本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
AL2023 个内核变更自 AL2
AL2023 引入了 6.1 内核以及许多配置更改,以进一步优化 Amazon Linux 的云端应用。对于大多数用户来说,这些更改应该是完全透明的。
IPv4 TTL
的 TTL IPv4 是通过配置的sysctl,默认值显示在中。/etc/sysctl.d/00-defaults.conf该值可以通过常用sysctl方法进行自定义。有关更多信息,请参阅sysctlman页面。
AL2 将该net.ipv4.ip_default_ttl值设置为 255,而 AL2 023 将其设置为 127。这使亚马逊 Linux 的默认设置与其他主要的 Linux 发行版保持一致。如果没有证明有必要,不建议更改此默认值。
注重安全的内核配置变化
CONFIG 选项 |
AL2/4.14/aarch64 | AL2/4.14/x86_64 | AL2/5.10/aarch64 | AL2/5.10/x86_64 | AL2023/6.1/aarch64 | AL2023/6.1/x86_64 | AL2023/6.12/aarch64 | AL2023/6.12/x86_64 |
|---|---|---|---|---|---|---|---|---|
| CONFIG_BUG_ON_DATA_CORRUPTION |
n
|
y
|
n
|
y
|
y
|
y
|
y
|
y
|
| CONFIG_DEFAULT_MMAP_MIN_ADDR |
4096
|
4096
|
4096
|
4096
|
65536
|
65536
|
65536
|
65536
|
| CONFIG_DEVMEM |
n
|
y
|
n
|
y
|
n
|
n
|
n
|
n
|
| CONFIG_DEVPORT |
n
|
y
|
n
|
y
|
n
|
n
|
n
|
n
|
| CONFIG_FORTIFY_SOURCE |
n
|
y
|
n
|
y
|
y
|
y
|
y
|
y
|
| CONFIG_HARDENED_USERCOPY_FALLBACK | 不适用 | 不适用 |
y
|
y
|
不适用 | 不适用 | 不适用 | 不适用 |
| CONFIG_INIT_ON_ALLOC_DEFAULT_ON | 不适用 | 不适用 |
n
|
n
|
n
|
n
|
n
|
n
|
| CONFIG_INIT_ON_FREE_DEFAULT_ON | 不适用 | 不适用 |
n
|
n
|
n
|
n
|
n
|
n
|
| CONFIG_IOMMU_DEFAULT_DMA_STRICT | 不适用 | 不适用 | 不适用 | 不适用 |
n
|
n
|
n
|
n
|
| CONFIG_LDISC_AUTOLOAD |
y
|
y
|
y
|
y
|
n
|
n
|
n
|
n
|
| CONFIG_SCHED_CORE | 不适用 | 不适用 | 不适用 | 不适用 | 不适用 |
y
|
不适用 |
y
|
| CONFIG_SCHED_STACK_END_CHECK |
n
|
y
|
n
|
y
|
y
|
y
|
y
|
y
|
| CONFIG_SECURITY_DMESG_RESTRICT |
n
|
n
|
n
|
n
|
y
|
y
|
y
|
y
|
| CONFIG_SECURITY_SELINUX_DISABLE |
y
|
y
|
y
|
y
|
n
|
n
|
不适用 | 不适用 |
| CONFIG_SHUFFLE_PAGE_ALLOCATOR | 不适用 | 不适用 |
y
|
y
|
y
|
y
|
y
|
y
|
| CONFIG_SLAB_FREELIST_HARDENED |
n
|
y
|
y
|
y
|
y
|
y
|
y
|
y
|
| CONFIG_SLAB_FREELIST_RANDOM |
n
|
n
|
y
|
y
|
y
|
y
|
y
|
y
|
x86-64 以特定安全为重点的内核配置更改
CONFIG 选项 |
AL2/4.14/x86_64 | AL2/5.10/x86_64 | AL2023/6.1/x86_64 | AL2023/6.12/x86_64 |
|---|---|---|---|---|
| CONFIG_AMD_IOMMU |
y
|
y
|
y
|
y
|
| CONFIG_AMD_IOMMU_V2 |
m
|
m
|
y
|
不适用 |
| CONFIG_RANDOMIZE_MEMORY | 不适用 |
y
|
y
|
y
|
aarch64 (arm/Graviton) 以安全为重点的内核配置更改
CONFIG 选项 |
AL2/4.14/aarch64 | AL2/5.10/aarch64 | AL2023/6.1/aarch64 | AL2023/6.12/aarch64 |
|---|---|---|---|---|
| CONFIG_ARM64_PTR_AUTH | 不适用 |
y
|
y
|
y
|
| CONFIG_ARM64_PTR_AUTH_KERNEL | 不适用 | 不适用 |
y
|
y
|
| CONFIG_ARM64_SW_TTBR0_PAN |
y
|
y
|
y
|
y
|
/dev/mem、/dev/kmem 和 /dev/port
Amazon Linux 2023 在已有的限制的基础上完全禁用/dev/memCONFIG_DEVMEM和/dev/port(而且CONFIG_DEVPORT)。 AL2
在 5.13 内核中,该/dev/kmem代码已从 Linux 中完全删除,虽然它在中被禁用 AL2,但现在不适用于 AL2 023。
此选项是内核自我保护项目推荐设置
FORTIFY_SOURCE
AL2023 CONFIG_FORTIFY_SOURCE 在所有支持的架构上启用。此功能是一项安全强化功能。在编译器可以确定和验证缓冲区大小的情况下,此功能可以检测常见字符串和内存函数中的缓冲区溢出。
此选项是内核自我保护项目推荐设置
线路纪律自动加载 () CONFIG_LDISC_AUTOLOAD
除非请求来自具有CAP_SYS_MODULE权限的进程,否则 AL2 023 内核不会自动加载线路规范 TIOCSETDioctl,例如通过使用的软件进行加载。
此选项是内核自我保护项目推荐设置
dmesg非特权用户的访问权限 () CONFIG_SECURITY_DMESG_RESTRICT
默认情况下, AL2023 不允许非特权用户访问。dmesg
此选项是内核自我保护项目推荐设置
SELinux selinuxfs禁用
AL2023 禁用已弃用的CONFIG_SECURITY_SELINUX_DISABLE内核选项,该选项启用了一种在加载策略 SELinux 之前禁用的运行时方法。
此选项是内核自我保护项目推荐设置
其他内核配置变化
CONFIG 选项 |
AL2/4.14/aarch64 | AL2/4.14/x86_64 | AL2/5.10/aarch64 | AL2/5.10/x86_64 | AL2023/6.1/aarch64 | AL2023/6.1/x86_64 | AL2023/6.12/aarch64 | AL2023/6.12/x86_64 |
|---|---|---|---|---|---|---|---|---|
| CONFIG_HZ |
100
|
250
|
100
|
250
|
100
|
100
|
100
|
100
|
| CONFIG_NR_CPUS |
4096
|
8192
|
4096
|
8192
|
4096
|
8192
|
4096
|
8192
|
| CONFIG_PANIC_ON_OOPS |
y
|
n
|
y
|
n
|
y
|
y
|
y
|
y
|
| CONFIG_PANIC_ON_OOPS_VALUE |
1
|
0
|
1
|
0
|
1
|
1
|
1
|
1
|
| CONFIG_PPP |
m
|
m
|
m
|
m
|
n
|
n
|
n
|
n
|
| CONFIG_SLIP |
m
|
m
|
m
|
m
|
n
|
n
|
n
|
n
|
| CONFIG_XEN_PV | 不适用 |
y
|
不适用 |
n
|
不适用 |
n
|
不适用 |
n
|
CONFIG_HZ
AL2在两个aarch64平台上CONFIG_HZ,023 都设置为 100 x86-64。
CONFIG_NR_CPUS
AL2023 设置CONFIG_NR_CPUS为一个更接近亚马逊 EC2上最大 CPU 内核数的数字。
内核错误处理
AL2023 内核出现故障时会死机。此功能等同于在内核命令行上使用 oops=panic 引导。
内核错误是指内核检测到可能影响系统的进一步可靠性的内部错误。
PPP 和 SLIP 支持
AL2023 不支持 PPP 或 SLIP 协议。
Xen PV 访客支持
AL2023 不支持以 Xen PV 访客身份运行。
内核文件系统支持
内核 AL2 将支持挂载的文件系统发生了几处变化,内核将要解析的分区方案也发生了变化。
CONFIG 选项 |
AL2/4.14/aarch64 | AL2/4.14/x86_64 | AL2/5.10/aarch64 | AL2/5.10/x86_64 | AL2023/6.1/aarch64 | AL2023/6.1/x86_64 | AL2023/6.12/aarch64 | AL2023/6.12/x86_64 |
|---|---|---|---|---|---|---|---|---|
| CONFIG_AFS_FS |
n
|
m
|
n
|
m
|
n
|
n
|
n
|
n
|
| CONFIG_AF_RXRPC |
n
|
m
|
n
|
m
|
n
|
n
|
n
|
n
|
| CONFIG_BSD_DISKLABEL |
y
|
y
|
y
|
y
|
n
|
n
|
n
|
n
|
| CONFIG_CRAMFS |
m
|
m
|
m
|
m
|
n
|
n
|
n
|
n
|
| CONFIG_CRAMFS_BLOCKDEV | 不适用 | 不适用 |
y
|
n
|
不适用 | 不适用 | 不适用 | 不适用 |
| CONFIG_DM_CLONE | 不适用 | 不适用 |
n
|
n
|
n
|
n
|
n
|
n
|
| CONFIG_DM_ERA |
m
|
n
|
m
|
n
|
n
|
n
|
n
|
n
|
| CONFIG_DM_INTEGRITY |
n
|
m
|
n
|
m
|
m
|
m
|
m
|
m
|
| CONFIG_DM_LOG_WRITES |
n
|
n
|
m
|
m
|
m
|
m
|
m
|
m
|
| CONFIG_DM_SWITCH |
m
|
n
|
m
|
n
|
n
|
n
|
n
|
n
|
| CONFIG_DM_VERITY |
m
|
n
|
m
|
n
|
m
|
m
|
m
|
m
|
| CONFIG_ECRYPT_FS |
n
|
m
|
n
|
m
|
n
|
n
|
n
|
n
|
| CONFIG_EXFAT_FS | 不适用 | 不适用 |
m
|
m
|
m
|
m
|
m
|
m
|
| CONFIG_EXT2_FS |
n
|
m
|
n
|
m
|
n
|
n
|
n
|
n
|
| CONFIG_EXT3_FS |
n
|
m
|
n
|
m
|
n
|
n
|
n
|
n
|
| CONFIG_GFS2_FS |
m
|
m
|
m
|
m
|
n
|
n
|
n
|
n
|
| CONFIG_HFSPLUS_FS |
n
|
m
|
n
|
m
|
n
|
n
|
n
|
n
|
| CONFIG_HFS_FS |
n
|
m
|
n
|
m
|
n
|
n
|
n
|
n
|
| CONFIG_JFS_FS |
n
|
n
|
n
|
n
|
n
|
n
|
n
|
n
|
| CONFIG_LDM_PARTITION |
n
|
y
|
n
|
y
|
n
|
n
|
n
|
n
|
| CONFIG_MAC_PARTITION |
n
|
y
|
n
|
y
|
n
|
n
|
n
|
n
|
| CONFIG_NFS_V2 |
n
|
m
|
n
|
m
|
n
|
n
|
n
|
n
|
| CONFIG_NTFS_FS |
n
|
m
|
n
|
n
|
n
|
n
|
n
|
n
|
| CONFIG_ROMFS_FS |
n
|
m
|
n
|
m
|
n
|
n
|
n
|
n
|
| CONFIG_SOLARIS_X86_PARTITION |
n
|
y
|
n
|
y
|
n
|
n
|
n
|
n
|
| CONFIG_SQUASHFS_ZSTD |
n
|
y
|
n
|
y
|
y
|
y
|
y
|
y
|
| CONFIG_SUN_PARTITION |
n
|
y
|
n
|
y
|
n
|
n
|
n
|
n
|
Andrew 文件系统支持 (AFS)
内核在构建时不再支持afs文件系统。 AL2 未附带的用户空间支持。afs
cramfs 支持
内核不再支持 cramfs 文件系统。 AL2023 中的继任者是squashfs文件系统。
BSD 磁盘标签支持
内核不再支持 BSD 磁盘标签。如果需要读取带有 BSD 磁盘标签的卷,则 BSDs可以启动各种卷标。
设备映射器变化
在 AL2 023 内核中配置的设备映射器目标进行了几处更改。
eCryptFs 支持
Amazon Linux 中已弃用了 ecryptfs 文件系统。的用户空间组件ecryptfs已存在于中并在中删除 AL1 AL2, AL2023 不再使用ecryptfs支持构建内核。
exFAT
在 5.10 内核中 AL2添加了对exFAT文件系统的支持。它在 4.14 内核 AL2 发布时不存在。 AL2023 继续支持exFAT文件系统。
ext2、 ext3 和 ext4 文件系统
AL2023 附带CONFIG_EXT4_USE_FOR_EXT2选项,这意味着ext4文件系统代码将用于读取传统ext2文件系统。
CONFIG_ _FS GFS2
该内核不再是使用 CONFIG_ GFS2 _FS 构建的。
Apple Extended HFS 文件系统支持 (HFS+)
在中 AL2,只有内x86-64核是在支持hfsplus文件系统的情况下构建的。 AL2 5.15 内核不hfsplus支持任何架构。 AL22023 年,我们完成了对亚马逊 Linux hfsplus 支持的弃用。
HFS 文件系统支持
在中 AL2,只有内x86-64核是在支持hfs文件系统的情况下构建的。 AL2 5.15 内核不hfs支持任何架构。 AL22023 年,我们完成了对亚马逊 Linux hfs 支持的弃用。
JFS 文件系统支持
较旧的 AL2 x86-64内核是在支持jfs文件系统的情况下构建的。 AL2 5.15 内核不jfs支持任何架构。两者都不是, AL1 AL2 或者与 JFS 用户空间一起提供。 AL22023 年,我们完成了对亚马逊 Linux jfs 支持的弃用。
上游 Linux 内核正在考虑删除JFSJFS文件系统上有数据,则应将其迁移到另一个文件系统。2024 JFS 年,已从所有当前的亚马逊 Linux 内核中删除。
Windows逻辑磁盘管理器(动态磁盘)支持 (CONFIG_LDM_PARTITION)
AL2023 不再支持Windows 2000Windows XP、或带有MS-DOS样式分区的Windows Vista动态磁盘。此代码从来不支持中引入的基于 GPT 的较新的动态磁盘。Windows Vista
Macintosh 分区映射支持
AL2023 不再支持经典的 Macintosh 分区图。默认情况下,现代 macOS 版本会创建现代 GPT 分区表,以取代这种较旧的类型。
NFSv2 支持
AL2023 不再支持 NFSv2,但继续支持 NFSv3、 NFSv4、 NFSv4 .1 和 NFSv4 .2。我们建议您迁移到 NFSv3 或更新版本。
NTFS (CONFIG_NTFS_FS)
从5.10内核ntfs开始,在亚马逊 Linux 上访问 NTFS 文件系统的ntfs3代码已被替换。 AL2 AL2023 不再包含该ntfs代码,而是完全依赖该ntfs3代码来访问 NTFS 文件系统。
romfs 文件系统
在 Amazon Linux 中,squashfsromfs文件系统是文件系统的继任者,而且 AL2 023 内核的构建不再支持romfs了。
Solaris x86 硬盘分区格式
AL2023 不再支持 Solaris x86 硬盘分区格式。
squashfszstd 压缩
AL2023 在所有支持的架构上增加了对zstd压缩squashfs文件系统的支持。
Sun 分区表支持
AL2023 不再支持 Sun 分区表格式 (CONFIG_SUN_PARTITION)。