EFI mitigations can't be enabled if EFI is not set

Both EFI_DISABLE_PCI_DMA and RESET_ATTACK_MITIGATION depend on EFI, but if EFI is not set, neither config is required.

Useful on embedded devices that use u-boot or similar instead of EFI.

Fix the BPF_UNPRIV_DEFAULT_OFF check (it is enabled by default)

Add CONFIG_SLS vs CVE-2021-26341 in Straight-Line-Speculation

Add the comment that l1d_flush is a part of the l1tf option

Add BPF_UNPRIV_DEFAULT_OFF to cut_attack_surface

Use the option type instead of calling hasattr()

Merge branch 'refactoring'

It has more preparations for solving #46.

Introduce the json_dump() class method

Improve 'type' for ComplexOptCheck and PresenceCheck classes

Make populate_with_data() aware of data type

Add 'type' for PresenceCheck and VersionCheck

Rename VerCheck to VersionCheck

Add more ComplexOptCheck validation

Improve print_unknown_options()

Don't miss options behind the second level of ComplexOptCheck

Remove 'CONFIG_' hardcoding

Merge branch 'refactoring'

It has preparations for solving #46.

Refactor the OR logic code

Rename config to kconfig where needed (part II)

Extract populate_with_data() from perform_checks()

Rename config to kconfig where needed

Print the type of a check in the json mode

ComplexOptCheck type has the type of the first opt in it

Update the example output in the README (yes, now I like it!)

Do more output tuning

Update the example output in the README

Add check type

Update the example output in the README

Print compactly

Introduce KconfigCheck class

Fix TRIM_UNUSED_KSYMS check

TRIM_UNUSED_KSYMS can't be enabled if MODULES are disabled.

Thanks to @Churam for reporting.
Refers to #58.

Add l1d_flush (for future reference)

Add ARM64_PTR_AUTH_KERNEL extracted from ARM64_PTR_AUTH

Document the output modes specified by the `-m` parameter

TODO: RISC-V

See #56

Update the README (a lot of new checks appeared)

Keep the old X86_PTDUMP check as a backup

Simplify the check about PTDUMP_DEBUGFS (I was correct)

Add more checks from grsecurity for cutting attack surface (part II)

This includes:
 - KCMP
 - RSEQ
 - LATENCYTOP
 - KCOV
 - PROVIDE_OHCI1394_DMA_INIT
 - SUNRPC_DEBUG
 - FAIL_FUTEX
 - KPROBE_EVENTS
 - UPROBE_EVENTS
 - FUNCTION_TRACER
 - STACK_TRACER
 - HIST_TRIGGERS
 - BLK_DEV_IO_TRACE

Fix the 'decision' field of the IO_URING check

grsecurity disables IO_URING as well to cut attack surface

Add more checks from grsecurity for cutting attack surface (part I)

This includes:
 - PUNIT_ATOM_DEBUG
 - ACPI_CONFIGFS
 - EDAC_DEBUG
 - DRM_I915_DEBUG
 - BCACHE_CLOSURES_DEBUG
 - DVB_C8SECTPFE
 - MTD_SLRAM
 - MTD_PHRAM

Fix the 'decision' field of the KPROBES check

Add the comment

Improve the README

Get a bit more coverage

Update the README

Ready for the release 0.5.14.

Move 'self_protection' & 'maintainer' higher

Add HARDENED_USERCOPY_PAGESPAN check from KSPP

Add comments about the maintainer recommendations

Refers to #53

Fix UBSAN_BOUNDS recommendations

Thanks to @kees and @equaeghe

Refers to #53

RANDOMIZE_KSTACK_OFFSET_DEFAULT is recommended by KSPP

Thanks to @anthraxx

Update the KSPP recommendations

Add defconfigs for Linux v5.14

Merge pull request #54 from evdenis/master

Recommend disabling CONFIG_BLK_DEV_FD ( thanks to @evdenis )

Add BLK_DEV_FD

Floppy driver was written many years ago. It was designed to
work in a single-threaded environment (many global variables)
and to work on real hardware which has significant delays
(floppy drives are slow). Nowadays, when we use virtual
devices (which are fast) and multi-core cpus, floppy driver
shows its problems including deadlocking/livelocking and
other security-related issues. However, we can't just
rewrite it because lack of real hardware and compatibility
with existing userspace tools, many of which rely on
undocumented driver behavior.

Here are some CVEs related to floppy driver:
 - CVE-2014-1737 privileges escalation in FDRAWCMD ioctl
 - CVE-2014-1738 info leak from kernel heap in FDRAWCMD ioctl
 - CVE-2018-7755 kernel pointer lead in FDGETPRM ioctl
 - CVE-2019-14283 integer overflow and out-of-bounds read in set_geometry
 - CVE-2019-14284 denial of service in setup_format_params
 - CVE-2020-9383 out-of-bounds read in set_fdc
 - CVE-2021-20261 race condition in floppy_revalidate,
   floppy_check_events

As pointed by Linus [1]:
> The only users are virtualization, and even they are going away
> because floppies are so small, and other things have become more
> standard anyway (ie USB disk) or easier to emulate (NVMe or whatever).
> So I suspect the only reason floppy is used even in that area is just
> legacy "we haven't bothered updating to anything better and we have
> old scripts and images that work".

CONFIG_BLK_DEV_FD is not enabled in defconfig on x86_64.
Many distros already require root access for /dev/fd0.
However, qemu (5.2.0) still enables floppy device by default.

[1] https://lore.kernel.org/all/CAHk-=whFAAV_TOLFNnj=wu4mD2L9OvgB6n2sKDdmd8buMKFv8A@mail.gmail.com/

Add RANDOMIZE_KSTACK_OFFSET_DEFAULT

This refers to the pull request #52.

Thanks to Levente Polyak aka @anthraxx.

Add CFI_CLANG

Add ARM64_EPAN

Merge pull request #51 from Hacks4Snacks/master

Added the CBL-Mariner kernel configuration file.

Added Linux/x86_64 kernel config link for CBL-Mariner

Added cbl-mariner kernel configuration file.

Add hardware tag-based KASAN with arm64 Memory Tagging Extension

Add the command line parameters that should NOT be set

Document the changes of vm.unprivileged_userfaultfd in v5.11

https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=37cd0575b8510159992d279c530c05f872990b02
https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=d0d4730ac2e404a5b0da9a87ef38c73e51cb1664

Add the news about PAGE_POISONING

https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=f289041ed4cf9a3f6e8a32068fef9ffb2acc5662
https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=8f424750baaafcef229791882e879da01c9473b5

Improve wording

Update the README.

Ready for the release 0.5.10.

Fix pylint warning

Remember that SHADOW_CALL_STACK depends on clang

STACKPROTECTOR_PER_TASK is also available for ARM64

INTEL_IOMMU_SVM is available only for X86_64

Reorder arch checks

SECURITY_DMESG_RESTRICT is recommended by KSPP now

Think about kptr_restrict later (KSPP recommends to set it to 1)

Mention that nosmt is slow

More info on init_on_free and init_on_alloc

SLUB_DEBUG_ON is very slow, leave it for the kernel command line

Update KSPP recommendations

Add defconfigs for v5.10

Made with updated https://github.com/a13xp0p0v/kernel-build-containers

Excellent!

HARDEN_BRANCH_PREDICTOR for ARM64 is enabled by default since v5.10

Add ARM64_MTE for userspace

Maybe SHADOW_CALL_STACK should be alternative to STACKPROTECTOR_STRONG

Save 'debugfs=no-mount' for future

Update the README.

Ready for the release 0.5.9.

Fix indentation (thanks to pylint)

Add a Q&A about spectre-meltdown-checker maintained by @speed47

INIT_STACK_ALL -> INIT_STACK_ALL_ZERO (was renamed)

Add SHADOW_CALL_STACK for ARM64

Add the recommendation about TRIM_UNUSED_KSYMS

Add ARM64_BTI_KERNEL

Add the recommendation about UBSAN_BOUNDS

Enable UBSAN_BOUNDS and UBSAN_TRAP.
But keep UBSAN_MISC disabled to avoid useless reports.

PAGE_POISONING -> PAGE_POISONING_ZERO

In fact, KSPP recommends PAGE_POISONING_ZERO.

Improve AND check reports

Improve HARDEN_EL2_VECTORS check

In fact HARDEN_EL2_VECTORS was included in RANDOMIZE_BASE in v5.9.
Use new nested ComplexOptChecks for this rule.

Refers to #48.

Merge remote-tracking branch 'pgils/el2_vectors'

Thanks, @pgils.

Refers to #48.

Add nested ComplexOptChecks support

Now we can do things like OR(opt1, AND(opt2, opt3)).
Cool!

Refers to #48

Do not check CONFIG_HARDEN_EL2_VECTORS for v5.9+

Add TODO about SLUB_DEBUG_ON

Add CLIP OS recommendation about EFI_CUSTOM_SSDT_OVERLAYS

Disabling ACPI_TABLE_UPGRADE is now recommended by CLIP OS

Withdraw my recommendation about BPF_JIT

CLIP OS wiki and Kees say that BPF interpreter is worse for the kernel
security than BPF_JIT.

So for now I withdraw my recommendation about BPF_JIT.

N.B. LOCKDOWN disables BPF_SYSCALL, but not BPF_JIT.