쿠키 기본 설정 선택

당사는 사이트와 서비스를 제공하는 데 필요한 필수 쿠키 및 유사한 도구를 사용합니다. 고객이 사이트를 어떻게 사용하는지 파악하고 개선할 수 있도록 성능 쿠키를 사용해 익명의 통계를 수집합니다. 필수 쿠키는 비활성화할 수 없지만 '사용자 지정' 또는 ‘거부’를 클릭하여 성능 쿠키를 거부할 수 있습니다.

사용자가 동의하는 경우 AWS와 승인된 제3자도 쿠키를 사용하여 유용한 사이트 기능을 제공하고, 사용자의 기본 설정을 기억하고, 관련 광고를 비롯한 관련 콘텐츠를 표시합니다. 필수가 아닌 모든 쿠키를 수락하거나 거부하려면 ‘수락’ 또는 ‘거부’를 클릭하세요. 더 자세한 내용을 선택하려면 ‘사용자 정의’를 클릭하세요.

AL2023 커널 강화 - Amazon Linux 2023

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AL2023 커널 강화

AL2023의 6.1 Linux 커널은 여러 강화 옵션 및 기능을 사용하여 구성 및 구축됩니다.

커널 강화 옵션 (독립 아키텍처)

CONFIG 옵션 AL2023/6.1/aarch64 AL2023/6.1/x86_64
CONFIG_ACPI_CUSTOM_METHOD n n
CONFIG_BINFMT_MISC m m
CONFIG_BUG y y
CONFIG_BUG_ON_DATA_CORRUPTION y y
CONFIG_CFI_CLANG N/A 해당 사항 없음
CONFIG_CFI_PERMISSIVE 해당 사항 없음 해당 사항 없음
CONFIG_COMPAT y y
CONFIG_COMPAT_BRK n n
CONFIG_COMPAT_VDSO 해당 사항 없음 n
CONFIG_DEBUG_CREDENTIALS n n
CONFIG_DEBUG_LIST y y
CONFIG_DEBUG_NOTIFIERS n n
CONFIG_DEBUG_SG n n
CONFIG_DEBUG_VIRTUAL n n
CONFIG_DEBUG_WX n n
CONFIG_DEFAULT_MMAP_MIN_ADDR 65536 65536
CONFIG_DEVKMEM 해당 사항 없음 해당 사항 없음
CONFIG_DEVMEM n n
CONFIG_EFI_DISABLE_PCI_DMA n n
CONFIG_FORTIFY_SOURCE y y
CONFIG_HARDENED_USERCOPY y y
CONFIG_HARDENED_USERCOPY_FALLBACK 해당 사항 없음 해당 사항 없음
CONFIG_HARDENED_USERCOPY_PAGESPAN 해당 사항 없음 해당 사항 없음
CONFIG_HIBERNATION y y
CONFIG_HW_RANDOM_TPM 해당 사항 없음 해당 사항 없음
CONFIG_INET_DIAG m m
CONFIG_INIT_ON_ALLOC_DEFAULT_ON n n
CONFIG_INIT_ON_FREE_DEFAULT_ON n n
CONFIG_INIT_STACK_ALL_ZERO 해당 사항 없음 해당 사항 없음
CONFIG_IOMMU_DEFAULT_DMA_STRICT n n
CONFIG_IOMMU_SUPPORT y y
CONFIG_IO_STRICT_DEVMEM 해당 사항 없음 해당 사항 없음
CONFIG_KEXEC y y
CONFIG_KFENCE n n
CONFIG_LDISC_AUTOLOAD n n
CONFIG_LEGACY_PTYS n n
CONFIG_LOCK_DOWN_KERNEL_FORCE_CONFIDENTIALITY n n
CONFIG_MODULES y y
CONFIG_MODULE_SIG y y
CONFIG_MODULE_SIG_ALL y y
CONFIG_MODULE_SIG_FORCE n n
CONFIG_MODULE_SIG_HASH sha512 sha512
CONFIG_MODULE_SIG_KEY certs/signing_key.pem certs/signing_key.pem
CONFIG_MODULE_SIG_SHA512 y y
CONFIG_PAGE_POISONING n n
CONFIG_PAGE_POISONING_NO_SANITY 해당 사항 없음 해당 사항 없음
CONFIG_PAGE_POISONING_ZERO 해당 사항 없음 해당 사항 없음
CONFIG_PANIC_ON_OOPS y y
CONFIG_PANIC_TIMEOUT 0 0
CONFIG_PROC_KCORE y y
CONFIG_RANDOMIZE_KSTACK_OFFSET_DEFAULT n n
CONFIG_RANDOM_TRUST_BOOTLOADER y y
CONFIG_RANDOM_TRUST_CPU y y
CONFIG_REFCOUNT_FULL 해당 사항 없음 해당 사항 없음
CONFIG_SCHED_CORE 해당 사항 없음 y
CONFIG_SCHED_STACK_END_CHECK y y
CONFIG_SECCOMP y y
CONFIG_SECCOMP_FILTER y y
CONFIG_SECURITY y y
CONFIG_SECURITY_DMESG_RESTRICT y y
CONFIG_SECURITY_LANDLOCK n n
CONFIG_SECURITY_LOCKDOWN_LSM y y
CONFIG_SECURITY_LOCKDOWN_LSM_EARLY y y
CONFIG_SECURITY_SELINUX_BOOTPARAM y y
CONFIG_SECURITY_SELINUX_DEVELOP y y
CONFIG_SECURITY_SELINUX_DISABLE n n
CONFIG_SECURITY_WRITABLE_HOOKS 해당 사항 없음 N/A
CONFIG_SECURITY_YAMA y y
CONFIG_SHUFFLE_PAGE_ALLOCATOR y y
CONFIG_SLAB_FREELIST_HARDENED y y
CONFIG_SLAB_FREELIST_RANDOM y y
CONFIG_SLUB_DEBUG y y
CONFIG_STACKPROTECTOR y y
CONFIG_STACKPROTECTOR_STRONG y y
CONFIG_STATIC_USERMODEHELPER n n
CONFIG_STRICT_DEVMEM n n
CONFIG_STRICT_KERNEL_RWX y y
CONFIG_STRICT_MODULE_RWX y y
CONFIG_SYN_COOKIES y y
CONFIG_VMAP_STACK y y
CONFIG_WERROR n n
CONFIG_ZERO_CALL_USED_REGS n n

런타임 시 ACPI 메서드 삽입/교체 허용(CONFIG_ACPI_CUSTOM_METHOD)

root 사용자가 임의의 커널 메모리에 쓸 수 있으므로 Amazon Linux에서 이 옵션은 비활성화됩니다.

이 옵션은 커널 자체 보호 프로젝트 권장 설정 중 하나입니다.

기타 바이너리 포맷 (binfmt_misc)

이 옵션은 커널 자체 보호 프로젝트(KSPP) 권장 설정 중 하나이지만 AL2023은이 구성 옵션을 KSPP 권장 설정으로 설정하지 않습니다. AL2023에서이 기능은 선택 사항이며 커널 모듈로 구축됩니다.

BUG() 지원

이 옵션은 커널 자체 보호 프로젝트 권장 설정 중 하나입니다.

커널 메모리 구조의 유효성을 검사할 때 커널에서 데이터 손상이 발생하면 BUG()가 생깁니다.

Linux 커널 기능으로 데이터 구조의 내부 일관성을 검사할 수 있으며 데이터 손상이 감지되면 BUG()가 발생합니다.

이 옵션은 커널 자체 보호 프로젝트 권장 설정 중 하나입니다.

COMPAT_BRK

이 옵션(Amazon Linux가 커널을 구성하는 방식)을 비활성화하면 randomize_va_space sysctl 설정은 기본적으로 로 설정되며2, 이를 통해 mmap 기본, 스택 및 VDSO 페이지 무작위 배정 외에도 힙 무작위 배정이 활성화됩니다.

이 옵션은 1996년 이전의 libc.so.5 바이너리와 호환하기 하기 위해 커널에 존재합니다.

이 옵션은 커널 자체 보호 프로젝트 권장 설정 중 하나입니다.

COMPAT_VDSO

이 구성 옵션은 aarch64가 아닌 x86-64에 해당합니다. 이를 로 설정하면 nAmazon Linux 커널은 예측 가능한 주소에서 32비트 가상 동적 공유 객체(VDSO)를 표시하지 않습니다. 이 옵션을 n로 설정하면 glibc 오류가 발생한 것으로 알려진 가장 최신 버전은 2004년에 출시된 glibc 2.3.3입니다.

이 옵션은 커널 자체 보호 프로젝트 권장 설정 중 하나입니다.

CONFIG_DEBUG 게이트 강화

CONFIG_DEBUG가 제어하는 Linux 커널 구성 옵션은 일반적으로 디버깅 문제를 위해 빌드된 커널에서 사용하려고 만들었으며 성능은 우선 순위가 아닙니다. AL2023은 CONFIG_DEBUG_LIST 강화 옵션을 활성화합니다.

DMA를 구성하기 전에 PCI stub에서 EFI for IOMMU 디바이스 비활성화

이 옵션은 커널 자체 보호 프로젝트(KSPP) 권장 설정 중 하나이지만 AL2023은이 구성 옵션을 KSPP 권장 설정으로 설정하지 않습니다.

커널과 사용자 공간 간 메모리 복제를 위한 강화

커널이 사용자 공간으로 메모리를 복사하거나 사용자 공간 메모리를 복사해야 하는 경우 이 옵션을 사용하면 일부 검사 기능을 통해 일부 클래스의 힙 오버플로 문제를 방지할 수 있습니다.

커널 4.16~5.15에는 커널 개발자가 WARN()를 통해 누락된 허용 목록 항목을 찾을 수 있도록 하는 CONFIG_HARDENED_USERCOPY_FALLBACK 옵션이 있었습니다. AL2023은 6.1 커널을 배송하므로이 옵션은 더 이상 AL2023과 관련이 없습니다.

CONFIG_HARDENED_USERCOPY_PAGESPAN 옵션은 주로 개발자를 위한 디버깅 옵션으로 커널에 존재했으며 AL2023의 6.1 커널에는 더 이상 적용되지 않습니다.

이 옵션은 커널 자체 보호 프로젝트 권장 설정 중 하나입니다.

하이버네이트 지원

이 옵션은 커널 자체 보호 프로젝트(KSPP) 권장 설정 중 하나이지만 AL2023은이 구성 옵션을 KSPP 권장 설정으로 설정하지 않습니다. 이 옵션을 활성화해야 온디맨드 인스턴스 하이버네이트중단된 스팟 인스턴스 하이버네이트 기능을 지원할 수 있습니다.

난수 생성

AL2023 커널은 EC2 내에서 적절한 엔트로피를 사용할 수 있도록 구성됩니다.

CONFIG_INET_DIAG

이 옵션은 커널 자체 보호 프로젝트(KSPP) 권장 설정 중 하나이지만 AL2023은이 구성 옵션을 KSPP 권장 설정으로 설정하지 않습니다. AL2023에서이 기능은 선택 사항이며 커널 모듈로 구축됩니다.

할당 및 할당 해제 시 모든 커널 페이지 및 슬래브 할당자 메모리를 0으로 설정합니다.

이 옵션은 커널 자체 보호 프로젝트(KSPP) 권장 설정 중 하나이지만 AL2023은이 구성 옵션을 KSPP 권장 설정으로 설정하지 않습니다. 기본적으로이 기능을 활성화하면 성능에 영향을 미칠 수 있으므로 AL2023에서는 이러한 옵션이 비활성화됩니다. 커널 명령줄에 init_on_alloc=1을 추가하면 CONFIG_INIT_ON_ALLOC_DEFAULT_ON 동작을 활성화할 수 있고, 추가하여 init_on_free=1를 추가하면 CONFIG_INIT_ON_FREE_DEFAULT_ON 동작을 활성화할 수 있습니다.

모든 스택 변수를 0(CONFIG_INIT_STACK_ALL_ZERO)으로 초기화합니다.

이 옵션은 커널 자체 보호 프로젝트(KSPP) 권장 설정 중 하나이지만 AL2023은이 구성 옵션을 KSPP 권장 설정으로 설정하지 않습니다. 이 옵션에는 GCC 12 이상, AL2023은 GCC 11과 함께 배송됩니다.

커널 모듈 서명

AL2023은 커널 모듈의 서명에 서명하고 검증합니다. 모듈에 유효한 서명이 있어야 하는 이 CONFIG_MODULE_SIG_FORCE 옵션은 타사 모듈을 구축하는 사용자의 호환성을 유지하기 위해 활성화되지 않습니다. 모든 커널 모듈에 서명이 있는지 확인하고 싶은 사용자는 이것이 적용된 Linux 보안 모듈 잠금(LSM) 을 구성할 수 있습니다.

kexec

이 옵션은 커널 자체 보호 프로젝트(KSPP) 권장 설정 중 하나이지만 AL2023은이 구성 옵션을 KSPP 권장 설정으로 설정하지 않습니다. 이 옵션은 kdump 기능을 사용할 수 있도록 활성화되어 있습니다.

IOMMU 지원

AL2023은 IOMMU 지원을 활성화합니다. 이 CONFIG_IOMMU_DEFAULT_DMA_STRICT 옵션은 기본적으로 활성화되어 있지 않지만 커널 명령줄에 iommu.passthrough=0 iommu.strict=1를 추가하면 이 기능을 설치할 수 있습니다.

kfence

이 옵션은 커널 자체 보호 프로젝트(KSPP) 권장 설정 중 하나이지만 AL2023은이 구성 옵션을 KSPP 권장 설정으로 설정하지 않습니다.

레거시 pty 지원

AL2023은 최신 PTY 인터페이스(devpts).

이 옵션은 커널 자체 보호 프로젝트 권장 설정 중 하나입니다.

Linux 보안 모듈 잠금(LSM)

AL2023은 보안 부팅을 사용할 때 커널을 자동으로 잠그는 lockdown LSM를 빌드합니다.

CONFIG_LOCK_DOWN_KERNEL_FORCE_CONFIDENTIALITY 옵션이 활성화되어 있지 않습니다. 이 옵션은 커널 자체 보호 프로젝트(KSPP) 권장 설정 중 하나이지만 AL2023은이 구성 옵션을 KSPP 권장 설정으로 설정하지 않습니다. 보안 부팅을 사용하지 않는 경우 잠금 LSM를 활성화하고 원하는 대로 구성할 수 있습니다.

페이지 포이즈닝

이 옵션은 커널 자체 보호 프로젝트(KSPP) 권장 설정 중 하나이지만 AL2023은이 구성 옵션을 KSPP 권장 설정으로 설정하지 않습니다. 와 마찬가지로 성능에 영향을 미칠 수 있으므로 AL2023 커널에서 할당 및 할당 해제 시 모든 커널 페이지 및 슬래브 할당자 메모리를 0으로 설정합니다.비활성화됩니다.

스택 프로텍터

AL2023 커널은의 스택 프로텍터 기능을 사용하여 구축됩니다.GCC -fstack-protector-strong 옵션으로 활성화됩니다.

이 옵션은 커널 자체 보호 프로젝트 권장 설정 중 하나입니다.

seccomp BPF API

는 seccomp 강화 기능은 systemd 및 컨테이너 런타임과 같은 소프트웨어에서 사용자 공간 애플리케이션을 강화하는 데 사용됩니다.

이 옵션은 커널 자체 보호 프로젝트 권장 설정 중 하나입니다.

panic() 타임아웃

AL2023 커널은이 값을 로 설정하여 구성되어 있습니다. 즉0, 패닉 이후에 커널이 재부팅되지 않습니다. 이 옵션은 커널 자체 보호 프로젝트(KSPP) 권장 설정 중 하나이지만 AL2023은이 구성 옵션을 KSPP 권장 설정으로 설정하지 않습니다. 이는 sysctl, /proc/sys/kernel/panic 및 커널 명령줄로 구성할 수 있습니다.

보안 모델

AL2023은 기본적으로 허용 모드에서 SELinux를 활성화합니다. 자세한 내용은 AL2023 SELinux 모드 설정 단원을 참조하십시오.

Linux 보안 모듈 잠금(LSM) yama 모듈도 활성화되어 있습니다.

/proc/kcore

이 옵션은 커널 자체 보호 프로젝트(KSPP) 권장 설정 중 하나이지만 AL2023은이 구성 옵션을 KSPP 권장 설정으로 설정하지 않습니다.

시스템 호출 입력 시 커널 스택 오프셋 랜덤

이 옵션은 커널 자체 보호 프로젝트(KSPP) 권장 설정 중 하나이지만 AL2023은이 구성 옵션을 KSPP 권장 설정으로 설정하지 않습니다. 커널 명령줄을 randomize_kstack_offset=on로 설정하면 이 기능을 활성화할 수 있습니다.

참조 카운팅 검사 (CONFIG_REFCOUNT_FULL)

이 옵션은 커널 자체 보호 프로젝트(KSPP) 권장 설정 중 하나이지만 AL2023은이 구성 옵션을 KSPP 권장 설정으로 설정하지 않습니다. 이 옵션은 성능에 영향을 미칠 수 있으므로 현재 활성화되어 있지 않습니다.

스케줄러 인식 SMT 코어(CONFIG_SCHED_CORE)

AL2023 커널은를 사용하여 구축CONFIG_SCHED_CORE되어 사용자 공간 애플리케이션이를 사용할 수 있습니다prctl(PR_SCHED_CORE). 이 옵션은 커널 자체 보호 프로젝트 권장 설정 중 하나입니다.

schedule()(CONFIG_SCHED_STACK_END_CHECK) 호출 시 스택 손상 확인

AL2023 커널은 CONFIG_SCHED_STACK_END_CHECK 활성화된 상태로 빌드됩니다. 이 옵션은 커널 자체 보호 프로젝트 권장 설정 중 하나입니다.

메모리 할당 강화

AL2023 커널을 사용하면 CONFIG_SHUFFLE_PAGE_ALLOCATOR, CONFIG_SLAB_FREELIST_HARDENEDCONFIG_SLAB_FREELIST_RANDOM 옵션을 사용하여 커널 메모리 할당자를 강화할 수 있습니다. 이 옵션은 커널 자체 보호 프로젝트 권장 설정 중 하나입니다.

SLUB 디버깅 지원

AL2023 커널은 커널 명령줄에서 활성화할 수 있는 할당자에 대한 선택적 디버깅 기능을 활성화CONFIG_SLUB_DEBUG하므로를 활성화합니다. 이 옵션은 커널 자체 보호 프로젝트 권장 설정 중 하나입니다.

CONFIG_STATIC_USERMODEHELPER

이 옵션은 커널 자체 보호 프로젝트(KSPP) 권장 설정 중 하나이지만 AL2023은이 구성 옵션을 KSPP 권장 설정으로 설정하지 않습니다. CONFIG_STATIC_USERMODEHELPER를 사용하려면 배포판의 특별 지원이 필요한데 현재 Amazon Linux에는 없습니다.

읽기 전용 커널 텍스트 및 rodata (CONFIG_STRICT_KERNEL_RWXCONFIG_STRICT_MODULE_RWX)

AL2023 커널은 커널 및 커널 모듈 텍스트와 rodata 읽기 전용 메모리 및 실행 불가로 표시된 비텍스트 메모리. 이 옵션은 커널 자체 보호 프로젝트 권장 설정 중 하나입니다.

TCP syncookie 지원(CONFIG_SYN_COOKIES)

AL2023 커널은 TCP 동기화 쿠키를 지원하여 구축됩니다. 이 옵션은 커널 자체 보호 프로젝트 권장 설정 중 하나입니다.

가드 페이지가 있는 가상 매핑 스택 (CONFIG_VMAP_STACK)

AL2023 커널은를 사용하여 구축되므로 가드 페이지를 사용하여 가상으로 매핑된 커널 스택을 CONFIG_VMAP_STACK사용할 수 있습니다. 이 옵션은 커널 자체 보호 프로젝트 권장 설정 중 하나입니다.

컴파일러 경고를 오류(CONFIG_WERROR)로 빌드

이 옵션은 커널 자체 보호 프로젝트(KSPP) 권장 설정 중 하나이지만 AL2023은이 구성 옵션을 KSPP 권장 설정으로 설정하지 않습니다.

함수를 종료(CONFIG_ZERO_CALL_USED_REGS)할 때 레지스터 제로화

이 옵션은 커널 자체 보호 프로젝트(KSPP) 권장 설정 중 하나이지만 AL2023은이 구성 옵션을 KSPP 권장 설정으로 설정하지 않습니다.

사용자 공간 할당에 필요한 최소 주소

이 강화 옵션은 커널 NULL 포인터 버그의 영향을 줄이는 데 도움이 될 수 있습니다. 이 옵션은 커널 자체 보호 프로젝트 권장 설정 중 하나입니다.

clang 특정 강화 옵션

AL2023 커널은 GCC 대신 clang, 따라서 CONFIG_CFI_CLANG 강화 옵션을 활성화할 수 없으므로 도 적용할 수 CONFIG_CFI_PERMISSIVE 없습니다. 이 옵션은 커널 자체 보호 프로젝트(KSPP) 권장 설정 중 하나이지만 AL2023은이 구성 옵션을 KSPP 권장 설정으로 설정하지 않습니다.

x86-64 전용 커널 강화 옵션

CONFIG 옵션 AL2023/6.1/aarch64 AL2023/6.1/x86_64
CONFIG_AMD_IOMMU N/A y
CONFIG_AMD_IOMMU_V2 해당 사항 없음 y
CONFIG_IA32_EMULATION 해당 사항 없음 y
CONFIG_INTEL_IOMMU 해당 사항 없음 y
CONFIG_INTEL_IOMMU_DEFAULT_ON 해당 사항 없음 n
CONFIG_INTEL_IOMMU_SVM 해당 사항 없음 n
CONFIG_LEGACY_VSYSCALL_NONE 해당 사항 없음 n
CONFIG_MODIFY_LDT_SYSCALL 해당 사항 없음 n
CONFIG_PAGE_TABLE_ISOLATION 해당 사항 없음 y
CONFIG_RANDOMIZE_MEMORY 해당 사항 없음 y
CONFIG_X86_64 해당 사항 없음 y
CONFIG_X86_MSR 해당 사항 없음 y
CONFIG_X86_VSYSCALL_EMULATION 해당 사항 없음 y
CONFIG_X86_X32 해당 사항 없음 해당 사항 없음
CONFIG_X86_X32_ABI N/A n

x86-64 지원

기본 x86-64 지원에는 물리적 주소 확장(PAE) 및 실행 안 함(NX) 비트 지원이 포함됩니다. 이 옵션은 커널 자체 보호 프로젝트 권장 설정 중 하나입니다.

AMD 및 Intel IOMMU 지원

AL2023 커널은 AMD 및 Intel을 지원하여 빌드됩니다.IOMMUs. 이 옵션은 커널 자체 보호 프로젝트 권장 설정 중 하나입니다.

CONFIG_INTEL_IOMMU_DEFAULT_ON 옵션은 설정되지 않았지만 커널 명령줄로 intel_iommu=on를 작성하면 활성화됩니다. 이 옵션은 커널 자체 보호 프로젝트(KSPP) 권장 설정 중 하나이지만 AL2023은이 구성 옵션을 KSPP 권장 설정으로 설정하지 않습니다.

옵션은 현재 AL2023에서 활성화CONFIG_INTEL_IOMMU_SVM되어 있지 않습니다. 이 옵션은 커널 자체 보호 프로젝트(KSPP) 권장 설정 중 하나이지만 AL2023은이 구성 옵션을 KSPP 권장 설정으로 설정하지 않습니다.

32비트 사용자 공간 지원

중요

32비트 x86 사용자 공간 지원은 중단되었으며 향후 Amazon Linux 주요 버전에서 32비트 사용자 공간 바이너리를 실행할 수 없습니다.

참고

AL2023에는 더 이상 32비트 패키지가 포함되지 않지만 커널은 여전히 32비트 사용자 공간 실행을 지원합니다. 자세한 내용은 32비트 x86 (i686) 패키지 섹션을 참조하세요.

32비트 사용자 공간 애플리케이션 실행을 지원하기 위해 AL2023은 CONFIG_X86_VSYSCALL_EMULATION 옵션을 활성화하지 않고 CONFIG_IA32_EMULATION, CONFIG_COMPATCONFIG_X86_VSYSCALL_EMULATION 옵션을 활성화합니다. 이 옵션은 커널 자체 보호 프로젝트(KSPP) 권장 설정 중 하나이지만 AL2023은이 구성 옵션을 KSPP 권장 설정으로 설정하지 않습니다.

는 x32 64비트 프로세서용 기본 32비트 ABI는 활성화되지 않습니다(CONFIG_X86_X32CONFIG_X86_X32_ABI). 이 옵션은 커널 자체 보호 프로젝트 권장 설정 중 하나입니다.

x86 모델별 레지스터(MSR) 지원

CONFIG_X86_MSR 옵션은 turbostat 지원을 위해 활성화되어 있습니다. 이 옵션은 커널 자체 보호 프로젝트(KSPP) 권장 설정 중 하나이지만 AL2023은이 구성 옵션을 KSPP 권장 설정으로 설정하지 않습니다.

modify_ldt 시스콜

AL2023은 사용자 프로그램이 modify_ldt syscall을 사용하여 x86 Local Descriptor Table(LDT)을 수정하는 것을 허용하지 않습니다. 이 호출은 16비트 또는 세그먼트화된 코드를 실행하는 데 필요하며,이 호출이 없으면와 같은 소프트웨어가 중단되어에서 일부 프로그램을 dosemu실행할 수 있습니다.WINE및 매우 오래된 일부 스레드 라이브러리. 이 옵션은 커널 자체 보호 프로젝트 권장 설정 중 하나입니다.

사용자 모드에서 커널 매핑을 제거합니다.

AL2023은 대부분의 커널 주소가 사용자 공간에 매핑되지 않도록 커널을 구성합니다. 이 옵션은 커널 자체 보호 프로젝트 권장 설정 중 하나입니다.

커널 메모리 섹션 무작위화

AL2023은 커널 메모리 섹션의 기본 가상 주소를 무작위화하도록 커널을 구성합니다. 이 옵션은 커널 자체 보호 프로젝트 권장 설정 중 하나입니다.

aarch64 전용 커널 강화 옵션

CONFIG 옵션 AL2023/6.1/aarch64 AL2023/6.1/x86_64
CONFIG_ARM64_BTI y N/A
CONFIG_ARM64_BTI_KERNEL 해당 사항 없음 해당 사항 없음
CONFIG_ARM64_PTR_AUTH y 해당 사항 없음
CONFIG_ARM64_PTR_AUTH_KERNEL y 해당 사항 없음
CONFIG_ARM64_SW_TTBR0_PAN y 해당 사항 없음
CONFIG_UNMAP_KERNEL_AT_EL0 y N/A

브랜치 타겟 식별

AL2023 커널을 사용하면 브랜치 대상 식별()을 지원할 수 있습니다CONFIG_ARM64_BTI. 이 옵션은 커널 자체 보호 프로젝트 권장 설정 중 하나입니다.

CONFIG_ARM64_BTI_KERNEL 옵션은 로 빌드되므로 AL2023에서는 활성화되지 않습니다.GCC, 및이 옵션을 사용하여 커널을 빌드하는 지원은 현재 gcc 버그로 인해 업스트림 커널에서 비활성화되어 있습니다. https://gcc.gnu.org/bugzilla/show_bug.cgi?id=106671 이 옵션은 커널 자체 보호 프로젝트(KSPP) 권장 설정 중 하나이지만 AL2023은이 구성 옵션을 KSPP 권장 설정으로 설정하지 않습니다.

포인터 인증 (CONFIG_ARM64_PTR_AUTH)

AL2023 커널은 포인터 인증 확장(ARMv8.3 확장의 일부)을 지원하여 구축되었으며, 이는 반환 지향 프로그래밍(ROP) 기술을 완화하는 데 사용할 수 있습니다. Graviton 포인터 인증에 필요한 하드웨어 지원은 Graviton 3에 추가되었습니다.

CONFIG_ARM64_PTR_AUTH 옵션은 활성화되어 있으며 사용자 공간 포인터 인증을 지원합니다. CONFIG_ARM64_PTR_AUTH_KERNEL 옵션도 활성화되어 있으므로 AL2023 커널은 자체적으로 반환 주소 보호를 사용할 수 있습니다.

이 옵션은 커널 자체 보호 프로젝트 권장 설정 중 하나입니다.

권한 있는 액세스 에뮬레이션 (TTBR0_EL1 전환 사용하지 않음)

사용자 액세스 루틴으로만 일시적으로만 TTBR0_EL1이 유효한 값으로 설정되므로 이 옵션으로 커널이 사용자 공간 메모리에 직접 액세스하는 것을 방지할 수 있습니다.

이 옵션은 커널 자체 보호 프로젝트 권장 설정 중 하나입니다.

사용자 공간에서 실행 중인 경우 커널 매핑을 해제합니다.

AL2023 커널은 사용자 공간()에서 실행될 때 커널의 매핑을 해제하도록 구성됩니다CONFIG_UNMAP_KERNEL_AT_EL0. 이 옵션은 커널 자체 보호 프로젝트 권장 설정 중 하나입니다.

프라이버시사이트 이용 약관쿠키 기본 설정
© 2025, Amazon Web Services, Inc. 또는 계열사. All rights reserved.