util: indicate truncated Unix socket path in UTI_SockaddrToString()

Specify the maximum length of the path in the snprintf() format to avoid
a new gcc warning (-Wformat-truncation). If the path doesn't fit in the
buffer, indicate with the '>' symbol that it was truncated. The function
is used only for debug messages.

makefile: run tests in multiple iterations on check

Use the new options of the run script in the check target to make it
reliable for automatic testing without using a fixed random seed and add
a new quickcheck target for the original check using just one iteration.

test: improve run script

Add options to allow running the tests in multiple iterations while
allowing a small number of failures per test. Some tests are expected to
fail occasionally as they are basically statistical tests. Improving
their reliability is possible, but it's always a compromise between
sensitivity, reliability, and execution time.

test: make 118-maxdelay more reliable

sys_linux: allow getpid in seccomp filter

It seems to be used by syslog() in latest glibc.

test: fix DEBUG_LOG use in unit tests

This was missing in commit f282856c72b7e8904e70527210915e12e6ed7227.

sourcestats: reorder arguments to DEBUG_LOG in SST_IsGoodSample

The delay_increase and allowed_increase variables are backwards with
respect to the ordering of the words in the message.

test: make 117-fallbackdrift more reliable

sys: add null driver

Add a new clock driver that doesn't actually try to adjust the clock.
It allows chronyd to run without the capability to adjust/set the system
clock, e.g. in some containers. It can be enabled by the -x option.

local: improve log message for failed clock step

main: dump history by default

Always write the measurement history on exit when the dump directory is
specified and silently ignore the dumponexit directive. There doesn't
seem to be a good use case for dumpdir and -r without dumponexit as the
history would be invalidated by adjustments of the clock that happened
between the dump command and chronyd exit.

main: rewrite some error messages

logging: remove facility parameter

It was never used for anything and messages in debug output already
include filenames, which can be easily grepped if there is a need
to see log messages only from a particular file.

privops: separate res_init() call

Move the res_init() call from do_name_to_ipaddress() into a separate
privops operation. Use it in ntp_sources and avoid unnecessary
res_init() calls in the main thread.

doc: update NEWS

makefile: fix distclean target to not print errors

examples: improve configuration examples

examples: improve systemd unit files

Add the PrivateTmp, ProtectHome, and ProtectSystem directives to better
secure the system from chronyd. It's taken from the Debian chrony
package.

test: add keys unit test

doc: document rekey in chronyc man page

For some reason this useful command was never documented.

client: add rekey to help text

util: fix more coverity warnings

Coverity doesn't seem to like the new field in the IPAddr struct (used
as explicit padding of the structure) to be left uninitialized, even
though it's never used for anything and is cleared by memset() in
UTI_IPHostToNetwork() before leaving the process.

conf: add rawmeasurements log option

While the measurements log can be useful for debugging problems in NTP
configuration (e.g. authentication failures with symmetric keys), it
seems most users are interested only in valid measurements (e.g. for
producing graphs) and don't expect/handle entries where some of the RFC
5905 tests 1-7 failed. Modify the measurements log option to log only
valid measurements, and for debugging purposes add a new rawmeasurements
option.

test: update 110-chronyc

doc: improve FAQ

client: print tracking delay/dispersion in nanosecond resolution

ntp: check supported flags before enabling HW timestamping

ntp: log info message when HW timestamping is enabled

doc: improve description of some server options

reference: report zero root dispersion with local reference

The server's precision is supposed to be included in client's
dispersion. Don't include it in the server's dispersion.

test: fix memory leaks in unit tests

doc: update NEWS

update copyright years

test: extend 119-smoothtime

ntp: fix time smoothing in interleaved mode

When the server's transmit timestamp was updated with a kernel/HW
timestamp, it didn't include the time smoothing offset. If the offset
was larger than one second, the update failed and clients using the
interleaved mode received less accurate timestamps. If the update
succeeded, the clients received timestamps that were not adjusted for
the time smoothing offset, which added an error of up to 0.5s/1s to
their measured offset/delay.

Fix the update to include the smoothing offset in the new timestamp.

ntp: simplify UTI_Ntp64ToTimespec() callers

Since UTI_Ntp64ToTimespec() was modified to handle zero timestamps, some
of its callers don't need to do that anymore.

ntp: add interface index to NTP_Local_Address

This will allow us to get the interface index when sending responses to
clients.

refclock_phc: add nocrossts option

conf: add nocrossts option to hwtimestamp directive

This option disables the use of the PTP_SYS_OFFSET_PRECISE ioctl.

sys_linux: add support for PTP_SYS_OFFSET_PRECISE

This is for hardware that can precisely cross timestamp the PHC with the
system clock.

refclock_phc: use sys_linux code for reading PHC

This drops support for non-ioctl reading of PHC.

ntp: move PHC-specific code to sys_linux

This will allow sharing of the code with the PHC refclock driver.

conf: add minpoll option to hwtimestamp directive

hwclock: make minimum sampling separation configurable

conf: add precision option to hwtimestamp directive

ntp: include precision of PHC readings in their selection

Include a fixed non-zero precision (100 nanosecond) in the selection of
PHC readings.

conf: return hwtimestamp data in struct

ntp: include precision in maxdelay test

ntp: adapt sampling separation for short polling intervals

ntp: allow sub-second polling intervals

Change the minimum minpoll to -4, but keep the minimum maxpoll at 0 in
order to not make it too easy to flood distant servers.

ntp: use current poll when backing off on KoD RATE

ntp: rename maxdelay constants

ntp: reset ntpdata report on address change

examples: improve chronyd.service

doc: update README

update copyright years

test: add ntp_core unit test

test: make 119-smoothtime more reliable

test: extend util unit test

util: handle zero in conversion of NTP timestamps

Handle zero NTP timestamp in UTI_Ntp64ToTimespec() as a special value to
make it symmetric with UTI_TimespecToNtp64(). This is needed since
commit d75f6830f190037421a66754849571fd0b495e35, in which a timestamp is
converted back and forth without checking for zero.

It also makes zero NTP timestamps more apparent in debug output.

rtc: check for backward RTC steps

When accumulating a new sample, check if the new RTC time is newer the
last sample time. If it is not, discard all previous samples, assuming
something has stepped the RTC, or it's a broken RTC/driver.

sourcestats: align sample time used for source report

This reduces leak of sample times (and receive timestamps which are
related to sample times), which could be useful in off-path attacks on
unauthenticated symmetric interleaved mode.

local: add assertion for precision

ntp: don't send packets with RX equal to TX

Before sending an NTP packet, check whether the TX timestamp is not
equal to the RX timestamp. If it is, generate a new TX timestamp and try
again. This is extremely unlikely to happen in normal operation, but it
is needed for reliable detection of the interleaved mode.

ntp: limit maxdelay parameters

fix some coverity warnings

doc: update NEWS

doc: improve chrony.conf man page

ntp: add options for compensating HW timestamping errors

ntp: add sanity check for HW timestamps

Accept HW timestamp only if it doesn't differ from the kernel/daemon
timestamp by more than one second.

ntp: ignore zero HW timestamps

Apparently, zero HW timestamps are possible with buggy drivers/HW.

sources: try to replace jittery sources

Similarly to falsetickers, distant, and unreachable sources, try to
replace sources that have jitter larger than maxjitter.

client: print refid also as string in ntpdata output

ntp: log warning when KoD RATE is received in non-burst mode

hwclock: return timestamp error

For now, when converting a raw timestamp, return error of the last
sample as the maximum error of the timestamp. This is needed to include
the PHC reading delay in the NTP dispersion.

ntp: improve dispersion calculation

Instead of adding precision (sum of the local and remote precision) to
the TX and RX timestamp error, include only the maximum.

conf: change default rate limiting parameters

Change the default NTP rate limiting leak to 2 (25%). Change the default
command rate limiting interval to -4 (16 packets per second) and burst
to 8, so the interval is the only difference between NTP and command
rate limiting defaults.

clientlog: disable NTP response rate limiting by default

This reverts commit 50022e928644e3d727eaf8a7a8b334f3c998223c.

Testing showed that ntpd as an NTP client performs poorly when it's
getting only 25% of responses. At least for now, disable rate limiting
by default again.

ntp: calculate delay relative to local frequency

This should be more accurate as local frequency is usually
combined from multiple sources. This is a partial revert of commit
23a4e8b38d873ce1246c4ef43a05d92c442a9f26.

doc: update NEWS

clientlog: enable NTP response rate limiting by default

Change the default interval of both NTP and command rate limiting to -10
(1024 packets per second) and the burst to 16. The default NTP leak is 2
(rate limiting is enabled by default) and the default command leak is 0
(rate limiting is disabled by default).

clientlog: randomize alignment of log timestamps

clientlog: allow very short rate limiting intervals

Support negative token shift to allow coarse rate limiting with
intervals down to -19.

configure: don't use recvmmsg() on FreeBSD

Don't try recvmmsg() on FreeBSD, at least for now. It is broken on
FreeBSD 11.0 and it's just a wrapper around recvmsg().

doc: improve hwtimestamp description

ntp: allow wildcard in hwtimestamp directive

If "*" was specified, use getifaddrs() to get a list of all interfaces,
and try to enable HW timestamping on all of them.

client: improve ntpdata output

client: don't require address in ntpdata command

If no address is specified, use the SOURCE_DATA command to get addresses
of NTP sources, and request NTP_DATA for all of them.

sourcestats: add upper bound for skew

examples: avoid Unix domain socket in chrony-wait service

Use the -h option to force chronyc to use internet socket instead of
Unix domain as the access to the socket may be blocked by SELinux and
trying to open it generates SELinux warnings.

cmdmon: update protocol changelog

sourcestats: add lower bound for std dev used for weighting

sourcestats: save asymmetry run in dump files

This allows the asymmetry correction to be applied right after restart.

cmdmon: add reserved fields to ntpdata reply

This might be useful if ntpdata is changed to not require authorization
and new fields need to be added without breaking compatibility.

nameserv: set CLOEXEC flag on pipe file descriptors

stubs: rework emulation of asynchronous resolver to use pipes

With a larger number of configured servers, the handler of the emulated
resolver repeatedly scheduled timeout of zero, which triggered the
infinite loop detection in the scheduler and caused abort. This bug was
introduced in commit 967e358dbc93aa7a99c3c0ee2a634f1fedecba74.

Rework the code to use pipes instead of timeouts to avoid this problem.

ntp: disable maxdelayratio in interleaved/symmetric mode

It's too unreliable and the maxdelaydevratio test should work better
anyway.

doc: update NEWS

doc: update README

test: update 119-smoothtime