翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AL2からのAL2023カーネルの変更
AL2023では、6.1カーネルのほか、Amazon Linuxをクラウド向けにさらに最適化するための多くの設定変更が加えられています。ほとんどのユーザーにとって、これらの変更は完全に分かりやすいはずです。
セキュリティに重点を置いたカーネル設定の変更
CONFIG オプション |
AL2/4.14/aarch64 | AL2/4.14/x86_64 | AL2/5.10/aarch64 | AL2/5.10/x86_64 | AL2023/6.1/aarch64 | AL2023/6.1/x86_64 |
---|---|---|---|---|---|---|
CONFIG_BUG_ON_DATA_CORRUPTION |
n
|
y
|
n
|
y
|
y
|
y
|
CONFIG_DEFAULT_MMAP_MIN_ADDR |
4096
|
4096
|
4096
|
4096
|
65536
|
65536
|
CONFIG_DEVMEM |
n
|
y
|
n
|
y
|
n
|
n
|
CONFIG_DEVPORT |
n
|
y
|
n
|
y
|
n
|
n
|
CONFIG_FORTIFY_SOURCE |
n
|
y
|
n
|
y
|
y
|
y
|
CONFIG_HARDENED_USERCOPY_FALLBACK | 該当なし | 該当なし |
y
|
y
|
該当なし | 該当なし |
CONFIG_INIT_ON_ALLOC_DEFAULT_ON | 該当なし | 該当なし |
n
|
n
|
n
|
n
|
CONFIG_INIT_ON_FREE_DEFAULT_ON | 該当なし | 該当なし |
n
|
n
|
n
|
n
|
CONFIG_IOMMU_DEFAULT_DMA_STRICT | 該当なし | 該当なし | 該当なし | 該当なし |
n
|
n
|
CONFIG_LDISC_AUTOLOAD |
y
|
y
|
y
|
y
|
n
|
n
|
CONFIG_SCHED_CORE | 該当なし | 該当なし | 該当なし | 該当なし | 該当なし |
y
|
CONFIG_SCHED_STACK_END_CHECK |
n
|
y
|
n
|
y
|
y
|
y
|
CONFIG_SECURITY_DMESG_RESTRICT |
n
|
n
|
n
|
n
|
y
|
y
|
CONFIG_SECURITY_SELINUX_DISABLE |
y
|
y
|
y
|
y
|
n
|
n
|
CONFIG_SHUFFLE_PAGE_ALLOCATOR | 該当なし | 該当なし |
y
|
y
|
y
|
y
|
CONFIG_SLAB_FREELIST_HARDENED |
n
|
y
|
y
|
y
|
y
|
y
|
CONFIG_SLAB_FREELIST_RANDOM |
n
|
n
|
y
|
y
|
y
|
y
|
x86-64 特定セキュリティに焦点を当てたカーネル設定の変更
CONFIG オプション |
AL2/4.14/x86_64 | AL2/5.10/x86_64 | AL2023/6.1/x86_64 |
---|---|---|---|
CONFIG_AMD_IOMMU |
y
|
y
|
y
|
CONFIG_AMD_IOMMU_V2 |
m
|
m
|
y
|
CONFIG_RANDOMIZE_MEMORY | 該当なし |
y
|
y
|
aarch64 (ARM/Graviton) 特定のセキュリティに焦点を当てたカーネル設定の変更
CONFIG オプション |
AL2/4.14/aarch64 | AL2/5.10/aarch64 | AL2023/6.1/aarch64 |
---|---|---|---|
CONFIG_ARM64_PTR_AUTH | 該当なし |
y
|
y
|
CONFIG_ARM64_PTR_AUTH_KERNEL | 該当なし | 該当なし |
y
|
CONFIG_ARM64_SW_TTBR0_PAN |
y
|
y
|
y
|
/dev/mem
、/dev/kmem
、および /dev/port
Amazon Linux 2023 は/dev/mem
、AL2 ですでに実施されている制限を /dev/port
(CONFIG_DEVMEM
そしてCONFIG_DEVPORT
) 完全に無効にします。
/dev/kmem
このコードは 5.13 カーネルで Linux から完全に削除され、AL2 では無効になっていましたが、AL2023 には適用されなくなりました。
このオプションは、カーネルセルフプロテクションプロジェクト推奨設定
FORTIFY_SOURCE
AL2023 はサポートされているすべてのアーキテクチャーで有効になります。CONFIG_FORTIFY_SOURCE
この機能はセキュリティを強化する機能です。コンパイラがバッファサイズを判別して検証できる場合、この機能は一般的な文字列やメモリ関数のバッファオーバーフローを検出できます。
このオプションは、カーネルセルフプロテクションプロジェクト推奨設定
ライン・ディシプリン・オートロード () CONFIG_LDISC_AUTOLOAD
AL2023 カーネルは、権限を持つプロセスからのリクエストでない限りTIOCSETD
ioctl
、を使用するソフトウェアなどによってラインディシプリンを自動的にロードしません。CAP_SYS_MODULE
このオプションは、カーネルセルフプロテクションプロジェクト推奨設定
dmesg
権限のないユーザーによるアクセス () CONFIG_SECURITY_DMESG_RESTRICT
デフォルトでは、AL2023 は権限のないユーザーにはアクセスを許可しません。dmesg
このオプションは、カーネルセルフプロテクションプロジェクト推奨設定
SELinux selinuxfs
は無効になっています。
AL2023 CONFIG_SECURITY_SELINUX_DISABLE
は廃止予定のカーネルオプションを無効にします。これにより、ポリシーが読み込まれる前に SELinux を無効にするランタイムメソッドが有効になりました。
このオプションは、カーネルセルフプロテクションプロジェクト推奨設定
その他のカーネル設定の変更
CONFIG オプション |
AL2/4.14/aarch64 | AL2/4.14/x86_64 | AL2/5.10/aarch64 | AL2/5.10/x86_64 | AL2023/6.1/aarch64 | AL2023/6.1/x86_64 |
---|---|---|---|---|---|---|
CONFIG_HZ |
100
|
250
|
100
|
250
|
100
|
100
|
CONFIG_NR_CPUS |
4096
|
8192
|
4096
|
8192
|
512
|
512
|
CONFIG_PANIC_ON_OOPS |
y
|
n
|
y
|
n
|
y
|
y
|
CONFIG_PANIC_ON_OOPS_VALUE |
1
|
0
|
1
|
0
|
1
|
1
|
CONFIG_PPP |
m
|
m
|
m
|
m
|
n
|
n
|
CONFIG_SLIP |
m
|
m
|
m
|
m
|
n
|
n
|
CONFIG_XEN_PV | 該当なし |
y
|
該当なし |
n
|
該当なし |
n
|
CONFIG_HZ
AL2023 は、両方のプラットフォームで 100 に設定されています。CONFIG_HZ
x86-64
aarch64
CONFIG_NR_CPUS
AL2023 は CONFIG_NR_CPUS
Amazon EC2 にある CPU コアの最大数に近い数値に設定されています。
OOPS での パニック
AL2023 カーネルは、ポーズをとるとパニックに陥ります。この機能は、カーネルコマンドラインで oops=panic
を起動するのと同じです。
カーネル oops とは、システムのさらなる信頼性に影響を与える可能性のある内部エラーをカーネルが検出したときです。
PPP とスリップのサポート
AL2023 は PPP プロトコルや SLIP プロトコルをサポートしていません。
Xen PV ゲストのサポート
AL2023 は Xen PV ゲストとしての実行をサポートしていません。
カーネルファイルシステムのサポート
AL2 のカーネルがマウントをサポートするファイルシステムにいくつかの変更が加えられたほか、カーネルが解析するパーティショニングスキームも変更されました。
CONFIG オプション |
AL2/4.14/aarch64 | AL2/4.14/x86_64 | AL2/5.10/aarch64 | AL2/5.10/x86_64 | AL2023/6.1/aarch64 | AL2023/6.1/x86_64 |
---|---|---|---|---|---|---|
CONFIG_AFS_FS |
n
|
m
|
n
|
m
|
n
|
n
|
CONFIG_AF_RXRPC |
n
|
m
|
n
|
m
|
n
|
n
|
CONFIG_BSD_DISKLABEL |
y
|
y
|
y
|
y
|
n
|
n
|
CONFIG_CRAMFS |
m
|
m
|
m
|
m
|
n
|
n
|
CONFIG_CRAMFS_BLOCKDEV | 該当なし | 該当なし |
y
|
n
|
該当なし | 該当なし |
CONFIG_DM_CLONE | 該当なし | 該当なし |
n
|
n
|
n
|
n
|
CONFIG_DM_ERA |
m
|
n
|
m
|
n
|
n
|
n
|
CONFIG_DM_INTEGRITY |
n
|
m
|
n
|
m
|
m
|
m
|
CONFIG_DM_LOG_WRITES |
n
|
n
|
m
|
m
|
m
|
m
|
CONFIG_DM_SWITCH |
m
|
n
|
m
|
n
|
n
|
n
|
CONFIG_DM_VERITY |
m
|
n
|
m
|
n
|
n
|
n
|
CONFIG_ECRYPT_FS |
n
|
m
|
n
|
m
|
n
|
n
|
CONFIG_EXFAT_FS | 該当なし | 該当なし |
m
|
m
|
m
|
m
|
CONFIG_EXT2_FS |
n
|
m
|
n
|
m
|
n
|
n
|
CONFIG_EXT3_FS |
n
|
m
|
n
|
m
|
n
|
n
|
CONFIG_GFS2_FS |
m
|
m
|
m
|
m
|
n
|
n
|
CONFIG_HFSPLUS_FS |
n
|
m
|
n
|
m
|
n
|
n
|
CONFIG_HFS_FS |
n
|
m
|
n
|
m
|
n
|
n
|
CONFIG_JFS_FS |
n
|
m
|
n
|
m
|
n
|
n
|
CONFIG_LDM_PARTITION |
n
|
y
|
n
|
y
|
n
|
n
|
CONFIG_MAC_PARTITION |
n
|
y
|
n
|
y
|
n
|
n
|
CONFIG_NFS_V2 |
n
|
m
|
n
|
m
|
n
|
n
|
CONFIG_NTFS_FS |
n
|
m
|
n
|
n
|
n
|
n
|
CONFIG_ROMFS_FS |
n
|
m
|
n
|
m
|
n
|
n
|
CONFIG_SOLARIS_X86_PARTITION |
n
|
y
|
n
|
y
|
n
|
n
|
CONFIG_SQUASHFS_ZSTD |
n
|
y
|
n
|
y
|
y
|
y
|
CONFIG_SUN_PARTITION |
n
|
y
|
n
|
y
|
n
|
n
|
Andrew File System (AFS) のサポート
カーネルは afs
ファイルシステムをサポートするように構築されなくなりました。AL2 にはユーザースペースのサポートは付属していませんでした。afs
cramfs のサポート
カーネルは cramfs
ファイルシステムをサポートするように構築されなくなりました。AL2023 の後継はファイルシステムです。squashfs
BSD ディスクラベルのサポート
カーネルは BSD ディスクラベルをサポートするように構築されなくなりました。BSD ディスクラベル付きのボリュームを読み込む必要がある場合は、さまざまな BSD を起動できます。
デバイスマッパーの変更
AL2023 カーネルで設定されているデバイスマッパーのターゲットにいくつかの変更が加えられました。
eCryptFs サポート
ecryptfs
ファイルシステムは Amazon Linux では廃止されました。ecryptfs
のユーザースペースコンポーネントは AL1 に存在し、AL2 では削除され、AL2023 はもはやサポート付きのカーネルをビルドしません。ecryptfs
exFAT
exFAT
ファイルシステムのSupport は AL2 の 5.10 カーネルに追加されました。4.14 カーネルで AL2 を起動した時点ではサポートされていませんでした。AL2023 は引き続きファイルシステムをサポートします。exFAT
ext2、 ext3、および ext4 のファイルシステム
AL2023 CONFIG_EXT4_USE_FOR_EXT2
にはオプションが付属しています。つまり、ext4
ファイルシステムコードを使用してレガシーファイルシステムを読み取ることになります。ext2
CONFIG_GFS2_FS
カーネルは CONFIG_GFS2_FS で構築されなくなりました。
Apple Extended HFS ファイルシステムのサポート (HFS+)
AL2 では、x86-64
カーネルだけがファイルシステムサポート付きでビルドされました。hfsplus
AL2 5.15 カーネルには、hfsplus
どのアーキテクチャのサポートも含まれていません。AL2023 では、Amazon Linux hfsplus
でのサポートの廃止が完了しました。
HFS ファイルシステムのサポート
AL2 では、x86-64
カーネルだけがファイルシステムサポート付きでビルドされました。hfs
AL2 5.15 カーネルには、hfs
どのアーキテクチャのサポートも含まれていません。AL2023 では、Amazon Linux hfs
でのサポートの廃止が完了しました。
JFS ファイルシステムのサポート
AL2 では、x86-64
カーネルだけがファイルシステムサポート付きでビルドされました。jfs
AL2 5.15 カーネルには、jfs
どのアーキテクチャのサポートも含まれていません。AL1 と AL2 のどちらも JFS ユーザースペースには付属していませんでした。AL2023 では、Amazon Linux jfs
でのサポートの廃止が完了しました。
アップストリームの Linux カーネルは、の削除を検討しています。JFS
JFS
ファイルシステムにデータがある場合は、それを別のファイルシステムに移行する必要があります。
Windowsロジカルディスクマネージャー (ダイナミックディスク) サポート (CONFIG_LDM_PARTITION
)
AL2023 はWindows 2000、Windows XP、Windows VistaMS-DOSスタイルパーティションのあるダイナミックディスクをサポートしなくなりました。このコードは、で導入された新しい GPT ベースのダイナミックディスクをサポートしていませんでした。Windows Vista
Macintosh パーティションマップのサポート
AL2023 は従来の Macintosh パーティションマップをサポートしなくなりました。最新の macOS バージョンでは、デフォルトでこの古いタイプではなく、最新の GPT パーティションテーブルが作成されます。
NFSv2 のサポート
AL2023 は NFSv2 をサポートしなくなりましたが、NFSv3、NFSv4、NFSv4.1、および NFSv4.2 は引き続きサポートします。NFSv3 以降に移行することをお勧めします。
NTFS (CONFIG_NTFS_FS
)
ntfs3
AL2 の 5.10 カーネルの時点で、Amazon Linux 上の NTFS ntfs
ファイルシステムにアクセスするためのコードが置き換えられました。AL2023 にはコードが含まれなくなり、ntfs
NTFS ファイルシステムへのアクセスはこのコードのみに依存するようになりました。ntfs3
romfs ファイルシステム
squashfs
ファイルシステムは Amazon Linux の romfs
ファイルシステムの後継であり、AL2023 カーネルは romfs
をサポートするように構築されなくなりました。
Solaris x86 ハードディスクパーティションフォーマット
AL2023 は Solaris x86 ハードディスクパーティションフォーマットをサポートしなくなりました。
squashfs
zstd 圧縮
AL2023 では、zstdsquashfs
サポートされているすべてのアーキテクチャで圧縮ファイルシステムのサポートが追加されています。
Sun パーティションテーブルのサポート
AL2023 には Sun パーティションテーブル形式 () のサポートが含まれなくなりました。CONFIG_SUN_PARTITION