Move the draft of the security hardening sysctls to a proper place

Refers to #65

Improve normalize_cmdline_options()

GitHub Actions: decrease the max-parallel to 1 to avoid the codecov rate limit

Add functional tests for --generate

Refers to #67.

Update the README

Refers to #67.

Add a new feature --generate

With this argument the tool generates a Kconfig fragment with the security
hardening options for the selected microarchitecture.

Refers to #67.

This Kconfig fragment can be merged with the existing Linux kernel config:

$ ./bin/kconfig-hardened-check -g X86_64 > /tmp/fragment
$ cd ~/linux-src/
$ ./scripts/kconfig/merge_config.sh .config /tmp/fragment
Using .config as base
Merging /tmp/fragment
Value of CONFIG_BUG_ON_DATA_CORRUPTION is redefined by fragment /tmp/fragment:
Previous value: # CONFIG_BUG_ON_DATA_CORRUPTION is not set
New value: CONFIG_BUG_ON_DATA_CORRUPTION=y
...

Refactoring of the argument parsing

Improve the comments and README (part II)

Skip normalize_cmdline_options() for the vdso32 and vdso cmdline parameters

See vdso32_setup() in arch/x86/entry/vdso/vdso32-setup.c

Skip normalize_cmdline_options() for the vsyscall cmdline parameter

See vsyscall_setup() in arch/x86/entry/vsyscall/vsyscall_64.c

Skip normalize_cmdline_options() for the iommu cmdline parameter

See iommu_setup() in arch/x86/kernel/pci-dma.c

Skip normalize_cmdline_options() for the slub_debug cmdline parameter

See setup_slub_debug() in mm/slub.c

Improve the comments and README

Skip normalize_cmdline_options() for the rodata cmdline parameter

Also fix the rodata check (change '1' to 'on').

See set_debug_rodata() in init/main.c.

Skip normalize_cmdline_options() for the ssbd cmdline parameter

See parse_spectre_v4_param() in arch/arm64/kernel/proton-pack.c

Add a comment about cfi boot parameter

Add the X86_KERNEL_IBT check

Now it's enabled by default for X86_64.

Add a comment about `kernel.oops_limit` and `kernel.warn_limit` sysctls

Add a comment about `kernel.unprivileged_userns_clone` sysctl in Debian

Add the comments about HARDENED_USERCOPY features

Fix CI output style and move `pip install coverage` to the proper place

Use .github/workflows/functional_test.sh in GitHub Actions (like in Woodpecker-CI)

Now functional_test.sh is a common script used both in GitHub Actions
and Woodpecker-CI.

And also test the forgotten .gz kernel config.

Run the functional tests and collect the coverage in Woodpecker-CI

Check all configs with the installed tool the functional test in Woodpecker-CI

Test the package installation in the functional test in Woodpecker-CI

Run the engine unit-test in Woodpecker-CI

Create multiple pipelines for Woodpecker-CI at Codeberg

Create a configuration template for Codeberg CI (.woodpecker.yml)

Add the checks for vdso32 and vdso on X86_64 and X86_32

We need to check them because these kernel cmdline parameters can
override the COMPAT_VDSO kconfig option.

Improve the COMPAT_VDSO check

CONFIG_COMPAT_VDSO disabled ASLR of vDSO only on X86_64 and X86_32.
On ARM64 this option has different meaning (see the mainline commit
7c4791c9efca8c105a86022f7d5532aeaa819125).

Thanks to @izh1979 for the idea

Improve the vsyscall checks

Disabling X86_VSYSCALL_EMULATION turns vsyscall off completely, and
LEGACY_VSYSCALL_NONE can be changed at boot time via the cmdline parameter.

Thanks to @izh1979 for the idea

Add the comment about kernel.sysrq=0

Make hackish refinement of the CONFIG_ARCH_MMAP_RND_BITS check

Use new override_expected_value() for that.

This is needed to avoid wrong recommendations for ARM64 and ARM, where
CONFIG_ARCH_MMAP_RND_BITS_MAX depends on the paging configuration.

test_engine: add test_value_overriding()

engine: implement override_expected_value()

Require one of major LSMs implementing MAC

SELinux, Smack, Tomoyo, and AppArmor implement Mandatory Access Control (MAC).

Thanks to @izh1979 for the idea

Add the norandmaps check

Thanks to @izh1979 for the idea

Check that CoreSight Tracing Support is disabled (to cut attack surface)

The CONFIG_CORESIGHT framework provides a kernel interface for the
CoreSight debug and trace drivers for ARM/ARM64. It's better to have it
disabled to cut attack surface.

Drop the INTEGRITY check

CONFIG_INTEGRITY is useless without enabling IMA/EVM.
We can't require enabling IMA/EVM because there are other
file system integrity mechanisms like DM_VERITY, FS_VERITY, etc.
So there is no reason to check CONFIG_INTEGRITY.

Refers to #75

Add the DEBUG_ALIGN_RODATA check for ARM

Add new Android kernel configs from my friends

Also rename old Android configs

Add the LEGACY_TIOCSTI check

engine: remove the unused 'type' property from the OptCheck object

test_engine: rename unit-tests

test_engine: increase the unit-test coverage

test_engine: test the non-verbose output mode

test_engine: support the non-verbose output mode in get_engine_result()

Fix a pylint warning about f-string

test_engine: add test_verbose()

test_engine: implement get_engine_result() for stdout

test_engine: introduce get_engine_result()

It's refactoring, no functional changes

test_engine: add test_version()

test_engine: add missing cases for test_OR() and test_AND()

I mean testing 'is present' and 'is not off' in OR/AND

test_engine: test 'is not off'

test_engine: test 'is present'

test_engine: add a missing case for test_OR()

Enable functional testing for a gzipped config

Refers to #80

Inform about supporting *.gz kconfig files

Refers to #80

Add an example of a gzipped config

Refers to #80

Merge pull request #80 from nE0sIghT/feature/gzipped-config

Added support for gzipped config (eg. /proc/config.gz)

Added support for gzipped config (eg. /proc/config.gz)

test_engine: add test_OR() and test_AND()

test_engine: reorganize single unit-tests

test_engine: add test_kconfig_not_found()

Prevent populating the checklist with empty data

test_engine: add test_cmdline_ok() and test_cmdline_fail()

test_engine: add test_kconfig_fail()

Mute some pylint warnings for test_engine.py

test_engine: add test_kconfig_ok()

run_engine(): add the 'result' argument and put the JSON output into it

Fix pylint warnings: add class docstring

Fix pylint warnings: mark run_engine() with @staticmethod

Create the run_engine() helper

Add the first unit-test draft

Fix style

Group the badges

Set the names for the codecov uploads

Create two separate badges: functional test coverage and unit-test coverage

Install 'coverage' in the unit-test CI workflow

Don't fail the unit-test template

That will allow the CI workflow to continue

Upload the unit-test coverage to codecov (use a separate flag)

Add the links to the project badges

Add the unit-test badge

Rename the workflow file with the functional test

Create a separate CI workflow for unit-tests

Add a template for unit-tests

Erase coverage to prepare for unit-testing

Limit the number of parallel GitHub Action jobs to 3

That hopefully prevents the error "codecov failed with exit code 255".

Add more automatic tests (and increase the coverage)

Update the GitHub Actions to newer versions

Drop a useless 'if'

This condition has been checked at the beginning of the function.

Noticed this in the code coverage report.

Refactor normalize_cmdline_options() for better style and test coverage

Drop the 'kvm.nx_huge_pages' check

It's not really about security

Fix the bug in OptCheck.check() introduced in cb779a71bf57d95b

Use 'elif' instead of 'if' to avoid wrong self.result when
self.state is 'off'.

We need unit-tests for the engine checking the correctness: #79

Improve the test coverage

Fix style in the CI script

Improve the slab_nomerge check

Add my files to gitignore

Use similar f-strings for more cases

Compare with None explicitly

These objects should be compared for identity with None using 'is' operator.