Check CONFIG_HW_RANDOM_TPM (recommended by Clip OS)

Check X86_MCE, X86_MCE_INTEL, X86_MCE_AMD (recommended by Clip OS)

These options are enabled by default.

Improve the README

Update the README

Also check 'nospectre_v2' with 'spectre_v2'

Change the reason for the 'nopti' check

Change the reason for the 'nokaslr' check

KASLR is enabled by default.

Add the 'spectre_v2' check

Don't normalize this cmdline option.

Add the 'nospectre_v2' check

Change the reason for the 'nosmep' and 'nosmap' checks

SMEP and SMAP are enabled by default.

Add the 'nospectre_v1' check

Add the 'nopti' check

Add the comments: CC_IS_GCC and CC_IS_CLANG exist since v4.18

Add the UBSAN_LOCAL_BOUNDS check for Clang build

Explanations from the Linux kernel commit 6a6155f664e31c9be43cd:

When the kernel is compiled with Clang, -fsanitize=bounds expands to
-fsanitize=array-bounds and -fsanitize=local-bounds.

Enabling -fsanitize=local-bounds with Clang has the side-effect of
inserting traps.

That's why UBSAN_LOCAL_BOUNDS can enable the 'local-bounds' option
only when UBSAN_TRAP is enabled.

Update the links to AOSP and GKI

Android Open Source Project (AOSP):
https://source.android.com/docs/setup/build/building-kernels

Android Generic Kernel Image (GKI):
https://source.android.com/docs/core/architecture/kernel/gki-release-builds

Also add the GKI config `android13-5.10`.

Thanks to @h0t for the idea.

Update the README

Detect the compiler used for the kernel compilation

Don't use CONFIG_CC_IS_GCC in the checks (it was introduced only in v4.18)

Move get-nix-kconfig.py to kconfig_hardened_check/config_files/distros

This script is still waiting for fixes from NixOS folks:
  Issue #63
  PR #64

Fix the X86_SMAP check: it is enabled by default since v5.19

Refers to the issue #71

Check the nosmap and nosmep cmdline parameters

Adapt the RANDSTRUCT checks to the changes in Linux 5.19

Refers to the issue #71

Fix the comment: SHADOW_CALL_STACK is now available for gcc (Linux 5.18)

Add the SECURITY_LANDLOCK recommendation by KSPP

Check the nokaslr cmdline parameter

Require GCC for the GCC plugins (part II)

The current result on arm64_full_hardened_5.17_clang.config (clang 12):

[+] Special report mode: show_fail
[+] Kconfig file to check: my/arm64_full_hardened_5.17_clang.config
[+] Detected architecture: ARM64
[+] Detected kernel version: 5.17
=========================================================================================================================
              option name               | type  |desired val | decision |      reason      | check result
=========================================================================================================================
CONFIG_GCC_PLUGINS                      |kconfig|     y      |defconfig | self_protection  | FAIL: CONFIG_CC_IS_GCC not "y"
CONFIG_STACKPROTECTOR_PER_TASK          |kconfig|     y      |defconfig | self_protection  | FAIL: not found
CONFIG_FORTIFY_SOURCE                   |kconfig|     y      |   kspp   | self_protection  | FAIL: not found
CONFIG_GCC_PLUGIN_LATENT_ENTROPY        |kconfig|     y      |   kspp   | self_protection  | FAIL: CONFIG_CC_IS_GCC not "y"
CONFIG_ZERO_CALL_USED_REGS              |kconfig|     y      |   kspp   | self_protection  | FAIL: not found
CONFIG_GCC_PLUGIN_RANDSTRUCT            |kconfig|     y      |   kspp   | self_protection  | FAIL: CONFIG_CC_IS_GCC not "y"
CONFIG_GCC_PLUGIN_STACKLEAK             |kconfig|     y      |   kspp   | self_protection  | FAIL: CONFIG_CC_IS_GCC not "y"
CONFIG_GCC_PLUGIN_RANDSTRUCT_PERFORMANCE|kconfig| is not set |  clipos  | self_protection  | FAIL: CONFIG_CC_IS_GCC not "y"
CONFIG_STACKLEAK_METRICS                |kconfig| is not set |  clipos  | self_protection  | FAIL: CONFIG_CC_IS_GCC not "y"
CONFIG_STACKLEAK_RUNTIME_DISABLE        |kconfig| is not set |  clipos  | self_protection  | FAIL: CONFIG_CC_IS_GCC not "y"

CONFIG_STACKPROTECTOR_PER_TASK, CONFIG_FORTIFY_SOURCE and CONFIG_ZERO_CALL_USED_REGS
will be supported for clang in future (WIP).

Require GCC for the GCC plugins

Introduce cc_is_gcc and cc_is_clang

Use empty decision and reason for such kind of checks

No, the 'page_alloc.shuffle' should be set anyway

Drop the comment about slub_debug=FZ

These are very slow debugging features

Add the debugfs check

Don't normalize this option value since the Linux kernel
doesn't use kstrtobool() for it.

Improve the comments

Add the 'page_alloc.shuffle' check

Add more values for the normalization

Implement the normalization of cmdline options

Describe the meaning of the checks

Don't add CmdlineChecks in add_kconfig_checks() to avoid wrong results
when the tool doesn't check the cmdline.

A common pattern for checking the 'param_x' cmdline parameter
that __overrides__ the 'PARAM_X_DEFAULT' kconfig option:
  l += [OR(CmdlineCheck(reason, decision, 'param_x', '1'),
           AND(KconfigCheck(reason, decision, 'PARAM_X_DEFAULT_ON', 'y'),
               CmdlineCheck(reason, decision, 'param_x, 'is not set')))]

Here we don't check the kconfig options or minimal kernel version
required for the cmdline parameters. That would make the checks
very complex and not give a 100% guarantee anyway.

Check the 'rodata' cmdline parameter on the arches except ARM64

Check hardened_usercopy in the cmdline

Add the comment about vm.mmap_min_addr sysctl (for future reference)

SECURITY_DMESG_RESTRICT is more about cutting attack surface

Improve the slab_common.usercopy_fallback check

Having HARDENED_USERCOPY_FALLBACK disabled is not enough.

Add the slab_common.usercopy_fallback check

Improve the STACKPROTECTOR check

The Linux kernel 4.16-4.17 has a weird STACKPROTECTOR configuration:
CC_STACKPROTECTOR_NONE -- stackprotector is disabled;
CC_STACKPROTECTOR_REGULAR -- similar to current STACKPROTECTOR;
CC_STACKPROTECTOR_STRONG -- similar to current STACKPROTECTOR_STRONG;
CC_STACKPROTECTOR_AUTO -- the best stack-protector that compiler provides.
These options are mutually exclusive.

Let's improve the STACKPROTECTOR check:
- Add CC_STACKPROTECTOR_REGULAR as a valid alternative name of this option;
- Add CC_STACKPROTECTOR_STRONG to avoid false negative result;
- Add CC_STACKPROTECTOR_AUTO hoping that it enables at least STACKPROTECTOR.

The STACKPROTECTOR_STRONG check still requires explicit configuration, not
CC_STACKPROTECTOR_AUTO.

Thanks to @izh1979 for the idea

Don't mention LKDTM

I can't recommend disabling it, because LKDTM is used to test the kernel
hardening features.

But I cant recommend enabling it, because LKDTM contains intentional
memory corruption errors. It's not for production systems.

So let's simply drop the comment about LKDTM.

Add info about the LKDDb project by @cateee

#68

Check ARM64_BTI for userspace hardening

Check ARM64_PTR_AUTH for userspace hardening

Add rodata check for ARM64

Add iommu.passthrough check

Add IOMMU_DEFAULT_PASSTHROUGH check

Add iommu.strict check

Add vsyscall check

Don't add CmdlineChecks in add_kconfig_checks() to avoid wrong results

Add slub_debug check

Add the release badge

Add the init_on_free check

Add the page_poison check required for PAGE_POISONING_ZERO

Rewrite the slab_nomerge check

Use the presence check for slab_nomerge.
Also check that slab_merge is not set.

Rewrite the randomize_kstack_offset check

Reusing "is not set" for CmdlineCheck is a nice hack.

Check that a kconfig option value is sane

Add a tricky check for init_on_alloc and INIT_ON_ALLOC_DEFAULT_ON

Nice!

Move the add_cmdline_checks() call earlier

populate_with_data() must be called after all checks have been added.

Don't check __name__ in __init__.py (it can't run separately anyway)

Fix the pylint warning about isinstance

Drop unneeded properties of ComplexOptCheck

Thanks to the coverage info

Turn some error conditions into assertions (part 4)

Turn some error conditions into assertions (part 3)

Turn some error conditions into assertions (part 2)

Turn some error conditions into assertions (part 1)

Drop useless checks, the ComplexOptCheck constructor has already checked this

github actions: Test error handling (part 2)

And also test the tool without "-l".

github actions: Test error handling (part 1)

github actions: Collect coverage for error handling (part 1)

github actions: upgrade to codecov-action@v2

Check that --config and --print are not used together

github actions: Collect coverage for cmdline checking

github actions: Improve the descriptions

github actions: Improve the test output

Drop dash-separated values from setup.cfg

github actions: Add testing with python 3.9

Merge branch 'cmdline'

This is the feature for #46.

Change the example output in README

Describe the cmdline checking support in README

Add the example config of Fedora 34

Check the pti cmdline parameter

Check the slab_nomerge cmdline parameter

Check the randomize_kstack_offset cmdline parameter

Add cmdline file parsing

Add the infrastructure for cmdline checks

Add '--cmdline' argument for the tool

Add cmdline checks to '--print'

Add the CmdlineCheck class

Add the comment about sysrq_always_enabled

Thanks to @izh1979 for the idea (and for the rodata idea too).

Add the comment about rodata

Update direct feedback from Linux kernel maintainers (#62)

Add the comment about arm64.nomte

Thanks to @izh1979 for the idea.

Add the comment about kernel.randomize_va_space

Thanks to @izh1979 for the idea.

Add the KGDB check

Thanks to @izh1979 for the idea.

Add RANDOMIZE_MODULE_REGION_FULL for arm64

Thanks to @izh1979 for the idea.

Update the README

Ready for the release 0.5.17.