debian.master/config/enforce

   1 #
   2 # SECURITY items
   3 #
   4 # Ensure this option is enabled.
   5 value CONFIG_COMPAT_BRK n
   6 value CONFIG_DEVKMEM n
   7 value CONFIG_LSM_MMAP_MIN_ADDR 0
   8 value CONFIG_SECURITY y
   9 !exists CONFIG_SECURITY_FILE_CAPABILITIES | value CONFIG_SECURITY_FILE_CAPABILITIES y
  10 value CONFIG_SECURITY_SELINUX y
  11 value CONFIG_SECURITY_SMACK y
  12 value CONFIG_SECURITY_YAMA y
  13 value CONFIG_SYN_COOKIES y
  14 value CONFIG_DEFAULT_SECURITY_APPARMOR y
  15 # For architectures which support this option ensure it is enabled.
  16 !exists CONFIG_SECCOMP | value CONFIG_SECCOMP y
  17 !exists CONFIG_CC_STACKPROTECTOR | value CONFIG_CC_STACKPROTECTOR y
  18 !exists CONFIG_DEBUG_RODATA | value CONFIG_DEBUG_RODATA y | \
  19         (flavour virtual & arch i386 & value CONFIG_DEBUG_RODATA n)
  20 !exists CONFIG_DEBUG_SET_MODULE_RONX | value CONFIG_DEBUG_SET_MODULE_RONX y
  21 !exists CONFIG_STRICT_DEVMEM | value CONFIG_STRICT_DEVMEM y
  22 # For architectures which support this option ensure it is disabled.
  23 !exists CONFIG_COMPAT_VDSO | value CONFIG_COMPAT_VDSO n
  24 # Default to 32768 on ARM, 65536 for everything else.
  25 ( ( arch armel | arch armhf ) & value CONFIG_DEFAULT_MMAP_MIN_ADDR 32768 ) | \
  26         ( value CONFIG_DEFAULT_MMAP_MIN_ADDR 65536)
  27
  28 # CONFIG_USB_DEVICE_FS breaks udev USB firmware loading and is deprecated
  29 # ensure it is disabled.
  30 value CONFIG_USB_DEVICEFS n
  31
  32 # upstart requires DEVTMPFS be enabled and mounted by default.
  33 value CONFIG_DEVTMPFS y
  34 value CONFIG_DEVTMPFS_MOUNT y
  35
  36 # some /dev nodes require POSIX ACLs, like /dev/dsp
  37 value CONFIG_TMPFS_POSIX_ACL y
  38
  39 # Ramdisk size should be a minimum of 64M
  40 value CONFIG_BLK_DEV_RAM_SIZE 65536
  41
  42 # LVM requires dm_mod built in to activate correctly (LP: #560717)
  43 value CONFIG_BLK_DEV_DM y
  44
  45 # sysfs: ensure all DEPRECATED items are off
  46 !exists CONFIG_SYSFS_DEPRECATED_V2 | value CONFIG_SYSFS_DEPRECATED_V2 n
  47 !exists CONFIG_SYSFS_DEPRECATED | value CONFIG_SYSFS_DEPRECATED n
  48
  49 # automatically add local version will cause packaging failure
  50 value CONFIG_LOCALVERSION_AUTO n
  51
  52 # provide framebuffer console form the start
  53 # UbuntuSpec:foundations-m-grub2-boot-framebuffer
  54 value CONFIG_FRAMEBUFFER_CONSOLE y
  55
  56 # GRUB changes will rely on built in vesafb on x86,
  57 # UbuntuSpec:foundations-m-grub2-boot-framebuffer
  58 #(( arch i386 | arch amd64 ) & value CONFIG_FB_VESA y) | \
  59 #       value CONFIG_FB_VESA m | !exists CONFIG_FB_VESA
  60 value CONFIG_FB_VESA m | !exists CONFIG_FB_VESA
  61
  62 # Build in uinput module so that it's always available (LP: 584812)
  63 value CONFIG_INPUT_UINPUT y
  64
  65 # upstart relies on getting all of the kernel arguments
  66 value CONFIG_INIT_PASS_ALL_PARAMS y
  67
  68 # Enabling CONFIG_IMA is vastly expensive, ensure it is off
  69 value CONFIG_IMA n
  70
  71 # Ensure CONFIG_INTEL_IDLE is turned off for -virtual.
  72 !exists CONFIG_INTEL_IDLE | \
  73         (flavour virtual & value CONFIG_INTEL_IDLE n) | \
  74         value CONFIG_INTEL_IDLE y
  75
  76 # Ensure CONFIG_IPV6 is y, if this is a module we get a module load for
  77 # every ipv6 packet, bad.
  78 value CONFIG_IPV6 y