AL2 이후 AL2023 커널 변경 사항 - Amazon Linux 2023
IPv4 TTL보안 중심으로 커널 구성 변경기타 커널 구성 변경커널 파일 시스템 지원

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AL2 이후 AL2023 커널 변경 사항

AL2023은 6.1 커널과 함께 Amazon Linux를 클라우드용으로 최적화하기 위해 여러 구성을 변경했습니다. 대부분의 사용자의 경우 이러한 변경 사항은 완전히 투명해야 합니다.

IPv4 TTL

IPv4용 TTL은 sysctl을 통해 구성되며 기본값은 /etc/sysctl.d/00-defaults.conf에 있습니다. 이 값은 일반적인 sysctl 방법을 통해 사용자 지정할 수 있습니다. 자세한 내용은 sysctl man 페이지를 참조하세요.

AL2는 net.ipv4.ip_default_ttl 값을 255로 설정하고 AL2023은 값을 127로 설정합니다. 이렇게 하면 Amazon Linux 기본값이 다른 주요 Linux 배포판과 일치합니다. 증명된 필요 없이 이 기본값을 변경하는 것은 권장되지 않습니다.

보안 중심으로 커널 구성 변경

CONFIG 옵션 AL2/4.14/aarch64 AL2/4.14/x86_64 AL2/5.10/aarch64 AL2/5.10/x86_64 AL2023/6.1/aarch64 AL2023/6.1/x86_64 AL2023/6.12/aarch64 AL2023/6.12/x86_64
CONFIG_BUG_ON_DATA_CORRUPTION n y n y y y y y
CONFIG_DEFAULT_MMAP_MIN_ADDR 4096 4096 4096 4096 65536 65536 65536 65536
CONFIG_DEVMEM n y n y n n n n
CONFIG_DEVPORT n y n y n n n n
CONFIG_FORTIFY_SOURCE n y n y y y y y
CONFIG_HARDENED_USERCOPY_FALLBACK 해당 사항 없음 해당 사항 없음 y y 해당 사항 없음 해당 사항 없음 해당 사항 없음 해당 사항 없음
CONFIG_INIT_ON_ALLOC_DEFAULT_ON 해당 사항 없음 해당 사항 없음 n n n n n n
CONFIG_INIT_ON_FREE_DEFAULT_ON 해당 사항 없음 해당 사항 없음 n n n n n n
CONFIG_IOMMU_DEFAULT_DMA_STRICT 해당 사항 없음 해당 사항 없음 해당 사항 없음 해당 사항 없음 n n n n
CONFIG_LDISC_AUTOLOAD y y y y n n n n
CONFIG_SCHED_CORE 해당 사항 없음 해당 사항 없음 해당 사항 없음 해당 사항 없음 해당 사항 없음 y 해당 사항 없음 y
CONFIG_SCHED_STACK_END_CHECK n y n y y y y y
CONFIG_SECURITY_DMESG_RESTRICT n n n n y y y y
CONFIG_SECURITY_SELINUX_DISABLE y y y y n n 해당 사항 없음 해당 사항 없음
CONFIG_SHUFFLE_PAGE_ALLOCATOR 해당 사항 없음 해당 사항 없음 y y y y y y
CONFIG_SLAB_FREELIST_HARDENED n y y y y y y y
CONFIG_SLAB_FREELIST_RANDOM n n y y y y y y

x86-64 특정 보안 중심 커널 구성 변경

CONFIG 옵션 AL2/4.14/x86_64 AL2/5.10/x86_64 AL2023/6.1/x86_64 AL2023/6.12/x86_64
CONFIG_AMD_IOMMU y y y y
CONFIG_AMD_IOMMU_V2 m m y 해당 사항 없음
CONFIG_RANDOMIZE_MEMORY 해당 사항 없음 y y y

aarch64(ARM/Graviton) 특정 보안 중심 커널 구성 변경

CONFIG 옵션 AL2/4.14/aarch64 AL2/5.10/aarch64 AL2023/6.1/aarch64 AL2023/6.12/aarch64
CONFIG_ARM64_PTR_AUTH 해당 사항 없음 y y y
CONFIG_ARM64_PTR_AUTH_KERNEL 해당 사항 없음 해당 사항 없음 y y
CONFIG_ARM64_SW_TTBR0_PAN y y y y

/dev/mem, /dev/kmem/dev/port

Amazon Linux 2023은 AL2에 이미 적용되어 있는 제한을 기반으로 하여 /dev/mem/dev/port(CONFIG_DEVMEMCONFIG_DEVPORT)를 완전히 비활성화합니다.

/dev/kmem 코드는 Linux 커널 5.13에서 완전히 제거되었지만 AL2에서는 비활성화되었으며 이제 AL2023에는 전혀 사용할 수 없습니다.

이 옵션은 커널 자체 보호 프로젝트 권장 설정 중 하나입니다.

FORTIFY_SOURCE

지원되는 모든 아키텍처에서는 AL2023에 의해 CONFIG_FORTIFY_SOURCE를 사용할 수 있습니다. 이 기능은 보안 하드닝 기능입니다. 컴파일러가 버퍼 크기를 확인하고 검증할 수 있는 경우 이 기능은 공통 문자열 및 메모리 함수의 버퍼 오버플로를 탐지할 수 있습니다.

이 옵션은 커널 자체 보호 프로젝트 권장 설정 중 하나입니다.

라인 디시플린 자동 로드(CONFIG_LDISC_AUTOLOAD)

AL2023 커널은 CAP_SYS_MODULE 권한을 가진 프로세스의 요청이 아니면, 소프트웨어가 TIOCSETD ioctl을 사용하는 경우처럼 라인 디시플린을 자동으로 로드하지 않습니다.

이 옵션은 커널 자체 보호 프로젝트 권장 설정 중 하나입니다.

권한이 없는 사용자를 위한 dmesg 액세스(CONFIG_SECURITY_DMESG_RESTRICT)

기본적으로 AL2023은 권한이 없는 사용자에게 dmesg에 대한 액세스를 허용하지 않습니다.

이 옵션은 커널 자체 보호 프로젝트 권장 설정 중 하나입니다.

SELinux selinuxfs 비활성화

AL2023은 더 이상 사용되지 않는 CONFIG_SECURITY_SELINUX_DISABLE 커널 옵션을 비활성화하여 정책을 로드하기 전에 SELinux를 비활성화하는 런타임 메서드를 활성화했습니다.

이 옵션은 커널 자체 보호 프로젝트 권장 설정 중 하나입니다.

기타 커널 구성 변경

CONFIG 옵션 AL2/4.14/aarch64 AL2/4.14/x86_64 AL2/5.10/aarch64 AL2/5.10/x86_64 AL2023/6.1/aarch64 AL2023/6.1/x86_64 AL2023/6.12/aarch64 AL2023/6.12/x86_64
CONFIG_HZ 100 250 100 250 100 100 100 100
CONFIG_NR_CPUS 4096 8192 4096 8192 4096 8192 4096 8192
CONFIG_PANIC_ON_OOPS y n y n y y y y
CONFIG_PANIC_ON_OOPS_VALUE 1 0 1 0 1 1 1 1
CONFIG_PPP m m m m n n n n
CONFIG_SLIP m m m m n n n n
CONFIG_XEN_PV 해당 사항 없음 y 해당 사항 없음 n 해당 사항 없음 n 해당 사항 없음 n

CONFIG_HZ

AL2023은 x86-64aarch64 플랫폼 모두에서 CONFIG_HZ를 100으로 설정합니다.

CONFIG_NR_CPUS

AL2023에서 CONFIG_NR_CPUS를 Amazon EC2에 있는 최대 CPU 코어 수와 비슷한 숫자로 설정합니다.

Panic on OOPS

AL2023 커널이 실패하면 패닉 상태가 됩니다. 이 기능은 커널 명령줄에서 oops=panic로 부팅하는 것과 같습니다.

커널 웁스는 커널이 시스템 신뢰성에 영향을 미칠 수 있는 내부 오류를 감지합니다.

PPP 및 SLIP 지원

AL2023은 PPP 또는 SLIP 프로토콜을 지원하지 않습니다.

Xen PV 게스트 지원

AL2023은 Xen PV 게스트 실행을 지원하지 않습니다.

커널 파일 시스템 지원

AL2 커널에서 마운트를 지원하는 파일 시스템이 몇 가지 변경되었으며 구문 분석할 파티션 스키마도 변경되었습니다.

CONFIG 옵션 AL2/4.14/aarch64 AL2/4.14/x86_64 AL2/5.10/aarch64 AL2/5.10/x86_64 AL2023/6.1/aarch64 AL2023/6.1/x86_64 AL2023/6.12/aarch64 AL2023/6.12/x86_64
CONFIG_AFS_FS n m n m n n n n
CONFIG_AF_RXRPC n m n m n n n n
CONFIG_BSD_DISKLABEL y y y y n n n n
CONFIG_CRAMFS m m m m n n n n
CONFIG_CRAMFS_BLOCKDEV 해당 사항 없음 해당 사항 없음 y n 해당 사항 없음 해당 사항 없음 해당 사항 없음 해당 사항 없음
CONFIG_DM_CLONE 해당 사항 없음 해당 사항 없음 n n n n n n
CONFIG_DM_ERA m n m n n n n n
CONFIG_DM_INTEGRITY n m n m m m m m
CONFIG_DM_LOG_WRITES n n m m m m m m
CONFIG_DM_SWITCH m n m n n n n n
CONFIG_DM_VERITY m n m n m m m m
CONFIG_ECRYPT_FS n m n m n n n n
CONFIG_EXFAT_FS 해당 사항 없음 해당 사항 없음 m m m m m m
CONFIG_EXT2_FS n m n m n n n n
CONFIG_EXT3_FS n m n m n n n n
CONFIG_GFS2_FS m m m m n n n n
CONFIG_HFSPLUS_FS n m n m n n n n
CONFIG_HFS_FS n m n m n n n n
CONFIG_JFS_FS n n n n n n n n
CONFIG_LDM_PARTITION n y n y n n n n
CONFIG_MAC_PARTITION n y n y n n n n
CONFIG_NFS_V2 n m n m n n n n
CONFIG_NTFS_FS n m n n n n n n
CONFIG_ROMFS_FS n m n m n n n n
CONFIG_SOLARIS_X86_PARTITION n y n y n n n n
CONFIG_SQUASHFS_ZSTD n y n y y y y y
CONFIG_SUN_PARTITION n y n y n n n n

앤드류 파일 시스템 지원(AFS)

커널은 더 이상 afs 파일 시스템을 지원하도록 빌드되지 않습니다. AL2에서는 afs 사용자 공간을 지원하지 않습니다.

cramfs 지원

커널은 더 이상 cramfs 파일 시스템을 지원하도록 빌드되지 않습니다. squashfs 파일 시스템은 AL2023의 후속 버전입니다.

BSD 디스크 레이블 지원

커널은 더 이상 BSD 디스크 레이블을 지원하도록 빌드되지 않습니다. BSD 디스크 레이블이 있는 볼륨을 읽어야 하는 경우 여러 BSD를 실행할 수 있습니다.

디바이스 매퍼 변경

AL2023 커널에 구성된 디바이스 매퍼 대상에 대해 몇 가지 변경 사항이 있습니다.

eCryptFs 지원

ecryptfs 파일 시스템은 Amazon Linux에서 더 이상 사용할 수 없습니다. ecryptfs의 사용자 공간 구성 요소는 AL1에 존재했었고 AL2에서 삭제되었으며 AL2023 커널은 ecryptfs를 지원하는 커널을 빌드하지 않습니다.

exFAT

exFAT 파일 시스템에 대한 지원이 AL2의 5.10 커널에 추가되었습니다. 이것은 4.14 커널을 사용한 AL2 시작 시 존재하지 않았습니다. AL2023은 exFAT 파일 시스템을 계속 지원합니다.

ext2, ext3 및 ext4 파일 시스템

AL2023에 CONFIG_EXT4_USE_FOR_EXT2 옵션이 있습니다. 즉, ext4 파일 시스템 코드를 사용하여 레거시 ext2 파일 시스템을 읽을 수 있습니다.

CONFIG_GFS2_FS

커널은 더 이상 CONFIG_GFS2_FS로 빌드되지 않습니다.

Apple Extended HFS 파일 시스템 지원 (HFS+)

AL2에서는 hfsplus 파일 시스템 지원을 통해 x86-64 커널만 빌드되었습니다. AL2 5.15 커널에는 아키텍처에 대한 hfsplus 지원이 포함되지 않습니다. AL2023 Amazon Linux의 hfsplus 지원이 중단되었습니다.

HFS 파일 시스템 지원

AL2에서는 hfs 파일 시스템 지원을 통해 x86-64 커널만 빌드되었습니다. AL2 5.15 커널에는 아키텍처에 대한 hfs 지원이 포함되지 않습니다. AL2023 Amazon Linux의 hfs 지원이 중단되었습니다.

JFS 파일 시스템 지원

이전 x86-64 AL2 커널은 jfs 파일 시스템 지원을 통해 빌드되었습니다. AL2 5.15 커널에는 아키텍처에 대한 jfs 지원이 포함되지 않습니다. AL1과 AL2에 JFS 사용자 공간이 제공되지 않았습니다. AL2023 Amazon Linux의 jfs 지원이 중단되었습니다.

업스트림 Linux 커널은 JFS 제거를 고려하고 있습니다. 따라서 JFS 파일 시스템에 데이터가 있는 경우 다른 파일 시스템으로 마이그레이션해야 합니다. 2024년에 JFS는 현재 모든 Amazon Linux 커널에서 제거되었습니다.

Windows 논리 디스크 관리자(동적 디스크) 지원(CONFIG_LDM_PARTITION)

AL2023은 MS-DOS 스타일 파티션이 있는 Windows 2000, Windows XP 또는 Windows Vista 동적 디스크를 더 이상 지원하지 않습니다. 이 코드는 Windows Vista에 도입된 최신 GPT 기반 동적 디스크를 지원하지 않았습니다.

Macintosh 파티션 맵 지원

AL2023은 더 이상 기존 Macintosh 파티션 맵을 지원하지 않습니다. 최신 macOS 버전은 구 버전에 최신 GPT 파티션 테이블을 생성합니다.

NFSv2 지원

AL2023은 더 이상 NFSv2를 지원하지 않지만 NFSv3, NFSv4, NFSv4.1 및 NFSv4.2는 계속 지원합니다. NFSv3 이후 버전으로 마이그레이션하실 것을 권장합니다.

NTFS(CONFIG_NTFS_FS)

AL2 커널 5.10부터 Amazon Linux의 NTFS 파일 시스템에 액세스하는 ntfs3 코드가 ntfs로 변경되었습니다. AL2023에는 더 이상 ntfs 코드가 포함되지 않으며 NTFS 파일 시스템에 액세스하기 위한 ntfs3 코드에만 있습니다.

romfs 파일 시스템

squashfs 파일 시스템은 Amazon Linux romfs 파일 시스템의 후속 버전이며, AL2023 커널은 더 이상 romfs를 지원하지 않습니다.

Solaris x86 하드 디스크 파티션 형식

AL2023은 더 이상 Solaris x86 하드 디스크 파티션 형식을 지원하지 않습니다.

squashfszstd 압축

AL2023에 모든 지원 아키텍처에서 zstd 압축 squashfs 파일 시스템에 대한 지원이 추가되었습니다.

Sun 파티션 테이블 지원

AL2023에 더 이상 Sun 파티션 테이블 형식(CONFIG_SUN_PARTITION)에 대한 지원이 포함되지 않습니다.