuk informasi selengkapnya, lihat [Persyaratan untuk meluncurkan instans Amazon EC2 dalam mode boot UEFI di Panduan Pengguna](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/launch-instance-boot-mode.html) Amazon EC2.*
AL2023 instance dengan UEFI Secure Boot diaktifkan hanya menerima kode tingkat kernel, termasuk kernel Linux serta modul, yang ditandatangani oleh Amazon sehingga Anda dapat memastikan bahwa instance Anda hanya menjalankan kode tingkat kernel yang ditandatangani oleh. AWS
*Untuk informasi selengkapnya tentang instans Amazon EC2 dan Boot Aman UEFI, lihat Boot Aman [UEFI untuk instans Amazon EC2 Amazon di Panduan Pengguna Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/uefi-secure-boot.html).*
**Prasyarat**
+ Anda harus menggunakan AMI dengan AL2023 rilis 2023.1 atau lebih tinggi.
+ Jenis instans harus mendukung UEFI Secure Boot. *Untuk informasi selengkapnya, lihat [Persyaratan untuk meluncurkan instans Amazon EC2 dalam mode boot UEFI di Panduan Pengguna](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/launch-instance-boot-mode.html) Amazon EC2.*
## Aktifkan Boot Aman UEFI AL2023
Standar AL2023 AMIs menggabungkan bootloader dan kernel yang ditandatangani oleh kunci kami. Anda dapat mengaktifkan Boot Aman UEFI baik dengan mendaftarkan instance yang ada atau membuat AMIs dengan UEFI Secure Boot yang telah diaktifkan sebelumnya dengan mendaftarkan gambar dari snapshot. Boot Aman UEFI tidak diaktifkan secara default pada standar. AL2023 AMIs
Mode boot AL2023 AMIs diatur untuk memastikan bahwa instance `uefi-preferred` yang diluncurkan dengan ini AMIs akan menggunakan firmware UEFI, jika jenis instans mendukung UEFI. Jika jenis instans tidak mendukung UEFI, instance diluncurkan dengan firmware Legacy BIOS. Ketika sebuah instance diluncurkan dalam mode Legacy BIOS, UEFI Secure Boot tidak diberlakukan.
*Untuk informasi selengkapnya tentang mode boot AMI di instans Amazon EC2, lihat Perilaku [peluncuran instans dengan mode boot Amazon EC2 Amazon di Panduan](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ami-boot.html) Pengguna Amazon EC2.*
**Topics**
+ [Aktifkan Boot Aman UEFI AL2023](#enablement)
+ [Pendaftaran instance yang ada](#enrollment-existing-instance)
+ [Daftarkan gambar dari snapshot](#secure-boot-amis)
+ [Pembaruan pencabutan](#revocation-updates)
+ [Cara kerja UEFI Secure Boot AL2023](#shim-use)
+ [Mendaftarkan kunci Anda sendiri](#enrolling-own-keys)
## Pendaftaran instance yang ada
Untuk mendaftarkan instance yang ada, isi variabel firmware UEFI tertentu dengan satu set kunci yang memungkinkan firmware memverifikasi bootloader dan bootloader untuk memverifikasi kernel pada boot berikutnya.
1. Amazon Linux menyediakan alat untuk menyederhanakan proses pendaftaran. Jalankan perintah berikut untuk menyediakan instance dengan set kunci dan sertifikat yang diperlukan.
```
sudo amazon-linux-sb enroll
```
1. Jalankan perintah berikut untuk me-reboot instance. Setelah instance di-boot ulang, UEFI Secure Boot akan diaktifkan.
```
sudo reboot
```
**catatan**
Amazon Linux AMIs saat ini tidak mendukung Nitro Trusted Platform Module (NitroTPM). Jika Anda membutuhkan NitrotPM selain UEFI Secure Boot, gunakan informasi di bagian berikut.
## Daftarkan gambar dari snapshot
Saat mendaftarkan AMI dari snapshot volume root Amazon EBS menggunakan Amazon `register-image` EC2 API, Anda dapat menyediakan AMI dengan gumpalan biner yang berisi status penyimpanan variabel UEFI. Dengan menyediakan AL2023 `UefiData`, Anda mengaktifkan UEFI Secure Boot dan tidak perlu mengikuti langkah-langkah di bagian sebelumnya.
Untuk informasi selengkapnya tentang membuat dan menggunakan gumpalan biner, lihat [Membuat gumpalan biner yang berisi penyimpanan variabel yang telah diisi sebelumnya di Panduan](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/create-ami-with-uefi-secure-boot.html#uefi-secure-boot-optionB) Pengguna *Amazon* EC2.
AL2023 menyediakan gumpalan biner pra-bangun yang dapat digunakan langsung di instans Amazon EC2. Gumpalan biner terletak di `/usr/share/amazon-linux-sb-keys/uefi.vars` pada instance yang sedang berjalan. Gumpalan ini disediakan oleh paket `amazon-linux-sb-keys` RPM yang diinstal secara default AL2023 AMIs dimulai dengan rilis 2023.1.
**catatan**
Untuk memastikan bahwa Anda menggunakan kunci dan pencabutan versi terbaru, gunakan gumpalan dari rilis yang sama dengan AL2023 yang Anda gunakan untuk membuat AMI.
Saat mendaftarkan gambar, sebaiknya gunakan `BootMode` parameter [https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_RegisterImage.html](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_RegisterImage.html)API yang disetel ke`uefi`. Ini memungkinkan Anda untuk mengaktifkan NitroTPM dengan mengatur `TpmSupport` parameter ke. `v2.0` Selain itu, pengaturan `BootMode` untuk `uefi` memastikan bahwa UEFI Secure Boot diaktifkan dan tidak dapat dinonaktifkan secara tidak sengaja saat beralih ke jenis instans yang tidak mendukung UEFI.
*Untuk informasi selengkapnya tentang NitroTPM, lihat instans [NitroTPM untuk Amazon Amazon EC2 di Panduan Pengguna Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/nitrotpm.html).*
## Pembaruan pencabutan
Mungkin perlu bagi Amazon Linux untuk mendistribusikan versi baru bootloader `grub2` atau kernel Linux yang ditandatangani dengan kunci yang diperbarui. Dalam hal ini, kunci lama mungkin perlu dicabut untuk mencegah kemungkinan mengizinkan bug yang dapat dieksploitasi dari versi bootloader sebelumnya untuk melewati proses verifikasi Boot Aman UEFI.
Package update ke `grub2` or `kernel` packages selalu secara otomatis memperbarui daftar pencabutan ke dalam penyimpanan variabel UEFI dari instance yang sedang berjalan. Ini berarti bahwa dengan UEFI Secure Boot diaktifkan, Anda tidak dapat lagi menjalankan versi lama paket setelah menginstal pembaruan keamanan untuk paket tersebut.
## Cara kerja UEFI Secure Boot AL2023
Tidak seperti distribusi Linux lainnya, Amazon Linux tidak menyediakan komponen tambahan, yang disebut shim, untuk bertindak sebagai bootloader tahap pertama. Shim umumnya ditandatangani dengan kunci Microsoft. Misalnya, pada distribusi Linux dengan shim, shim memuat `grub2` bootloader yang menggunakan kode shim sendiri untuk memverifikasi kernel Linux. Selain itu, shim mempertahankan set kunci dan pencabutan sendiri dalam database Machine Owner Key (MOK) yang terletak di penyimpanan variabel UEFI dan dikontrol dengan alat. `mokutil`
Amazon Linux tidak menyediakan shim. Karena pemilik AMI mengontrol variabel UEFI, langkah perantara ini tidak diperlukan dan akan berdampak buruk pada waktu peluncuran dan boot. Selain itu, kami memilih untuk tidak menyertakan kepercayaan ke kunci vendor mana pun secara default, untuk mengurangi kemungkinan binari yang tidak diinginkan dapat dieksekusi. Seperti biasa, pelanggan dapat menyertakan binari jika mereka memilih untuk melakukannya.
Dengan Amazon Linux, UEFI langsung memuat dan memverifikasi bootloader kami. `grub2` `grub2`Bootloader dimodifikasi untuk menggunakan UEFI untuk memverifikasi kernel Linux setelah memuatnya. Dengan demikian, Kernel Linux diverifikasi menggunakan sertifikat yang sama yang disimpan dalam `db` variabel UEFI normal (database kunci resmi) dan diuji terhadap `dbx` variabel yang sama (database pencabutan) seperti bootloader dan binari UEFI lainnya. Karena kami menyediakan kunci PK dan KEK kami sendiri, yang mengontrol akses ke database db dan database dbx, kami dapat mendistribusikan pembaruan dan pencabutan yang ditandatangani sesuai kebutuhan tanpa perantara seperti shim.
*Untuk informasi selengkapnya tentang Boot Aman UEFI, lihat [Cara Kerja Boot Aman UEFI dengan instans Amazon Amazon EC2 di Panduan Pengguna Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/how-uefi-secure-boot-works.html).*
## Mendaftarkan kunci Anda sendiri
Seperti yang didokumentasikan di bagian sebelumnya, Amazon Linux tidak memerlukan `shim` untuk UEFI Secure Boot di Amazon EC2. Ketika Anda membaca dokumentasi untuk distribusi Linux lainnya, Anda mungkin menemukan dokumentasi untuk mengelola database Machine Owner Key (MOK) menggunakan`mokutil`, yang tidak ada di. AL2023 Lingkungan `shim` dan MOK bekerja di sekitar beberapa batasan pendaftaran kunci di Firmware UEFI yang tidak berlaku untuk cara Amazon EC2 mengimplementasikan Boot Aman UEFI. Dengan Amazon EC2 ada mekanisme untuk dengan mudah memanipulasi kunci di toko variabel UEFI dengan mudah.
Jika Anda ingin mendaftarkan kunci Anda sendiri, Anda dapat melakukannya baik dengan memanipulasi penyimpanan variabel dalam instance yang ada (lihat [Tambahkan kunci ke penyimpanan variabel dari dalam instance](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/create-ami-with-uefi-secure-boot.html#uefi-secure-boot-optionA)) atau dengan membuat gumpalan biner yang telah diisi sebelumnya (lihat [Buat gumpalan biner yang berisi penyimpanan variabel yang](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/create-ami-with-uefi-secure-boot.html#uefi-secure-boot-optionB) telah diisi sebelumnya).