Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# AL2023 Indurimento del kernel
Il kernel Linux 6.1 AL2023 è configurato e costruito con diverse opzioni e funzionalità di rafforzamento.
## Opzioni di rafforzamento del kernel (indipendenti dall'architettura)
| Opzione `CONFIG` | AL2023/6.1/aarch64 | AL2023/6.1/x86\_64 | AL2023/6.12/aarch64 | AL2023/6.12/x86\_64 | AL2023/6.18/aarch64 | AL2023/6.18/x86\_64 |
| --- | --- | --- | --- | --- | --- | --- |
| [`CONFIG_ACPI_CUSTOM_METHOD`](#CONFIG_ACPI_CUSTOM_METHOD) | n | n | N/D | N/D | N/D | N/D |
| [`CONFIG_BINFMT_MISC`](#CONFIG_BINFMT_MISC) | m | m | m | m | m | m |
| [`CONFIG_BUG`](#CONFIG_BUG) | y | y | y | y | y | y |
| [`CONFIG_BUG_ON_DATA_CORRUPTION`](#CONFIG_BUG_ON_DATA_CORRUPTION) | y | y | y | y | y | y |
| [`CONFIG_CFI_CLANG`](#CONFIG_CFI_CLANG) | N/D | N/D | N/D | N/D | N/D | N/D |
| [`CONFIG_CFI_PERMISSIVE`](#CONFIG_CFI_PERMISSIVE) | N/D | N/D | N/D | N/D | N/D | N/D |
| [`CONFIG_COMPAT`](#CONFIG_COMPAT) | y | y | y | y | y | y |
| [`CONFIG_COMPAT_BRK`](#CONFIG_COMPAT_BRK) | n | n | n | n | n | n |
| [`CONFIG_COMPAT_VDSO`](#CONFIG_COMPAT_VDSO) | N/D | n | N/D | n | N/D | n |
| [`CONFIG_DEBUG_CREDENTIALS`](#CONFIG_DEBUG_CREDENTIALS) | n | n | N/D | N/D | N/D | N/D |
| [`CONFIG_DEBUG_LIST`](#CONFIG_DEBUG_LIST) | y | y | y | y | y | y |
| [`CONFIG_DEBUG_NOTIFIERS`](#CONFIG_DEBUG_NOTIFIERS) | n | n | n | n | n | n |
| [`CONFIG_DEBUG_SG`](#CONFIG_DEBUG_SG) | n | n | n | n | n | n |
| [`CONFIG_DEBUG_VIRTUAL`](#CONFIG_DEBUG_VIRTUAL) | n | n | n | n | n | n |
| [`CONFIG_DEBUG_WX`](#CONFIG_DEBUG_WX) | n | n | n | n | n | n |
| [`CONFIG_DEFAULT_MMAP_MIN_ADDR`](#CONFIG_DEFAULT_MMAP_MIN_ADDR) | 65536 | 65536 | 65536 | 65536 | 65536 | 65536 |
| [`CONFIG_DEVKMEM`](compare-with-al2-kernel.md#CONFIG_DEVKMEM) | N/D | N/D | N/D | N/D | N/D | N/D |
| [`CONFIG_DEVMEM`](compare-with-al2-kernel.md#CONFIG_DEVMEM) | n | n | n | n | n | n |
| [`CONFIG_EFI_DISABLE_PCI_DMA`](#CONFIG_EFI_DISABLE_PCI_DMA) | n | n | n | n | n | n |
| [`CONFIG_FORTIFY_SOURCE`](compare-with-al2-kernel.md#CONFIG_FORTIFY_SOURCE) | y | y | y | y | y | y |
| [`CONFIG_HARDENED_USERCOPY`](#CONFIG_HARDENED_USERCOPY) | y | y | y | y | y | y |
| [`CONFIG_HARDENED_USERCOPY_FALLBACK`](#CONFIG_HARDENED_USERCOPY_FALLBACK) | N/D | N/D | N/D | N/D | N/D | N/D |
| [`CONFIG_HARDENED_USERCOPY_PAGESPAN`](#CONFIG_HARDENED_USERCOPY_PAGESPAN) | N/D | N/D | N/D | N/D | N/D | N/D |
| [`CONFIG_HIBERNATION`](#CONFIG_HIBERNATION) | y | y | y | y | y | y |
| [`CONFIG_HW_RANDOM_TPM`](#CONFIG_HW_RANDOM_TPM) | N/D | N/D | N/D | N/D | N/D | N/D |
| [`CONFIG_INET_DIAG`](#CONFIG_INET_DIAG) | m | m | m | m | m | m |
| [`CONFIG_INIT_ON_ALLOC_DEFAULT_ON`](#CONFIG_INIT_ON_ALLOC_DEFAULT_ON) | n | n | n | n | n | n |
| [`CONFIG_INIT_ON_FREE_DEFAULT_ON`](#CONFIG_INIT_ON_FREE_DEFAULT_ON) | n | n | n | n | n | n |
| [`CONFIG_INIT_STACK_ALL_ZERO`](#CONFIG_INIT_STACK_ALL_ZERO) | N/D | N/D | N/D | N/D | N/D | N/D |
| [`CONFIG_IOMMU_DEFAULT_DMA_STRICT`](#CONFIG_IOMMU_DEFAULT_DMA_STRICT) | n | n | n | n | n | n |
| [`CONFIG_IOMMU_SUPPORT`](#CONFIG_IOMMU_SUPPORT) | y | y | y | y | y | y |
| [`CONFIG_IO_STRICT_DEVMEM`](compare-with-al2-kernel.md#CONFIG_IO_STRICT_DEVMEM) | N/D | N/D | N/D | N/D | N/D | N/D |
| [`CONFIG_KEXEC`](#CONFIG_KEXEC) | y | y | y | y | y | y |
| [`CONFIG_KFENCE`](#CONFIG_KFENCE) | n | n | n | n | n | n |
| [`CONFIG_LDISC_AUTOLOAD`](compare-with-al2-kernel.md#CONFIG_LDISC_AUTOLOAD) | n | n | n | n | n | n |
| [`CONFIG_LEGACY_PTYS`](#CONFIG_LEGACY_PTYS) | n | n | n | n | n | n |
| [`CONFIG_LOCK_DOWN_KERNEL_FORCE_CONFIDENTIALITY`](#CONFIG_LOCK_DOWN_KERNEL_FORCE_CONFIDENTIALITY) | n | n | n | n | n | n |
| [`CONFIG_MODULES`](#CONFIG_MODULES) | y | y | y | y | y | y |
| [`CONFIG_MODULE_SIG`](#CONFIG_MODULE_SIG) | y | y | y | y | y | y |
| [`CONFIG_MODULE_SIG_ALL`](#CONFIG_MODULE_SIG_ALL) | y | y | y | y | y | y |
| [`CONFIG_MODULE_SIG_FORCE`](#CONFIG_MODULE_SIG_FORCE) | n | n | n | n | n | n |
| [`CONFIG_MODULE_SIG_HASH`](#CONFIG_MODULE_SIG_HASH) | sha512 | sha512 | sha512 | sha512 | sha512 | sha512 |
| [`CONFIG_MODULE_SIG_KEY`](#CONFIG_MODULE_SIG_KEY) | certs/signing\_key.pem | certs/signing\_key.pem | certs/signing\_key.pem | certs/signing\_key.pem | certs/signing\_key.pem | certs/signing\_key.pem |
| [`CONFIG_MODULE_SIG_SHA512`](#CONFIG_MODULE_SIG_SHA512) | y | y | y | y | y | y |
| [`CONFIG_PAGE_POISONING`](#CONFIG_PAGE_POISONING) | n | n | n | n | n | n |
| [`CONFIG_PAGE_POISONING_NO_SANITY`](#CONFIG_PAGE_POISONING_NO_SANITY) | N/D | N/D | N/D | N/D | N/D | N/D |
| [`CONFIG_PAGE_POISONING_ZERO`](#CONFIG_PAGE_POISONING_ZERO) | N/D | N/D | N/D | N/D | N/D | N/D |
| [`CONFIG_PANIC_ON_OOPS`](compare-with-al2-kernel.md#CONFIG_PANIC_ON_OOPS) | y | y | y | y | y | y |
| [`CONFIG_PANIC_TIMEOUT`](#CONFIG_PANIC_TIMEOUT) | 0 | 0 | 0 | 0 | 0 | 0 |
| [`CONFIG_PROC_KCORE`](#CONFIG_PROC_KCORE) | y | y | y | y | y | y |
| [`CONFIG_RANDOMIZE_KSTACK_OFFSET_DEFAULT`](#CONFIG_RANDOMIZE_KSTACK_OFFSET_DEFAULT) | n | n | n | n | n | n |
| [`CONFIG_RANDOM_TRUST_BOOTLOADER`](#CONFIG_RANDOM_TRUST_BOOTLOADER) | y | y | N/D | N/D | N/D | N/D |
| [`CONFIG_RANDOM_TRUST_CPU`](#CONFIG_RANDOM_TRUST_CPU) | y | y | N/D | N/D | N/D | N/D |
| [`CONFIG_REFCOUNT_FULL`](#CONFIG_REFCOUNT_FULL) | N/D | N/D | N/D | N/D | N/D | N/D |
| [`CONFIG_SCHED_CORE`](#CONFIG_SCHED_CORE) | N/D | y | N/D | y | N/D | y |
| [`CONFIG_SCHED_STACK_END_CHECK`](#CONFIG_SCHED_STACK_END_CHECK) | y | y | y | y | y | y |
| [`CONFIG_SECCOMP`](#CONFIG_SECCOMP) | y | y | y | y | y | y |
| [`CONFIG_SECCOMP_FILTER`](#CONFIG_SECCOMP_FILTER) | y | y | y | y | y | y |
| [`CONFIG_SECURITY`](#CONFIG_SECURITY) | y | y | y | y | y | y |
| [`CONFIG_SECURITY_DMESG_RESTRICT`](compare-with-al2-kernel.md#CONFIG_SECURITY_DMESG_RESTRICT) | y | y | y | y | y | y |
| [`CONFIG_SECURITY_LANDLOCK`](#CONFIG_SECURITY_LANDLOCK) | y | y | y | y | y | y |
| [`CONFIG_SECURITY_LOCKDOWN_LSM`](#CONFIG_SECURITY_LOCKDOWN_LSM) | y | y | y | y | y | y |
| [`CONFIG_SECURITY_LOCKDOWN_LSM_EARLY`](#CONFIG_SECURITY_LOCKDOWN_LSM_EARLY) | y | y | y | y | y | y |
| [`CONFIG_SECURITY_SELINUX_BOOTPARAM`](#CONFIG_SECURITY_SELINUX_BOOTPARAM) | y | y | y | y | y | y |
| [`CONFIG_SECURITY_SELINUX_DEVELOP`](#CONFIG_SECURITY_SELINUX_DEVELOP) | y | y | y | y | y | y |
| [`CONFIG_SECURITY_SELINUX_DISABLE`](compare-with-al2-kernel.md#CONFIG_SECURITY_SELINUX_DISABLE) | n | n | N/D | N/D | N/D | N/D |
| [`CONFIG_SECURITY_WRITABLE_HOOKS`](#CONFIG_SECURITY_WRITABLE_HOOKS) | N/D | N/D | N/D | N/D | N/D | N/D |
| [`CONFIG_SECURITY_YAMA`](#CONFIG_SECURITY_YAMA) | y | y | y | y | y | y |
| [`CONFIG_SHUFFLE_PAGE_ALLOCATOR`](#CONFIG_SHUFFLE_PAGE_ALLOCATOR) | y | y | y | y | y | y |
| [`CONFIG_SLAB_FREELIST_HARDENED`](#CONFIG_SLAB_FREELIST_HARDENED) | y | y | y | y | y | y |
| [`CONFIG_SLAB_FREELIST_RANDOM`](#CONFIG_SLAB_FREELIST_RANDOM) | y | y | y | y | y | y |
| [`CONFIG_SLUB_DEBUG`](#CONFIG_SLUB_DEBUG) | y | y | y | y | y | y |
| [`CONFIG_STACKPROTECTOR`](#CONFIG_STACKPROTECTOR) | y | y | y | y | y | y |
| [`CONFIG_STACKPROTECTOR_STRONG`](#CONFIG_STACKPROTECTOR_STRONG) | y | y | y | y | y | y |
| [`CONFIG_STATIC_USERMODEHELPER`](#CONFIG_STATIC_USERMODEHELPER) | n | n | n | n | n | n |
| [`CONFIG_STRICT_DEVMEM`](compare-with-al2-kernel.md#CONFIG_STRICT_DEVMEM) | n | n | n | n | n | n |
| [`CONFIG_STRICT_KERNEL_RWX`](#CONFIG_STRICT_KERNEL_RWX) | y | y | y | y | y | y |
| [`CONFIG_STRICT_MODULE_RWX`](#CONFIG_STRICT_MODULE_RWX) | y | y | y | y | y | y |
| [`CONFIG_SYN_COOKIES`](#CONFIG_SYN_COOKIES) | y | y | y | y | y | y |
| [`CONFIG_VMAP_STACK`](#CONFIG_VMAP_STACK) | y | y | y | y | y | y |
| [`CONFIG_WERROR`](#CONFIG_WERROR) | n | n | n | n | n | n |
| [`CONFIG_ZERO_CALL_USED_REGS`](#CONFIG_ZERO_CALL_USED_REGS) | n | n | n | n | n | n |
### Consenti ai metodi ACPI di essere in fase di esecuzione (CONFIG\_ACPI\_CUSTOM\_METHOD) inserted/replaced
Amazon Linux disabilita questa opzione in quanto consente agli utenti `root` di scrivere nella memoria kernel arbitraria.
Questa opzione è una delle [impostazioni consigliate per Kernel Self Protection Project](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings).
### Formati binari vari (`binfmt_misc`)
Sebbene questa opzione sia una delle impostazioni consigliate dal [Kernel Self Protection Project (KSPP), AL2023 non imposta questa opzione di configurazione come consigliata da KSPP](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings). In AL2023, questa funzionalità è opzionale ed è integrata come modulo del kernel.
### Supporto di `BUG()`
Questa opzione è una delle [impostazioni consigliate per Kernel Self Protection Project](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings).
### `BUG()` se il kernel riscontra un danneggiamento dei dati durante la verifica della validità delle strutture di memoria del kernel
Alcune parti del kernel Linux controllano la coerenza interna delle strutture di dati e possono eseguire `BUG()` quando rilevano un danneggiamento dei dati.
Questa opzione è una delle [impostazioni consigliate per Kernel Self Protection Project](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings).
### `COMPAT_BRK`
Con questa opzione disabilitata (che è il modo in cui Amazon Linux configura il kernel), l'impostazione predefinita per `randomize_va_space` `sysctl` è `2`, che abilita anche la randomizzazione degli heap sulla base `mmap`, sullo stack e sulla randomizzazione delle pagine VDSO.
Questa opzione esiste nel kernel per garantire la compatibilità con alcuni file binari `libc.so.5` obsoleti del 1996 e precedenti.
Questa opzione è una delle [impostazioni consigliate per Kernel Self Protection Project](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings).
### `COMPAT_VDSO`
Questa opzione di configurazione è rilevante per `x86-64` e non per `aarch64`. Impostandola su `n`, il kernel di Amazon Linux non rende visibile un Virtual Dynamic Shared Object (VDSO) a 32 bit a un indirizzo prevedibile. La più recente libreria `glibc` nota per essere danneggiata dall'impostazione di questa opzione su `n` è `glibc` 2.3.3, del 2004.
Questa opzione è una delle [impostazioni consigliate per Kernel Self Protection Project](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings).
### `CONFIG_DEBUG`indurimento recintato
Le opzioni di configurazione del kernel Linux gated by `CONFIG_DEBUG` sono in genere progettate per l'uso in kernel creati per problemi di debug, e cose come le prestazioni non sono una priorità. AL2023 abilita l'opzione di rafforzamento. `CONFIG_DEBUG_LIST`
### Disabilitazione di DMA per i dispositivi PCI nello stub EFI prima della configurazione di IOMMU
Sebbene questa opzione sia una delle [impostazioni consigliate dal Kernel Self Protection Project (KSPP), AL2023 non imposta questa opzione di configurazione su quella consigliata](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings) da KSPP.
### Rafforzamento per la copia della memoria tra kernel e spazio utente
Quando il kernel deve copiare la memoria da o verso lo spazio utente, questa opzione abilita alcuni controlli che possono proteggere da alcune classi di problemi di overflow dell'heap.
L'opzione `CONFIG_HARDENED_USERCOPY_FALLBACK` esisteva nei kernel da 4.16 a 5.15 per aiutare gli sviluppatori del kernel a scoprire eventuali voci mancanti dell'elenco degli indirizzi consentiti tramite un `WARN()`. Poiché AL2023 viene fornito un kernel 6.1, questa opzione non è più rilevante per. AL2023
L'`CONFIG_HARDENED_USERCOPY_PAGESPAN`opzione esisteva nei kernel principalmente come opzione di debug per gli sviluppatori e non si applica più al kernel 6.1 in. AL2023
Questa opzione è una delle [impostazioni consigliate per Kernel Self Protection Project](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings).
### Supporto per l'ibernazione
Sebbene questa opzione sia una delle impostazioni consigliate dal [Kernel Self Protection Project (KSPP), AL2023 non imposta questa opzione di configurazione secondo quanto consigliato](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings) da KSPP. Questa opzione deve essere abilitata per supportare la possibilità di [ibernare l'istanza on demand](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Hibernate.html) e quella di [ibernare le istanze spot interrotte](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/hibernate-spot-instances.html)
### Generazione di numeri casuali
Il kernel AL2023 è configurato per garantire che sia disponibile un'entropia adeguata per l'utilizzo all'interno di EC2.
### `CONFIG_INET_DIAG`
Sebbene questa opzione sia una delle impostazioni consigliate dal [Kernel Self Protection Project (KSPP), AL2023 non imposta questa opzione di configurazione secondo quanto consigliato](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings) da KSPP. In AL2023, questa funzionalità è opzionale ed è integrata come modulo del kernel.
### Azzera tutta la memoria del kernel, delle pagine e degli allocatori di slab durante l'allocazione e la deallocazione
Sebbene questa opzione sia una delle impostazioni consigliate dal [Kernel Self Protection Project (KSPP), AL2023 non imposta questa opzione di configurazione su quella consigliata](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings) da KSPP. Queste opzioni sono disabilitate a AL2023 causa del possibile impatto sulle prestazioni derivante dall'attivazione di questa funzionalità per impostazione predefinita. Il comportamento `CONFIG_INIT_ON_ALLOC_DEFAULT_ON` può essere abilitato aggiungendolo `init_on_alloc=1` alla riga di comando del kernel e il comportamento `CONFIG_INIT_ON_FREE_DEFAULT_ON` può essere abilitato aggiungendo `init_on_free=1`.
### Inizializzazione di tutte le variabili dello stack su zero (`CONFIG_INIT_STACK_ALL_ZERO`)
Sebbene questa opzione sia una delle [impostazioni consigliate dal Kernel Self Protection Project (KSPP), AL2023 non imposta questa opzione di configurazione secondo quanto consigliato](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings) da KSPP. Questa opzione ne richiede GCC 12 o più, mentre AL2023 viene fornita con GCC 11.
### Firma del modulo Kernel
AL2023 firma e convalida le firme dei moduli del kernel. L'opzione `CONFIG_MODULE_SIG_FORCE`, che richiederebbe ai moduli di avere una firma valida, non è abilitata per preservare la compatibilità per gli utenti che creano moduli di terze parti. Per gli utenti che vogliono assicurarsi che tutti i moduli del kernel siano firmati, [Modulo di sicurezza Linux Lockdown (LSM)](#CONFIG_SECURITY_LOCKDOWN_LSM) può essere configurato in modo da imporre questa condizione.
### `kexec`
Sebbene questa opzione sia una delle [impostazioni consigliate dal Kernel Self Protection Project (KSPP), AL2023 non imposta questa opzione di configurazione secondo quanto consigliato](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings) da KSPP. Questa opzione è abilitata in modo da poter utilizzare la funzionalità `kdump`.
### `IOMMU`Support
AL2023 abilita il supporto IOMMU. L'opzione `CONFIG_IOMMU_DEFAULT_DMA_STRICT` non è abilitata per impostazione predefinita, ma questa funzionalità può essere configurata aggiungendo `iommu.passthrough=0 iommu.strict=1` alla riga di comando del kernel.
### `kfence`
Sebbene questa opzione sia una delle [impostazioni consigliate dal Kernel Self Protection Project (KSPP), AL2023 non imposta questa opzione di configurazione su quella consigliata](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings) da KSPP.
### Supporto per `pty` legacy
AL2023 utilizza l'interfaccia moderna (). PTY `devpts`
Questa opzione è una delle [impostazioni consigliate per Kernel Self Protection Project](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings).
### Modulo di sicurezza Linux Lockdown (LSM)
AL2023 crea l'`lockdown`LSM, che bloccherà automaticamente il kernel quando si usa Secure Boot.
L'opzione `CONFIG_LOCK_DOWN_KERNEL_FORCE_CONFIDENTIALITY` non è abilitata. Sebbene questa opzione sia una delle [impostazioni consigliate dal Kernel Self Protection Project (KSPP), AL2023 non imposta questa opzione di configurazione secondo quanto consigliato](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings) da KSPP. Quando non si utilizza Secure Boot, è possibile abilitare l'LSM Lockdown e configurarlo come desiderato.
### Avvelenamento delle pagine
Sebbene questa opzione sia una delle [impostazioni consigliate dal Kernel Self Protection Project (KSPP), AL2023 non imposta questa opzione di configurazione su quella consigliata](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings) da KSPP. Analogamente[Azzera tutta la memoria del kernel, delle pagine e degli allocatori di slab durante l'allocazione e la deallocazione](#kernel-init-on-alloc-free), questa opzione è disabilitata nel AL2023 kernel a causa del possibile impatto sulle prestazioni.
### Stack Protector
Il AL2023 kernel è costruito con la funzionalità stack-protector abilitata con l'GCCopzione. `-fstack-protector-strong`
Questa opzione è una delle [impostazioni consigliate per Kernel Self Protection Project](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings).
### seccomp BPF API
La funzionalità di rafforzamento seccomp viene utilizzata da software come `systemd` e i runtime dei container per rafforzare le applicazioni dello spazio utente.
Questa opzione è una delle [impostazioni consigliate per Kernel Self Protection Project](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings).
### Timeout `panic()`
Il AL2023 kernel è configurato con questo valore impostato su`0`, il che significa che il kernel non si riavvierà in caso di panico. Sebbene questa opzione sia una delle impostazioni consigliate dal [Kernel Self Protection Project (KSPP), AL2023 non imposta questa opzione di configurazione su quella consigliata](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings) da KSPP. È configurabile tramite `sysctl`, `/proc/sys/kernel/panic` e sulla riga di comando del kernel.
### Modelli di sicurezza
AL2023 abilita SELinux in modalità Permissiva per impostazione predefinita. Per ulteriori informazioni, consulta [Impostazione SELinux delle modalità per AL2 023](selinux-modes.md).
Anche i moduli [Modulo di sicurezza Linux Lockdown (LSM)](#CONFIG_SECURITY_LOCKDOWN_LSM) e `yama` sono abilitati.
### `/proc/kcore`
Sebbene questa opzione sia una delle [impostazioni consigliate dal Kernel Self Protection Project (KSPP), AL2023 non imposta questa opzione di configurazione su quella consigliata](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings) da KSPP.
### Randomizzazione dell'offset dello stack del kernel all'inserimento di syscall
Sebbene questa opzione sia una delle impostazioni consigliate dal [Kernel Self Protection Project (KSPP), AL2023 non imposta questa opzione di configurazione secondo quanto consigliato](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings) da KSPP. Questa opzione può essere abilitata impostando `randomize_kstack_offset=on` sulla riga di comando del kernel.
### Controlli di conteggio dei riferimenti (`CONFIG_REFCOUNT_FULL`)
Sebbene questa opzione sia una delle impostazioni consigliate dal [Kernel Self Protection Project (KSPP), AL2023 non imposta questa opzione di configurazione secondo quanto consigliato](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings) da KSPP. Attualmente questa opzione non è abilitata a causa del suo possibile impatto sulle prestazioni.
### Consapevolezza del pianificatore dei core SMT (`CONFIG_SCHED_CORE`)
Il AL2023 kernel è costruito con, il che consente l'utilizzo da parte delle applicazioni dello `CONFIG_SCHED_CORE` spazio utente. `prctl(PR_SCHED_CORE)` Questa opzione è una delle [impostazioni consigliate per Kernel Self Protection Project](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings).
### Verifica della presenza di danneggiamento dello stack durante le chiamate a `schedule()` (`CONFIG_SCHED_STACK_END_CHECK`)
Il AL2023 kernel è compilato con enabled. `CONFIG_SCHED_STACK_END_CHECK` Questa opzione è una delle [impostazioni consigliate per Kernel Self Protection Project](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings).
### Rafforzamento dell'allocatore di memoria
Il AL2023 kernel abilita il rafforzamento dell'allocatore di memoria del kernel con le opzioni,, and. `CONFIG_SHUFFLE_PAGE_ALLOCATOR` `CONFIG_SLAB_FREELIST_HARDENED` `CONFIG_SLAB_FREELIST_RANDOM` Questa opzione è una delle [impostazioni consigliate per Kernel Self Protection Project](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings).
### Supporto per il debug SLUB
Il AL2023 kernel abilita `CONFIG_SLUB_DEBUG` poiché questa opzione abilita funzionalità di debug opzionali per l'allocatore che possono essere abilitate sulla riga di comando del kernel. Questa opzione è una delle [impostazioni consigliate per Kernel Self Protection Project](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings).
### CONFIG\_STATIC\_USERMODEHELPER
Sebbene questa opzione sia una delle impostazioni consigliate dal [Kernel Self Protection Project (KSPP), AL2023 non imposta questa opzione di configurazione in base a quanto consigliato](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings) da KSPP. Questo perché `CONFIG_STATIC_USERMODEHELPER` richiede un supporto speciale da parte della distribuzione, che attualmente non è presente in Amazon Linux.
### Testo del kernel di sola lettura e rodata (`CONFIG_STRICT_KERNEL_RWX` e `CONFIG_STRICT_MODULE_RWX`)
Il AL2023 kernel è configurato per contrassegnare il testo e la memoria del kernel e dei moduli del kernel come di sola lettura e la rodata memoria non testuale contrassegnata come non eseguibile. Questa opzione è una delle [impostazioni consigliate per Kernel Self Protection Project](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings).
### Supporto per TCP syncookie (`CONFIG_SYN_COOKIES`)
Il AL2023 kernel è costruito con il supporto per i syncookie TCP. Questa opzione è una delle [impostazioni consigliate per Kernel Self Protection Project](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings).
### Stack mappato virtualmente con pagine guard (`CONFIG_VMAP_STACK`)
Il AL2023 kernel è costruito con`CONFIG_VMAP_STACK`, abilita stack di kernel mappati virtualmente con pagine guard. Questa opzione è una delle [impostazioni consigliate per Kernel Self Protection Project](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings).
### Compilazione tramite avvisi del compilatore come errori (`CONFIG_WERROR`)
Sebbene questa opzione sia una delle impostazioni consigliate dal [Kernel Self Protection Project (KSPP), AL2023 non imposta questa opzione di configurazione come consigliata](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings) da KSPP.
### Registrazione dell'azzeramento sulla funzione exit (`CONFIG_ZERO_CALL_USED_REGS`)
Sebbene questa opzione sia una delle impostazioni consigliate dal [Kernel Self Protection Project (KSPP), AL2023 non imposta questa opzione di configurazione secondo quanto consigliato](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings) da KSPP.
### Indirizzo minimo per l'allocazione dello spazio utente
Questa opzione di rafforzamento può aiutare a ridurre l'impatto dei bug dei puntatori NULL del kernel. Questa opzione è una delle [impostazioni consigliate per Kernel Self Protection Project](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings).
### `clang`opzioni di indurimento specifiche
Il AL2023 kernel è compilato con GCC invece diclang, quindi l'opzione di `CONFIG_CFI_CLANG` rafforzamento non può essere abilitata, il che rende `CONFIG_CFI_PERMISSIVE` inoltre non applicabile. Sebbene questa opzione sia una delle [impostazioni consigliate dal Kernel Self Protection Project (KSPP), AL2023 non imposta questa opzione di configurazione su quella consigliata](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings) da KSPP.
## Opzioni di rafforzamento del kernel specifiche di x86-64
| Opzione `CONFIG` | AL2023/6.1/aarch64 | AL2023/6.1/x86\_64 | AL2023/6.12/aarch64 | AL2023/6.12/x86\_64 | AL2023/6.18/aarch64 | AL2023/6.18/x86\_64 |
| --- | --- | --- | --- | --- | --- | --- |
| [`CONFIG_AMD_IOMMU`](#CONFIG_AMD_IOMMU) | N/D | y | N/D | y | N/D | y |
| [`CONFIG_AMD_IOMMU_V2`](#CONFIG_AMD_IOMMU_V2) | N/D | y | N/D | N/D | N/D | N/D |
| [`CONFIG_IA32_EMULATION`](#CONFIG_IA32_EMULATION) | N/D | y | N/D | y | N/D | y |
| [`CONFIG_INTEL_IOMMU`](#CONFIG_INTEL_IOMMU) | N/D | y | N/D | y | N/D | y |
| [`CONFIG_INTEL_IOMMU_DEFAULT_ON`](#CONFIG_INTEL_IOMMU_DEFAULT_ON) | N/D | n | N/D | n | N/D | n |
| [`CONFIG_INTEL_IOMMU_SVM`](#CONFIG_INTEL_IOMMU_SVM) | N/D | n | N/D | n | N/D | n |
| [`CONFIG_LEGACY_VSYSCALL_NONE`](#CONFIG_LEGACY_VSYSCALL_NONE) | N/D | n | N/D | n | N/D | n |
| [`CONFIG_MODIFY_LDT_SYSCALL`](#CONFIG_MODIFY_LDT_SYSCALL) | N/D | n | N/D | n | N/D | n |
| [`CONFIG_PAGE_TABLE_ISOLATION`](#CONFIG_PAGE_TABLE_ISOLATION) | N/D | y | N/D | N/D | N/D | N/D |
| [`CONFIG_RANDOMIZE_MEMORY`](#CONFIG_RANDOMIZE_MEMORY) | N/D | y | N/D | y | N/D | y |
| [`CONFIG_X86_64`](#CONFIG_X86_64) | N/D | y | N/D | y | N/D | y |
| [`CONFIG_X86_MSR`](#CONFIG_X86_MSR) | N/D | y | N/D | y | N/D | y |
| [`CONFIG_X86_VSYSCALL_EMULATION`](#CONFIG_X86_VSYSCALL_EMULATION) | N/D | y | N/D | y | N/D | y |
| [`CONFIG_X86_X32`](#CONFIG_X86_X32) | N/D | N/D | N/D | N/D | N/D | N/D |
| [`CONFIG_X86_X32_ABI`](#CONFIG_X86_X32_ABI) | N/D | n | N/D | n | N/D | n |
### Supporto per x86-64
Il supporto base per x86-64 include il supporto per i bit Physical Address Extension (PAE) e No eXecute (NX). Questa opzione è una delle [impostazioni consigliate per Kernel Self Protection Project](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings).
### Supporto per AMD e Intel IOMMU
Il AL2023 kernel viene compilato con il supporto per AMD e Intel. IOMMUs Questa opzione è una delle [impostazioni consigliate per Kernel Self Protection Project](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings).
L'opzione `CONFIG_INTEL_IOMMU_DEFAULT_ON` non è impostata, ma può essere abilitata passando `intel_iommu=on` alla riga di comando del kernel. Sebbene questa opzione sia una delle [impostazioni consigliate dal Kernel Self Protection Project (KSPP), AL2023 non imposta questa opzione di configurazione secondo quanto consigliato](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings) da KSPP.
L'`CONFIG_INTEL_IOMMU_SVM`opzione non è attualmente abilitata in. AL2023 Sebbene questa opzione sia una delle [impostazioni consigliate dal Kernel Self Protection Project (KSPP), AL2023 non imposta questa opzione di configurazione su quella consigliata](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings) da KSPP.
### Support per lo spazio utente a 32 bit
**Importante**
Il supporto per lo spazio utente x86 a 32 bit è obsoleto e il supporto per l'esecuzione di file binari dello spazio utente a 32 bit potrebbe essere rimosso in una futura versione principale di Amazon Linux.
**Nota**
Sebbene AL2023 non includa più pacchetti a 32 bit, il kernel supporterà comunque l'esecuzione di uno spazio utente a 32 bit. Per ulteriori informazioni, consulta [Pacchetti x86 (i686) a 32 bit](compare-with-al2.md#i686).
Per supportare l'esecuzione di applicazioni userspace a 32 bit, AL2023 non abilita l'`CONFIG_X86_VSYSCALL_EMULATION`opzione e abilita le opzioni, and. `CONFIG_IA32_EMULATION` `CONFIG_COMPAT` `CONFIG_X86_VSYSCALL_EMULATION` Sebbene questa opzione sia una delle [impostazioni consigliate dal Kernel Self Protection Project (KSPP), AL2023 non imposta questa opzione di configurazione su quella consigliata](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings) da KSPP.
L'ABI x32 nativo a 32 bit per processori a 64 bit non è abilitato (`CONFIG_X86_X32` e `CONFIG_X86_X32_ABI`). Questa opzione è una delle [impostazioni consigliate per Kernel Self Protection Project](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings).
### Supporto per Model Specific Register x86 (MSR)
L'opzione `CONFIG_X86_MSR` è abilitata per supportare `turbostat`. Sebbene questa opzione sia una delle impostazioni consigliate dal [Kernel Self Protection Project (KSPP), AL2023 non imposta questa opzione di configurazione secondo quanto consigliato](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings) da KSPP.
### syscall `modify_ldt`
AL2023 non consente ai programmi utente di modificare la Local Descriptor Table (LDT) x86 con syscall. `modify_ldt` Questa chiamata è necessaria per eseguire codice a 16 bit o segmentato e la sua assenza può compromettere software come `dosemu`, l'esecuzione di alcuni programmi in WINE e alcune librerie di threading molto vecchie. Questa opzione è una delle [impostazioni consigliate per Kernel Self Protection Project](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings).
### Rimozione della mappatura del kernel in modalità utente
AL2023 configura il kernel in modo che la maggior parte degli indirizzi del kernel non sia mappata nello spazio utente. Questa opzione è una delle [impostazioni consigliate per Kernel Self Protection Project](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings).
### Randomizzazione delle sezioni di memoria del kernel
AL2023 configura il kernel per randomizzare gli indirizzi virtuali di base delle sezioni di memoria del kernel. Questa opzione è una delle [impostazioni consigliate per Kernel Self Protection Project](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings).
## Opzioni di rafforzamento del kernel specifiche di aarch64
| Opzione `CONFIG` | AL2023/6.1/aarch64 | AL2023/6.1/x86\_64 | AL2023/6.12/aarch64 | AL2023/6.12/x86\_64 | AL2023/6.18/aarch64 | AL2023/6.18/x86\_64 |
| --- | --- | --- | --- | --- | --- | --- |
| [`CONFIG_ARM64_BTI`](#CONFIG_ARM64_BTI) | y | N/D | y | N/D | y | N/D |
| [`CONFIG_ARM64_BTI_KERNEL`](#CONFIG_ARM64_BTI_KERNEL) | N/D | N/D | N/D | N/D | N/D | N/D |
| [`CONFIG_ARM64_PTR_AUTH`](#CONFIG_ARM64_PTR_AUTH) | y | N/D | y | N/D | y | N/D |
| [`CONFIG_ARM64_PTR_AUTH_KERNEL`](#CONFIG_ARM64_PTR_AUTH_KERNEL) | y | N/D | y | N/D | y | N/D |
| [`CONFIG_ARM64_SW_TTBR0_PAN`](#CONFIG_ARM64_SW_TTBR0_PAN) | y | N/D | y | N/D | y | N/D |
| [`CONFIG_UNMAP_KERNEL_AT_EL0`](#CONFIG_UNMAP_KERNEL_AT_EL0) | y | N/D | y | N/D | y | N/D |
### Identificazione dei target di ramo
Il AL2023 kernel abilita il supporto per Branch Target Identification (). `CONFIG_ARM64_BTI` Questa opzione è una delle [impostazioni consigliate per Kernel Self Protection Project](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings).
[L'`CONFIG_ARM64_BTI_KERNEL`opzione non è abilitata in AL2023 quanto è stata compilata conGCC, e il supporto per la compilazione del kernel con questa opzione è [attualmente disabilitato nel kernel upstream](https://github.com/torvalds/linux/commit/c0a454b9044fdc99486853aa424e5b3be2107078) a causa di un bug di gcc.](https://gcc.gnu.org/bugzilla/show_bug.cgi?id=106671) Sebbene questa opzione sia una delle impostazioni consigliate dal [Kernel Self Protection Project (KSPP), AL2023 non imposta questa opzione di configurazione in base a quanto consigliato](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings) da KSPP.
### Autenticazione dei puntatori (`CONFIG_ARM64_PTR_AUTH`)
Il AL2023 kernel è costruito con il supporto per l'estensione Pointer Authentication (parte delle estensioni ARMv8 .3), che può essere utilizzata per aiutare a mitigare le tecniche ROP (Return Oriented Programming). Il supporto hardware richiesto per l'autenticazione dei puntatori su [Graviton](https://aws.amazon.com/ec2/graviton) è stato introdotto con Graviton 3.
L'opzione `CONFIG_ARM64_PTR_AUTH` è abilitata e fornisce supporto per l'autenticazione dei puntatori per lo spazio utente. Poiché anche l'`CONFIG_ARM64_PTR_AUTH_KERNEL`opzione è abilitata, il AL2023 kernel è in grado di utilizzare autonomamente la protezione dell'indirizzo di ritorno.
Questa opzione è una delle [impostazioni consigliate per Kernel Self Protection Project](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings).
### Emulazione dell'accesso con privilegi che non usa mai lo switching `TTBR0_EL1`
Questa opzione impedisce al kernel di accedere direttamente alla memoria dello spazio utente, con `TTBR0_EL1` che viene impostato solo temporaneamente su un valore valido dalle routine di accesso utente.
Questa opzione è una delle [impostazioni consigliate per Kernel Self Protection Project](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings).
### Annullamento della mappatura del kernel durante l'esecuzione nello spazio utente
Il AL2023 kernel è configurato per demappare il kernel quando viene eseguito in userspace (). `CONFIG_UNMAP_KERNEL_AT_EL0` Questa opzione è una delle [impostazioni consigliate per Kernel Self Protection Project](https://kernsec.org/wiki/index.php/Kernel_Self_Protection_Project/Recommended_Settings).