Adapt the RANDSTRUCT checks to the changes in Linux 5.19

Refers to the issue #71

Fix the comment: SHADOW_CALL_STACK is now available for gcc (Linux 5.18)

Add the SECURITY_LANDLOCK recommendation by KSPP

Check the nokaslr cmdline parameter

Require GCC for the GCC plugins (part II)

The current result on arm64_full_hardened_5.17_clang.config (clang 12):

[+] Special report mode: show_fail
[+] Kconfig file to check: my/arm64_full_hardened_5.17_clang.config
[+] Detected architecture: ARM64
[+] Detected kernel version: 5.17
=========================================================================================================================
              option name               | type  |desired val | decision |      reason      | check result
=========================================================================================================================
CONFIG_GCC_PLUGINS                      |kconfig|     y      |defconfig | self_protection  | FAIL: CONFIG_CC_IS_GCC not "y"
CONFIG_STACKPROTECTOR_PER_TASK          |kconfig|     y      |defconfig | self_protection  | FAIL: not found
CONFIG_FORTIFY_SOURCE                   |kconfig|     y      |   kspp   | self_protection  | FAIL: not found
CONFIG_GCC_PLUGIN_LATENT_ENTROPY        |kconfig|     y      |   kspp   | self_protection  | FAIL: CONFIG_CC_IS_GCC not "y"
CONFIG_ZERO_CALL_USED_REGS              |kconfig|     y      |   kspp   | self_protection  | FAIL: not found
CONFIG_GCC_PLUGIN_RANDSTRUCT            |kconfig|     y      |   kspp   | self_protection  | FAIL: CONFIG_CC_IS_GCC not "y"
CONFIG_GCC_PLUGIN_STACKLEAK             |kconfig|     y      |   kspp   | self_protection  | FAIL: CONFIG_CC_IS_GCC not "y"
CONFIG_GCC_PLUGIN_RANDSTRUCT_PERFORMANCE|kconfig| is not set |  clipos  | self_protection  | FAIL: CONFIG_CC_IS_GCC not "y"
CONFIG_STACKLEAK_METRICS                |kconfig| is not set |  clipos  | self_protection  | FAIL: CONFIG_CC_IS_GCC not "y"
CONFIG_STACKLEAK_RUNTIME_DISABLE        |kconfig| is not set |  clipos  | self_protection  | FAIL: CONFIG_CC_IS_GCC not "y"

CONFIG_STACKPROTECTOR_PER_TASK, CONFIG_FORTIFY_SOURCE and CONFIG_ZERO_CALL_USED_REGS
will be supported for clang in future (WIP).

Require GCC for the GCC plugins

Introduce cc_is_gcc and cc_is_clang

Use empty decision and reason for such kind of checks

No, the 'page_alloc.shuffle' should be set anyway

Drop the comment about slub_debug=FZ

These are very slow debugging features

Add the debugfs check

Don't normalize this option value since the Linux kernel
doesn't use kstrtobool() for it.

Improve the comments

Add the 'page_alloc.shuffle' check

Add more values for the normalization

Implement the normalization of cmdline options

Describe the meaning of the checks

Don't add CmdlineChecks in add_kconfig_checks() to avoid wrong results
when the tool doesn't check the cmdline.

A common pattern for checking the 'param_x' cmdline parameter
that __overrides__ the 'PARAM_X_DEFAULT' kconfig option:
  l += [OR(CmdlineCheck(reason, decision, 'param_x', '1'),
           AND(KconfigCheck(reason, decision, 'PARAM_X_DEFAULT_ON', 'y'),
               CmdlineCheck(reason, decision, 'param_x, 'is not set')))]

Here we don't check the kconfig options or minimal kernel version
required for the cmdline parameters. That would make the checks
very complex and not give a 100% guarantee anyway.

Check the 'rodata' cmdline parameter on the arches except ARM64

Check hardened_usercopy in the cmdline

Add the comment about vm.mmap_min_addr sysctl (for future reference)

SECURITY_DMESG_RESTRICT is more about cutting attack surface

Improve the slab_common.usercopy_fallback check

Having HARDENED_USERCOPY_FALLBACK disabled is not enough.

Add the slab_common.usercopy_fallback check

Improve the STACKPROTECTOR check

The Linux kernel 4.16-4.17 has a weird STACKPROTECTOR configuration:
CC_STACKPROTECTOR_NONE -- stackprotector is disabled;
CC_STACKPROTECTOR_REGULAR -- similar to current STACKPROTECTOR;
CC_STACKPROTECTOR_STRONG -- similar to current STACKPROTECTOR_STRONG;
CC_STACKPROTECTOR_AUTO -- the best stack-protector that compiler provides.
These options are mutually exclusive.

Let's improve the STACKPROTECTOR check:
- Add CC_STACKPROTECTOR_REGULAR as a valid alternative name of this option;
- Add CC_STACKPROTECTOR_STRONG to avoid false negative result;
- Add CC_STACKPROTECTOR_AUTO hoping that it enables at least STACKPROTECTOR.

The STACKPROTECTOR_STRONG check still requires explicit configuration, not
CC_STACKPROTECTOR_AUTO.

Thanks to @izh1979 for the idea

Don't mention LKDTM

I can't recommend disabling it, because LKDTM is used to test the kernel
hardening features.

But I cant recommend enabling it, because LKDTM contains intentional
memory corruption errors. It's not for production systems.

So let's simply drop the comment about LKDTM.

Add info about the LKDDb project by @cateee

#68

Check ARM64_BTI for userspace hardening

Check ARM64_PTR_AUTH for userspace hardening

Add rodata check for ARM64

Add iommu.passthrough check

Add IOMMU_DEFAULT_PASSTHROUGH check

Add iommu.strict check

Add vsyscall check

Don't add CmdlineChecks in add_kconfig_checks() to avoid wrong results

Add slub_debug check

Add the release badge

Add the init_on_free check

Add the page_poison check required for PAGE_POISONING_ZERO

Rewrite the slab_nomerge check

Use the presence check for slab_nomerge.
Also check that slab_merge is not set.

Rewrite the randomize_kstack_offset check

Reusing "is not set" for CmdlineCheck is a nice hack.

Check that a kconfig option value is sane

Add a tricky check for init_on_alloc and INIT_ON_ALLOC_DEFAULT_ON

Nice!

Move the add_cmdline_checks() call earlier

populate_with_data() must be called after all checks have been added.

Don't check __name__ in __init__.py (it can't run separately anyway)

Fix the pylint warning about isinstance

Drop unneeded properties of ComplexOptCheck

Thanks to the coverage info

Turn some error conditions into assertions (part 4)

Turn some error conditions into assertions (part 3)

Turn some error conditions into assertions (part 2)

Turn some error conditions into assertions (part 1)

Drop useless checks, the ComplexOptCheck constructor has already checked this

github actions: Test error handling (part 2)

And also test the tool without "-l".

github actions: Test error handling (part 1)

github actions: Collect coverage for error handling (part 1)

github actions: upgrade to codecov-action@v2

Check that --config and --print are not used together

github actions: Collect coverage for cmdline checking

github actions: Improve the descriptions

github actions: Improve the test output

Drop dash-separated values from setup.cfg

github actions: Add testing with python 3.9

Merge branch 'cmdline'

This is the feature for #46.

Change the example output in README

Describe the cmdline checking support in README

Add the example config of Fedora 34

Check the pti cmdline parameter

Check the slab_nomerge cmdline parameter

Check the randomize_kstack_offset cmdline parameter

Add cmdline file parsing

Add the infrastructure for cmdline checks

Add '--cmdline' argument for the tool

Add cmdline checks to '--print'

Add the CmdlineCheck class

Add the comment about sysrq_always_enabled

Thanks to @izh1979 for the idea (and for the rodata idea too).

Add the comment about rodata

Update direct feedback from Linux kernel maintainers (#62)

Add the comment about arm64.nomte

Thanks to @izh1979 for the idea.

Add the comment about kernel.randomize_va_space

Thanks to @izh1979 for the idea.

Add the KGDB check

Thanks to @izh1979 for the idea.

Add RANDOMIZE_MODULE_REGION_FULL for arm64

Thanks to @izh1979 for the idea.

Update the README

Ready for the release 0.5.17.

Merge pull request #62 from evdenis/master

Add BLK_DEV_FD_RAWCMD

Thanks @evdenis!

Add the type property for OptCheck to fix a pylint error

Fix for kconfig_hardened_check/__init__.py:125:68: E1101:
  Instance of 'OptCheck' has no 'type' member (no-member)

Add BLK_DEV_FD_RAWCMD

See commit torvalds/linux@233087ca0636 ("floppy: disable FDRAWCMD by default")

Signed-off-by: Denis Efremov <efremov@linux.com>

Add the STACKPROTECTOR check from KSPP

Thanks to @izh1979 for the idea.

Drop the ARM64_MTE check for userspace hardening

It is moved to kernel self protection.

Thanks to @izh1979 for the idea.

Separate out checking SECURITY_WRITABLE_HOOKS and SECURITY_SELINUX_DISABLE

Thanks to @izh1979 for the idea.
Combining these checks with OR is not correct.

Fix the arch condition for the SCHED_CORE check

Add the KSPP recommendation of ZERO_CALL_USED_REGS

Disabling X86_MSR is recommended by KSPP

Fix the bug in the verdict description for ComplexOptCheck

Before the fix:
CONFIG_EFI_DISABLE_PCI_DMA | kconfig | y | clipos | self_protection | OK: not found

After the fix:
CONFIG_EFI_DISABLE_PCI_DMA | kconfig | y | clipos | self_protection | OK: CONFIG_EFI not found

Also added the assertions preventing similar bugs in future.

Additional check for TYPES_OF_CHECKS

Drop PresenceCheck; OptCheck without 'expected' parameter can do the job

Update the KSPP recommendations in the config_files

Add the KSPP recommendation of SCHED_CORE

Add the KSPP recommendation of IOMMU_DEFAULT_DMA_STRICT

Add the KSPP recommendation of WERROR

Add the KSPP recommendation of KFENCE

No need in BPF_UNPRIV_DEFAULT_OFF if BPF_SYSCALL is disabled

Merge branch 'from-martin-rowe'

Add defconfigs for Linux v5.17

Drop unneeded return values (refactoring)