Fix the IOMMU_DEFAULT_DMA_STRICT check: it is in defconfig for arm64 and arm

Add the COMPAT and X86_X32_ABI checks

KSPP has added them to the recommendations.

Refers to #74.

Fix the WERROR check: it is in defconfig for X86_64 and X86_32 now

Fix the DEBUG_WX check: it is in defconfig for X86_64 and X86_32 now

Add defconfigs for Linux v6.1

Add the repository mirrors

Backup the pull requests and issues into a Markdown file using gh2md

That would allow to have more information in the mirror repositories.

I used the mattduck/gh2md tool for that purpose.
It employs https://api.github.com/graphql, so I had to generate
a GitHub personal access token (classic) with public access.

Remove the AIO check

Currently GrapheneOS doesn't have it.

Remember about the nosmt sysfs control file

Drop the comment about mitigations of CPU vulnerabilities

The corresponding checks have been developed.

Save the list of disabled mitigations of CPU vulnerabilities (for history)

Add the nospectre_bhb check

Add the kpti check

1. Don't add an exception to normalize_cmdline_options() since strtobool()
is used for kpti

2. Use new '0' check of 'is not off'

Compare against '0' in the 'is not off' check

Add the tsx check

Change the 'decision' of X86_INTEL_TSX_MODE_OFF check to defconfig

Add the nomte check

Add the nopauth check

Add the nobti check

Add the sysrq_always_enabled check

Add the ssbd check

Avoid the YAML parsing mistake

3.10 is parsed as a number and it is trimmed to 3.1.
That is expected behavior for numbers, but it's crazy for versions.

Fix `python-version` in the GitHub Actions

Current `ubuntu-latest` (Ubuntu 22.04 for x86_64) provides the following
versions of Python:
 - 3.10.8
 - 3.11.0
 - 3.7.15
 - 3.8.15
 - 3.9.15

Reorder some checks, no functional changes

Add the srbds check

Add the retbleed check

Add the mmio_stale_data check

Add the tsx_async_abort check

Add the mds check

Add the l1tf check

Add the spectre_v2_user check

Do refactoring in normalize_cmdline_options()

Add the spec_store_bypass_disable check

Add the spectre_v2 check

Introduce the 'is present' check instead of expected=None constructor parameter

Add the 'mitigations' check

The default value for the 'mitigations' option is 'auto'.

So this option should be enabled ('is not off') or not set at all.

Add the nosmt check

Add a special 'desired val' -- 'is not off'

This check gives FAIL if the option value is 'off' or
the option is not found. In other cases this check gives OK.

This feature is needed for checking that the CPU vulnerability mitigations
are not disabled. Let's see how it works and maybe improve it in future.

Improve the result descriptions

Add assertions to check arguments of the Class constructors

Update the README

Add the ARM64_E0PD check

Fix the SCHED_CORE check: it's now available for ARM64 and ARM

Update the self-protection checks adopted by KSPP (part V)

Thanks to @kees

Update the self-protection checks adopted by KSPP (part IV): IOMMU

Thanks to @kees

Update the self-protection checks adopted by KSPP (part III)

Thanks to @kees

Update the KSPP recommendations again

Update the self-protection checks adopted by KSPP (part II)

Thanks to @kees

Update the self-protection checks adopted by KSPP (part I)

Thanks to @kees

Update the HW_RANDOM_TPM check

Clip OS says that RANDOM_TRUST_BOOTLOADER and RANDOM_TRUST_CPU should be
disabled if HW_RANDOM_TPM is enabled. The Clip OS description:
  Do not credit entropy included in Linux’s entropy pool when generated
  by the CPU manufacturer’s HWRNG, the bootloader or the UEFI firmware.
  Fast and robust initialization of Linux’s CSPRNG is instead achieved
  thanks to the TPM’s HWRNG.

At the same time KSPP recommends to enable RANDOM_TRUST_BOOTLOADER and
RANDOM_TRUST_CPU anyway:
  Get as much entropy as possible from external sources. The Chacha mixer
  isn't vulnerable to injected entropy, so even malicious sources
  should not cause problems.

In this situation, I think kconfig-hardened-check should check
only HW_RANDOM_TPM (there is no contradiction about it)
and leave the decision about RANDOM_TRUST_BOOTLOADER and
RANDOM_TRUST_CPU to the owner of the system.

Update the UBSAN checks according to the KSPP recommendations

Thanks to @kees

Update the security policy checks adopted by KSPP

Thanks to @kees

Update the KSPP recommendations

Improve the README

Update the README

Drop some of my security policy recommendations

Check SECURITY_SELINUX_DEVELOP (recommended by Clip OS)

Clip OS description: it "will eventually be n".

Check SECURITY_SELINUX_BOOTPARAM (recommended by Clip OS)

Improve the HW_RANDOM_TPM check

RANDOM_TRUST_BOOTLOADER and RANDOM_TRUST_CPU should be disabled if
HW_RANDOM_TPM is enabled.

The Clip OS description:
Do not credit entropy included in Linux’s entropy pool when generated
by the CPU manufacturer’s HWRNG, the bootloader or the UEFI firmware.
Fast and robust initialization of Linux’s CSPRNG is instead achieved
thanks to the TPM’s HWRNG.

Check COREDUMP (recommended by Clip OS)

Disabling COREDUMP is needed for cutting userspace attack surface.

Check CONFIG_HW_RANDOM_TPM (recommended by Clip OS)

Check X86_MCE, X86_MCE_INTEL, X86_MCE_AMD (recommended by Clip OS)

These options are enabled by default.

Improve the README

Update the README

Also check 'nospectre_v2' with 'spectre_v2'

Change the reason for the 'nopti' check

Change the reason for the 'nokaslr' check

KASLR is enabled by default.

Add the 'spectre_v2' check

Don't normalize this cmdline option.

Add the 'nospectre_v2' check

Change the reason for the 'nosmep' and 'nosmap' checks

SMEP and SMAP are enabled by default.

Add the 'nospectre_v1' check

Add the 'nopti' check

Add the comments: CC_IS_GCC and CC_IS_CLANG exist since v4.18

Add the UBSAN_LOCAL_BOUNDS check for Clang build

Explanations from the Linux kernel commit 6a6155f664e31c9be43cd:

When the kernel is compiled with Clang, -fsanitize=bounds expands to
-fsanitize=array-bounds and -fsanitize=local-bounds.

Enabling -fsanitize=local-bounds with Clang has the side-effect of
inserting traps.

That's why UBSAN_LOCAL_BOUNDS can enable the 'local-bounds' option
only when UBSAN_TRAP is enabled.

Update the links to AOSP and GKI

Android Open Source Project (AOSP):
https://source.android.com/docs/setup/build/building-kernels

Android Generic Kernel Image (GKI):
https://source.android.com/docs/core/architecture/kernel/gki-release-builds

Also add the GKI config `android13-5.10`.

Thanks to @h0t for the idea.

Update the README

Detect the compiler used for the kernel compilation

Don't use CONFIG_CC_IS_GCC in the checks (it was introduced only in v4.18)

Move get-nix-kconfig.py to kconfig_hardened_check/config_files/distros

This script is still waiting for fixes from NixOS folks:
  Issue #63
  PR #64

Fix the X86_SMAP check: it is enabled by default since v5.19

Refers to the issue #71

Check the nosmap and nosmep cmdline parameters

Adapt the RANDSTRUCT checks to the changes in Linux 5.19

Refers to the issue #71

Fix the comment: SHADOW_CALL_STACK is now available for gcc (Linux 5.18)

Add the SECURITY_LANDLOCK recommendation by KSPP

Check the nokaslr cmdline parameter

Require GCC for the GCC plugins (part II)

The current result on arm64_full_hardened_5.17_clang.config (clang 12):

[+] Special report mode: show_fail
[+] Kconfig file to check: my/arm64_full_hardened_5.17_clang.config
[+] Detected architecture: ARM64
[+] Detected kernel version: 5.17
=========================================================================================================================
              option name               | type  |desired val | decision |      reason      | check result
=========================================================================================================================
CONFIG_GCC_PLUGINS                      |kconfig|     y      |defconfig | self_protection  | FAIL: CONFIG_CC_IS_GCC not "y"
CONFIG_STACKPROTECTOR_PER_TASK          |kconfig|     y      |defconfig | self_protection  | FAIL: not found
CONFIG_FORTIFY_SOURCE                   |kconfig|     y      |   kspp   | self_protection  | FAIL: not found
CONFIG_GCC_PLUGIN_LATENT_ENTROPY        |kconfig|     y      |   kspp   | self_protection  | FAIL: CONFIG_CC_IS_GCC not "y"
CONFIG_ZERO_CALL_USED_REGS              |kconfig|     y      |   kspp   | self_protection  | FAIL: not found
CONFIG_GCC_PLUGIN_RANDSTRUCT            |kconfig|     y      |   kspp   | self_protection  | FAIL: CONFIG_CC_IS_GCC not "y"
CONFIG_GCC_PLUGIN_STACKLEAK             |kconfig|     y      |   kspp   | self_protection  | FAIL: CONFIG_CC_IS_GCC not "y"
CONFIG_GCC_PLUGIN_RANDSTRUCT_PERFORMANCE|kconfig| is not set |  clipos  | self_protection  | FAIL: CONFIG_CC_IS_GCC not "y"
CONFIG_STACKLEAK_METRICS                |kconfig| is not set |  clipos  | self_protection  | FAIL: CONFIG_CC_IS_GCC not "y"
CONFIG_STACKLEAK_RUNTIME_DISABLE        |kconfig| is not set |  clipos  | self_protection  | FAIL: CONFIG_CC_IS_GCC not "y"

CONFIG_STACKPROTECTOR_PER_TASK, CONFIG_FORTIFY_SOURCE and CONFIG_ZERO_CALL_USED_REGS
will be supported for clang in future (WIP).

Require GCC for the GCC plugins

Introduce cc_is_gcc and cc_is_clang

Use empty decision and reason for such kind of checks

No, the 'page_alloc.shuffle' should be set anyway

Drop the comment about slub_debug=FZ

These are very slow debugging features

Add the debugfs check

Don't normalize this option value since the Linux kernel
doesn't use kstrtobool() for it.

Improve the comments

Add the 'page_alloc.shuffle' check

Add more values for the normalization

Implement the normalization of cmdline options

Describe the meaning of the checks

Don't add CmdlineChecks in add_kconfig_checks() to avoid wrong results
when the tool doesn't check the cmdline.

A common pattern for checking the 'param_x' cmdline parameter
that __overrides__ the 'PARAM_X_DEFAULT' kconfig option:
  l += [OR(CmdlineCheck(reason, decision, 'param_x', '1'),
           AND(KconfigCheck(reason, decision, 'PARAM_X_DEFAULT_ON', 'y'),
               CmdlineCheck(reason, decision, 'param_x, 'is not set')))]

Here we don't check the kconfig options or minimal kernel version
required for the cmdline parameters. That would make the checks
very complex and not give a 100% guarantee anyway.

Check the 'rodata' cmdline parameter on the arches except ARM64

Check hardened_usercopy in the cmdline

Add the comment about vm.mmap_min_addr sysctl (for future reference)

SECURITY_DMESG_RESTRICT is more about cutting attack surface