debian.master/config/enforce

   1 #
   2 # SECURITY items
   3 #
   4 # Ensure this option is enabled.
   5 value CONFIG_COMPAT_BRK n
   6 value CONFIG_DEVKMEM n
   7 value CONFIG_LSM_MMAP_MIN_ADDR 0
   8 value CONFIG_SECURITY y
   9 !exists CONFIG_SECURITY_FILE_CAPABILITIES | value CONFIG_SECURITY_FILE_CAPABILITIES y
  10 value CONFIG_SECURITY_SELINUX y
  11 value CONFIG_SECURITY_SMACK y
  12 value CONFIG_SECURITY_YAMA y
  13 value CONFIG_SYN_COOKIES y
  14 value CONFIG_DEFAULT_SECURITY_APPARMOR y
  15 # For architectures which support this option ensure it is enabled.
  16 !exists CONFIG_SECCOMP | value CONFIG_SECCOMP y
  17 !exists CONFIG_HAVE_SECCOMP_FILTER | value CONFIG_SECCOMP_FILTER y
  18 !exists CONFIG_CC_STACKPROTECTOR | value CONFIG_CC_STACKPROTECTOR y
  19 !exists CONFIG_DEBUG_RODATA | value CONFIG_DEBUG_RODATA y
  20 !exists CONFIG_DEBUG_SET_MODULE_RONX | value CONFIG_DEBUG_SET_MODULE_RONX y
  21 !exists CONFIG_STRICT_DEVMEM | value CONFIG_STRICT_DEVMEM y
  22 # For architectures which support this option ensure it is disabled.
  23 !exists CONFIG_COMPAT_VDSO | value CONFIG_COMPAT_VDSO n
  24 !exists CONFIG_ACPI_CUSTOM_METHOD | value CONFIG_ACPI_CUSTOM_METHOD n
  25 # Default to 32768 on ARM, 65536 for everything else.
  26 (arch armel armhf & value CONFIG_DEFAULT_MMAP_MIN_ADDR 32768) | \
  27  (!arch armel armhf & value CONFIG_DEFAULT_MMAP_MIN_ADDR 65536)
  28
  29 # CONFIG_USB_DEVICE_FS breaks udev USB firmware loading and is deprecated
  30 # ensure it is disabled.
  31 value CONFIG_USB_DEVICEFS n
  32
  33 # upstart requires DEVTMPFS be enabled and mounted by default.
  34 value CONFIG_DEVTMPFS y
  35 value CONFIG_DEVTMPFS_MOUNT y
  36
  37 # some /dev nodes require POSIX ACLs, like /dev/dsp
  38 value CONFIG_TMPFS_POSIX_ACL y
  39
  40 # Ramdisk size should be a minimum of 64M
  41 value CONFIG_BLK_DEV_RAM_SIZE 65536
  42
  43 # LVM requires dm_mod built in to activate correctly (LP: #560717)
  44 value CONFIG_BLK_DEV_DM y
  45
  46 # sysfs: ensure all DEPRECATED items are off
  47 !exists CONFIG_SYSFS_DEPRECATED_V2 | value CONFIG_SYSFS_DEPRECATED_V2 n
  48 !exists CONFIG_SYSFS_DEPRECATED | value CONFIG_SYSFS_DEPRECATED n
  49
  50 # automatically add local version will cause packaging failure
  51 value CONFIG_LOCALVERSION_AUTO n
  52
  53 # provide framebuffer console form the start
  54 # UbuntuSpec:foundations-m-grub2-boot-framebuffer
  55 value CONFIG_FRAMEBUFFER_CONSOLE y
  56
  57 # GRUB changes will rely on built in vesafb on x86,
  58 # UbuntuSpec:foundations-m-grub2-boot-framebuffer
  59 #(( arch i386 | arch amd64 ) & value CONFIG_FB_VESA y) | \
  60 #       value CONFIG_FB_VESA m | !exists CONFIG_FB_VESA
  61 value CONFIG_FB_VESA m | !exists CONFIG_FB_VESA
  62
  63 # Build in uinput module so that it's always available (LP: 584812)
  64 value CONFIG_INPUT_UINPUT y
  65
  66 # upstart relies on getting all of the kernel arguments
  67 value CONFIG_INIT_PASS_ALL_PARAMS y
  68
  69 # Enabling CONFIG_IMA is vastly expensive, ensure it is off
  70 value CONFIG_IMA n
  71
  72 # Ensure CONFIG_INTEL_IDLE is turned off for -virtual.
  73 !exists CONFIG_INTEL_IDLE | \
  74  (flavour virtual & value CONFIG_INTEL_IDLE n) | \
  75  (!flavour virtual & value CONFIG_INTEL_IDLE y)
  76
  77 # Ensure CONFIG_IPV6 is y, if this is a module we get a module load for
  78 # every ipv6 packet, bad.
  79 value CONFIG_IPV6 y
  80
  81 # Ensure ECRYPT_FS is y as it cannot be autoloaded and it has complex
  82 # dependancies which can pull it =m at a whim.
  83 value CONFIG_ECRYPT_FS y
  84
  85 # Ensure CONFIG_EFI_VARS is y as debian-installer relies on having
  86 # access to efivars when installing in EFI mode. See LP:837332
  87 value CONFIG_EFI_VARS y | !exists CONFIG_EFI_VARS
  88
  89 # Ensure CONFIG_FAT_FS is y for arm, needed to ensure we able to replace
  90 # a kernel with the same version.
  91 (arch armel armhf & value CONFIG_FAT_FS y) | \
  92  (!arch armel armhf & value CONFIG_FAT_FS m)
  93
  94 # Ensure CONFIG_GPIO_TWL4030 is y for arm, LP:921934
  95 (arch armel armhf & value CONFIG_GPIO_TWL4030 y) | \
  96  (!arch armel armhf & (value CONFIG_GPIO_TWL4030 m | !exists CONFIG_GPIO_TWL4030))
  97
  98 # Ensure CONFIG_THERM_ADT746X is y for powerpc and powerpc-smp flavours.
  99 # See LP:923094
 100 !exists CONFIG_THERM_ADT746X | \
 101  (flavour powerpc powerpc-smp & value CONFIG_THERM_ADT746X y)
 102
 103 # Ensure CONFIG_NVRAM is y for powerpc and powerpc-smp, LP:942193
 104 (flavour powerpc powerpc-smp & value CONFIG_NVRAM y) | \
 105  (value CONFIG_NVRAM m | !exists CONFIG_NVRAM)