Merge pull request #8538 from rgacogne/ddist-reduce-sholder-copies

Use move semantics when updating the content of the StateHolder

Merge pull request #8555 from krombel/doc_doh-over-http

[DOC dnsdist] Extend guide for DoH over HTTP

Merge pull request #8301 from Habbie/luasynth-db-state

auth: on luaSynth exception, drain db output. Fixes #8299

Merge pull request #8557 from rgacogne/ddist-140-changelog-secpoll

dnsdist: ChangeLog and secpoll update for dnsdist 1.4.0

Merge pull request #8536 from Habbie/fix-lmdb-backend

Fix lmdb backend

take lmdb change from bf2b8dc94331b50bd839dc8f5b188664637c7b31

Merge pull request #8560 from omoerbeek/rec-dup-error-handling

rec: check return value of dup() and avoid fd leak if if fdopen() fails

Merge pull request #8559 from omoerbeek/rec-thread-startup-race

Avoid startup race by setting the state of a tread before starting it.

take lmdb change from bbf726cab32b902530b2e66bf9f36190127c925d

revive the spirit of 331899ba39369edef33e36fb727c563620c8380a

take lmdb change from 01d7beb662f906f0a046a80c1f332e1cd657bb78

take lmdb change from 5d02265785d3767ffb954b213ba698c3b73d5f1c

Merge pull request #8561 from omoerbeek/rec-qname-min-not-experimental

QName Minimization is no longer experimental

We have reasons to believe that QName Minimization is no longer experimental.

Check return value of dup() and avoid fd leak if if fdopen() fails.

Avoid startup race by setting the state of a tread before starting it.

dnsdist: ChangeLog and secpoll update for dnsdist 1.4.0

dnsdist: Add DoH behind reverse proxy (and http) to guide

dnsdist: Fix formatting on DoH guide

Merge pull request #8525 from omoerbeek/rec-prune-failed-servers

Rec: Purge map of failed auths periodically by keeping a last changed timestamp.

Merge pull request #8540 from rgacogne/doh-guide

dnsdist: Add a DoH guide to the documentation.

Avoid looking up an entry twice by using a ref.

dnsdist: Const-correctness for addAction() parameters

Merge pull request #8532 from phonedph1/qnamecnt

rec: qname-minimization metrics

Point to correct reference

Merge pull request #8225 from smellyspice/ttl-fix-take2

timestamp TTL limiting to fix Issue #7439 - Take 2

Merge pull request #4628 from zeha/api-list-no-dnssec

API: do not return dnssec info in domain list

dnsdist: Fix a typo in the DoH guide

rec: Prevent copies when updating the State Holder

dnsdist: Prevent copies when updating the State Holder

Use move semantics when updating the content of the StateHolder

dnsdist: adjust lmdb usage for shared_ptr

auth api: after a db lookup, always finish the get cycle

Merge pull request #8524 from rgacogne/ddist-lowercase-dynblocksmt

dnsdist: Lowercase the name blocked by a SMT dynamic block

lmdbbackend: use nested transaction in list() when possible/needed

pdnsutil add/replace record: do not end transaction before we are done with it

lmdbbackend: use nested transaction in lookup() when possible/needed

consistent spelling

qname metrics

LMDB: Update lmdb-safe and make the backend compile

This updates lmdb-safe to
https://github.com/ahupowerdns/lmdb-safe/pull/6 at
7ce9a821412480c699ce73e85d8bbafa2a9535e5

Merge pull request #8531 from phonedph1/patch-18

dnsdist: Update dnsdist-console.cc

Update dnsdist-console.cc

Merge pull request #8521 from omoerbeek/rec-quit-nicely-8347-retry

rec: Make threads run until asked to stop.

Explicitly initialize RecursorControlChannel::stop

ednsmap might be cleared while yielding; so reassign pointer.

Switch away from a ref to a pointer because of above and use modern
init for EDNSStatus.

Merge pull request #8522 from rgacogne/ddist-statnode-noerrors-drops

dnsdist: Add bindings for the noerrors and drops members of StatNode

Merge pull request #8526 from rgacogne/ddist-prefer-server-order

dnsdist: Prefer the cipher suite from the server by default (DoH, DoT)

If modeSetAt is zero, we never updated the entry and it can go.

Also purge t_sstorage.ednsstatus and include edns size in the periodic report.

dnsdist: Prefer the cipher suite from the server by default (DoH, DoT)

This setting should only be set when all ciphers offered by the server
are considered secure, and our default suite still has a few options
offered for compatibility reasons, which might not be as secure as
other alternatives.
Apparently this also causes issue for some clients, even though it
should not matter.

man page bits

Purge map of failed auths periodically by keeping a last changed timestamp.

SyncRes thread local storage includes a map of failed auths which was
only cleaned if a specific IP was contacted again and that contact
succeeded. Persistent failing auths or auths that are never tried
again remained in the map.

While here add code to dump the failed servers map. Might (partially?)
solve #7771.

dnsdist: Lowercase the name blocked by a SMT dynamic block

This does not change the existing behavior since we are doing a
case-insensitive comparison but it's nicer when generating metrics
about the dynamic block rules.

dnsdist: Add bindings for the noerrors and drops members of StatNode

dnsdist: Correctly account actively discovered timeouts in StatNode

Cleanup some global resources.

With this (on a short run):

==13452== HEAP SUMMARY:
==13452==     in use at exit: 0 bytes in 0 blocks
==13452==   total heap usage: 54,657 allocs, 54,657 frees, 14,008,997 bytes allocated

Make threads run until asked to stop.

This is safer since the atexit handler is not ran while threads are
still active. Also, when using valgrind we get more clean leak reports.

Retry if the accidentally merged #8518 that was reverted.

Merge pull request #8520 from omoerbeek/rec-8020-docs-fix-retry

rec: markup fix

Markup fix

Merge pull request #8519 from PowerDNS/revert-8518-rec-8020-docs-fix

Revert "Rec 8020 docs fix"

Revert "Rec 8020 docs fix"

Merge pull request #8518 from omoerbeek/rec-8020-docs-fix

Rec 8020 docs fix

Fix markup

Merge pull request #8425 from Habbie/pdnsutil-ed448

pdnsutil: correctly report ed* algo availability

Merge pull request #8436 from mind04/pdns-remove-lua

auth: remove lua backend

Merge pull request #8440 from cmouse/shadow

Fix -WShadow warnings

Merge pull request #8477 from omoerbeek/rec-enable-qname-min

rec: enable qname minimization

Join the worker thread in the unthreaded case as well, there is actually 1 thread plus
the main thread in that case.

sig_atomic_t is defined in signal.h

Make threads run until asked to stop.

This is safer since the atexit handler is not ran while threads are
still active. Also, when using valgrind we get more clean leak reports.

Typos in comments

Enable qname minimization by default.

To be able to do that, make sure that qnames that are forwarded or
in and authzone are handled without QM.  Also, some tests are dependent
on specific queries or responses, disable QM for them.

Merge pull request #8511 from omoerbeek/rec-8020-dnssec

Rec: do RFC 8020 only if cache entry is dnssec validated

Zap unsued code in test

Doc tweaks

Test case for 8020 with dnssec enabled

Merge pull request #8510 from omoerbeek/rec-rootnszones-mthread-safe

rec: Avoid mthread race when using the set of rootNSZones.

Avoid mthread race when using the set of rootNSZones.

Merge pull request #8509 from zeha/typos

Fix typo: settting to setting

Fix typo: settting to setting

Found by Debians lintian.

Even for HardenNXD::Yes we don't want to believe Bogus NXDOMAINs.

Updated docs for nothing-below-nxdomain

Less aggressive 8020: by default only cut at NXDOMAIN if the entry is Secure.
We might want to explicitly validate Inderminate records if needed.
That code is not written yet.

Merge pull request #8289 from Habbie/pdnsutil-increase-serial-inception-epoch

 pdnsutil increase-serial: under SOA-EDIT=INCEPTION-EPOCH, bump as if it is EPOCH

Merge pull request #8235 from Habbie/dyn-dup-ptr

rfc2136, pdnsutil: somewhat improve duplicate record handling

don't apply /zones dnssec=false test to recursor

add test for dnssec=false

document /zones dnssec parameter

Support optional ?dnssec=false flag on listing zones

Defaults to true, so the behaviour is unchanged in 4.x.

API: do not return dnssec info in domain list

Merge pull request #8492 from rgacogne/max-generate-steps

Add a parameter to limit the number of '$GENERATE' steps

rec: Disable '$GENERATE' when loading trust anchors files

rec: Enforce max-generate-steps when loading RPZ files

auth: Disable '$GENERATE' in comfun, ixfrdist, ixplore

auth: Fix compilation of comfun (ambiguous make_unique call)

Allow disabling '$GENERATE' in ZoneParserTNG

Add a parameter to limit the number of '$GENERATE' steps

casemix test: ignore SOA content because it changes every day

Merge pull request #8457 from mind04/pdns-api

auth: api: avoid a large number of new database connections

Merge pull request #8418 from pieterlexis/deb-load-keys-from-disk

Deb: Load DNSSEC Keys from disk by default