Requisiti per creare immagini personalizzate

In alcuni casi, le applicazioni potrebbero richiedere di creare il proprio sistema operativo o compilare un kernel personalizzato. Se compili kernel personalizzati o crei sistemi operativi personalizzati per le tue VM, assicurati che soddisfino i requisiti riportati in questo documento.

La creazione di un sistema operativo personalizzato è un'attività avanzata per gli utenti con applicazioni che richiedono specificamente un kernel personalizzato. La maggior parte degli utenti può creare VM da una delle immagini pubbliche disponibili, utilizzare lo strumento di importazione dei dischi virtuali automatico per importare i dischi in Compute Engine da altri ambienti o importare manualmente un'immagine personalizzata da un sistema con una distribuzione Linux di uso comune.

Requisiti di supporto hardware

Il kernel deve supportare i seguenti dispositivi:

• Bridge PCI: Intel Corporation 82371AB/EB/MB PIIX4 ACPI (rev 03)
• Bridge ISA: Intel 82371AB/EB/MB PIIX4 ISA (rev 03)

• Controller Ethernet:

  • Adattatore Ethernet Virtio-Net.

  • La gVNIC è obbligatoria per Tau T2A di seconda generazione e per tutte le serie di macchine di terza generazione e successive.

    Inoltre, la gVNIC è obbligatoria o consigliata se utilizzi GPU su uno dei seguenti elementi:

    • Tipi di macchine N1 per uso generico
    • Tipi di macchine A4, A3, A2 o G2 ottimizzati per l'acceleratore

  • vendor = 0x1AF4 (Qumranet/Red Hat)

  • device id = 0x1000. ID sottosistema 0x1

  • Il trasferimento del checksum è supportato

  • TSO v4 è supportato

  • GRO v4 è supportato

• Controller di archiviazione SCSI:

  • Controller dello spazio di archiviazione Virtio-SCSI
  • vendor = 0x1AF4 (Qumranet/Red Hat)
  • ID dispositivo = 0x1004. ID sottosistema 0x8.
  • Sono supportati i comandi principali SCSI 4 e i comandi di blocco SCSI 3
  • È supportata una sola coda di richieste
  • I dischi permanenti registrano settori fisici di 4 KiB / settori logici di 512 byte
  • Sono supportati solo i dispositivi a blocchi (dischi)
  • Il bit della funzionalità Hotplug / Eventi è supportato

• Porte seriali:
  • Quattro porte 16550A
  • ttyS0 su IRQ 4
  • ttyS1 su IRQ 3
  • ttyS2 su IRQ 6
  • ttyS3 su IRQ 7

Opzioni per la creazione del kernel Linux obbligatorie

Devi creare il kernel del sistema operativo con le seguenti opzioni:

• CONFIG_KVM_GUEST=y
  • Attiva la funzionalità di paravirtualizzazione.
• CONFIG_KVM_CLOCK=y
  • Attiva l'orologio paravirtualizzato (se applicabile alla tua versione kernel).
• CONFIG_VIRTIO_PCI=y
  • Attiva i dispositivi PCI paravirtualizzati.
• CONFIG_SCSI_VIRTIO=y
  • Attiva l'accesso ai dischi paravirtualizzati.
• CONFIG_VIRTIO_NET=y
  • Attiva l'accesso alla rete.
• CONFIG_PCI_MSI=y
  • Attiva l'invio di interruzioni ad alte prestazioni, che è obbligatorio per i dispositivi SSD locali.

Opzioni per la creazione del kernel per la sicurezza

Utilizza le impostazioni di sicurezza consigliate nelle opzioni per la creazione del kernel:

• CONFIG_STRICT_DEVMEM=y
  • Limita /dev/mem in modo da consentire l'accesso solo allo spazio PCI, al codice BIOS e alle regioni di dati.
• CONFIG_DEVKMEM=n
  • Disattiva il supporto di /dev/kmem.
  • Blocca l'accesso alla memoria del kernel.
• CONFIG_DEFAULT_MMAP_MIN_ADDR=65536
  • Imposta una memoria virtuale ridotta protetta dall'allocazione nello spazio utente.
• CONFIG_DEBUG_RODATA=y
  • Contrassegna i dati di sola lettura del kernel come protetti dalla scrittura nelle tabelle di pagine per rilevare le scritture accidentali (ed errate) a questi dati const. Questa opzione può avere un lieve impatto sulle prestazioni perché una parte del codice del kernel non sarà più coperta da una TLB di 2 MB.
• CONFIG_DEBUG_SET_MODULE_RONX=y
  • Rileva le modifiche indesiderate al testo e ai dati di sola lettura del modulo kernel caricabile. Questa opzione impedisce anche l'esecuzione dei dati del modulo.
• CONFIG_CC_STACKPROTECTOR=y
  • Attiva la funzionalità GCC di -fstack-protector. Questa funzionalità inserisce un valore canary all'inizio delle funzioni critiche, nello stack prima dell'indirizzo di ritorno, e convalida il valore prima di eseguire effettivamente il ritorno. Questo fa sì che gli overflow del buffer basati sullo stack (che devono sovrascrivere questo indirizzo di ritorno) sovrascrivano il canary, il quale viene rilevato, perciò l'attacco viene neutralizzato tramite un kernel panic.
• CONFIG_COMPAT_VDSO=n
  • Garantisce che il VDSO non si trovi in un indirizzo prevedibile per rafforzare l'ASLR. Se attivata, questa caratteristica mappa il VDSO all'indirizzo old-style previsto, fornendo una posizione prevedibile per il salto del codice di exploit. Inserisci N qui se stai utilizzando una versione glibc sufficientemente recente (2.3.3 o successiva) per rimuovere la mappatura VDSO con mappatura elevata e utilizzare esclusivamente il VDSO randomizzato.
• CONFIG_COMPAT_BRK=n
  • Non disattivare la randomizzazione dell'heap.
• CONFIG_X86_PAE=y
  • Imposta questa opzione per un kernel a 32 bit perché è necessario il PAE per il supporto di NX. Ciò consente anche di supportare uno spazio di scambio più grande per scopi non di overcommit.
• CONFIG_SYN_COOKIES=y
  • Fornisce una certa protezione contro gli attacchi SYN flood.
• CONFIG_SECURITY_YAMA=y
  • Viene selezionato Yama, che estende il supporto del DAC con impostazioni di sicurezza aggiuntive a livello di sistema oltre ai normali controlli di accesso discrezionale di Linux. Al momento, l'impostazione è la limitazione dell'ambito di ptrace.
• CONFIG_SECURITY_YAMA_STACKED=y
  • Questa opzione obbliga Yama a fare lo stack con l'LSM principale selezionato quando Yama è disponibile.

Impostazioni di sicurezza del kernel

Puoi anche rafforzare la sicurezza del kernel tramite il file delle impostazioni del kernel. Modifica il file /etc/sysctl.conf per includere le seguenti impostazioni di sicurezza consigliate:

# Enable syn flood protection
net.ipv4.tcp_syncookies = 1

# Ignore source-routed packets
net.ipv4.conf.all.accept_source_route = 0

# Ignore source-routed packets
net.ipv4.conf.default.accept_source_route = 0

# Ignore ICMP redirects
net.ipv4.conf.all.accept_redirects = 0

# Ignore ICMP redirects
net.ipv4.conf.default.accept_redirects = 0

# Ignore ICMP redirects from non-GW hosts
net.ipv4.conf.all.secure_redirects = 1

# Ignore ICMP redirects from non-GW hosts
net.ipv4.conf.default.secure_redirects = 1

# Don't allow traffic between networks or act as a router
net.ipv4.ip_forward = 0

# Don't allow traffic between networks or act as a router
net.ipv4.conf.all.send_redirects = 0

# Don't allow traffic between networks or act as a router
net.ipv4.conf.default.send_redirects = 0

# Reverse path filtering—IP spoofing protection
net.ipv4.conf.all.rp_filter = 1

# Reverse path filtering—IP spoofing protection
net.ipv4.conf.default.rp_filter = 1

# Ignore ICMP broadcasts to avoid participating in Smurf attacks
net.ipv4.icmp_echo_ignore_broadcasts = 1

# Ignore bad ICMP errors
net.ipv4.icmp_ignore_bogus_error_responses = 1

# Log spoofed, source-routed, and redirect packets
net.ipv4.conf.all.log_martians = 1

# Log spoofed, source-routed, and redirect packets
net.ipv4.conf.default.log_martians = 1

# Randomize addresses of mmap base, heap, stack and VDSO page
kernel.randomize_va_space = 2

# Provide protection from ToCToU races
fs.protected_hardlinks=1

# Provide protection from ToCToU races
fs.protected_symlinks=1

# Make locating kernel addresses more difficult
kernel.kptr_restrict=1

# Set ptrace protections
kernel.yama.ptrace_scope=1

# Set perf only available to root
kernel.perf_event_paranoid=2

Passaggi successivi

• Installa il sistema operativo su un disco di avvio e importa manualmente l'immagine in Compute Engine come immagine personalizzata.
• Se hai già importato il sistema operativo come immagine personalizzata, configura le impostazioni non del kernel sull'immagine in modo che possa funzionare in modo ottimale nell'ambiente Compute Engine.