翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AL2023 のカーネルの変更 (AL2 との比較)
AL2023 では、6.1 カーネルが導入され、さらに Amazon Linux をクラウド向けに最適化するための多くの設定変更が導入されています。ほとんどのユーザーにとって、これらの変更は完全に透過的であるはずです。
IPv4 TTL
IPv4 の TTL は sysctl を介して設定します。デフォルト値は /etc/sysctl.d/00-defaults.conf にあります。この値は、通常の sysctl メソッドでカスタマイズできます。詳細については、「man sysctl」ページを参照してください。
AL2 では net.ipv4.ip_default_ttl 値を 255 に設定していましたが、AL2023 では 127 に設定します。これにより、Amazon Linux のデフォルトは他の主要な Linux ディストリビューションと同等になります。特に必要でない限り、このデフォルトは変更しないでください。
セキュリティに重点を置いたカーネル設定の変更
CONFIG オプション |
AL2/4.14/aarch64 | AL2/4.14/x86_64 | AL2/5.10/aarch64 | AL2/5.10/x86_64 | AL2023/6.1/aarch64 | AL2023/6.1/x86_64 | AL2023/6.12/aarch64 | AL2023/6.12/x86_64 |
|---|---|---|---|---|---|---|---|---|
| CONFIG_BUG_ON_DATA_CORRUPTION |
n
|
y
|
n
|
y
|
y
|
y
|
y
|
y
|
| CONFIG_DEFAULT_MMAP_MIN_ADDR |
4096
|
4096
|
4096
|
4096
|
65536
|
65536
|
65536
|
65536
|
| CONFIG_DEVMEM |
n
|
y
|
n
|
y
|
n
|
n
|
n
|
n
|
| CONFIG_DEVPORT |
n
|
y
|
n
|
y
|
n
|
n
|
n
|
n
|
| CONFIG_FORTIFY_SOURCE |
n
|
y
|
n
|
y
|
y
|
y
|
y
|
y
|
| CONFIG_HARDENED_USERCOPY_FALLBACK | 該当なし | 該当なし |
y
|
y
|
該当なし | 該当なし | 該当なし | 該当なし |
| CONFIG_INIT_ON_ALLOC_DEFAULT_ON | 該当なし | 該当なし |
n
|
n
|
n
|
n
|
n
|
n
|
| CONFIG_INIT_ON_FREE_DEFAULT_ON | 該当なし | 該当なし |
n
|
n
|
n
|
n
|
n
|
n
|
| CONFIG_IOMMU_DEFAULT_DMA_STRICT | 該当なし | 該当なし | 該当なし | 該当なし |
n
|
n
|
n
|
n
|
| CONFIG_LDISC_AUTOLOAD |
y
|
y
|
y
|
y
|
n
|
n
|
n
|
n
|
| CONFIG_SCHED_CORE | 該当なし | 該当なし | 該当なし | 該当なし | 該当なし |
y
|
該当なし |
y
|
| CONFIG_SCHED_STACK_END_CHECK |
n
|
y
|
n
|
y
|
y
|
y
|
y
|
y
|
| CONFIG_SECURITY_DMESG_RESTRICT |
n
|
n
|
n
|
n
|
y
|
y
|
y
|
y
|
| CONFIG_SECURITY_SELINUX_DISABLE |
y
|
y
|
y
|
y
|
n
|
n
|
該当なし | 該当なし |
| CONFIG_SHUFFLE_PAGE_ALLOCATOR | 該当なし | 該当なし |
y
|
y
|
y
|
y
|
y
|
y
|
| CONFIG_SLAB_FREELIST_HARDENED |
n
|
y
|
y
|
y
|
y
|
y
|
y
|
y
|
| CONFIG_SLAB_FREELIST_RANDOM |
n
|
n
|
y
|
y
|
y
|
y
|
y
|
y
|
x86-64 固有のセキュリティに重点を置いたカーネル設定の変更
CONFIG オプション |
AL2/4.14/x86_64 | AL2/5.10/x86_64 | AL2023/6.1/x86_64 | AL2023/6.12/x86_64 |
|---|---|---|---|---|
| CONFIG_AMD_IOMMU |
y
|
y
|
y
|
y
|
| CONFIG_AMD_IOMMU_V2 |
m
|
m
|
y
|
該当なし |
| CONFIG_RANDOMIZE_MEMORY | 該当なし |
y
|
y
|
y
|
aarch64 (ARM/Graviton) 固有のセキュリティに重点を置いたカーネル設定の変更
CONFIG オプション |
AL2/4.14/aarch64 | AL2/5.10/aarch64 | AL2023/6.1/aarch64 | AL2023/6.12/aarch64 |
|---|---|---|---|---|
| CONFIG_ARM64_PTR_AUTH | 該当なし |
y
|
y
|
y
|
| CONFIG_ARM64_PTR_AUTH_KERNEL | 該当なし | 該当なし |
y
|
y
|
| CONFIG_ARM64_SW_TTBR0_PAN |
y
|
y
|
y
|
y
|
/dev/mem、/dev/kmem、および /dev/port
Amazon Linux 2023 では、AL2 での設定済みの制限に基づいて /dev/mem と /dev/port (CONFIG_DEVMEM および CONFIG_DEVPORT) が完全に無効になります。
/dev/kmem コードは 5.13 カーネルで Linux から完全に削除されました。AL2 では無効になっていましたが、AL2023 では適用されなくなります。
このオプションは、カーネルセルフプロテクションプロジェクト推奨設定
FORTIFY_SOURCE
AL2023 では、サポートされているすべてのアーキテクチャで CONFIG_FORTIFY_SOURCE が有効になります。この機能はセキュリティを強化する機能です。コンパイラがバッファサイズを判別して検証できる場合、この機能は一般的な文字列やメモリ関数のバッファオーバーフローを検出できます。
このオプションは、カーネルセルフプロテクションプロジェクト推奨設定
ラインディシプリン自動ロード (CONFIG_LDISC_AUTOLOAD)
AL2023 カーネルは、CAP_SYS_MODULE アクセス許可を持つプロセスからのリクエストがない限り、TIOCSETD ioctl を使用するソフトウェアなどによるラインディシプリンを自動的にロードしません。
このオプションは、カーネルセルフプロテクションプロジェクト推奨設定
権限のないユーザーによる dmesg へのアクセス (CONFIG_SECURITY_DMESG_RESTRICT)
デフォルトでは、AL2023 は権限のないユーザーに dmesg へのアクセスを許可しません。
このオプションは、カーネルセルフプロテクションプロジェクト推奨設定
SELinux selinuxfs の無効化
AL2023 では、ポリシーのロード前に SELinux を無効にするというランタイムメソッドを有効にした非推奨の CONFIG_SECURITY_SELINUX_DISABLE カーネルオプションが無効になります。
このオプションは、カーネルセルフプロテクションプロジェクト推奨設定
その他のカーネル設定の変更
CONFIG オプション |
AL2/4.14/aarch64 | AL2/4.14/x86_64 | AL2/5.10/aarch64 | AL2/5.10/x86_64 | AL2023/6.1/aarch64 | AL2023/6.1/x86_64 | AL2023/6.12/aarch64 | AL2023/6.12/x86_64 |
|---|---|---|---|---|---|---|---|---|
| CONFIG_HZ |
100
|
250
|
100
|
250
|
100
|
100
|
100
|
100
|
| CONFIG_NR_CPUS |
4096
|
8192
|
4096
|
8192
|
4096
|
8192
|
4096
|
8192
|
| CONFIG_PANIC_ON_OOPS |
y
|
n
|
y
|
n
|
y
|
y
|
y
|
y
|
| CONFIG_PANIC_ON_OOPS_VALUE |
1
|
0
|
1
|
0
|
1
|
1
|
1
|
1
|
| CONFIG_PPP |
m
|
m
|
m
|
m
|
n
|
n
|
n
|
n
|
| CONFIG_SLIP |
m
|
m
|
m
|
m
|
n
|
n
|
n
|
n
|
| CONFIG_XEN_PV | 該当なし |
y
|
該当なし |
n
|
該当なし |
n
|
該当なし |
n
|
CONFIG_HZ
AL2023 は、x86-64 および aarch64 プラットフォームの両方で CONFIG_HZ を 100 に設定します。
CONFIG_NR_CPUS
AL2023 では、Amazon EC2 にある CPU コアの最大数に近い数値に CONFIG_NR_CPUS を設定します。
OOPS での パニック
AL2023 カーネルは oops が発生するとパニック状態になります。この機能は、カーネルコマンドラインで oops=panic を起動するのと同じです。
カーネル oops とは、システムのさらなる信頼性に影響を与える可能性のある内部エラーをカーネルが検出したときです。
PPP とスリップのサポート
AL2023 は PPP プロトコルまたは SLIP プロトコルをサポートしていません。
Xen PV ゲストのサポート
AL2023 は Xen PV ゲストとしての実行をサポートしていません。
カーネルファイルシステムのサポート
AL2 のカーネルがマウントをサポートするファイルシステムにいくつかの変更が加えられたほか、カーネルが解析するパーティションスキームも変更されました。
CONFIG オプション |
AL2/4.14/aarch64 | AL2/4.14/x86_64 | AL2/5.10/aarch64 | AL2/5.10/x86_64 | AL2023/6.1/aarch64 | AL2023/6.1/x86_64 | AL2023/6.12/aarch64 | AL2023/6.12/x86_64 |
|---|---|---|---|---|---|---|---|---|
| CONFIG_AFS_FS |
n
|
m
|
n
|
m
|
n
|
n
|
n
|
n
|
| CONFIG_AF_RXRPC |
n
|
m
|
n
|
m
|
n
|
n
|
n
|
n
|
| CONFIG_BSD_DISKLABEL |
y
|
y
|
y
|
y
|
n
|
n
|
n
|
n
|
| CONFIG_CRAMFS |
m
|
m
|
m
|
m
|
n
|
n
|
n
|
n
|
| CONFIG_CRAMFS_BLOCKDEV | 該当なし | 該当なし |
y
|
n
|
該当なし | 該当なし | 該当なし | 該当なし |
| CONFIG_DM_CLONE | 該当なし | 該当なし |
n
|
n
|
n
|
n
|
n
|
n
|
| CONFIG_DM_ERA |
m
|
n
|
m
|
n
|
n
|
n
|
n
|
n
|
| CONFIG_DM_INTEGRITY |
n
|
m
|
n
|
m
|
m
|
m
|
m
|
m
|
| CONFIG_DM_LOG_WRITES |
n
|
n
|
m
|
m
|
m
|
m
|
m
|
m
|
| CONFIG_DM_SWITCH |
m
|
n
|
m
|
n
|
n
|
n
|
n
|
n
|
| CONFIG_DM_VERITY |
m
|
n
|
m
|
n
|
m
|
m
|
m
|
m
|
| CONFIG_ECRYPT_FS |
n
|
m
|
n
|
m
|
n
|
n
|
n
|
n
|
| CONFIG_EXFAT_FS | 該当なし | 該当なし |
m
|
m
|
m
|
m
|
m
|
m
|
| CONFIG_EXT2_FS |
n
|
m
|
n
|
m
|
n
|
n
|
n
|
n
|
| CONFIG_EXT3_FS |
n
|
m
|
n
|
m
|
n
|
n
|
n
|
n
|
| CONFIG_GFS2_FS |
m
|
m
|
m
|
m
|
n
|
n
|
n
|
n
|
| CONFIG_HFSPLUS_FS |
n
|
m
|
n
|
m
|
n
|
n
|
n
|
n
|
| CONFIG_HFS_FS |
n
|
m
|
n
|
m
|
n
|
n
|
n
|
n
|
| CONFIG_JFS_FS |
n
|
n
|
n
|
n
|
n
|
n
|
n
|
n
|
| CONFIG_LDM_PARTITION |
n
|
y
|
n
|
y
|
n
|
n
|
n
|
n
|
| CONFIG_MAC_PARTITION |
n
|
y
|
n
|
y
|
n
|
n
|
n
|
n
|
| CONFIG_NFS_V2 |
n
|
m
|
n
|
m
|
n
|
n
|
n
|
n
|
| CONFIG_NTFS_FS |
n
|
m
|
n
|
n
|
n
|
n
|
n
|
n
|
| CONFIG_ROMFS_FS |
n
|
m
|
n
|
m
|
n
|
n
|
n
|
n
|
| CONFIG_SOLARIS_X86_PARTITION |
n
|
y
|
n
|
y
|
n
|
n
|
n
|
n
|
| CONFIG_SQUASHFS_ZSTD |
n
|
y
|
n
|
y
|
y
|
y
|
y
|
y
|
| CONFIG_SUN_PARTITION |
n
|
y
|
n
|
y
|
n
|
n
|
n
|
n
|
Andrew File System (AFS) のサポート
カーネルは afs ファイルシステムをサポートするように構築されなくなりました。AL2 には afs のユーザースペースサポートが同梱されていませんでした。
cramfs のサポート
カーネルは cramfs ファイルシステムをサポートするように構築されなくなりました。AL2023 での後継は squashfs ファイルシステムです。
BSD ディスクラベルのサポート
カーネルは BSD ディスクラベルをサポートするように構築されなくなりました。BSD ディスクラベル付きのボリュームを読み込む必要がある場合は、さまざまな BSD を起動できます。
デバイスマッパーの変更
AL2023 カーネルに設定されているデバイスマッパーのターゲットにいくつかの変更が加えられました。
eCryptFs のサポート
ecryptfs ファイルシステムは Amazon Linux では廃止されました。ecryptfs のユーザースペースコンポーネントは、AL1 にはありましたが、AL2 では削除されました。AL2023 ではカーネルの構築時に ecryptfs がサポートされなくなりました。
exFAT
exFAT ファイルシステムのサポートは、AL2 の 5.10 カーネルで追加されました。AL2 リリース時の 4.14 カーネルには存在していませんでした。AL2023 は引き続き exFAT ファイルシステムをサポートしています。
ext2、 ext3、および ext4 のファイルシステム
AL2023 には CONFIG_EXT4_USE_FOR_EXT2 オプションが同梱されています。これは、ext4 ファイルシステムコードを使用してレガシーの ext2 ファイルシステムを読み取ることを意味します。
CONFIG_GFS2_FS
カーネルは CONFIG_GFS2_FS で構築されなくなりました。
Apple Extended HFS ファイルシステムのサポート (HFS+)
AL2 の場合、x86-64 カーネルのみが hfsplus ファイルシステムをサポートするように構築されていました。AL2 の 5.15 カーネルでは、どのアーキテクチャにおいても hfsplus はサポートされていません。AL2023 では、Amazon Linux における hfsplus のサポートを完全に廃止します。
HFS ファイルシステムのサポート
AL2 の場合、x86-64 カーネルのみが hfs ファイルシステムをサポートするように構築されていました。AL2 の 5.15 カーネルでは、どのアーキテクチャにおいても hfs はサポートされていません。AL2023 では、Amazon Linux における hfs のサポートを完全に廃止します。
JFS ファイルシステムのサポート
古い AL2 x86-64 カーネルは、jfs ファイルシステムをサポートするように構築されていました。AL2 の 5.15 カーネルでは、どのアーキテクチャにおいても jfs はサポートされていません。AL1 も AL2 も JFS ユーザースペースを同梱していませんでした。AL2023 では、Amazon Linux における jfs のサポートを完全に廃止します。
アップストリームの Linux カーネルでは、JFS の削除を検討JFS ファイルシステムにデータがある場合は、別のファイルシステムに移行する必要があります。2024 年、JFS は現在のすべての Amazon Linux カーネルから削除されました。
Windows Logical Disk Manager (動的ディスク) のサポート (CONFIG_LDM_PARTITION)
AL2023 では、MS-DOS 形式のパーティションを持つ Windows 2000、Windows XP、または Windows Vista の動的ディスクをサポートしなくなりました。このコードは Windows Vista で導入された新しい GPT ベースの動的ディスクをサポートしていませんでした。
Macintosh パーティションマップのサポート
AL2023 は従来の Macintosh パーティションマップをサポートしなくなりました。最新の macOS バージョンでは、デフォルトでこの古いタイプではなく、最新の GPT パーティションテーブルが作成されます。
NFSv2 のサポート
AL2023 は NFSv2 をサポートしなくなりましたが、NFSv3、NFSv4、NFSv4.1、および NFSv4.2 は引き続きサポートします。NFSv3 以降に移行することをお勧めします。
NTFS (CONFIG_NTFS_FS)
ntfs3 コードでは、AL2 の 5.10 カーネル以降、Amazon Linux での NTFS ファイルシステムにアクセスするための ntfs が置き換えられました。AL2023 には ntfs コードが含まれなくなり、NTFS ファイルシステムへのアクセスは ntfs3 コードのみに依存するようになりました。
romfs ファイルシステム
squashfs ファイルシステムは Amazon Linux の romfs ファイルシステムの後継であり、AL2023 カーネルは romfs をサポートするように構築されなくなりました。
Solaris x86 ハードディスクパーティションフォーマット
AL2023 は Solaris x86 ハードディスクパーティション形式をサポートしなくなりました。
squashfszstd 圧縮
AL2023 では、すべてのサポート対象アーキテクチャで zstd の圧縮 squashfs ファイルシステムのサポートを追加します。
Sun パーティションテーブルのサポート
AL2023 には Sun パーティションテーブル形式 (CONFIG_SUN_PARTITION) のサポートが含まれなくなりました。
