Version 0.5.3 (supports Linux kernel v5.3)

Add the link to Linux Kernel Defence Map

Update the README

Update defconfigs

RANDOMIZE_BASE is now enabled by default on arm64

x86_32: INTEL_IOMMU is not enabled by default - fix the reason

X86_INTEL_UMIP is now X86_UMIP

x86_64: more hardening options are enabled by default - change the reason

Improve the list of the kernel parameters in TODO

Add CLIP OS links

Update the column width

Some of my recommendations are used by CLIP OS, change the `reason` field

Don't recommend disabling IKCONFIG anymore

That info is needed for this script :)

Save more hardening sysctls for TODO

Update CLIP OS doc

Group security policies together

Also update the name of the lockdown feature (merged into v5.4).

Add INIT_ON_ALLOC_DEFAULT_ON and INIT_ON_FREE_DEFAULT_ON introduced in v5.3

Add RODATA_FULL_DEFAULT_ENABLED for ARM64

Add info about Debian and AOSP kernel configs to links.txt

Add Debian Buster kernel config

Add AOSP kernel config for Pixel 3a

Introduce the versioning

At the Chaos Communication Camp 2019 @jelly told that it would be nice to add the kconfig-hardened-check to Arch Linux.

So I add versioning to make it happen.

Thanks @jelly, nice to meet you!

Update the script output in the README

Add HARDEN_BRANCH_PREDICTOR and HARDEN_EL2_VECTORS

Bring more order to the offsets (style fix)

Add INIT_STACK_ALL as an alternative to GCC_PLUGIN_STRUCTLEAK_BYREF_ALL

Add SHUFFLE_PAGE_ALLOCATOR from v5.2

Add some new sysctls (to remember them)

Merge pull request #22 from adrianopol/master

#20 fix: use right quotes in json output

Thanks @adrianopol

#20 fix: use right quotes in json output

Do code refactoring without changing the functionality

Changes:
 - get rid of checklist global variable,
 - improve print_checks().

Merge branch 'json-support'

Thanks to @adrianopol

json: Fix minor things and update the README

add --json option

Drop CONFIG_X86_MSR from the recommendations

It exposes MSRs to the userspace, IMO it is not needed for mitigating
X86 CPU bugs.

Refers to the issue #19 (comment by @Bernhard40)

Add the LDISC_AUTOLOAD check

In fact we have a false positive here because the absence
of the disabled CONFIG_LDISC_AUTOLOAD means FAIL (line
disciplines are automatically loaded).

TODO: Introduce a special check for this type of cases.

Attribute some of my recommendations to CLIP OS - part II

They have a bigger authority :)

Refers to the issue #19 by @HacKurx

Add the link to the CLIP OS kernel configuration

Refers to the issue #19 by @HacKurx

Update the README

Refers to the issue #19 by @HacKurx

Update the README (printing format)

Add a snapshot of the CLIP OS config documentation

Refers to the issue #19 by @HacKurx

Attribute some of my recommendations to CLIP OS

They have a bigger authority :)

Refers to the issue #19 by @HacKurx

Add my recommendations for AMD (similar to CLIP OS recommendations for Intel)

Refers to the issue #19 by @HacKurx

Add X86-specific CLIP OS recommendations for kernel self-protection

Refers to the issue #19 by @HacKurx

Add arch-independent CLIP OS recommendations for kernel self-protection

Refers to the issue #19 by @HacKurx

Add more details about STACKLEAK

Refers to the issue #19 by @HacKurx

Don't recommend any particular LSM to avoid the holy war

Add CLIP OS recommendations for cutting attack surface

Refers to the issue #19 by @HacKurx

Improve printing of the results

Update the link to Alpine config

Merge pull request #18 from HacKurx/patch-1

Update pentoo config link

Update pentoo config link

Add more kernel command line parameters to comments

Going to use them in future

Merge remote-tracking branch 'hackurx/master'

Thanks to @HacKurx for updating the distro configs.

Create rhel-8.0.config

config check is finished: 'OK' - 41 / 'FAIL' - 62

Update and rename pentoo-4.17.11.config to pentoo-livecd.config

config check is finished: 'OK' - 71 / 'FAIL' - 32

Update Archlinux-hardened.config

config check is finished: 'OK' - 75 / 'FAIL' - 28

Update Alpinelinux-edge.config

config check is finished: 'OK' - 49 / 'FAIL' - 54

Update debian-stretch.config

config check is finished: 'OK' - 42 / 'FAIL' - 61

Create AmazonLinux2.config

config check is finished: 'OK' - 42 / 'FAIL' - 61

Add Q&A to the README

Refers to the issue #14 by @jcberthon.

Add the comment about kptr_restrict

Add ARM64_PTR_AUTH check

Add STACKPROTECTOR_PER_TASK check for ARM

Add defconfigs for 5.0

Don't hide AND check results if the requirements are not met

Report them as FAIL.

Thanks to @Bernhard40 for this nice idea.

Update the README

Improve the final result output

Refers to issue #13.

Use the AND check for HARDENED_USERCOPY_FALLBACK

If HARDENED_USERCOPY is not set, HARDENED_USERCOPY_FALLBACK is not checked.

Refers to issue #13.

Use the AND check for PAGE_POISONING_NO_SANITY and PAGE_POISONING_ZERO

If PAGE_POISONING is not set, PAGE_POISONING_NO_SANITY and
PAGE_POISONING_ZERO are not checked.

Refers to issue #13.

Implement AND ComplexOptCheck

Use case: AND(<suboption>, <main_option>).
Suboption is not checked if checking of the main_option is failed.

It's needed to solve issue #13.

Add a sanity check and do minor refactoring

Introduce the ComplexOptCheck superclass

Update the README

Add explicit checks for CONFIG_MODULES and CONFIG_DEVMEM

I like this hack. Now the script recommends to disable modules and
devmem OR harden them at least.

Add missing OR use case

Improve the output of OR checks

Add the RESET_ATTACK_MITIGATION check according to the feature request #11

Let's check the RESET_ATTACK_MITIGATION option.

The description of this security feature:
https://lwn.net/Articles/730006/

It needs support from the userspace side:
https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=a5c03c31af2291f13689d11760c0b59fb70c9a5a

Improve the comments about the userspace support by the way.

Fix false positive about CONFIG_MODULE_SIG_FORCE.

CONFIG_MODULE_SIG_FORCE shouldn't be checked if CONFIG_MODULES is not set.

Fixes issue #12.
Thanks to @hannob.

Update the README and comments after adding ARM support

Fix typo in KSPP recommendations for ARM

Add ARM support

Update the README after adding ARM64 support

Go through all the checks in debug mode

Add ARM64 support

Update the README after adding X86_32 support

And improve the style by the way.

Add X86_32 support

Merge branch 'arch-configs'

Create a separate directory for distro configs

Create a separate directory for defconfigs

Add arm64 defconfig for v4.20

Add arm defconfig for v4.20

Add x86_32 defconfig for v4.20

Create a separate directory for KSPP recommendations

Specify the architecture in KSPP recommendations

Update the README (arch support)

Make the script aware of target architecture

Add the ability to parse the processor architecture from the config file.

Change '-p' command-line argument behaviour. Now it comes with the
name of architecture you want to print recommendations for.

Currently only X86_64 is supported. More architectures to come soon.

This is based heavily on work by @tyhicks.

Merge branch 'from-tyhicks-1'

Create arch-dependent KSPP recommendations.
Thanks to @tyhicks.

Add a KSPP recommendations config for arm64

Signed-off-by: Tyler Hicks <tyhicks@canonical.com>

Add a KSPP recommendations config for arm

The arm section of the KSPP Recommended_Settings wiki page contains the
following lines:

 # If building an old out-of-tree Qualcomm kernel, this is similar to
 # CONFIG_STRICT_KERNEL_RWX.
 CONFIG_STRICT_MEMORY_RWX=y

Since this option only applies to an old out-of-tree Qualcomm kernel,
it is not included in the config file.

Signed-off-by: Tyler Hicks <tyhicks@canonical.com>