インスタンスでの KASLR の無効化 (Ubuntu のみ) - Amazon Elastic Compute Cloud

インスタンスでの KASLR の無効化 (Ubuntu のみ)

Ubuntu 16.04 LTS - Xenial、Ubuntu 18.04 LTS - Bionic (シリアル番号 20190722.1 以降でリリース)、または Ubuntu 20.04 LTS - Focal (シリアル番号 20210820 以降でリリース) で新しく起動されたインスタンスで休止を使用するには、KASLR (Kernel Address Space Layout Randomization) を無効にするようお勧めします。Ubuntu 16.04 LTS、Ubuntu 18.04 LTS、または Ubuntu 20.04 LTS では、デフォルトで KASLR が有効になっています。

KASLR は、Linux カーネルに対する標準的なセキュリティ機能であり、カーネルのベースアドレス値をランダム化することにより、未知のメモリアクセス脆弱性による露出と影響を軽減するために役立ちます。KASLR が有効になっている場合は、インスタンスを休止後に再開できないこともあります。

KASLR の詳細については、Ubuntu の機能に関する記述を参照してください。

Ubuntu で起動したインスタンスで KASLR を無効にするには

  1. SSH を使用してインスタンスに接続します。詳細については、SSH を使用した Linux インスタンスへの接続 を参照してください。

  2. 適切なエディタで、/etc/default/grub.d/50-cloudimg-settings.cfg ファイルを開きます。次の例のように、GRUB_CMDLINE_LINUX_DEFAULT 行を編集して、行末に nokaslr オプションを追加します。

    GRUB_CMDLINE_LINUX_DEFAULT="console=tty1 console=ttyS0 nvme_core.io_timeout=4294967295 nokaslr"

  3. ファイルを保存し、エディタを終了します。

  4. grub 設定を再構築するには、次のコマンドを実行します。

    [ec2-user ~]$ sudo update-grub

  5. インスタンスを再起動します。

    [ec2-user ~]$ sudo reboot

  6. 次のコマンドを実行して、nokaslr が追加されたことを確認します。

    [ec2-user ~]$ cat /proc/cmdline

    コマンドの出力には、nokaslr オプションが含まれている必要があります。