Update the 'kernel.modules_disabled' check

Add the 'kernel.oops_limit' and 'kernel.warn_limit' checks

Add the "cfi" check

Add the "MAGIC_SYSRQ_SERIAL" check

Thanks to @thestinger.

Refers to #104.

Add the "kernel.sysrq" check

Thanks to @thestinger.

Refers to #104.

Add the MAGIC_SYSRQ_DEFAULT_ENABLE check

Thanks to @thestinger.

Refers to #104.

Sync with KSPP: update the `decision` for some checks

Thanks to @kees for the collaboration.

Add CONFIG_CC_IS_CLANG and CONFIG_CC_IS_GCC to the KSPP recommendations

It makes the tool show less FAILs.

ruff: Fix EXE001 "Shebang is present but file is not executable"

Add the comment about 'if arch' for the 'cut_attack_surface' checks

Refers to #135.

Update the KSPP recommendations

Thanks to Kees for working together!

Code refactoring to improve test coverage (II)

Test the `-v` argument.

Code refactoring to improve test coverage (I)

Merge branch 'scs-pac'

Refers to #131

Thanks @jvoisin

Merge branch 'page-table-check'

Refers to #140

Thanks to @jvoisin

Merge branch 'open_check'

Refers to #134.

CI: Add the test for the code checking that the cmdline file is not empty

CI: Add the tests for the code checking that the config files exist

Check that the cmdline file is not empty

Also check that the cmdline file and sysctl file exist

Merge branch 'master' into open-check

Check MITIGATION_SPECTRE_BHI and spectre_bhi

Check MITIGATION_RFDS and reg_file_data_sampling

Refers to #116

Add the new name of SPECULATION_MITIGATIONS

Since Linux v6.9 it's called CONFIG_CPU_MITIGATIONS.

Refers to #127, #117

Add the new names of RETPOLINE, CPU_SRSO, SLS

Since Linux v6.9 they are renamed:
  RETPOLINE -> MITIGATION_RETPOLINE
  CPU_SRSO -> MITIGATION_SRSO
  SLS -> MITIGATION_SLS

Refers to #127, #117

Add the new name of PAGE_TABLE_ISOLATION

Since Linux v6.9 it's called CONFIG_MITIGATION_PAGE_TABLE_ISOLATION.

Refers to #127, #117

Add two PAGE_TABLE_CHECK related checks from kspp

Newly added in https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=87caef42200cd44f8b808ec2f8ac2257f3e0a8c1

Merge branch 'master' into scs_pac

Merge remote-tracking branch 'origin/pylint'

Refers to #136

Don't use TODO to avoid pylint warnings

CI: add pylint

Drop 'disable=invalid-name' for pylint

Drop __about__.py and use 'version = attr:' in setup.cfg

CI: Add the mypy arguments to the WoodPecker CI

Merge branch 'typing'

Refers to #121

CI: Put mypy into a separate workflow and add some useful arguments

Introduce ResultType and improve static typing in test_engine.py

Improve the VersionCheck static typing

Improve typing and drop the unused **kwargs in the KconfigCheck constructor

Improve _open() to avoid mypy and pylint warnings

No untyped *args and **kwargs.
Explicit encoding.

Nice!

CI: Check static typing with mypy during the functional test

Style fixes for engine import

Use dict instead of OrderedDict

Changed in Python version 3.7:
Dictionary order is guaranteed to be insertion order.

This makes the code simpler and faster.

Add more typing annotations to test_engine.py

Annotate all functions to enable mypy checking for them.

Fix mypy typing warnings for ChecklistObjType

Add more precise typing for checklist: List[ChecklistObjType]

Fix assertion style

Make assertions look similarly.

Fix mypy typing warnings in engine.py

Add more typing annotations to engine.py

Annotate all functions to enable mypy checking for them.

Move print_unknown_options() to engine.py

That is better for specifying typing.

Add more precise typing for OrderedDict

Add more typing annotations to checks.py

Annotate all functions to enable mypy checking for them.

Make the static typing work for Python v3.8

Kind of hackish :)

Fix mypy typing warnings in __init__.py

Add more typing annotations to __init__.py

Annotate all functions to enable mypy checking for them.

Fix pylint warnings in _open

Add a check to `_open`

This shall transform ugly stacktraces into aesthetically pleasant error
messages.

Fix mypy warning in _open()

kernel_hardening_checker/__init__.py:28: error: Incompatible types in assignment (expression has type overloaded function, variable has type overloaded function)  [assignment]

Refactor the _open function to fix this and add the type hint by the way.

Fix mypy warning in json_dump()

kernel_hardening_checker/engine.py:119: error: "None" has no attribute "startswith"  [attr-defined]

The `json_dump()` function printing the results should not be called
for the OptCheck and ComplexOptCheck objects with empty results.

Add a check for CONFIG_UNWIND_PATCH_PAC_INTO_SCS

It allows to fallback to a shadow call stack on aarch64 if PAC isn't supported.

Merge branch 'master' into typing

CI: Don't run the tests with coverage control for pull requests

Refers to #126

CI: Add a functional test without collecting coverage (tired of codecov failures)

CI: Fix the name of engine_unit-test_no_coverage (II)

CI: Fix the name of engine_unit-test_no_coverage

CI: Add a unit-test without collecting coverage (tired of codecov failures)

Merge branch 'skip_sysctl'

Refers to #125.

Thanks for the collaboration, @cotequeiroz

Style fixes, should be no functional changes

Fix the reason and decision of the KEXEC_CORE check

KSPP doesn't recommend to disable it.

Refers to #125

Fix the reason and decision of the BPF_JIT check

KSPP doesn't recommend to disable it.

Refers to #125

Restore the `dev.tty.legacy_tiocsti` check

The kernel documentations says:
```
Historically the kernel has allowed TIOCSTI, which will push
characters into a controlling TTY. This continues to be used
as a malicious privilege escalation mechanism, and provides no
meaningful real-world utility any more. Its use is considered
a dangerous legacy operation, and can be disabled on most
systems.
```
https://elixir.bootlin.com/linux/v6.8.8/source/drivers/tty/Kconfig#L152

In other words, not having the `dev.tty.legacy_tiocsti` sysctl means that
the dangerous functionality is enabled by default.

Use CONFIG_LOCALVERSION instead of CONFIG_DEFAULT_INIT since it's older

skip kernel.modules_disabled if MODULES not set

Signed-off-by: Eneas U de Queiroz <cotequeiroz@gmail.com>

Skip unprivileged_userfaultfd if USERFAULTFD unset

Signed-off-by: Eneas U de Queiroz <cotequeiroz@gmail.com>

Don't fail if dev.tty.legacy_tiocsti not found

The sysctl is available for Kernel 6.2 and later only.

Signed-off-by: Eneas U de Queiroz <cotequeiroz@gmail.com>

Skip unprivileged_bpf_disabled if BPF_SYSCALL not set

Signed-off-by: Eneas U de Queiroz <cotequeiroz@gmail.com>

Skip kexec_load_disabled if KEXEC_CORE is not set

Signed-off-by: Eneas U de Queiroz <cotequeiroz@gmail.com>

Skip bpf_jit_harden sysctl if BPF_JIT is not set

Also, switch the test for root sysctl to the 'kernel.cad_pid' symbol.

Signed-off-by: Eneas U de Queiroz <cotequeiroz@gmail.com>

Merge branch 'cpu_depend'

Thanks, @cotequeiroz.

Refers to #123

Add some lightweight typing

Fix the reason and decision for CPU_SUP_INTEL

Style fixes

Skip CPU-dependent checks if CPU is not supported

Signed-off-by: Eneas U de Queiroz <cotequeiroz@gmail.com>

Like grep, colorize the output only if stdout is connected to a terminal

Nice.
With this, if you redirect the output of kernel-hardening-checker to a file,
it doesn't contain the ANSI escape sequences for colorizing.

Don't use the `type` name for the class methods

There should be no functional changes

Add the BLK_DEV_WRITE_MOUNTED/bdev_allow_write_mounted check

And fix the check order by the way.

Thanks to @izh1979 for the idea

CI: codecov-action@v3.1.5 with token doesn't work well, go to v4 (facepalm)

CI: Return to codecov-action@v3.1.5, but with tokens

codecov-action@v4 is unstable and sometimes gives the error:
```
Codecov: Failed to properly create commit: The process '/home/runner/work/_actions/codecov/codecov-action/v4/dist/codecov' failed with exit code 1
```

CI: Update python versions

Add the links to the corresponding codecov pages in the README badges

CI: Move to codecov-action@4

Again, trying to fix the error
```
Codecov: Failed to properly upload: The process '/home/runner/work/_actions/codecov/codecov-action/v3/dist/codecov' failed with exit code 255
```
https://github.com/codecov/codecov-action/issues/598

CI: Move to codecov-action@v3.1.5

Trying to fix the error
```
Codecov: Failed to properly upload: The process '/home/runner/work/_actions/codecov/codecov-action/v3/dist/codecov' failed with exit code 255
```
https://github.com/codecov/codecov-action/issues/598

Merge branch 'shstk'

Refers to #114, #120

Thanks, @jvoisin.

Fix 'decision' for the X86_USER_SHADOW_STACK check

Refers to #114, #120

Add a check for X86_USER_SHADOW_STACK

This should close #114

Add a comment that 'user.max_user_namespaces=0' may break the upower daemon

Update the README

Improve the CONFIG_CFI_CLANG checks (add the CONFIG_CC_IS_CLANG dependency)

Refers to #102

Drop the GCC_PLUGINS check (checking CC_IS_GCC is enough)

Refers to #102

Add the CONFIG_CC_IS_GCC dependency for gcc plugins

Refers to #102