Make the script aware of target architecture

Add the ability to parse the processor architecture from the config file.

Change '-p' command-line argument behaviour. Now it comes with the
name of architecture you want to print recommendations for.

Currently only X86_64 is supported. More architectures to come soon.

This is based heavily on work by @tyhicks.

Merge branch 'from-tyhicks-1'

Create arch-dependent KSPP recommendations.
Thanks to @tyhicks.

Add a KSPP recommendations config for arm64

Signed-off-by: Tyler Hicks <tyhicks@canonical.com>

Add a KSPP recommendations config for arm

The arm section of the KSPP Recommended_Settings wiki page contains the
following lines:

 # If building an old out-of-tree Qualcomm kernel, this is similar to
 # CONFIG_STRICT_KERNEL_RWX.
 CONFIG_STRICT_MEMORY_RWX=y

Since this option only applies to an old out-of-tree Qualcomm kernel,
it is not included in the config file.

Signed-off-by: Tyler Hicks <tyhicks@canonical.com>

Add a KSPP recommendations config for x86_32

Signed-off-by: Tyler Hicks <tyhicks@canonical.com>

Make KSPP recommendations config x86_64 specific

Rename the file so that it is clear that the recommendations are x86-64
specific.

Signed-off-by: Tyler Hicks <tyhicks@canonical.com>

Update kspp-recommendations.config to look like an x86_64 config

Add a header that will make the checker script think that it is dealing
with a x86_64 config file. Additionally, update the stackprotector
related options to reflect the >= 4.18 names.

Signed-off-by: Tyler Hicks <tyhicks@canonical.com>

Add x86_64_defconfig for v4.20

Merge branch 'decision-cleanup'

Thanks to @Bernhard40 for a nice idea.

Update README

Change the last 'ubuntu18' checks (about lockdown)

Change 'decision' to 'grsecurity' for their additional 'cut_attack_surface' recommendations

Change 'decision' to 'kspp' for non-default options recommended by KSPP

Change 'decision' to 'defconfig' for hardening features enabled by default

Add kernel command line options enabling mitigations of side-channel attacks

Add TODO (hardening preferences for ARM) and update README

Check x86 hardening features: X86_SMAP and X86_INTEL_UMIP

Add SECURITY_LOADPIN check

Add SLAB_MERGE_DEFAULT check

Mention net.core.bpf_jit_harden

Recommend slub_debug=FZP

Mark options connected with CONFIG_LOCK_DOWN_KERNEL (and add some new)

Add CONFIG_LOCK_DOWN_KERNEL

Add a hint about gcc plugins support

Merge branch 'from-hackurx-3'

Move kspp-recommendations.config to config_files

Add missing configs

Fix links to configs

Update UEK config

Add links.txt

The file indicates where you can find kernel configurations.

Minor fixes for the script output

Merge branch 'from-iad42-1'

get_option_state function now looks a lot prettier using dict.get() method

Made long lines in major output shorter

And update README

Add DEBUG_RODATA as old alternative to STRICT_KERNEL_RWX

Align lines better

Add DEBUG_SET_MODULE_RONX as old alternative to STRICT_MODULE_RWX

Update the README (LKDTM is commented out)

Update the function names according to the new meaning

Merge branch 'from-hackurx-2'

Add debian-stretch.config

config check is NOT PASSED: 56 errors

Delete debian-sid-amd64.config

Delete Archlinux-Testing.config

Add SLE15.config

Source: https://kernel.opensuse.org/cgit/kernel-source/plain/config/x86_64/default?h=SLE15

config check is NOT PASSED: 58 errors

Comment out LKDTM

Avoid false positive errors if CONFIG_MODULES is not set

Support both versions of the STACKPROTECTOR_STRONG option

Merge branch 'OR-from-anthraxx'

Update the README

Improve the OR result calculation

1. don't duplicate opts[0].name in the successful output;
2. fix the bug with printing None state, just reuse the OptCheck.result.

Adjust the output format

support DEVMEM not set when considering STRICT_DEVMEM/IO_STRICT_DEVMEM

Detect STRICT_DEVMEM and IO_STRICT_DEVMEM as not being needed whenever
DEVMEM is not set.

Conflicts resolved by @a13xp0p0v

Add the comment describing OR use case

OR needs OptCheck.check() return values

support logical OR operations on options

The OR class implementation supports combining Opt's logically
with an or-operator. If any of the Opt's provided to the OR class
returns True, the check is considered OK.

Fixes #1

Conflicts resolved by @a13xp0p0v

Update usage in README.md

Merge branch 'from-hackurx-1'

Add config_files directory

Add Alpinelinux-edge.config

config check is NOT PASSED: 44 errors

Add Archlinux-hardened.config

config check is NOT PASSED: 33 errors

Add CONFIG_BINFMT_AOUT to ubuntu18

As requested by a13xp0p0v.

Add Archlinux-Testing.config

config check is NOT PASSED: 49 errors

Add debian-sid-amd64.config

config check is NOT PASSED: 49 errors

Add Grsecurity recommendation on BINFMT_AOUT

Linux historical interest is not secure ;)

Conflicts resolved by @a13xp0p0v

Merge branch 'arch-changes-from-anthraxx'

Count errors in the end

Rename 'opt_list' as well

rename Opt to better matching OptCheck

Don't return the result from Opt.check(), we don't use it

store option check result as class member

Conflicts resolved by @a13xp0p0v:

Please forgive me, I fear lambdas :\

Also print the value of the unknown option

Debug mode output should be printed before the final results

Fix the output: ERROR, not BUG

Rename check_state() according the new meaning

Fix the check against multiple options in config file

Use None as state of the options which are not found

That will change the check result
  FAIL: "not found"
onto initial
  FAIL: not found

Drop assertions which are now useless

improve architecture in preparation for new features

This improves the opt storage using a kconfig key based dict to
avoid looping through all opts to get a certain entry by allowing
key based lookups.

ArgumentParser: drop unneeded default=False for args with action='store_true'

ArgumentParser: Improve description

argparse: using python module instead of manual getopt

Consider 'not found' as an equivalent of 'is not set'

Add rules for options disabled by grsecurity

Carefully extracted from their last public patch

Move some features to 'cut_attack_surface' category

STRICT_DEVMEM and IO_STRICT_DEVMEM, SECCOMP and SECCOMP_FILTER
are not self protection features. They cut attack surface.

I'm also not sure about SYN_COOKIES. Mark it with a comment.

More decisions on kernel options

Add Oracle Unbreakable Enterprise Kernel 5 (UEK-5) config

Drop CONFIG_DEBUG_KERNEL from kspp-recommendations.config

It is needed only for kernels prior to v4.11 (Kees has updated the wiki)

Disable buggy IP_SCTP to cut attack surface

Disable only CONFIG_USER_NS, not whole CONFIG_NAMESPACES

Thanks to @Bernhard40 for the correction

Signed-off-by: Alexander Popov <alex.popov@linux.com>

Add kconfig-hardened-check.py

This script helps me to check the Linux kernel Kconfig option list
against my hardening preferences for x86_64.

Nobody likes checking configs manually. Let the computers do their job!

Signed-off-by: Alexander Popov <alex.popov@linux.com>