Désactiver KASLR sur une instance (Ubuntu uniquement) - Amazon Elastic Compute Cloud

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Désactiver KASLR sur une instance (Ubuntu uniquement)

Pour exécuter une mise en veille prolongée sur une instance récemment lancée avec Ubuntu 16.04 LTS (Xenial Xerus), Ubuntu 18.04 LTS (Bionic Beaver) publiée avec le numéro de série 20190722.1 ou ultérieur ou Ubuntu 20.04 LTS (Focal Fossa) publiée avec le numéro de série 20210820 ou ultérieur, il est recommandé de désactiver KASLR (Kernel Address Space Layout Randomization). Sur Ubuntu 16.04 LTS, Ubuntu 18.04 LTS ou Ubuntu 20.04 LTS, KASLR est activé par défaut.

KASLR est une fonction de sécurité du noyau Linux standard qui permet d’atténuer l’exposition aux vulnérabilités d’accès à la mémoire pas encore découvertes, et leurs ramifications, en randomisant la valeur de l’adresse de base du noyau. En activant KASLR, il est possible que l’instance ne reprenne pas son exécution après sa mise en veille prolongée.

Pour en savoir plus sur KASLR, consultez la page relative aux fonctionnalités d’Ubuntu.

Pour désactiver KASLR sur une instance lancée avec Ubuntu
  1. Connectez-vous à votre instance à l’aide de SSH. Pour plus d’informations, consultez Connexion à votre instance Linux depuis Linux ou macOS à l’aide de SSH.

  2. Ouvrez le fichier /etc/default/grub.d/50-cloudimg-settings.cfg dans l’éditeur de votre choix. Éditez la ligne GRUB_CMDLINE_LINUX_DEFAULT de sorte à ajouter l’option nokaslr à la fin de la ligne, comme illustré dans l’exemple suivant.

    GRUB_CMDLINE_LINUX_DEFAULT="console=tty1 console=ttyS0 nvme_core.io_timeout=4294967295 nokaslr"
  3. Enregistrez le fichier et quittez votre éditeur.

  4. Exécutez la commande suivante pour recréer la configuration Grub.

    [ec2-user ~]$ sudo update-grub
  5. Redémarrez l’instance.

    [ec2-user ~]$ sudo reboot
  6. Exécutez la commande suivante pour confirmer que nokaslr a été ajouté.

    [ec2-user ~]$ cat /proc/cmdline

    Le résultat de la commande doit inclure l’option nokaslr.