Don't print the warning about ARCH_MMAP_RND_BITS in the json mode

Improve the check of DEBUG_NOTIFIERS feature (part 2)

CFI_PERMISSIVE should be disabled. Reacting with a kernel warning
is not enough.

Thanks to @thestinger for the idea.

Refers to #99.

Improve the check of DEBUG_NOTIFIERS feature

This is what DEBUG_NOTIFIERS performs (see kernel/notifier.c):

```
#ifdef CONFIG_DEBUG_NOTIFIERS
if (unlikely(!func_ptr_is_kernel_text(nb->notifier_call))) {
WARN(1, "Invalid notifier called!");
nb = next_nb;
continue;
}
#endif
```

CFI can do the same better.

Thanks to @thestinger for the idea.

Refers to #99.

Improve the check of SCHED_STACK_END_CHECK.

SCHED_STACK_END_CHECK checks the magic value at the end
of the kernel thread stack, and VMAP_STACK adds guard pages near it.
So they do a bit different things, but VMAP_STACK is more reliable.

Thanks to @thestinger for the idea.

Refers to #98.

Fix style (III)

Use f-strings.

Fix style (II)

Fix style (I)

Disable pylint too-many-locals, it's not useful for add_kconfig_checks()

Fix pylint W0613: Unused argument 'arch'

Fix pylint E1101: Instance of 'OptCheck' has no 'type' member

Fix pylint W0613: Unused argument 'mode'

Update the NixOS configs

Don't add options without explicitly recommended values to Kconfig fragments

That's important for the '--generate' mode.

UBSAN_SANITIZE_ALL is now available for ARM

Fix the order in the vdso32 check (part II)

Fix the order in the vdso32 check

Improve the hackish refinement of the CONFIG_ARCH_MMAP_RND_BITS check

Don't check CONFIG_ARCH_MMAP_RND_BITS if CONFIG_ARCH_MMAP_RND_BITS_MAX
was not found.

Show the option type in print_unknown_options()

That improves debugging.

Use raw strings for regular expression

Fix the 'decision' for the 'AIO' check

Fix the 'decision' for the 'vdso32' check

Improve the comment for the 'slab_common.usercopy_fallback' check

Fix the arch condition for the SCHED_CORE check (III)

SCHED_CORE is finally available for ARM64 and ARM.

SCHED_SMT was needed for that.

Update the KSPP recommendations

Fix the arch for the CPU_SRSO check (it's available only for x86_64)

Split the HW_RANDOM_TPM check (it's enabled by default on ARM and ARM64)

Change the 'decision' of the INIT_STACK_ALL_ZERO check

Add defconfigs for Linux v6.6

Add the RANDOM_KMALLOC_CACHES check

Refers to #83

Add the SECURITY_SELINUX_DEBUG check

Fix the 'decision' for the LEGACY_TIOCSTI check

Add the CONFIG_LIST_HARDENED check

Add the gather_data_sampling check

Add the CPU_SRSO check

Add the SPECULATION_MITIGATIONS check

Add the spec_rstack_overflow check

Add the MODULE_FORCE_LOAD check

Thanks to @vobst for the idea

Update the README

Add the check for dis_ucode_ldr

Thanks to @izh1979 for the idea

Add the MICROCODE_INTEL and MICROCODE_AMD checks

Thanks to @izh1979 for the idea

Add a check for the 'kfence.sample_interval' boot parameter

Thanks to @izh1979 for the idea

Add the KFENCE_SAMPLE_INTERVAL check

Thanks to @izh1979 for the idea

Keep the recommendation to disable kernel modules

Disabling kernel modules is a radical method to cut the kernel attack
surface. It may be useful for some systems.

Quoting CLIP OS recommendation:
```
Disable module loading once systemd has loaded the ones required for the
running machine according to a profile.
```

Add a comment about 'kernel.modules_disabled'

add --kernel-version option (#94)

add --kernel-version option

--kernel-version option will extract the version in /proc/version.
This is especially useful on embedded systems where config.gz doesn't
always contain the kernel version

Signed-off-by: Fabrice Fontaine <fabrice.fontaine@orange.com>

Fix the reason for the 'kernel.yama.ptrace_scope' check

Add kspp-recommendations/kspp-sysctl.txt

Fix the reason for the nosmt check

Use 'cut_attack_surface'.

Update kspp-cmdline-x86-64.txt

Add the 'dev.tty.legacy_tiocsti' check

Add the 'kernel.randomize_va_space' check

Add the 'fs.suid_dumpable' check

Change the reason of the COREDUMP check

Add the 'fs.protected_regular' check

Add the 'fs.protected_fifos' check

Add the 'fs.protected_hardlinks' check

Add the 'fs.protected_symlinks' check

Add the 'vm.unprivileged_userfaultfd' check

Add the 'kernel.yama.ptrace_scope' check

Add the 'kernel.kptr_restrict' check

Improve the slab_common.usercopy_fallback check

Don't require slab_common.usercopy_fallback=0,
since HARDENED_USERCOPY_FALLBACK was removed in Linux v5.16

hardened_usercopy=1 is now officially recommended by KSPP

Enabling page_alloc.shuffle is now recommended by KSPP

'mitigations=auto,nosmt' is now recommended by KSPP

Disabling X86_VSYSCALL_EMULATION is now recommended by KSPP

Use /usr/bin/env in shebangs (#90)

Thanks, @SuperSandro2000

Use /usr/bin/env in shebangs

This is guaranteed to work everything including NixOS

Drop ZERO_CALL_USED_REGS in favour of backward-edge CFI

This option isn't worth the performance impact.

Refers to #82.

Update the README

Refactor the assertion in colorize_result() to improve test coverage

Update the backup in issues.md

Rename kconfig-hardened-check into kernel-hardening-checker (#85)

**kconfig-hardened-check** is a tool for checking the security hardening
options of the Linux kernel.

In addition to Kconfig options, it now can check kernel cmdline
arguments and sysctl parameters.

It's time to give this project a new name that describes it better:
**kernel-hardening-checker**.

Renaming fixes

Drop default.nix (it contains a wrong utility name anyway)

kconfig-hardened-check -> kernel-hardening-checker

test_engine: add test_complex_nested()

AND(AND()), OR(OR()) are not supported intentionally.

test_engine: improve the output

test_engine: improve the test_stdout()

(The nested AND/OR should be tested separately, stay tuned)

test_engine: refactor test_complex_or() and test_complex_and()

Don't remove ANSI colors, adapt the testcases instead

This rewrites the commit aa7e1bffebde9d4f1855df93819cea75a5bc4c79.

Refers to #86.

Add colors to output (#86)

Shows OK in green and FAIL in red

Thanks to @frakman1.

Refers to #81. Needs fixing `test_stdout()` in the unit-test.

Adjust test scripts to scrub ANSI colors from output

Fix pylints and verbose/None case

fix typo

cleanup spaces

cleanup

re-factoring

Add colors for OK and FAIL cases

Fix arch conditions for some CmdlineChecks

By the way, don't add `if arch` for checks that require 'is not set'
(there is nothing wrong with that).

Make the functional tests more informative

Drop `> /dev/null` for non-verbose output of the tool.

Test more wrong combinations of options

Test checking sysctl separately

Support separate sysctl checking (without kconfig)

Improve coverage of the functional test a bit

Clean .gitignore

Show git information in the functional test

Test an invalid sysctl file

Test an unexpected line in the sysctl file

Test an unexpected line in the Kconfig file