Updating the number of failures in the README

Add CONFIG_INPUT_EVBUG

The "evbug" module records key events and mouse movements in the system log.
Useful for debugging, this is a security threat, its use can be hijacked as a keylogger.

An attacker will be able to retrieve your passwords using this module.

Improve versioning

Add DRM_LEGACY, FB, and VT checks

Thanks to:
 - Dmitry Vyukov @dvyukov for the idea
 - Daniel Vetter @danvet for the knowledge

Implement PresenceCheck and use it for LDISC_AUTOLOAD

Refers to #32

Fix ComplexOptCheck result printing

Newline should be printed by print_checklist() that prints the table

Add more tests to increase coverage - IV

Create polymorphism for printing, add table_print() method for each class

That makes print_checklist() much better.

Revisit special behavior in checking and printing that depends on the class

Rename some workflow steps

Add more tests to increase coverage - III

Add more tests to increase coverage - II

Add more tests to increase coverage - I

Collect coverage

Count checked configs

Check all configs automatically

Revisit return values

Create the github workflow for functional tests

Fix the shebang to allow `./get-nix-kconfig.py`

Thanks to @Mic92

Refers to #27

Add NixOS hardened kernel config

Fix typo in README

Add vim swp files to gitignore

Merge branch 'nix'

Refers to #27

add script to download linux kernel configs from nix

add gitignore

add default.nix for installation via nix

Allows installation via nix from the repository itself
on NixOS and other Linux distribution that have Nix (i.e. Archlinux/Debian).

```
$ nix-build
$ ./result/bin/kconfig-hardened-check
$ nix-env -f . -i
```

It also provides an development environment for `nix-shell` with setuptools and
python in path

```
$ nix-shell
```

Update the README (describing installation)

Add a wrapper for using the tool without installation via setuptools

Enable distribution via pip/setuptools

Thanks to @Mic92 for the proof-of-concept

Refers to #26

Call it a tool

Uh, setuptools doesn't like package names that contain dash

Add main() and clean up working with globals

Rename to kconfig-hardened-check/__init__.py

Move files to kconfig-hardened-check folder

Rename LICENSE file

Version 0.5.5 (supports Linux kernel v5.5)

Update the README

CLIP OS recommends disabling Intel TSX

Small syctl cleanup

Merge pull request #34 from madaidan/grapheneos

GrapheneOS is the continuation of CopperheadOS

GrapheneOS is the continuation of CopperheadOS

CopperheadOS disables the kernel's CONFIG_AIO feature

It isn't used or exposed by the base system and is a dubious feature.
It performs no better than thread pools and it can still block, along
with having coverage of only a tiny portion of blocking system calls
even when considering only commonly used system calls for IO.
There are no known compatibility issues caused by having this disabled.
Since this is such a dubious niche feature, it's also very poorly tested
and it doesn't get much attention. Proposed improvements have been blocked
based on the concern that POSIX AIO is such a bad interface that trying
to improve/extend it would be harmful. Following the lead of CopperheadOS
on this front has been proposed and accepted upstream for the recommended
Android kernel configuration used to derive device specific configurations.

https://github.com/AndroidHardeningArchive/documentation/blob/master/technical_overview.md#attack-surface-reduction

KSPP now recommends PAGE_TABLE_ISOLATION for X86_32

Update KSPP recommendations

INTEL_IOMMU is available for X86_32

Move VMSPLIT_3G to 'userspace_hardening'

CONFIG_VMSPLIT_3G=y is for maximal userspace memory area and maximal ASLR.

It works both for ARM and X86_32.

Style fix

IOMMU_SUPPORT is needed for all architectures

SECURITY_WRITABLE_HOOKS and SECURITY_SELINUX_DISABLE mean the same

Add CLIP OS recommendation about X86_CPUID

Fix RANDOM_TRUST_BOOTLOADER check

LOCKDOWN update - part II

That commit contains changes in the checks that I made after learning
the upstreamed LOCKDOWN

LOCKDOWN update - part I

That features didn't change in the upstreamed version of LOCKDOWN

Don't restrict arch for "is not set" checks

That would simplify things

SECURITY_LOCKDOWN_LSM is recommended by CLIP OS

Add CONFIG_INTEGRITY for userspace hardening

Fix the comments

Don't show all checks from all supported platforms in debug_mode

Improve 'dunno' report in debug_mode

Add SECURITY_LOADPIN_ENFORCE check

Update CLIP OS kernel security documentation

Add CLIP OS recommendation about CONFIG_STAGING

Add CLIP OS recommendation about CONFIG_RANDOM_TRUST_BOOTLOADER

Update the README

Improve debug_mode a lot

The debug_mode enables:
 - reporting about unknown kernel options in the config,
 - showing all checks from all supported platforms,
 - verbose printing of ComplexOptChecks (OR, AND).

Improve the table header

Drop unused OptCheck printing

Update 'decision' for new KSPP recommendations

Update KSPP recommendations

Update the README

LDISC_AUTOLOAD can be disabled since v5.1

This fixes the false positive report about LDISC_AUTOLOAD for old kernels

REFCOUNT_FULL is enabled by default since v5.5

Add kernel version checks for complex checks with logical operations

Nice, like it :)

And move config_checklist to other globals by the way.

Add kernel version detection

Simplify perform_checks()

Fix versions in KSPP recommendations

Fix the name for ClearLinux config

STACKPROTECTOR_PER_TASK is now default for ARM

SECURITY_WRITABLE_HOOKS is not disabled by default

Include GCC_PLUGINS to defconfig

This option is now enabled by default in case of compiler support.

Update defconfigs (v5.5)

Merge branch 'config-updates-from-hackurx'

Refers to PR #31.

Thanks to @HacKurx for his work.

Update of the kconfig-hardened-check.py part

Add link for clearlinux

Add clearlinux-master

config check is finished: 'OK' - 74 / 'FAIL' - 49

Update to 5.3.0-28-generic (LTS HWE)

config check is finished: 'OK' - 50 / 'FAIL' - 73

Remove debian-stretch.config

No need to support old stable versions

Add link for amazonlinux2

Update to 4.14.165-133.209.amzn2.x86_64

config check is finished: 'OK' - 44 / 'FAIL' - 79

Update to 5.4.21

config check is finished: 'OK' - 55 / 'FAIL' - 68

Update to openSUSE-15.1

config check is finished: 'OK' - 36 / 'FAIL' - 87

Update to 5.3.16 (SLE15-SP2)

config check is finished: 'OK' - 47 / 'FAIL' - 76

Update to SLE15-SP2 and openSUSE-15.1

Update to 5.4.21

config check is finished: 'OK' - 87 / 'FAIL' - 36

Update to 5.5.5-pentoo

config check is finished: 'OK' - 84 / 'FAIL' - 39

Update of some links

Update to 5.4.1 (uek6)

config check is finished: 'OK' - 52 / 'FAIL' - 71

Update to 4.18.0-147.5.1.el8_1.x86_64

config check is finished: 'OK' - 47 / 'FAIL' - 76

Update to config-4.19.0-8-amd64

config check is finished: 'OK' - 54 / 'FAIL' - 69