nixos/modules/security/misc.nix

   1 { config, lib, ... }:
   2 {
   3   meta = {
   4     maintainers = [ lib.maintainers.joachifm ];
   5   };
   6
   7   imports = [
   8     (lib.mkRenamedOptionModule [ "security" "virtualization" "flushL1DataCache" ] [ "security" "virtualisation" "flushL1DataCache" ])
   9   ];
  10
  11   options = {
  12     security.allowUserNamespaces = lib.mkOption {
  13       type = lib.types.bool;
  14       default = true;
  15       description = ''
  16         Whether to allow creation of user namespaces.
  17
  18         The motivation for disabling user namespaces is the potential
  19         presence of code paths where the kernel's permission checking
  20         logic fails to account for namespacing, instead permitting a
  21         namespaced process to act outside the namespace with the same
  22         privileges as it would have inside it.  This is particularly
  23         damaging in the common case of running as root within the namespace.
  24
  25         When user namespace creation is disallowed, attempting to create a
  26         user namespace fails with "no space left on device" (ENOSPC).
  27         root may re-enable user namespace creation at runtime.
  28       '';
  29     };
  30
  31     security.unprivilegedUsernsClone = lib.mkOption {
  32       type = lib.types.bool;
  33       default = false;
  34       description = ''
  35         When disabled, unprivileged users will not be able to create new namespaces.
  36         By default unprivileged user namespaces are disabled.
  37         This option only works in a hardened profile.
  38       '';
  39     };
  40
  41     security.protectKernelImage = lib.mkOption {
  42       type = lib.types.bool;
  43       default = false;
  44       description = ''
  45         Whether to prevent replacing the running kernel image.
  46       '';
  47     };
  48
  49     security.allowSimultaneousMultithreading = lib.mkOption {
  50       type = lib.types.bool;
  51       default = true;
  52       description = ''
  53         Whether to allow SMT/hyperthreading.  Disabling SMT means that only
  54         physical CPU cores will be usable at runtime, potentially at
  55         significant performance cost.
  56
  57         The primary motivation for disabling SMT is to mitigate the risk of
  58         leaking data between threads running on the same CPU core (due to
  59         e.g., shared caches).  This attack vector is unproven.
  60
  61         Disabling SMT is a supplement to the L1 data cache flushing mitigation
  62         (see [](#opt-security.virtualisation.flushL1DataCache))
  63         versus malicious VM guests (SMT could "bring back" previously flushed
  64         data).
  65       '';
  66     };
  67
  68     security.forcePageTableIsolation = lib.mkOption {
  69       type = lib.types.bool;
  70       default = false;
  71       description = ''
  72         Whether to force-enable the Page Table Isolation (PTI) Linux kernel
  73         feature even on CPU models that claim to be safe from Meltdown.
  74
  75         This hardening feature is most beneficial to systems that run untrusted
  76         workloads that rely on address space isolation for security.
  77       '';
  78     };
  79
  80     security.virtualisation.flushL1DataCache = lib.mkOption {
  81       type = lib.types.nullOr (lib.types.enum [ "never" "cond" "always" ]);
  82       default = null;
  83       description = ''
  84         Whether the hypervisor should flush the L1 data cache before
  85         entering guests.
  86         See also [](#opt-security.allowSimultaneousMultithreading).
  87
  88         - `null`: uses the kernel default
  89         - `"never"`: disables L1 data cache flushing entirely.
  90           May be appropriate if all guests are trusted.
  91         - `"cond"`: flushes L1 data cache only for pre-determined
  92           code paths.  May leak information about the host address space
  93           layout.
  94         - `"always"`: flushes L1 data cache every time the hypervisor
  95           enters the guest.  May incur significant performance cost.
  96       '';
  97     };
  98   };
  99
 100   config = lib.mkMerge [
 101     (lib.mkIf (!config.security.allowUserNamespaces) {
 102       # Setting the number of allowed user namespaces to 0 effectively disables
 103       # the feature at runtime.  Note that root may raise the limit again
 104       # at any time.
 105       boot.kernel.sysctl."user.max_user_namespaces" = 0;
 106
 107       assertions = [
 108         { assertion = config.nix.settings.sandbox -> config.security.allowUserNamespaces;
 109           message = "`nix.settings.sandbox = true` conflicts with `!security.allowUserNamespaces`.";
 110         }
 111       ];
 112     })
 113
 114     (lib.mkIf config.security.unprivilegedUsernsClone {
 115       boot.kernel.sysctl."kernel.unprivileged_userns_clone" = lib.mkDefault true;
 116     })
 117
 118     (lib.mkIf config.security.protectKernelImage {
 119       # Disable hibernation (allows replacing the running kernel)
 120       boot.kernelParams = [ "nohibernate" ];
 121       # Prevent replacing the running kernel image w/o reboot
 122       boot.kernel.sysctl."kernel.kexec_load_disabled" = lib.mkDefault true;
 123     })
 124
 125     (lib.mkIf (!config.security.allowSimultaneousMultithreading) {
 126       boot.kernelParams = [ "nosmt" ];
 127     })
 128
 129     (lib.mkIf config.security.forcePageTableIsolation {
 130       boot.kernelParams = [ "pti=on" ];
 131     })
 132
 133     (lib.mkIf (config.security.virtualisation.flushL1DataCache != null) {
 134       boot.kernelParams = [ "kvm-intel.vmentry_l1d_flush=${config.security.virtualisation.flushL1DataCache}" ];
 135     })
 136   ];
 137 }