test: add siv unit test

siv: add internal implementation based on Nettle

This adds an internal implementation of the AES-SIV-CMAC-256 cipher
based on GNU Nettle and the following patch (which was later reworked
and included in Nettle):

https://gitlab.com/gnutls/gnutls/uploads/1ab02c51e317264f9dba07ddfbc01d9a/0001-Added-support-for-AES_SIV_CMAC_256-and-AES_SIV_CMAC_.patch

This implementation will be dropped when the cipher is widely supported
by gnutls or Nettle.

siv: add support for Nettle

siv: introduce API for SIV

Add a header file for Synthetic Initialization Vector (SIV) cipher mode,
which will be used by NTS.

sys_linux: allow getuid() in seccomp filter

This will be needed by gnutls when loading certificates.

sys_linux: add syscall filter context for NTS-KE

The NTS-KE helper process will use a more restrictive filter than the
main process.

sys: specify context for syscall filter

Specify a context to enable different processes using different (more
restrictive) syscall filters.

sched: remove slew handler in finalization

This allows repeated calls of SCH_Initialise() and SCH_Finalise().

sched: add function to remove all timers and descriptors

This allows a helper process to be started in an *_Initialise() call
and use the scheduler (unlike the privops helper, which has its own
loop).

nameserv: allow concurrent asynchronous requests

Allow multiple resolving threads to be running at the same time in order
to support multiple callers, but use a mutex to avoid sending multiple
requests to the privops helper. This will be needed for the NTS-KE
server negotiation.

util: add functions for printing and parsing hexadecimal data

sources: don't reset active status

Avoid resetting the active status when an NTP source changes its
address in NCR_ChangeRemoteAddress().

This will allow an NTP source to update its address with NTS-KE
hostname negotiation and continue in a special reference mode
(e.g. -q/-Q option).

ntp: move definition of invalid stratum to ntp.h

ntp: pass server name to ntp_core instances

The server name will be needed for certificate verification in NTS-KE.

test: add ntp_ext unit test

ntp: add functions for adding extension fields

ntp: add function to change authentication-specific address

When an NTS source will be replaced, the authentication-specific address
of the NTS-KE server will need to be changed too.

ntp: add function to update source NTP address

This will allow a source to have its address changed due to NTS-KE
server negotiation, which allows the NTS-KE server to have a different
address than the NTP server.

ntp: allow changing port of source

Modify the replace_source() function to not require a different IP
address when replacing a source with the same address but different
port. This will enable the NTS-KE port negotiation.

ntp: don't accept packets with unexpected authentication

If authentication is not enabled in configuration, responses are not
expected to be authenticated. Handle such responses as having failed
authentication.

A case where this could happen is a misconfigured symmetric association
where only one peer has specified the other with a key. Before this
change synchronization would work in one direction and used packets
with an asymmetric length.

ntp: don't allow long MACs in NTPv4 packets with extension fields

MAC longer than 24 octets in NTPv4 packet is supported only for
compatibility with some pre-RFC7822 chrony versions. They didn't use
any extension fields.

ntp: add support for sending KoD responses

Enable the server to respond with a KoD when authentication fails. This
will be used by NTS to respond with a NAK when a client has expired
cookies.

ntp: prefix NTP_AuthMode enums

ntp: move auth parsing to ntp_auth

Move the remaining authentication-specific code to the new file.

ntp: refactor authentication

Move most of the authentication-specific code to a new file and
introduce authenticator instances in order to support other
authentication mechanisms (e.g. NTS).

ntp: rework packet parsing

Rework the code to detect the authentication mode and count extension
fields in the first parsing of the packet and store this information in
the new packet info structure.

ntp: add functions for parsing extension fields

ntp: count packets with invalid format

Include packets that cannot be parsed in the total RX count.

ntp: don't send response longer than request

When sending a response in the server or passive mode, make sure the
response is not longer than the request to prevent amplification
attacks when resposes may contain extension fields (e.g. NTS).

ntp: provide access to request in transmit_packet()

This will allow new authentication code (e.g. NTS) to get data from the
request when generating a response.

ntp: rename receive_packet() to process_response()

ntp: add structure with packet info

Add a structure for length and other information about received and
transmitted NTP packets to minimize the number of parameters and avoid
repeated parsing of the packet.

ntp: refactor NTP_Packet structure for extension fields

ntp: don't replace sources with unroutable addresses

When changing an address of a source (both known and unknown), make sure
the new address is connectable. This should avoid useless replacements,
e.g. polling an IPv6 address on IPv4-only systems.

doc: list unsupported options in peer directive

test: make 132-logchange more reliable

test: extend 001-features test

test: fix unit tests to build with -NTP and -CMDMON

test: extend 122-xleave test

sources: don't save or load dumpfiles for unknown addresses

Don't open a dumpfile for reading or writing if the NTP source doesn't
have a real address.

Fixes: d7e3ad17ff7a ("ntp: create sources for unresolved addresses")

client: add option to print all sources

Add -a option to the sources and sourcestats commands to print all
sources, including those that don't have a resolved address yet. By
default, only sources that have a real address are printed for
compatibility. Remove the "210 Number of sources" messages to avoid
confusion. Also, modify the ntpdata command to always print only sources
with a resolved address.

client: add support for source identifiers

Allow the new identifiers to be specified as addresses in commands that
modify or remove NTP sources.

ntp: repeat resolving until all pool sources are resolved

When resolving of a pool name succeeds, don't remove the remaining
unresolved sources, i.e. try to get all maxsources (default 4) sources,
even if it takes multiple DNS requests.

ntp: stop resolving if unresolved source is removed

If an individual unresolved source or all unresolved sources from a pool
are removed, stop resolving their addresses on the next attempt (don't
remove them immediately as the resolver may be running).

ntp: update resolving timeout ID

This will allow unresolved sources to be removed before resolving.

ntp: create sources for unresolved addresses

Rework the ntp_sources code to create sources for addresses that are not
resolved yet using the new identifiers.

addressing: introduce identifiers for unresolved addresses

Add a new type of address for NTP sources that don't have a resolved
address yet. This will allow the sources to be displayed, modified and
deleted by chronyc.

Update utility functions to support the new addresses.

addrfilt: explicitly handle unexpected addresses

logging: restrict file log permissions

With the new file utility functions permissions can be restricted for
newly created files. For the log file specified by the -l option it
is better to remove the "other" permissions (0640) to make it similar
to the system log.

util: don't log unlink() error if file is not accessible

Try stat() before calling unlink() to make sure the file is accessible.

This fixes chronyc running under a non-root/chrony user printing an
error message due to missing permissions on /var/run/chrony before
trying to bind its socket.

sys_linux: allow renameat2 in seccomp filter

This is needed for architectures that support neither rename() nor
renameat() (e.g. riscv64)

test: fix util unit test for NTP era split

The current default NTP era split passed the Unix epoch (~50 years ago),
which means the epoch converted to an NTP timestamp and back ends up in
the next NTP era (year 2106).

Fix the test to take into account the era split.

stubs: add NSR_GetName()

Fixes: 93f6358916ca ("cmdmon: add request to get source name")

stubs: update NSR_AddSourceByName()

Fixes: 3763befd62d9 ("ntp: check name and return status from NSR_AddSourceByName()")

client: add missing commands to tab-completion

Reported-by: Lonnie Abelbeck <lonnie@abelbeck.com>

socket: add function to check supported family

Don't log error when an IPv6 socket cannot be opened and chronyd was
built without IPv6 support.

Reported-by: Lonnie Abelbeck <lonnie@abelbeck.com>

client: add sourcename command

Add a new command to print the original name of a source specified by
address. This could be useful in scripts to avoid having to run the
sources command with and without -N.

client: add option to print original names

Add -N option to chronyc to print the original names by which the
sources were specified instead of using reverse DNS lookup. The option
works in the sources, sourcestats and tracking commands.

cmdmon: add request to get source name

Specify a new request to get the name of the NTP source corresponding to
an address, which was originally specified in the configuration file or
chronyc add command.

cmdmon: add support for adding pool sources

Specify a new type for pool sources and extend the syntax of the chronyc
"add" command to add a pool.

cmdmon: specify name instead of address in add request

Modify the request for adding a source to provide the name of the source
instead of its address (resolved in chronyc) in order to enable chronyd
to replace the source, support an "add pool" command, and enable an NTS
client to verify the server's certificate.

The name resolving does not block the response. Success is indicated
even if the name cannot be resolved, or a source with the same address
is already present.

To prevent unresolvable names from getting to chronyd, chronyc does not
send the request if it could not resolve the name itself (assuming they
are both running on the same host using the same resolver).

cmdmon: merge add server/peer requests

Instead of having two separate requests in the protocol for adding a
server and peer, specify the type of the new source in the request data.

ntp: check name and return status from NSR_AddSourceByName()

Return an error status when the name is not printable or contains a
space (don't bother with full hostname validation). If the name is an
address, return the same status as NSR_AddSource(). Otherwise, return a
"not resolved yet" status.

ntp: print name of replaced source in log message

doc: remove unsupported options of add commands

All options from the configuration file are supported in the chronyc add
commands.

This fixes commit 65fd30a5473f0a13a216e2d481236ebe54058b41.

privops: convert to new socket API

socket: change SCK_Send() declaration to const buffer

socket: add support for opening socket pairs

socket: add support for blocking sockets

Add a flag to open a blocking socket. The default stays non-blocking.

socket: remove unnecessary MSG_DONTWAIT flag

This is not needed since sockets are non-blocking by default.

socket: add support for sending and receiving descriptors

Add support for the SCM_RIGHTS control message used in communication
with the privops helper.

test: accept test result if RTC can't enable RTC_UIE_ON

The test might run on different platforms. If the platform happens
to have a RTC that does exist but unable to have RTC_UIE_ON set the
test will fail, while the chrony code is actually good.

Examples of bad clocks are:
- ppc64el: rtc-generic
- arm64: rtc-efi

To avoid that extend the log message check on 101-rtc to accept
that condition as a valid test result as well.

Signed-off-by: Christian Ehrhardt <christian.ehrhardt@canonical.com>

rtc: extend check for RTCs that don't support interrupts

Several RTCs would only expose the broken behavior on enabling
interrupts. The reason for that is that the kernel only returns the
error if the state changes. Therefore the check has to probe
switch_interrupts(1) as well.

On platforms that work it will be switched on and off, while on those it
never works it will just stay off.

Clocks known to expose that behavior include, but are not limited to:
PPC64# dmesg | grep -i rtc   
[    0.241872] rtc-generic rtc-generic: registered as rtc0
[    0.270221] rtc-generic rtc-generic: setting system clock to ...
ARM64# dmesg | grep -i rtc
[    0.876198] rtc-efi rtc-efi: registered as rtc0
[    1.046869] rtc-efi rtc-efi: setting system clock to ...

Signed-off-by: Christian Ehrhardt <christian.ehrhardt@canonical.com>

rtc: disable interrupts in finalization

Don't leave interrupts enabled if chronyd is stopped when making an RTC
measurement.

rtc: handle RTCs that don't support interrupts

Some RTCs supported by the Linux kernel don't support the RTC_UIE_ON/OFF
ioctls, which causes chronyd started with the -s option to get stuck in
the initial RTC mode.

After opening the RTC device in the initialization, return error if
the ioctls are not supported to prevent the upper layer from calling the
time_init() function and expecting it to finish.

rtc: don't finalize driver if initialization failed

rtc: simplify and move switch_interrupts()

test: update log checks in system tests

Measurements are no longer accepted and clock updated when polling
itself.

This fixes commit 7a88e0a87b3b2d3efbd7726451ef71b257e27673.

sys_linux: allow clock_adjtime in seccomp filter

The adjtimex() function in glibc was switched to the clock_adjtime
system call.

logging: enable line buffering on stderr

This should avoid mixed lines on console or in file log when multiple
processes will be logging messages at the same time.

doc: fix typo in chrony.conf man page

logging: disable all debug messages in non-debug build

For consistency, don't print debug messages that are compiled in due to
using the LOG macro instead of DEBUG_LOG.

client: don't print log messages with lower severity

privops: keep stdin/out/err open

privops: remove debug message from PRV_Name2IPAddress()

The function may be called from a separate thread, but logging is not
considered thread safe (e.g. due to using functions which read
environment variables).

main: don't try to open unspecified pidfile

switch to new util file functions

Replace all fopen(), rename(), and unlink() calls with the new util
functions.

test: extend util unit test

sys_linux: allow F_GETFL in seccomp filter

This is needed for fdopen().

util: add functions for common file operations

Add a function to open a file for reading, writing, or appending.
In uppercase modes errors are handled as fatal, i.e. the caller doesn't
need to check for NULL. To avoid string manipulations in the callers,
the function accepts an optional directory and suffix. New files are
created with specified permissions, which will be needed for saving
keys. The O_EXCL flag is used in the writing mode to make sure a new
file is created (on filesystems that support it).

Also, add a function to rename a temporary file by changing its suffix,
and a function to remove a file.

All functions log all errors, at least as debug messages.

rtc: don't clone file attributes of rtc file

When replacing an existing rtc file with the temporary file, don't
change the ownership or permissions of the temporary file to match the
old rtc file, as if it didn't exist.

reference: don't clone file attributes of drift file

When replacing an existing drift file with the temporary file, don't
change the ownership or permissions of the temporary file to match the
old drift file, as if it didn't exist.

use PATH_MAX

Include <limits.h> and use the PATH_MAX macro to define the length of
buffers containing paths to make it constistent. (It's not supposed to
fit all possible paths.)

logging: include <syslog.h>

Move the inclusion of <syslog.h> from sysincl.h to logging.c to avoid
accidentally using the LOG_* constants from the header.

logging: make banner printing safer

Don't rely on the buffer filled with '=' characters to be always at
least as long as the log-specific banner string.

logging: call exit() in LOG_Message()

Call exit() in LOG_Message() after printing a fatal message to allow the
LOG macro or LOG_Message() to be used directly instead of the LOG_FATAL
macro.

test: extend 110-chronyc test

test: extend 105-ntpauth test

test: extend keys unit test

test: add cmac unit test