Introduce the 'is present' check instead of expected=None constructor parameter

Add the 'mitigations' check

The default value for the 'mitigations' option is 'auto'.

So this option should be enabled ('is not off') or not set at all.

Add the nosmt check

Add a special 'desired val' -- 'is not off'

This check gives FAIL if the option value is 'off' or
the option is not found. In other cases this check gives OK.

This feature is needed for checking that the CPU vulnerability mitigations
are not disabled. Let's see how it works and maybe improve it in future.

Improve the result descriptions

Add assertions to check arguments of the Class constructors

Update the README

Add the ARM64_E0PD check

Fix the SCHED_CORE check: it's now available for ARM64 and ARM

Update the self-protection checks adopted by KSPP (part V)

Thanks to @kees

Update the self-protection checks adopted by KSPP (part IV): IOMMU

Thanks to @kees

Update the self-protection checks adopted by KSPP (part III)

Thanks to @kees

Update the KSPP recommendations again

Update the self-protection checks adopted by KSPP (part II)

Thanks to @kees

Update the self-protection checks adopted by KSPP (part I)

Thanks to @kees

Update the HW_RANDOM_TPM check

Clip OS says that RANDOM_TRUST_BOOTLOADER and RANDOM_TRUST_CPU should be
disabled if HW_RANDOM_TPM is enabled. The Clip OS description:
  Do not credit entropy included in Linux’s entropy pool when generated
  by the CPU manufacturer’s HWRNG, the bootloader or the UEFI firmware.
  Fast and robust initialization of Linux’s CSPRNG is instead achieved
  thanks to the TPM’s HWRNG.

At the same time KSPP recommends to enable RANDOM_TRUST_BOOTLOADER and
RANDOM_TRUST_CPU anyway:
  Get as much entropy as possible from external sources. The Chacha mixer
  isn't vulnerable to injected entropy, so even malicious sources
  should not cause problems.

In this situation, I think kconfig-hardened-check should check
only HW_RANDOM_TPM (there is no contradiction about it)
and leave the decision about RANDOM_TRUST_BOOTLOADER and
RANDOM_TRUST_CPU to the owner of the system.

Update the UBSAN checks according to the KSPP recommendations

Thanks to @kees

Update the security policy checks adopted by KSPP

Thanks to @kees

Update the KSPP recommendations

Improve the README

Update the README

Drop some of my security policy recommendations

Check SECURITY_SELINUX_DEVELOP (recommended by Clip OS)

Clip OS description: it "will eventually be n".

Check SECURITY_SELINUX_BOOTPARAM (recommended by Clip OS)

Improve the HW_RANDOM_TPM check

RANDOM_TRUST_BOOTLOADER and RANDOM_TRUST_CPU should be disabled if
HW_RANDOM_TPM is enabled.

The Clip OS description:
Do not credit entropy included in Linux’s entropy pool when generated
by the CPU manufacturer’s HWRNG, the bootloader or the UEFI firmware.
Fast and robust initialization of Linux’s CSPRNG is instead achieved
thanks to the TPM’s HWRNG.

Check COREDUMP (recommended by Clip OS)

Disabling COREDUMP is needed for cutting userspace attack surface.

Check CONFIG_HW_RANDOM_TPM (recommended by Clip OS)

Check X86_MCE, X86_MCE_INTEL, X86_MCE_AMD (recommended by Clip OS)

These options are enabled by default.

Improve the README

Update the README

Also check 'nospectre_v2' with 'spectre_v2'

Change the reason for the 'nopti' check

Change the reason for the 'nokaslr' check

KASLR is enabled by default.

Add the 'spectre_v2' check

Don't normalize this cmdline option.

Add the 'nospectre_v2' check

Change the reason for the 'nosmep' and 'nosmap' checks

SMEP and SMAP are enabled by default.

Add the 'nospectre_v1' check

Add the 'nopti' check

Add the comments: CC_IS_GCC and CC_IS_CLANG exist since v4.18

Add the UBSAN_LOCAL_BOUNDS check for Clang build

Explanations from the Linux kernel commit 6a6155f664e31c9be43cd:

When the kernel is compiled with Clang, -fsanitize=bounds expands to
-fsanitize=array-bounds and -fsanitize=local-bounds.

Enabling -fsanitize=local-bounds with Clang has the side-effect of
inserting traps.

That's why UBSAN_LOCAL_BOUNDS can enable the 'local-bounds' option
only when UBSAN_TRAP is enabled.

Update the links to AOSP and GKI

Android Open Source Project (AOSP):
https://source.android.com/docs/setup/build/building-kernels

Android Generic Kernel Image (GKI):
https://source.android.com/docs/core/architecture/kernel/gki-release-builds

Also add the GKI config `android13-5.10`.

Thanks to @h0t for the idea.

Update the README

Detect the compiler used for the kernel compilation

Don't use CONFIG_CC_IS_GCC in the checks (it was introduced only in v4.18)

Move get-nix-kconfig.py to kconfig_hardened_check/config_files/distros

This script is still waiting for fixes from NixOS folks:
  Issue #63
  PR #64

Fix the X86_SMAP check: it is enabled by default since v5.19

Refers to the issue #71

Check the nosmap and nosmep cmdline parameters

Adapt the RANDSTRUCT checks to the changes in Linux 5.19

Refers to the issue #71

Fix the comment: SHADOW_CALL_STACK is now available for gcc (Linux 5.18)

Add the SECURITY_LANDLOCK recommendation by KSPP

Check the nokaslr cmdline parameter

Require GCC for the GCC plugins (part II)

The current result on arm64_full_hardened_5.17_clang.config (clang 12):

[+] Special report mode: show_fail
[+] Kconfig file to check: my/arm64_full_hardened_5.17_clang.config
[+] Detected architecture: ARM64
[+] Detected kernel version: 5.17
=========================================================================================================================
              option name               | type  |desired val | decision |      reason      | check result
=========================================================================================================================
CONFIG_GCC_PLUGINS                      |kconfig|     y      |defconfig | self_protection  | FAIL: CONFIG_CC_IS_GCC not "y"
CONFIG_STACKPROTECTOR_PER_TASK          |kconfig|     y      |defconfig | self_protection  | FAIL: not found
CONFIG_FORTIFY_SOURCE                   |kconfig|     y      |   kspp   | self_protection  | FAIL: not found
CONFIG_GCC_PLUGIN_LATENT_ENTROPY        |kconfig|     y      |   kspp   | self_protection  | FAIL: CONFIG_CC_IS_GCC not "y"
CONFIG_ZERO_CALL_USED_REGS              |kconfig|     y      |   kspp   | self_protection  | FAIL: not found
CONFIG_GCC_PLUGIN_RANDSTRUCT            |kconfig|     y      |   kspp   | self_protection  | FAIL: CONFIG_CC_IS_GCC not "y"
CONFIG_GCC_PLUGIN_STACKLEAK             |kconfig|     y      |   kspp   | self_protection  | FAIL: CONFIG_CC_IS_GCC not "y"
CONFIG_GCC_PLUGIN_RANDSTRUCT_PERFORMANCE|kconfig| is not set |  clipos  | self_protection  | FAIL: CONFIG_CC_IS_GCC not "y"
CONFIG_STACKLEAK_METRICS                |kconfig| is not set |  clipos  | self_protection  | FAIL: CONFIG_CC_IS_GCC not "y"
CONFIG_STACKLEAK_RUNTIME_DISABLE        |kconfig| is not set |  clipos  | self_protection  | FAIL: CONFIG_CC_IS_GCC not "y"

CONFIG_STACKPROTECTOR_PER_TASK, CONFIG_FORTIFY_SOURCE and CONFIG_ZERO_CALL_USED_REGS
will be supported for clang in future (WIP).

Require GCC for the GCC plugins

Introduce cc_is_gcc and cc_is_clang

Use empty decision and reason for such kind of checks

No, the 'page_alloc.shuffle' should be set anyway

Drop the comment about slub_debug=FZ

These are very slow debugging features

Add the debugfs check

Don't normalize this option value since the Linux kernel
doesn't use kstrtobool() for it.

Improve the comments

Add the 'page_alloc.shuffle' check

Add more values for the normalization

Implement the normalization of cmdline options

Describe the meaning of the checks

Don't add CmdlineChecks in add_kconfig_checks() to avoid wrong results
when the tool doesn't check the cmdline.

A common pattern for checking the 'param_x' cmdline parameter
that __overrides__ the 'PARAM_X_DEFAULT' kconfig option:
  l += [OR(CmdlineCheck(reason, decision, 'param_x', '1'),
           AND(KconfigCheck(reason, decision, 'PARAM_X_DEFAULT_ON', 'y'),
               CmdlineCheck(reason, decision, 'param_x, 'is not set')))]

Here we don't check the kconfig options or minimal kernel version
required for the cmdline parameters. That would make the checks
very complex and not give a 100% guarantee anyway.

Check the 'rodata' cmdline parameter on the arches except ARM64

Check hardened_usercopy in the cmdline

Add the comment about vm.mmap_min_addr sysctl (for future reference)

SECURITY_DMESG_RESTRICT is more about cutting attack surface

Improve the slab_common.usercopy_fallback check

Having HARDENED_USERCOPY_FALLBACK disabled is not enough.

Add the slab_common.usercopy_fallback check

Improve the STACKPROTECTOR check

The Linux kernel 4.16-4.17 has a weird STACKPROTECTOR configuration:
CC_STACKPROTECTOR_NONE -- stackprotector is disabled;
CC_STACKPROTECTOR_REGULAR -- similar to current STACKPROTECTOR;
CC_STACKPROTECTOR_STRONG -- similar to current STACKPROTECTOR_STRONG;
CC_STACKPROTECTOR_AUTO -- the best stack-protector that compiler provides.
These options are mutually exclusive.

Let's improve the STACKPROTECTOR check:
- Add CC_STACKPROTECTOR_REGULAR as a valid alternative name of this option;
- Add CC_STACKPROTECTOR_STRONG to avoid false negative result;
- Add CC_STACKPROTECTOR_AUTO hoping that it enables at least STACKPROTECTOR.

The STACKPROTECTOR_STRONG check still requires explicit configuration, not
CC_STACKPROTECTOR_AUTO.

Thanks to @izh1979 for the idea

Don't mention LKDTM

I can't recommend disabling it, because LKDTM is used to test the kernel
hardening features.

But I cant recommend enabling it, because LKDTM contains intentional
memory corruption errors. It's not for production systems.

So let's simply drop the comment about LKDTM.

Add info about the LKDDb project by @cateee

#68

Check ARM64_BTI for userspace hardening

Check ARM64_PTR_AUTH for userspace hardening

Add rodata check for ARM64

Add iommu.passthrough check

Add IOMMU_DEFAULT_PASSTHROUGH check

Add iommu.strict check

Add vsyscall check

Don't add CmdlineChecks in add_kconfig_checks() to avoid wrong results

Add slub_debug check

Add the release badge

Add the init_on_free check

Add the page_poison check required for PAGE_POISONING_ZERO

Rewrite the slab_nomerge check

Use the presence check for slab_nomerge.
Also check that slab_merge is not set.

Rewrite the randomize_kstack_offset check

Reusing "is not set" for CmdlineCheck is a nice hack.

Check that a kconfig option value is sane

Add a tricky check for init_on_alloc and INIT_ON_ALLOC_DEFAULT_ON

Nice!

Move the add_cmdline_checks() call earlier

populate_with_data() must be called after all checks have been added.

Don't check __name__ in __init__.py (it can't run separately anyway)

Fix the pylint warning about isinstance

Drop unneeded properties of ComplexOptCheck

Thanks to the coverage info

Turn some error conditions into assertions (part 4)

Turn some error conditions into assertions (part 3)

Turn some error conditions into assertions (part 2)

Turn some error conditions into assertions (part 1)

Drop useless checks, the ComplexOptCheck constructor has already checked this

github actions: Test error handling (part 2)

And also test the tool without "-l".

github actions: Test error handling (part 1)

github actions: Collect coverage for error handling (part 1)

github actions: upgrade to codecov-action@v2