本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
AL2023 内核更改自 AL2
AL2023 带来了 6.1 内核以及许多配置更改,以进一步优化 Amazon Linux 的云端应用。对于大多数用户而言,这些变化应该是完全透明的。
IPv4 TTL
的 TTL IPv4 是通过配置的sysctl,默认值显示在中。/etc/sysctl.d/00-defaults.conf此值可通过通常的 sysctl 方法进行自定义。有关更多信息,请参阅 sysctl man 页面。
AL2 将该net.ipv4.ip_default_ttl值设置为 255,同时将其 AL2023 设置为 127。这使得 Amazon Linux 的默认值与其他主流 Linux 发行版保持一致。若无明确需求,不建议更改此默认值。
注重安全的内核配置变化
CONFIG 选项 |
AL2/4.14/aarch64 | AL2/4.14/x86_64 | AL2/5.10/aarch64 | AL2/5.10/x86_64 | AL2023/6.1/aarch64 | AL2023/6.1/x86_64 | AL2023/6.12/aarch64 | AL2023/6.12/x86_64 |
|---|---|---|---|---|---|---|---|---|
| CONFIG_BUG_ON_DATA_CORRUPTION |
n
|
y
|
n
|
y
|
y
|
y
|
y
|
y
|
| CONFIG_DEFAULT_MMAP_MIN_ADDR |
4096
|
4096
|
4096
|
4096
|
65536
|
65536
|
65536
|
65536
|
| CONFIG_DEVMEM |
n
|
y
|
n
|
y
|
n
|
n
|
n
|
n
|
| CONFIG_DEVPORT |
n
|
y
|
n
|
y
|
n
|
n
|
n
|
n
|
| CONFIG_FORTIFY_SOURCE |
n
|
y
|
n
|
y
|
y
|
y
|
y
|
y
|
| CONFIG_HARDENED_USERCOPY_FALLBACK | 不适用 | 不适用 |
y
|
y
|
不适用 | 不适用 | 不适用 | 不适用 |
| CONFIG_INIT_ON_ALLOC_DEFAULT_ON | 不适用 | 不适用 |
n
|
n
|
n
|
n
|
n
|
n
|
| CONFIG_INIT_ON_FREE_DEFAULT_ON | 不适用 | 不适用 |
n
|
n
|
n
|
n
|
n
|
n
|
| CONFIG_IOMMU_DEFAULT_DMA_STRICT | 不适用 | 不适用 | 不适用 | 不适用 |
n
|
n
|
n
|
n
|
| CONFIG_LDISC_AUTOLOAD |
y
|
y
|
y
|
y
|
n
|
n
|
n
|
n
|
| CONFIG_SCHED_CORE | 不适用 | 不适用 | 不适用 | 不适用 | 不适用 |
y
|
不适用 |
y
|
| CONFIG_SCHED_STACK_END_CHECK |
n
|
y
|
n
|
y
|
y
|
y
|
y
|
y
|
| CONFIG_SECURITY_DMESG_RESTRICT |
n
|
n
|
n
|
n
|
y
|
y
|
y
|
y
|
| CONFIG_SECURITY_SELINUX_DISABLE |
y
|
y
|
y
|
y
|
n
|
n
|
不适用 | 不适用 |
| CONFIG_SHUFFLE_PAGE_ALLOCATOR | 不适用 | 不适用 |
y
|
y
|
y
|
y
|
y
|
y
|
| CONFIG_SLAB_FREELIST_HARDENED |
n
|
y
|
y
|
y
|
y
|
y
|
y
|
y
|
| CONFIG_SLAB_FREELIST_RANDOM |
n
|
n
|
y
|
y
|
y
|
y
|
y
|
y
|
x86-64 特定安全相关内核配置变更
CONFIG 选项 |
AL2/4.14/x86_64 | AL2/5.10/x86_64 | AL2023/6.1/x86_64 | AL2023/6.12/x86_64 |
|---|---|---|---|---|
| CONFIG_AMD_IOMMU |
y
|
y
|
y
|
y
|
| CONFIG_AMD_IOMMU_V2 |
m
|
m
|
y
|
不适用 |
| CONFIG_RANDOMIZE_MEMORY | 不适用 |
y
|
y
|
y
|
aarch64(ARM/Graviton)特定安全相关内核配置变更
CONFIG 选项 |
AL2/4.14/aarch64 | AL2/5.10/aarch64 | AL2023/6.1/aarch64 | AL2023/6.12/aarch64 |
|---|---|---|---|---|
| CONFIG_ARM64_PTR_AUTH | 不适用 |
y
|
y
|
y
|
| CONFIG_ARM64_PTR_AUTH_KERNEL | 不适用 | 不适用 |
y
|
y
|
| CONFIG_ARM64_SW_TTBR0_PAN |
y
|
y
|
y
|
y
|
/dev/mem、/dev/kmem 和 /dev/port
Amazon Linux 2023 在已有的限制的基础上完全禁用/dev/memCONFIG_DEVMEM和/dev/port(而且CONFIG_DEVPORT)。 AL2
在 5.13 内核中,该/dev/kmem代码已从 Linux 中完全删除,虽然它在中被禁用 AL2,但现在不适用于 AL2023。
此选项是内核自我保护项目推荐设置
FORTIFY_SOURCE
AL2023 CONFIG_FORTIFY_SOURCE在所有支持的架构上启用。此功能是一项安全强化功能。在编译器可以确定和验证缓冲区大小的情况下,此功能可以检测常见字符串和内存函数中的缓冲区溢出。
此选项是内核自我保护项目推荐设置
行规程自动加载(CONFIG_LDISC_AUTOLOAD)
除非请求来自具有CAP_SYS_MODULE权限的进程,否则 AL2023 内核不会自动加载线路规范 TIOCSETDioctl,例如通过使用中的软件加载。
此选项是内核自我保护项目推荐设置
非特权用户对 dmesg 的访问 (CONFIG_SECURITY_DMESG_RESTRICT)
默认情况下, AL2023 不允许非特权用户访问。dmesg
此选项是内核自我保护项目推荐设置
SELinux selinuxfs禁用
AL2023 禁用已弃用的CONFIG_SECURITY_SELINUX_DISABLE内核选项,该选项启用了一种在加载策略 SELinux 之前禁用的运行时方法。
此选项是内核自我保护项目推荐设置
其他内核配置变化
CONFIG 选项 |
AL2/4.14/aarch64 | AL2/4.14/x86_64 | AL2/5.10/aarch64 | AL2/5.10/x86_64 | AL2023/6.1/aarch64 | AL2023/6.1/x86_64 | AL2023/6.12/aarch64 | AL2023/6.12/x86_64 |
|---|---|---|---|---|---|---|---|---|
| CONFIG_HZ |
100
|
250
|
100
|
250
|
100
|
100
|
100
|
100
|
| CONFIG_NR_CPUS |
4096
|
8192
|
4096
|
8192
|
4096
|
8192
|
4096
|
8192
|
| CONFIG_PANIC_ON_OOPS |
y
|
n
|
y
|
n
|
y
|
y
|
y
|
y
|
| CONFIG_PANIC_ON_OOPS_VALUE |
1
|
0
|
1
|
0
|
1
|
1
|
1
|
1
|
| CONFIG_PPP |
m
|
m
|
m
|
m
|
n
|
n
|
n
|
n
|
| CONFIG_SLIP |
m
|
m
|
m
|
m
|
n
|
n
|
n
|
n
|
| CONFIG_XEN_PV | 不适用 |
y
|
不适用 |
n
|
不适用 |
n
|
不适用 |
n
|
CONFIG_HZ
AL2023 CONFIG_HZ在两个aarch64平台上都x86-64设置为 100。
CONFIG_NR_CPUS
AL2023 设置CONFIG_NR_CPUS为一个接近 Amazon EC2 中最大 CPU 内核数的数字。
内核错误处理
内 AL2023 核在运行时会死机。此功能等同于在内核命令行上使用 oops=panic 引导。
内核错误是指内核检测到可能影响系统的进一步可靠性的内部错误。
PPP 和 SLIP 支持
AL2023 不支持 PPP 或 SLIP 协议。
Xen PV 访客支持
AL2023 不支持以 Xen PV 访客身份运行。
内核文件系统支持
内核支持挂载的文件系统发生了几处变化,内核 AL2 将要解析的分区方案也发生了变化。
CONFIG 选项 |
AL2/4.14/aarch64 | AL2/4.14/x86_64 | AL2/5.10/aarch64 | AL2/5.10/x86_64 | AL2023/6.1/aarch64 | AL2023/6.1/x86_64 | AL2023/6.12/aarch64 | AL2023/6.12/x86_64 |
|---|---|---|---|---|---|---|---|---|
| CONFIG_AFS_FS |
n
|
m
|
n
|
m
|
n
|
n
|
n
|
n
|
| CONFIG_AF_RXRPC |
n
|
m
|
n
|
m
|
n
|
n
|
n
|
n
|
| CONFIG_BSD_DISKLABEL |
y
|
y
|
y
|
y
|
n
|
n
|
n
|
n
|
| CONFIG_CRAMFS |
m
|
m
|
m
|
m
|
n
|
n
|
n
|
n
|
| CONFIG_CRAMFS_BLOCKDEV | 不适用 | 不适用 |
y
|
n
|
不适用 | 不适用 | 不适用 | 不适用 |
| CONFIG_DM_CLONE | 不适用 | 不适用 |
n
|
n
|
n
|
n
|
n
|
n
|
| CONFIG_DM_ERA |
m
|
n
|
m
|
n
|
n
|
n
|
n
|
n
|
| CONFIG_DM_INTEGRITY |
n
|
m
|
n
|
m
|
m
|
m
|
m
|
m
|
| CONFIG_DM_LOG_WRITES |
n
|
n
|
m
|
m
|
m
|
m
|
m
|
m
|
| CONFIG_DM_SWITCH |
m
|
n
|
m
|
n
|
n
|
n
|
n
|
n
|
| CONFIG_DM_VERITY |
m
|
n
|
m
|
n
|
m
|
m
|
m
|
m
|
| CONFIG_ECRYPT_FS |
n
|
m
|
n
|
m
|
n
|
n
|
n
|
n
|
| CONFIG_EXFAT_FS | 不适用 | 不适用 |
m
|
m
|
m
|
m
|
m
|
m
|
| CONFIG_EXT2_FS |
n
|
m
|
n
|
m
|
n
|
n
|
n
|
n
|
| CONFIG_EXT3_FS |
n
|
m
|
n
|
m
|
n
|
n
|
n
|
n
|
| CONFIG_GFS2_FS |
m
|
m
|
m
|
m
|
n
|
n
|
n
|
n
|
| CONFIG_HFSPLUS_FS |
n
|
m
|
n
|
m
|
n
|
n
|
n
|
n
|
| CONFIG_HFS_FS |
n
|
m
|
n
|
m
|
n
|
n
|
n
|
n
|
| CONFIG_JFS_FS |
n
|
n
|
n
|
n
|
n
|
n
|
n
|
n
|
| CONFIG_LDM_PARTITION |
n
|
y
|
n
|
y
|
n
|
n
|
n
|
n
|
| CONFIG_MAC_PARTITION |
n
|
y
|
n
|
y
|
n
|
n
|
n
|
n
|
| CONFIG_NFS_V2 |
n
|
m
|
n
|
m
|
n
|
n
|
n
|
n
|
| CONFIG_NTFS_FS |
n
|
m
|
n
|
n
|
n
|
n
|
n
|
n
|
| CONFIG_ROMFS_FS |
n
|
m
|
n
|
m
|
n
|
n
|
n
|
n
|
| CONFIG_SOLARIS_X86_PARTITION |
n
|
y
|
n
|
y
|
n
|
n
|
n
|
n
|
| CONFIG_SQUASHFS_ZSTD |
n
|
y
|
n
|
y
|
y
|
y
|
y
|
y
|
| CONFIG_SUN_PARTITION |
n
|
y
|
n
|
y
|
n
|
n
|
n
|
n
|
Andrew 文件系统支持 (AFS)
内核不再支持afs文件系统。 AL2 未附带的用户空间支持。afs
cramfs 支持
内核不再支持 cramfs 文件系统。中的继任者 AL2023 是squashfs文件系统。
支持 BSD 磁盘标签
内核不再支持 BSD 磁盘标签。如果需要读取带有 BSD 磁盘标签的卷,则 BSDs可以启动各种卷标。
设备映射器更改
对 AL2023 内核中配置的设备映射器目标进行了几处更改。
eCryptFs 支持
Amazon Linux 中已弃用了 ecryptfs 文件系统。的用户空间组件ecryptfs已存在于 AL1、已移除中 AL2,并且 AL2023 不再在ecryptfs支持下构建内核。
exFAT
在 5.10 内核中 AL2添加了对exFAT文件系统的支持。它在 4.14 内核 AL2 发布时不存在。 AL2023 继续支持exFAT文件系统。
ext2、 ext3 和 ext4 文件系统
AL2023 随附CONFIG_EXT4_USE_FOR_EXT2选项,这意味着ext4文件系统代码将用于读取传统ext2文件系统。
CONFIG_ _FS GFS2
该内核不再是使用 CONFIG_ GFS2 _FS 构建的。
Apple Extended HFS 文件系统支持 (HFS+)
在中 AL2,只有内x86-64核是在支持hfsplus文件系统的情况下构建的。 AL2 5.15 内核不hfsplus支持任何架构。在中 AL2023,我们完成了对亚马逊 Linux hfsplus 支持的弃用。
HFS 文件系统支持
在中 AL2,只有内x86-64核是在支持hfs文件系统的情况下构建的。 AL2 5.15 内核不hfs支持任何架构。在中 AL2023,我们完成了对亚马逊 Linux hfs 支持的弃用。
JFS 文件系统支持
较旧的 AL2 x86-64内核是在支持jfs文件系统的情况下构建的。 AL2 5.15 内核不jfs支持任何架构。两者都不是, AL1 AL2 或者与 JFS 用户空间一起提供。在中 AL2023,我们完成了对亚马逊 Linux jfs 支持的弃用。
上游 Linux 内核正在考虑移除 JFSJFS 文件系统上存有数据,应将其迁移到其他文件系统。2024 年,JFS 已从所有当前版本的 Amazon Linux 内核中移除。
Windows 逻辑磁盘管理器(动态磁盘)支持(CONFIG_LDM_PARTITION)
AL2023 不再支持Windows 2000Windows XP、或带有MS-DOS样式分区的Windows Vista动态磁盘。此代码从来不支持 Windows Vista 所引入的基于 GPT 的较新的动态磁盘。
Macintosh 分区映射支持
AL2023 不再支持经典的 Macintosh 分区图。默认情况下,现代 macOS 版本会创建现代 GPT 分区表,以取代这种较旧的类型。
NFSv2 支持
AL2023 不再支持 NFSv2,但继续支持 NFSv3、 NFSv4、 NFSv4 .1 和 NFSv4 .2。我们建议您迁移到 NFSv3 或更新版本。
NTFS (CONFIG_NTFS_FS)
从5.10内核ntfs开始,在亚马逊 Linux 上访问 NTFS 文件系统的ntfs3代码已被替换。 AL2 AL2023 不再包含该ntfs代码,而是完全依赖该ntfs3代码来访问 NTFS 文件系统。
romfs 文件系统
在 squashfs Amazon Linux 中,romfs文件系统是文件系统的继任者,并且该 AL2023 内核的构建不再支持了romfs。
Solaris x86 硬盘分区格式
AL2023 不再支持 Solaris x86 硬盘分区格式。
squashfszstd压缩
AL2023 在所有支持的架构上添加了对zstd压缩squashfs文件系统的支持。
Sun 分区表支持
AL2023 不再支持 Sun 分区表格式 (CONFIG_SUN_PARTITION)。
