커스텀 이미지 빌드 요구사항


경우에 따라 사용자가 직접 운영체제를 빌드하거나 커스텀 커널을 컴파일해야 할 수 있습니다. 커스텀 커널을 컴파일하거나 VM의 커스텀 운영체제를 만드는 경우 이 문서의 요구사항을 충족하는지 확인하세요.

커스텀 운영체제 빌드는 특별히 커스텀 커널이 필요한 애플리케이션 사용자를 위한 고급 작업입니다. 대부분 사용자는 사용 가능한 공개 이미지 중 하나로 VM을 만들거나, 자동 가상 디스크 가져오기 도구를 사용하여 다른 환경에서 Compute Engine으로 디스크를 가져오거나, 일반 스톡 Linux 배포판을 사용하는 시스템에서 수동으로 커스텀 이미지를 가져옵니다.

하드웨어 지원 요구사항

커널에서 다음 기기를 지원해야 합니다.

  • PCI 브리지: Intel Corporation 82371AB/EB/MB PIIX4 ACPI(수정 번호 03)
  • ISA 브리지: Intel 82371AB/EB/MB PIIX4 ISA(수정 번호 03)
  • 이더넷 컨트롤러:
    • Virtio-Net 이더넷 어댑터. Tau T2A VM에는 gVNIC가 필요합니다.
    • 공급업체 = 0x1AF4(Qumranet/Red Hat)
    • 기기 ID = 0x1000. 하위 시스템 ID 0x1
    • 체크섬 오프로드 지원됨
    • TSO v4 지원됨
    • GRO v4 지원됨
  • SCSI 스토리지 컨트롤러:
    • Virtio-SCSI 스토리지 컨트롤러
    • 공급업체 = 0x1AF4(Qumranet/Red Hat)
    • 기기 ID = 0x1004. 하위 시스템 ID 0x8
    • SCSI 기본 명령어 4 및 SCSI 블록 명령어 3 지원됨
    • 하나의 요청 큐만 지원됨
    • 영구 디스크에서 4KiB 물리적 섹터/ 512바이트 논리적 섹터 보고
    • 블록 기기(디스크)만 지원됨
    • Hotplug/이벤트 기능 비트 지원됨
  • 직렬 포트:
    • 16550A 포트 4개
    • IRQ 4의 ttyS0
    • IRQ 3의 ttyS1
    • IRQ 6의 ttyS2
    • IRQ 7의 ttyS3

필수 Linux 커널 빌드 옵션

다음 옵션을 사용하여 운영체제 커널을 빌드해야 합니다.

  • CONFIG_KVM_GUEST=y
    • 반가상화 기능을 사용 설정합니다.
  • CONFIG_KVM_CLOCK=y
    • 반가상화된 시계를 사용 설정합니다(커널 버전에 적용되는 경우).
  • CONFIG_VIRTIO_PCI=y
    • 반가상화된 PCI 기기를 사용 설정합니다.
  • CONFIG_SCSI_VIRTIO=y
    • 반가상화된 디스크에 대한 액세스를 사용 설정합니다.
  • CONFIG_VIRTIO_NET=y
    • 네트워킹에 대한 액세스를 사용 설정합니다.
  • CONFIG_PCI_MSI=y
    • 로컬 SSD 기기에 필요한 고성능 인터럽트 전송을 사용 설정합니다.

보안을 위한 커널 빌드 옵션

커널 빌드 옵션에서 권장되는 보안 설정을 사용하세요.

  • CONFIG_STRICT_DEVMEM=y
    • PCI 공간, BIOS 코드, 데이터 리전에만 액세스 할 수 있도록 /dev/mem을 제한합니다.
  • CONFIG_DEVKMEM=n
    • /dev/kmem 지원을 사용 중지합니다.
    • 커널 메모리에 대한 액세스를 차단합니다.
  • CONFIG_DEFAULT_MMAP_MIN_ADDR=65536
    • 사용자 공간 할당으로부터 보호되는 낮은 가상 메모리를 설정합니다.
  • CONFIG_DEBUG_RODATA=y
    • 커널 읽기 전용 데이터를 페이지 테이블의 쓰기 금지로 표시하여 실수로 해당 const 데이터에 대한 (잘못된) 쓰기를 포착합니다. 이 옵션은 2MB TLB가 커널 코드의 일부를 더 이상 처리하지 않기 때문에 성능에 약간의 영향을 줄 수 있습니다.
  • CONFIG_DEBUG_SET_MODULE_RONX=y
    • 로드 가능한 커널 모듈의 텍스트와 읽기 전용 데이터에 대한 의도하지 않은 수정 사항을 포착합니다. 이 옵션은 모듈 데이터의 실행도 방지합니다.
  • CONFIG_CC_STACKPROTECTOR=y
    • -fstack-protector GCC 기능을 사용 설정합니다. 이 기능은 중요한 기능의 시작 부분에서 반환 주소 앞의 스택에 카나리아 값을 넣고 실제로 반환하기 전에 값을 검사합니다. 이로 인해 이 반환 주소를 덮어써야 하는 스택 기반 버퍼 오버플로가 카나리아를 덮어쓰게 됩니다. 이는 감지되고 커널 패틱으로 중화됩니다.
  • CONFIG_COMPAT_VDSO=n
    • ASLR 강화를 위해 VDSO가 예측 가능한 주소에 있지 않도록 합니다. 이 기능을 사용하면 VDSO를 예측 가능한 이전 주소로 매핑하여 악용 코드가 이동할 예상 위치를 제공합니다. 여기에서는 고도로 매핑된 VDSO 매핑을 제거하고 임의 VDSO를 단독으로 사용하기 위해 충분히 최신 glibc 버전(2.3.3 이상)을 실행하고 있는 경우 N이라고 하겠습니다.
  • CONFIG_COMPAT_BRK=n
    • 힙 임의화를 중지하지 않습니다.
  • CONFIG_X86_PAE=y
    • NX 지원에 PAE가 필요하므로 32비트 커널에 이 옵션을 설정합니다. 이는 또한 오버커밋이 아닌 용도에 큰 스왑 공간 지원을 사용 설정합니다.
  • CONFIG_SYN_COOKIES=y
    • SYN 범람으로부터 보호합니다.
  • CONFIG_SECURITY_YAMA=y
    • 이는 일반 Linux 임의 액세스 제어를 넘어 시스템 전반의 보안 설정으로 DAC 지원을 확장하는 Yama를 선택합니다. 현재 설정은 ptrace 범위 제한입니다.
  • CONFIG_SECURITY_YAMA_STACKED=y
    • 이 옵션은 Yama를 사용할 수 있을 때 Yama를 선택한 기본 LSM과 함께 배치하게 합니다.

커널 보안 설정

커널 설정 파일을 통해 커널의 보안을 강화할 수도 있습니다. /etc/sysctl.conf 파일을 수정하여 다음 추천 보안 설정을 포함합니다.

# Enable syn flood protection
net.ipv4.tcp_syncookies = 1

# Ignore source-routed packets
net.ipv4.conf.all.accept_source_route = 0

# Ignore source-routed packets
net.ipv4.conf.default.accept_source_route = 0

# Ignore ICMP redirects
net.ipv4.conf.all.accept_redirects = 0

# Ignore ICMP redirects
net.ipv4.conf.default.accept_redirects = 0

# Ignore ICMP redirects from non-GW hosts
net.ipv4.conf.all.secure_redirects = 1

# Ignore ICMP redirects from non-GW hosts
net.ipv4.conf.default.secure_redirects = 1

# Don't allow traffic between networks or act as a router
net.ipv4.ip_forward = 0

# Don't allow traffic between networks or act as a router
net.ipv4.conf.all.send_redirects = 0

# Don't allow traffic between networks or act as a router
net.ipv4.conf.default.send_redirects = 0

# Reverse path filtering—IP spoofing protection
net.ipv4.conf.all.rp_filter = 1

# Reverse path filtering—IP spoofing protection
net.ipv4.conf.default.rp_filter = 1

# Ignore ICMP broadcasts to avoid participating in Smurf attacks
net.ipv4.icmp_echo_ignore_broadcasts = 1

# Ignore bad ICMP errors
net.ipv4.icmp_ignore_bogus_error_responses = 1

# Log spoofed, source-routed, and redirect packets
net.ipv4.conf.all.log_martians = 1

# Log spoofed, source-routed, and redirect packets
net.ipv4.conf.default.log_martians = 1

# Randomize addresses of mmap base, heap, stack and VDSO page
kernel.randomize_va_space = 2

# Provide protection from ToCToU races
fs.protected_hardlinks=1

# Provide protection from ToCToU races
fs.protected_symlinks=1

# Make locating kernel addresses more difficult
kernel.kptr_restrict=1

# Set ptrace protections
kernel.yama.ptrace_scope=1

# Set perf only available to root
kernel.perf_event_paranoid=2

다음 단계