more power saving & security in foureighty kernel config

2021-11-17 19:05:59 +00:00 · 2021-11-17 19:05:59 +00:00 · accb36acfd
commit accb36acfd
parent 48c62b1778
1 changed files with 75 additions and 58 deletions
--- a/nixos/boxes/foureighty/custom-kernel.nix
+++ b/nixos/boxes/foureighty/custom-kernel.nix
@ -9,64 +9,81 @@
    name = "foureighty";
    patch = null;
    extraConfig = ''
-      WATCH_QUEUE y
+        ACPI_CUSTOM_METHOD  n
-      MCORE2 y
+        ACPI_DPTF y
-      ENERGY_MODEL y
+        BUG y
-      INTEL_TXT y
+        CC_STACKPROTECTOR_STRONG y
-      LOCKUP_DETECTOR y
+        CPU_IDLE_GOV_HALTPOLL y
-      HARDLOCKUP_DETECTOR y
+        CPU_IDLE_GOV_TEO y
-      BUG y
+        DEBUG_CREDENTIALS     y
-
+        DEBUG_NOTIFIERS       y
-      DEBUG_RODATA        y
+        DEBUG_PI_LIST         y
-      DEBUG_SET_MODULE_RONX y
+        DEBUG_PLIST           y
-      SECURITY_SELINUX_DISABLE  n
+        DEBUG_RODATA        y
-      SECURITY_WRITABLE_HOOKS  n
+        DEBUG_SET_MODULE_RONX y
-
+        DEBUG_SG              y
-      STRICT_KERNEL_RWX  y
+        DEVMEM y
-
+        DPTF_PCH_FIVR m
-      DEVMEM y
+        DPTF_POWER m
-      STRICT_DEVMEM y
+        ENERGY_MODEL y
-      DEBUG_CREDENTIALS     y
+        FORTIFY_SOURCE y
-      DEBUG_NOTIFIERS       y
+        GCC_PLUGINS  y
-      DEBUG_PI_LIST         y
+        GCC_PLUGIN_LATENT_ENTROPY  y
-      DEBUG_PLIST           y
+        GCC_PLUGIN_RANDSTRUCT y
-      DEBUG_SG              y
+        GCC_PLUGIN_RANDSTRUCT_PERFORMANCE  y
-      SCHED_STACK_END_CHECK  y
+        GCC_PLUGIN_STACKLEAK  y
-
+        GCC_PLUGIN_STRUCTLEAK  y
-      SHUFFLE_PAGE_ALLOCATOR  y
+        GCC_PLUGIN_STRUCTLEAK_BYREF_ALL  y
-      SLUB_DEBUG y
+        HARDENED_USERCOPY y
-
+        HARDENED_USERCOPY_FALLBACK y
-      PAGE_POISONING            y
+        HARDLOCKUP_DETECTOR y
-      PAGE_POISONING_NO_SANITY  y
+        HZ_300 y
-      PAGE_POISONING_ZERO       y
+        INET_DIAG           n
-
+        INET_DIAG_DESTROY  option no
-      SECURITY_SAFESETID  y
+        INET_MPTCP_DIAG    option no
-
+        INET_RAW_DIAG      option no
-      PANIC_TIMEOUT  -1
+        INET_TCP_DIAG      option no
-
+        INET_UDP_DIAG      option no
-      GCC_PLUGINS  y
+        INIT_ON_ALLOC_DEFAULT_ON y
-      GCC_PLUGIN_LATENT_ENTROPY  y
+        INIT_ON_FREE_DEFAULT_ON y
-
+        INTEL_TXT y
-      GCC_PLUGIN_STRUCTLEAK  y
+        KEXEC n
-      GCC_PLUGIN_STRUCTLEAK_BYREF_ALL  y
+        KFENCE y
-      GCC_PLUGIN_STACKLEAK  y
+        LEGACY_VSYSCALL_NONE y
-      GCC_PLUGIN_RANDSTRUCT y
+        LOCKUP_DETECTOR y
-      GCC_PLUGIN_RANDSTRUCT_PERFORMANCE  y
+        MCORE2 y
-
+        NR_CPUS 16
-      ACPI_CUSTOM_METHOD  n
+        NUMA_BALANCING y
-      PROC_KCORE          n
+        NUMA_BALANCING_DEFAULT_ENABLED y
-      INET_DIAG           n
+        PAGE_POISONING            y
-
+        PAGE_POISONING_NO_SANITY  y
-      INET_DIAG_DESTROY  option no
+        PAGE_POISONING_ZERO       y
-      INET_RAW_DIAG      option no
+        PANIC_TIMEOUT  -1
-      INET_TCP_DIAG      option no
+        PM_AUTOSLEEP y
-      INET_UDP_DIAG      option no
+        POWER_EFFICIENT_DEFAULT y
-      INET_MPTCP_DIAG    option no
+        PREEMPT y
-
+        PREEMPTION y
-
+        PREEMPT_COUNT y
-      CC_STACKPROTECTOR_STRONG y
+        PREEMPT_DYNAMIC y
-
+        PREEMPT_RCU y
-      KFENCE y
+        PROC_KCORE          n
        RANDOMIZE_KSTACK_OFFSET_DEFAULT y
        SCHED_CORE y
        SCHED_STACK_END_CHECK  y
        SECURITY_SAFESETID  y
        SECURITY_SELINUX_DISABLE  n
        SECURITY_WRITABLE_HOOKS  n
        SHUFFLE_PAGE_ALLOCATOR  y
        SLAB_FREELIST_HARDENED y
        SLAB_FREELIST_RANDOM y
        SLUB_DEBUG y
        STRICT_DEVMEM y
        STRICT_KERNEL_RWX  y
        UNINLINE_SPIN_UNLOCK y
        WATCH_QUEUE y
        X86_INTEL_TSX_MODE_AUTO y
        X86_SGX y
        X86_SGX_KVM y
    '';
  } ];
 }