github actions: Improve the descriptions

github actions: Improve the test output

Drop dash-separated values from setup.cfg

github actions: Add testing with python 3.9

Merge branch 'cmdline'

This is the feature for #46.

Change the example output in README

Describe the cmdline checking support in README

Add the example config of Fedora 34

Check the pti cmdline parameter

Check the slab_nomerge cmdline parameter

Check the randomize_kstack_offset cmdline parameter

Add cmdline file parsing

Add the infrastructure for cmdline checks

Add '--cmdline' argument for the tool

Add cmdline checks to '--print'

Add the CmdlineCheck class

Add the comment about sysrq_always_enabled

Thanks to @izh1979 for the idea (and for the rodata idea too).

Add the comment about rodata

Update direct feedback from Linux kernel maintainers (#62)

Add the comment about arm64.nomte

Thanks to @izh1979 for the idea.

Add the comment about kernel.randomize_va_space

Thanks to @izh1979 for the idea.

Add the KGDB check

Thanks to @izh1979 for the idea.

Add RANDOMIZE_MODULE_REGION_FULL for arm64

Thanks to @izh1979 for the idea.

Update the README

Ready for the release 0.5.17.

Merge pull request #62 from evdenis/master

Add BLK_DEV_FD_RAWCMD

Thanks @evdenis!

Add the type property for OptCheck to fix a pylint error

Fix for kconfig_hardened_check/__init__.py:125:68: E1101:
  Instance of 'OptCheck' has no 'type' member (no-member)

Add BLK_DEV_FD_RAWCMD

See commit torvalds/linux@233087ca0636 ("floppy: disable FDRAWCMD by default")

Signed-off-by: Denis Efremov <efremov@linux.com>

Add the STACKPROTECTOR check from KSPP

Thanks to @izh1979 for the idea.

Drop the ARM64_MTE check for userspace hardening

It is moved to kernel self protection.

Thanks to @izh1979 for the idea.

Separate out checking SECURITY_WRITABLE_HOOKS and SECURITY_SELINUX_DISABLE

Thanks to @izh1979 for the idea.
Combining these checks with OR is not correct.

Fix the arch condition for the SCHED_CORE check

Add the KSPP recommendation of ZERO_CALL_USED_REGS

Disabling X86_MSR is recommended by KSPP

Fix the bug in the verdict description for ComplexOptCheck

Before the fix:
CONFIG_EFI_DISABLE_PCI_DMA | kconfig | y | clipos | self_protection | OK: not found

After the fix:
CONFIG_EFI_DISABLE_PCI_DMA | kconfig | y | clipos | self_protection | OK: CONFIG_EFI not found

Also added the assertions preventing similar bugs in future.

Additional check for TYPES_OF_CHECKS

Drop PresenceCheck; OptCheck without 'expected' parameter can do the job

Update the KSPP recommendations in the config_files

Add the KSPP recommendation of SCHED_CORE

Add the KSPP recommendation of IOMMU_DEFAULT_DMA_STRICT

Add the KSPP recommendation of WERROR

Add the KSPP recommendation of KFENCE

No need in BPF_UNPRIV_DEFAULT_OFF if BPF_SYSCALL is disabled

Merge branch 'from-martin-rowe'

Add defconfigs for Linux v5.17

Drop unneeded return values (refactoring)

UBSAN_SANITIZE_ALL not available on ARM

ARCH_HAS_UBSAN_SANITIZE_ALL is not selected for arm arch, which
prevents selectiong of CONFIG_UBSAN_SANITIZE_ALL

https://github.com/torvalds/linux/blob/master/arch/arm/Kconfig
https://github.com/torvalds/linux/blob/master/lib/Kconfig.ubsan

Add HARDEN_BRANCH_HISTORY for arm

Add MITIGATE_SPECTRE_BRANCH_HISTORY for arm64

THREAD_INFO_IN_TASK is available for ARM since v5.16

Merge branch 'from-martin-rowe'

Refers to #59.

Thanks @cyanidium

EFI mitigations can't be enabled if EFI is not set

Both EFI_DISABLE_PCI_DMA and RESET_ATTACK_MITIGATION depend on EFI, but if EFI is not set, neither config is required.

Useful on embedded devices that use u-boot or similar instead of EFI.

Fix the BPF_UNPRIV_DEFAULT_OFF check (it is enabled by default)

Add CONFIG_SLS vs CVE-2021-26341 in Straight-Line-Speculation

Add the comment that l1d_flush is a part of the l1tf option

Add BPF_UNPRIV_DEFAULT_OFF to cut_attack_surface

Use the option type instead of calling hasattr()

Merge branch 'refactoring'

It has more preparations for solving #46.

Introduce the json_dump() class method

Improve 'type' for ComplexOptCheck and PresenceCheck classes

Make populate_with_data() aware of data type

Add 'type' for PresenceCheck and VersionCheck

Rename VerCheck to VersionCheck

Add more ComplexOptCheck validation

Improve print_unknown_options()

Don't miss options behind the second level of ComplexOptCheck

Remove 'CONFIG_' hardcoding

Merge branch 'refactoring'

It has preparations for solving #46.

Refactor the OR logic code

Rename config to kconfig where needed (part II)

Extract populate_with_data() from perform_checks()

Rename config to kconfig where needed

Print the type of a check in the json mode

ComplexOptCheck type has the type of the first opt in it

Update the example output in the README (yes, now I like it!)

Do more output tuning

Update the example output in the README

Add check type

Update the example output in the README

Print compactly

Introduce KconfigCheck class

Fix TRIM_UNUSED_KSYMS check

TRIM_UNUSED_KSYMS can't be enabled if MODULES are disabled.

Thanks to @Churam for reporting.
Refers to #58.

Add l1d_flush (for future reference)

Add ARM64_PTR_AUTH_KERNEL extracted from ARM64_PTR_AUTH

Document the output modes specified by the `-m` parameter

TODO: RISC-V

See #56

Update the README (a lot of new checks appeared)

Keep the old X86_PTDUMP check as a backup

Simplify the check about PTDUMP_DEBUGFS (I was correct)

Add more checks from grsecurity for cutting attack surface (part II)

This includes:
 - KCMP
 - RSEQ
 - LATENCYTOP
 - KCOV
 - PROVIDE_OHCI1394_DMA_INIT
 - SUNRPC_DEBUG
 - FAIL_FUTEX
 - KPROBE_EVENTS
 - UPROBE_EVENTS
 - FUNCTION_TRACER
 - STACK_TRACER
 - HIST_TRIGGERS
 - BLK_DEV_IO_TRACE

Fix the 'decision' field of the IO_URING check

grsecurity disables IO_URING as well to cut attack surface

Add more checks from grsecurity for cutting attack surface (part I)

This includes:
 - PUNIT_ATOM_DEBUG
 - ACPI_CONFIGFS
 - EDAC_DEBUG
 - DRM_I915_DEBUG
 - BCACHE_CLOSURES_DEBUG
 - DVB_C8SECTPFE
 - MTD_SLRAM
 - MTD_PHRAM

Fix the 'decision' field of the KPROBES check

Add the comment

Improve the README

Get a bit more coverage

Update the README

Ready for the release 0.5.14.

Move 'self_protection' & 'maintainer' higher

Add HARDENED_USERCOPY_PAGESPAN check from KSPP

Add comments about the maintainer recommendations

Refers to #53

Fix UBSAN_BOUNDS recommendations

Thanks to @kees and @equaeghe

Refers to #53

RANDOMIZE_KSTACK_OFFSET_DEFAULT is recommended by KSPP

Thanks to @anthraxx