Update the README

Ready for the release 0.5.17.

Merge pull request #62 from evdenis/master

Add BLK_DEV_FD_RAWCMD

Thanks @evdenis!

Add the type property for OptCheck to fix a pylint error

Fix for kconfig_hardened_check/__init__.py:125:68: E1101:
  Instance of 'OptCheck' has no 'type' member (no-member)

Add BLK_DEV_FD_RAWCMD

See commit torvalds/linux@233087ca0636 ("floppy: disable FDRAWCMD by default")

Signed-off-by: Denis Efremov <efremov@linux.com>

Add the STACKPROTECTOR check from KSPP

Thanks to @izh1979 for the idea.

Drop the ARM64_MTE check for userspace hardening

It is moved to kernel self protection.

Thanks to @izh1979 for the idea.

Separate out checking SECURITY_WRITABLE_HOOKS and SECURITY_SELINUX_DISABLE

Thanks to @izh1979 for the idea.
Combining these checks with OR is not correct.

Fix the arch condition for the SCHED_CORE check

Add the KSPP recommendation of ZERO_CALL_USED_REGS

Disabling X86_MSR is recommended by KSPP

Fix the bug in the verdict description for ComplexOptCheck

Before the fix:
CONFIG_EFI_DISABLE_PCI_DMA | kconfig | y | clipos | self_protection | OK: not found

After the fix:
CONFIG_EFI_DISABLE_PCI_DMA | kconfig | y | clipos | self_protection | OK: CONFIG_EFI not found

Also added the assertions preventing similar bugs in future.

Additional check for TYPES_OF_CHECKS

Drop PresenceCheck; OptCheck without 'expected' parameter can do the job

Update the KSPP recommendations in the config_files

Add the KSPP recommendation of SCHED_CORE

Add the KSPP recommendation of IOMMU_DEFAULT_DMA_STRICT

Add the KSPP recommendation of WERROR

Add the KSPP recommendation of KFENCE

No need in BPF_UNPRIV_DEFAULT_OFF if BPF_SYSCALL is disabled

Merge branch 'from-martin-rowe'

Add defconfigs for Linux v5.17

Drop unneeded return values (refactoring)

UBSAN_SANITIZE_ALL not available on ARM

ARCH_HAS_UBSAN_SANITIZE_ALL is not selected for arm arch, which
prevents selectiong of CONFIG_UBSAN_SANITIZE_ALL

https://github.com/torvalds/linux/blob/master/arch/arm/Kconfig
https://github.com/torvalds/linux/blob/master/lib/Kconfig.ubsan

Add HARDEN_BRANCH_HISTORY for arm

Add MITIGATE_SPECTRE_BRANCH_HISTORY for arm64

THREAD_INFO_IN_TASK is available for ARM since v5.16

Merge branch 'from-martin-rowe'

Refers to #59.

Thanks @cyanidium

EFI mitigations can't be enabled if EFI is not set

Both EFI_DISABLE_PCI_DMA and RESET_ATTACK_MITIGATION depend on EFI, but if EFI is not set, neither config is required.

Useful on embedded devices that use u-boot or similar instead of EFI.

Fix the BPF_UNPRIV_DEFAULT_OFF check (it is enabled by default)

Add CONFIG_SLS vs CVE-2021-26341 in Straight-Line-Speculation

Add the comment that l1d_flush is a part of the l1tf option

Add BPF_UNPRIV_DEFAULT_OFF to cut_attack_surface

Use the option type instead of calling hasattr()

Merge branch 'refactoring'

It has more preparations for solving #46.

Introduce the json_dump() class method

Improve 'type' for ComplexOptCheck and PresenceCheck classes

Make populate_with_data() aware of data type

Add 'type' for PresenceCheck and VersionCheck

Rename VerCheck to VersionCheck

Add more ComplexOptCheck validation

Improve print_unknown_options()

Don't miss options behind the second level of ComplexOptCheck

Remove 'CONFIG_' hardcoding

Merge branch 'refactoring'

It has preparations for solving #46.

Refactor the OR logic code

Rename config to kconfig where needed (part II)

Extract populate_with_data() from perform_checks()

Rename config to kconfig where needed

Print the type of a check in the json mode

ComplexOptCheck type has the type of the first opt in it

Update the example output in the README (yes, now I like it!)

Do more output tuning

Update the example output in the README

Add check type

Update the example output in the README

Print compactly

Introduce KconfigCheck class

Fix TRIM_UNUSED_KSYMS check

TRIM_UNUSED_KSYMS can't be enabled if MODULES are disabled.

Thanks to @Churam for reporting.
Refers to #58.

Add l1d_flush (for future reference)

Add ARM64_PTR_AUTH_KERNEL extracted from ARM64_PTR_AUTH

Document the output modes specified by the `-m` parameter

TODO: RISC-V

See #56

Update the README (a lot of new checks appeared)

Keep the old X86_PTDUMP check as a backup

Simplify the check about PTDUMP_DEBUGFS (I was correct)

Add more checks from grsecurity for cutting attack surface (part II)

This includes:
 - KCMP
 - RSEQ
 - LATENCYTOP
 - KCOV
 - PROVIDE_OHCI1394_DMA_INIT
 - SUNRPC_DEBUG
 - FAIL_FUTEX
 - KPROBE_EVENTS
 - UPROBE_EVENTS
 - FUNCTION_TRACER
 - STACK_TRACER
 - HIST_TRIGGERS
 - BLK_DEV_IO_TRACE

Fix the 'decision' field of the IO_URING check

grsecurity disables IO_URING as well to cut attack surface

Add more checks from grsecurity for cutting attack surface (part I)

This includes:
 - PUNIT_ATOM_DEBUG
 - ACPI_CONFIGFS
 - EDAC_DEBUG
 - DRM_I915_DEBUG
 - BCACHE_CLOSURES_DEBUG
 - DVB_C8SECTPFE
 - MTD_SLRAM
 - MTD_PHRAM

Fix the 'decision' field of the KPROBES check

Add the comment

Improve the README

Get a bit more coverage

Update the README

Ready for the release 0.5.14.

Move 'self_protection' & 'maintainer' higher

Add HARDENED_USERCOPY_PAGESPAN check from KSPP

Add comments about the maintainer recommendations

Refers to #53

Fix UBSAN_BOUNDS recommendations

Thanks to @kees and @equaeghe

Refers to #53

RANDOMIZE_KSTACK_OFFSET_DEFAULT is recommended by KSPP

Thanks to @anthraxx

Update the KSPP recommendations

Add defconfigs for Linux v5.14

Merge pull request #54 from evdenis/master

Recommend disabling CONFIG_BLK_DEV_FD ( thanks to @evdenis )

Add BLK_DEV_FD

Floppy driver was written many years ago. It was designed to
work in a single-threaded environment (many global variables)
and to work on real hardware which has significant delays
(floppy drives are slow). Nowadays, when we use virtual
devices (which are fast) and multi-core cpus, floppy driver
shows its problems including deadlocking/livelocking and
other security-related issues. However, we can't just
rewrite it because lack of real hardware and compatibility
with existing userspace tools, many of which rely on
undocumented driver behavior.

Here are some CVEs related to floppy driver:
 - CVE-2014-1737 privileges escalation in FDRAWCMD ioctl
 - CVE-2014-1738 info leak from kernel heap in FDRAWCMD ioctl
 - CVE-2018-7755 kernel pointer lead in FDGETPRM ioctl
 - CVE-2019-14283 integer overflow and out-of-bounds read in set_geometry
 - CVE-2019-14284 denial of service in setup_format_params
 - CVE-2020-9383 out-of-bounds read in set_fdc
 - CVE-2021-20261 race condition in floppy_revalidate,
   floppy_check_events

As pointed by Linus [1]:
> The only users are virtualization, and even they are going away
> because floppies are so small, and other things have become more
> standard anyway (ie USB disk) or easier to emulate (NVMe or whatever).
> So I suspect the only reason floppy is used even in that area is just
> legacy "we haven't bothered updating to anything better and we have
> old scripts and images that work".

CONFIG_BLK_DEV_FD is not enabled in defconfig on x86_64.
Many distros already require root access for /dev/fd0.
However, qemu (5.2.0) still enables floppy device by default.

[1] https://lore.kernel.org/all/CAHk-=whFAAV_TOLFNnj=wu4mD2L9OvgB6n2sKDdmd8buMKFv8A@mail.gmail.com/

Add RANDOMIZE_KSTACK_OFFSET_DEFAULT

This refers to the pull request #52.

Thanks to Levente Polyak aka @anthraxx.

Add CFI_CLANG

Add ARM64_EPAN

Merge pull request #51 from Hacks4Snacks/master

Added the CBL-Mariner kernel configuration file.

Added Linux/x86_64 kernel config link for CBL-Mariner

Added cbl-mariner kernel configuration file.

Add hardware tag-based KASAN with arm64 Memory Tagging Extension

Add the command line parameters that should NOT be set

Document the changes of vm.unprivileged_userfaultfd in v5.11

https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=37cd0575b8510159992d279c530c05f872990b02
https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=d0d4730ac2e404a5b0da9a87ef38c73e51cb1664

Add the news about PAGE_POISONING

https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=f289041ed4cf9a3f6e8a32068fef9ffb2acc5662
https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=8f424750baaafcef229791882e879da01c9473b5

Improve wording

Update the README.

Ready for the release 0.5.10.

Fix pylint warning

Remember that SHADOW_CALL_STACK depends on clang

STACKPROTECTOR_PER_TASK is also available for ARM64

INTEL_IOMMU_SVM is available only for X86_64

Reorder arch checks

SECURITY_DMESG_RESTRICT is recommended by KSPP now

Think about kptr_restrict later (KSPP recommends to set it to 1)