本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
AL2023 内核与 AL2 相比发生了变化
AL2023 引入了 6.1 内核以及许多配置更改,以进一步优化适用于云的 Amazon Linux。对于大多数用户来说,这些更改应该是完全透明的。
注重安全的内核配置变化
CONFIG 选项 |
AL2/4.14/aarch64 | AL2/4.14/x86_64 | AL2/5.10/aarch64 | AL2/5.10/x86_64 | AL2023/6.1/aarch64 | AL2023/6.1/x86_64 |
|---|---|---|---|---|---|---|
| CONFIG_BUG_ON_DATA_CORRUPTION |
n
|
y
|
n
|
y
|
y
|
y
|
| CONFIG_DEFAULT_MMAP_MIN_ADDR |
4096
|
4096
|
4096
|
4096
|
65536
|
65536
|
| CONFIG_DEVMEM |
n
|
y
|
n
|
y
|
n
|
n
|
| CONFIG_DEVPORT |
n
|
y
|
n
|
y
|
n
|
n
|
| CONFIG_FORTIFY_SOURCE |
n
|
y
|
n
|
y
|
y
|
y
|
| CONFIG_HARDENED_USERCOPY_FALLBACK | 不适用 | 不适用 |
y
|
y
|
不适用 | 不适用 |
| CONFIG_INIT_ON_ALLOC_DEFAULT_ON | 不适用 | 不适用 |
n
|
n
|
n
|
n
|
| CONFIG_INIT_ON_FREE_DEFAULT_ON | 不适用 | 不适用 |
n
|
n
|
n
|
n
|
| CONFIG_IOMMU_DEFAULT_DMA_STRICT | 不适用 | 不适用 | 不适用 | 不适用 |
n
|
n
|
| CONFIG_LDISC_AUTOLOAD |
y
|
y
|
y
|
y
|
n
|
n
|
| CONFIG_SCHED_CORE | 不适用 | 不适用 | 不适用 | 不适用 | 不适用 |
y
|
| CONFIG_SCHED_STACK_END_CHECK |
n
|
y
|
n
|
y
|
y
|
y
|
| CONFIG_SECURITY_DMESG_RESTRICT |
n
|
n
|
n
|
n
|
y
|
y
|
| CONFIG_SECURITY_SELINUX_DISABLE |
y
|
y
|
y
|
y
|
n
|
n
|
| CONFIG_SHUFFLE_PAGE_ALLOCATOR | 不适用 | 不适用 |
y
|
y
|
y
|
y
|
| CONFIG_SLAB_FREELIST_HARDENED |
n
|
y
|
y
|
y
|
y
|
y
|
| CONFIG_SLAB_FREELIST_RANDOM |
n
|
n
|
y
|
y
|
y
|
y
|
x86-64 以特定安全为重点的内核配置更改
CONFIG 选项 |
AL2/4.14/x86_64 | AL2/5.10/x86_64 | AL2023/6.1/x86_64 |
|---|---|---|---|
| CONFIG_AMD_IOMMU |
y
|
y
|
y
|
| CONFIG_AMD_IOMMU_V2 |
m
|
m
|
y
|
| CONFIG_RANDOMIZE_MEMORY | 不适用 |
y
|
y
|
aarch64 (arm/Graviton) 以安全为重点的内核配置更改
CONFIG 选项 |
AL2/4.14/aarch64 | AL2/5.10/aarch64 | AL2023/6.1/aarch64 |
|---|---|---|---|
| CONFIG_ARM64_PTR_AUTH | 不适用 |
y
|
y
|
| CONFIG_ARM64_PTR_AUTH_KERNEL | 不适用 | 不适用 |
y
|
| CONFIG_ARM64_SW_TTBR0_PAN |
y
|
y
|
y
|
/dev/mem、/dev/kmem 和 /dev/port
Amazon Linux 2023 在 AL2 中已经存在的限制的基础上完全禁用/dev/memCONFIG_DEVMEM和/dev/port(而且CONFIG_DEVPORT)。
在 5.13 内核中,该/dev/kmem代码已从 Linux 中完全删除,虽然它在 AL2 中被禁用,但现在不适用于 AL2023。
此选项是内核自我保护项目推荐设置
FORTIFY_SOURCE
AL2023 可在所有支持的架构CONFIG_FORTIFY_SOURCE上启用。此功能是一项安全强化功能。在编译器可以确定和验证缓冲区大小的情况下,此功能可以检测常见字符串和内存函数中的缓冲区溢出。
此选项是内核自我保护项目推荐设置
线路纪律自动加载 () CONFIG_LDISC_AUTOLOAD
除非请求来自具有CAP_SYS_MODULE权限的进程,否则 AL2023 内核不会自动加载线路规范 TIOCSETDioctl,例如通过使用的软件进行加载。
此选项是内核自我保护项目推荐设置
dmesg非特权用户的访问权限 () CONFIG_SECURITY_DMESG_RESTRICT
默认情况下,AL2023 不允许非特权用户访问。dmesg
此选项是内核自我保护项目推荐设置
SELinux 已禁用 selinuxfs
AL2023 禁用了已弃用的CONFIG_SECURITY_SELINUX_DISABLE内核选项,该选项启用了一种在加载策略之前禁用 SELinux 的运行时方法。
此选项是内核自我保护项目推荐设置
其他内核配置变化
CONFIG 选项 |
AL2/4.14/aarch64 | AL2/4.14/x86_64 | AL2/5.10/aarch64 | AL2/5.10/x86_64 | AL2023/6.1/aarch64 | AL2023/6.1/x86_64 |
|---|---|---|---|---|---|---|
| CONFIG_HZ |
100
|
250
|
100
|
250
|
100
|
100
|
| CONFIG_NR_CPUS |
4096
|
8192
|
4096
|
8192
|
512
|
512
|
| CONFIG_PANIC_ON_OOPS |
y
|
n
|
y
|
n
|
y
|
y
|
| CONFIG_PANIC_ON_OOPS_VALUE |
1
|
0
|
1
|
0
|
1
|
1
|
| CONFIG_PPP |
m
|
m
|
m
|
m
|
n
|
n
|
| CONFIG_SLIP |
m
|
m
|
m
|
m
|
n
|
n
|
| CONFIG_XEN_PV | 不适用 |
y
|
不适用 |
n
|
不适用 |
n
|
CONFIG_HZ
AL2023 在两个aarch64平台上都x86-64设置CONFIG_HZ为 100。
CONFIG_NR_CPUS
AL2023 设置CONFIG_NR_CPUS为更接近亚马逊 EC2 中最大的 CPU 内核数的数字。
内核错误处理
AL2023 内核在运行时会死机。此功能等同于在内核命令行上使用 oops=panic 引导。
内核错误是指内核检测到可能影响系统的进一步可靠性的内部错误。
PPP 和 SLIP 支持
AL2023 不支持 PPP 或 SLIP 协议。
Xen PV 访客支持
AL2023 不支持作为 Xen PV 客户机运行。
内核文件系统支持
AL2 中的内核支持挂载的文件系统发生了几处变化,内核将要解析的分区方案也发生了变化。
CONFIG 选项 |
AL2/4.14/aarch64 | AL2/4.14/x86_64 | AL2/5.10/aarch64 | AL2/5.10/x86_64 | AL2023/6.1/aarch64 | AL2023/6.1/x86_64 |
|---|---|---|---|---|---|---|
| CONFIG_AFS_FS |
n
|
m
|
n
|
m
|
n
|
n
|
| CONFIG_AF_RXRPC |
n
|
m
|
n
|
m
|
n
|
n
|
| CONFIG_BSD_DISKLABEL |
y
|
y
|
y
|
y
|
n
|
n
|
| CONFIG_CRAMFS |
m
|
m
|
m
|
m
|
n
|
n
|
| CONFIG_CRAMFS_BLOCKDEV | 不适用 | 不适用 |
y
|
n
|
不适用 | 不适用 |
| CONFIG_DM_CLONE | 不适用 | 不适用 |
n
|
n
|
n
|
n
|
| CONFIG_DM_ERA |
m
|
n
|
m
|
n
|
n
|
n
|
| CONFIG_DM_INTEGRITY |
n
|
m
|
n
|
m
|
m
|
m
|
| CONFIG_DM_LOG_WRITES |
n
|
n
|
m
|
m
|
m
|
m
|
| CONFIG_DM_SWITCH |
m
|
n
|
m
|
n
|
n
|
n
|
| CONFIG_DM_VERITY |
m
|
n
|
m
|
n
|
n
|
n
|
| CONFIG_ECRYPT_FS |
n
|
m
|
n
|
m
|
n
|
n
|
| CONFIG_EXFAT_FS | 不适用 | 不适用 |
m
|
m
|
m
|
m
|
| CONFIG_EXT2_FS |
n
|
m
|
n
|
m
|
n
|
n
|
| CONFIG_EXT3_FS |
n
|
m
|
n
|
m
|
n
|
n
|
| CONFIG_GFS2_FS |
m
|
m
|
m
|
m
|
n
|
n
|
| CONFIG_HFSPLUS_FS |
n
|
m
|
n
|
m
|
n
|
n
|
| CONFIG_HFS_FS |
n
|
m
|
n
|
m
|
n
|
n
|
| CONFIG_JFS_FS |
n
|
m
|
n
|
m
|
n
|
n
|
| CONFIG_LDM_PARTITION |
n
|
y
|
n
|
y
|
n
|
n
|
| CONFIG_MAC_PARTITION |
n
|
y
|
n
|
y
|
n
|
n
|
| CONFIG_NFS_V2 |
n
|
m
|
n
|
m
|
n
|
n
|
| CONFIG_NTFS_FS |
n
|
m
|
n
|
n
|
n
|
n
|
| CONFIG_ROMFS_FS |
n
|
m
|
n
|
m
|
n
|
n
|
| CONFIG_SOLARIS_X86_PARTITION |
n
|
y
|
n
|
y
|
n
|
n
|
| CONFIG_SQUASHFS_ZSTD |
n
|
y
|
n
|
y
|
y
|
y
|
| CONFIG_SUN_PARTITION |
n
|
y
|
n
|
y
|
n
|
n
|
Andrew 文件系统支持 (AFS)
内核不再支持 afs 文件系统。AL2 未附带的用户空间支持。afs
cramfs 支持
内核不再支持 cramfs 文件系统。AL2023 的继任者是squashfs文件系统。
BSD 磁盘标签支持
内核不再支持 BSD 磁盘标签。如果需要带有 BSD 磁盘标签的读取卷,则可以启动各种 BSD。
设备映射器变化
在 AL2023 内核中配置的设备映射器目标进行了几处更改。
eCryptFs 支持
Amazon Linux 中已弃用了 ecryptfs 文件系统。的用户空间组件ecryptfs存在于 AL1 中,在 AL2 中已删除,AL2023 不再使用支持构建内核。ecryptfs
exFAT
在 AL2 的 5.10 内核中增加了对exFAT文件系统的支持。它在 AL2 发布时没有 4.14 内核。AL2023 继续支持该exFAT文件系统。
ext2、 ext3 和 ext4 文件系统
AL2023 附带该CONFIG_EXT4_USE_FOR_EXT2选项,这意味着ext4文件系统代码将用于读取传统ext2文件系统。
CONFIG_GFS2_FS
内核不再使用 CONFIG_GFS2_FS 构建。
Apple Extended HFS 文件系统支持 (HFS+)
在 AL2 中,只有内x86-64核是在支持hfsplus文件系统的情况下构建的。AL2 5.15 内核不hfsplus支持任何架构。在 AL2023 中,我们完成了对亚马逊 Linux hfsplus 支持的弃用。
HFS 文件系统支持
在 AL2 中,只有内x86-64核是在支持hfs文件系统的情况下构建的。AL2 5.15 内核不hfs支持任何架构。在 AL2023 中,我们完成了对亚马逊 Linux hfs 支持的弃用。
JFS 文件系统支持
在 AL2 中,只有内x86-64核是在支持jfs文件系统的情况下构建的。AL2 5.15 内核不jfs支持任何架构。AL1 和 AL2 都没有与 JFS 用户空间一起提供。在 AL2023 中,我们完成了对亚马逊 Linux jfs 支持的弃用。
上游 Linux 内核正在考虑删除JFSJFS文件系统上有数据,则应将其迁移到另一个文件系统。
Windows逻辑磁盘管理器(动态磁盘)支持 (CONFIG_LDM_PARTITION)
AL2023 不再支持Windows 2000Windows XP、或带有MS-DOS样式分区的Windows Vista动态磁盘。此代码从来不支持中引入的基于 GPT 的较新的动态磁盘。Windows Vista
Macintosh 分区映射支持
AL2023 不再支持经典的 Macintosh 分区图。默认情况下,现代 macOS 版本会创建现代 GPT 分区表,以取代这种较旧的类型。
NFSv2 支持
AL2023 不再支持 NFSv2,但继续支持 NFSv3、NFSv4、NFSv4.1 和 NFSv4.2。我们建议您迁移到 NFSv3 或更高版本。
NTFS (CONFIG_NTFS_FS)
从 AL2 ntfs 的 5.10 内核起,在亚马逊 Linux 上访问 NTFS 文件系统的ntfs3代码已被替换。AL2023 不再包含该ntfs代码,而是完全依赖该ntfs3代码来访问 NTFS 文件系统。
romfs 文件系统
squashfs 文件系统是 Amazon Linux 中 romfs 文件系统的后继版本,而 AL2023 内核不再支持 romfs。
Solaris x86 硬盘分区格式
AL2023 不再支持 Solaris x86 硬盘分区格式。
squashfszstd 压缩
AL2023 在所有支持的架构上增加了对zstd压缩squashfs文件系统的支持。
Sun 分区表支持
AL2023 不再支持 Sun 分区表格式 (CONFIG_SUN_PARTITION)。