Improve the hackish refinement of the CONFIG_ARCH_MMAP_RND_BITS check

Don't check CONFIG_ARCH_MMAP_RND_BITS if CONFIG_ARCH_MMAP_RND_BITS_MAX
was not found.

Show the option type in print_unknown_options()

That improves debugging.

Use raw strings for regular expression

Fix the 'decision' for the 'AIO' check

Fix the 'decision' for the 'vdso32' check

Improve the comment for the 'slab_common.usercopy_fallback' check

Fix the arch condition for the SCHED_CORE check (III)

SCHED_CORE is finally available for ARM64 and ARM.

SCHED_SMT was needed for that.

Update the KSPP recommendations

Fix the arch for the CPU_SRSO check (it's available only for x86_64)

Split the HW_RANDOM_TPM check (it's enabled by default on ARM and ARM64)

Change the 'decision' of the INIT_STACK_ALL_ZERO check

Add defconfigs for Linux v6.6

Add the RANDOM_KMALLOC_CACHES check

Refers to #83

Add the SECURITY_SELINUX_DEBUG check

Fix the 'decision' for the LEGACY_TIOCSTI check

Add the CONFIG_LIST_HARDENED check

Add the gather_data_sampling check

Add the CPU_SRSO check

Add the SPECULATION_MITIGATIONS check

Add the spec_rstack_overflow check

Add the MODULE_FORCE_LOAD check

Thanks to @vobst for the idea

Update the README

Add the check for dis_ucode_ldr

Thanks to @izh1979 for the idea

Add the MICROCODE_INTEL and MICROCODE_AMD checks

Thanks to @izh1979 for the idea

Add a check for the 'kfence.sample_interval' boot parameter

Thanks to @izh1979 for the idea

Add the KFENCE_SAMPLE_INTERVAL check

Thanks to @izh1979 for the idea

Keep the recommendation to disable kernel modules

Disabling kernel modules is a radical method to cut the kernel attack
surface. It may be useful for some systems.

Quoting CLIP OS recommendation:
```
Disable module loading once systemd has loaded the ones required for the
running machine according to a profile.
```

Add a comment about 'kernel.modules_disabled'

add --kernel-version option (#94)

add --kernel-version option

--kernel-version option will extract the version in /proc/version.
This is especially useful on embedded systems where config.gz doesn't
always contain the kernel version

Signed-off-by: Fabrice Fontaine <fabrice.fontaine@orange.com>

Fix the reason for the 'kernel.yama.ptrace_scope' check

Add kspp-recommendations/kspp-sysctl.txt

Fix the reason for the nosmt check

Use 'cut_attack_surface'.

Update kspp-cmdline-x86-64.txt

Add the 'dev.tty.legacy_tiocsti' check

Add the 'kernel.randomize_va_space' check

Add the 'fs.suid_dumpable' check

Change the reason of the COREDUMP check

Add the 'fs.protected_regular' check

Add the 'fs.protected_fifos' check

Add the 'fs.protected_hardlinks' check

Add the 'fs.protected_symlinks' check

Add the 'vm.unprivileged_userfaultfd' check

Add the 'kernel.yama.ptrace_scope' check

Add the 'kernel.kptr_restrict' check

Improve the slab_common.usercopy_fallback check

Don't require slab_common.usercopy_fallback=0,
since HARDENED_USERCOPY_FALLBACK was removed in Linux v5.16

hardened_usercopy=1 is now officially recommended by KSPP

Enabling page_alloc.shuffle is now recommended by KSPP

'mitigations=auto,nosmt' is now recommended by KSPP

Disabling X86_VSYSCALL_EMULATION is now recommended by KSPP

Use /usr/bin/env in shebangs (#90)

Thanks, @SuperSandro2000

Use /usr/bin/env in shebangs

This is guaranteed to work everything including NixOS

Drop ZERO_CALL_USED_REGS in favour of backward-edge CFI

This option isn't worth the performance impact.

Refers to #82.

Update the README

Refactor the assertion in colorize_result() to improve test coverage

Update the backup in issues.md

Rename kconfig-hardened-check into kernel-hardening-checker (#85)

**kconfig-hardened-check** is a tool for checking the security hardening
options of the Linux kernel.

In addition to Kconfig options, it now can check kernel cmdline
arguments and sysctl parameters.

It's time to give this project a new name that describes it better:
**kernel-hardening-checker**.

Renaming fixes

Drop default.nix (it contains a wrong utility name anyway)

kconfig-hardened-check -> kernel-hardening-checker

test_engine: add test_complex_nested()

AND(AND()), OR(OR()) are not supported intentionally.

test_engine: improve the output

test_engine: improve the test_stdout()

(The nested AND/OR should be tested separately, stay tuned)

test_engine: refactor test_complex_or() and test_complex_and()

Don't remove ANSI colors, adapt the testcases instead

This rewrites the commit aa7e1bffebde9d4f1855df93819cea75a5bc4c79.

Refers to #86.

Add colors to output (#86)

Shows OK in green and FAIL in red

Thanks to @frakman1.

Refers to #81. Needs fixing `test_stdout()` in the unit-test.

Adjust test scripts to scrub ANSI colors from output

Fix pylints and verbose/None case

fix typo

cleanup spaces

cleanup

re-factoring

Add colors for OK and FAIL cases

Fix arch conditions for some CmdlineChecks

By the way, don't add `if arch` for checks that require 'is not set'
(there is nothing wrong with that).

Make the functional tests more informative

Drop `> /dev/null` for non-verbose output of the tool.

Test more wrong combinations of options

Test checking sysctl separately

Support separate sysctl checking (without kconfig)

Improve coverage of the functional test a bit

Clean .gitignore

Show git information in the functional test

Test an invalid sysctl file

Test an unexpected line in the sysctl file

Test an unexpected line in the Kconfig file

Drop `if __name__ == "__main__"` from ./bin/kconfig-hardened-check

It always runs as a main program.

Turn the warning about unexpected line in Kconfig file into an error

Update the README (add the --sysctl mode)

Add the Kconfig file of Fedora 38

Use example_sysctls.txt in the functional test

This file was made with root privileges, so it has a full list of sysctls.

Add an example sysctl output file

Add the / symbol to the sysctl parsing pattern

The GitHub Actions virtual machine has such a sysctl:
  fs.binfmt_misc.llvm-14-runtime/binfmt = enabled

This example shows that sysctl names may contain the / symbol.

Add --sysctl to functional testing

Refers to #65

Improve checking the combinations of flags in the functional test

Fix syntax to run on the Woodpecker 1.0.0 CI (part II)

Fix syntax to run on the Woodpecker 1.0.0 CI

Report that --print and --generate can't be used together

Enable sysctl checking

Refers to #65

Check the kernel.unprivileged_bpf_disabled sysctl

Check the dev.tty.ldisc_autoload sysctl

Check the user.max_user_namespaces sysctl