GrapheneOS is the continuation of CopperheadOS

CopperheadOS disables the kernel's CONFIG_AIO feature

It isn't used or exposed by the base system and is a dubious feature.
It performs no better than thread pools and it can still block, along
with having coverage of only a tiny portion of blocking system calls
even when considering only commonly used system calls for IO.
There are no known compatibility issues caused by having this disabled.
Since this is such a dubious niche feature, it's also very poorly tested
and it doesn't get much attention. Proposed improvements have been blocked
based on the concern that POSIX AIO is such a bad interface that trying
to improve/extend it would be harmful. Following the lead of CopperheadOS
on this front has been proposed and accepted upstream for the recommended
Android kernel configuration used to derive device specific configurations.

https://github.com/AndroidHardeningArchive/documentation/blob/master/technical_overview.md#attack-surface-reduction

KSPP now recommends PAGE_TABLE_ISOLATION for X86_32

Update KSPP recommendations

INTEL_IOMMU is available for X86_32

Move VMSPLIT_3G to 'userspace_hardening'

CONFIG_VMSPLIT_3G=y is for maximal userspace memory area and maximal ASLR.

It works both for ARM and X86_32.

Style fix

IOMMU_SUPPORT is needed for all architectures

SECURITY_WRITABLE_HOOKS and SECURITY_SELINUX_DISABLE mean the same

Add CLIP OS recommendation about X86_CPUID

Fix RANDOM_TRUST_BOOTLOADER check

LOCKDOWN update - part II

That commit contains changes in the checks that I made after learning
the upstreamed LOCKDOWN

LOCKDOWN update - part I

That features didn't change in the upstreamed version of LOCKDOWN

Don't restrict arch for "is not set" checks

That would simplify things

SECURITY_LOCKDOWN_LSM is recommended by CLIP OS

Add CONFIG_INTEGRITY for userspace hardening

Fix the comments

Don't show all checks from all supported platforms in debug_mode

Improve 'dunno' report in debug_mode

Add SECURITY_LOADPIN_ENFORCE check

Update CLIP OS kernel security documentation

Add CLIP OS recommendation about CONFIG_STAGING

Add CLIP OS recommendation about CONFIG_RANDOM_TRUST_BOOTLOADER

Update the README

Improve debug_mode a lot

The debug_mode enables:
 - reporting about unknown kernel options in the config,
 - showing all checks from all supported platforms,
 - verbose printing of ComplexOptChecks (OR, AND).

Improve the table header

Drop unused OptCheck printing

Update 'decision' for new KSPP recommendations

Update KSPP recommendations

Update the README

LDISC_AUTOLOAD can be disabled since v5.1

This fixes the false positive report about LDISC_AUTOLOAD for old kernels

REFCOUNT_FULL is enabled by default since v5.5

Add kernel version checks for complex checks with logical operations

Nice, like it :)

And move config_checklist to other globals by the way.

Add kernel version detection

Simplify perform_checks()

Fix versions in KSPP recommendations

Fix the name for ClearLinux config

STACKPROTECTOR_PER_TASK is now default for ARM

SECURITY_WRITABLE_HOOKS is not disabled by default

Include GCC_PLUGINS to defconfig

This option is now enabled by default in case of compiler support.

Update defconfigs (v5.5)

Merge branch 'config-updates-from-hackurx'

Refers to PR #31.

Thanks to @HacKurx for his work.

Update of the kconfig-hardened-check.py part

Add link for clearlinux

Add clearlinux-master

config check is finished: 'OK' - 74 / 'FAIL' - 49

Update to 5.3.0-28-generic (LTS HWE)

config check is finished: 'OK' - 50 / 'FAIL' - 73

Remove debian-stretch.config

No need to support old stable versions

Add link for amazonlinux2

Update to 4.14.165-133.209.amzn2.x86_64

config check is finished: 'OK' - 44 / 'FAIL' - 79

Update to 5.4.21

config check is finished: 'OK' - 55 / 'FAIL' - 68

Update to openSUSE-15.1

config check is finished: 'OK' - 36 / 'FAIL' - 87

Update to 5.3.16 (SLE15-SP2)

config check is finished: 'OK' - 47 / 'FAIL' - 76

Update to SLE15-SP2 and openSUSE-15.1

Update to 5.4.21

config check is finished: 'OK' - 87 / 'FAIL' - 36

Update to 5.5.5-pentoo

config check is finished: 'OK' - 84 / 'FAIL' - 39

Update of some links

Update to 5.4.1 (uek6)

config check is finished: 'OK' - 52 / 'FAIL' - 71

Update to 4.18.0-147.5.1.el8_1.x86_64

config check is finished: 'OK' - 47 / 'FAIL' - 76

Update to config-4.19.0-8-amd64

config check is finished: 'OK' - 54 / 'FAIL' - 69

Fix INIT_ON_FREE_DEFAULT_ON vs PAGE_POISONING issue #28

PAGE_POISONING is a debugging feature.
It provides less erasing than INIT_ON_FREE_DEFAULT_ON.
Join these checks with OR giving preference to INIT_ON_FREE_DEFAULT_ON.

Thanks to @madaidan for the details.

Also drop my previous recommendations about CONFIG_PAGE_POISONING_NO_SANITY
and CONFIG_PAGE_POISONING_ZERO.

Answer the question about CONFIG_PANIC_ON_OOPS

Thanks to @madaidan
Refers to #29

Recommend disabling VIDEO_VIVID

The vivid driver is for testing. It doesn't require any special hardware.
It is shipped in Ubuntu, Debian, Arch Linux, SUSE Linux Enterprise and openSUSE.
On Ubuntu the devices created by this driver are available to the normal user,
since Ubuntu applies RW ACL when the user is logged in.

See the disclosure of CVE-2019-18683 which I've found and fixed in vivid driver:
https://www.openwall.com/lists/oss-security/2019/11/02/1

Take some ideas from NixOS/nixpkgs hardened kernel config

Add CONFIG_SECURITY_SAFESETID (y) and CONFIG_SECURITY_WRITABLE_HOOKS (n).

Refers to the pull request #27.

Pretty printing

Version 0.5.3 (supports Linux kernel v5.3)

Add the link to Linux Kernel Defence Map

Update the README

Update defconfigs

RANDOMIZE_BASE is now enabled by default on arm64

x86_32: INTEL_IOMMU is not enabled by default - fix the reason

X86_INTEL_UMIP is now X86_UMIP

x86_64: more hardening options are enabled by default - change the reason

Improve the list of the kernel parameters in TODO

Add CLIP OS links

Update the column width

Some of my recommendations are used by CLIP OS, change the `reason` field

Don't recommend disabling IKCONFIG anymore

That info is needed for this script :)

Save more hardening sysctls for TODO

Update CLIP OS doc

Group security policies together

Also update the name of the lockdown feature (merged into v5.4).

Add INIT_ON_ALLOC_DEFAULT_ON and INIT_ON_FREE_DEFAULT_ON introduced in v5.3

Add RODATA_FULL_DEFAULT_ENABLED for ARM64

Add info about Debian and AOSP kernel configs to links.txt

Add Debian Buster kernel config

Add AOSP kernel config for Pixel 3a

Introduce the versioning

At the Chaos Communication Camp 2019 @jelly told that it would be nice to add the kconfig-hardened-check to Arch Linux.

So I add versioning to make it happen.

Thanks @jelly, nice to meet you!

Update the script output in the README

Add HARDEN_BRANCH_PREDICTOR and HARDEN_EL2_VECTORS

Bring more order to the offsets (style fix)

Add INIT_STACK_ALL as an alternative to GCC_PLUGIN_STRUCTLEAK_BYREF_ALL

Add SHUFFLE_PAGE_ALLOCATOR from v5.2

Add some new sysctls (to remember them)

Merge pull request #22 from adrianopol/master

#20 fix: use right quotes in json output

Thanks @adrianopol

#20 fix: use right quotes in json output

Do code refactoring without changing the functionality

Changes:
 - get rid of checklist global variable,
 - improve print_checks().

Merge branch 'json-support'

Thanks to @adrianopol

json: Fix minor things and update the README

add --json option

Drop CONFIG_X86_MSR from the recommendations

It exposes MSRs to the userspace, IMO it is not needed for mitigating
X86 CPU bugs.

Refers to the issue #19 (comment by @Bernhard40)

Add the LDISC_AUTOLOAD check

In fact we have a false positive here because the absence
of the disabled CONFIG_LDISC_AUTOLOAD means FAIL (line
disciplines are automatically loaded).

TODO: Introduce a special check for this type of cases.