gh actions: build Docker images

Merge pull request #9997 from rgacogne/ddist-concurrent-conns

dnsdist: Limit the number of concurrent console and web connections

dnsdist: Add unit tests for the connection management code

dnsdist: Limit the number of concurrent web connections

dnsdist: Limit the number of concurrent console connections

Merge pull request #9950 from pieterlexis/maxtcpclient-error

dnsdist: Improve error with a hint on how to fix it

ddist: improve error with a hint on how to fix it

Merge pull request #10011 from pieterlexis/ddist-doc-deprecation

dnsdist: clean up docs for 1.6.0

Merge pull request #10023 from omoerbeek/dnsdist-vdt-BasicQPSLimiter

dnsdist: Silence clang 12 warning

Title underline too short

Merge pull request #10004 from omoerbeek/rec-2038-unit-tests

rec: fix recursor caches to handle timestamps > 2038

Silence clang 12 warning: destructor called on non-final 'QPSLimiter' that has virtual
functions but non-virtual destructor

Merge pull request #10014 from omoerbeek/rec-validate-after-2038

Rec: validate signatures after 2038 and more

Use named qtype

Co-authored-by: Remi Gacogne <rgacogne+github@valombre.net>

Remove functions deprecated before 1.4.0

remove all pre-1.4.0 versionchanged tags

remove all pre-1.4.0 versionadded tags

Merge pull request #10020 from omoerbeek/rec-taskqueue-metrics

rec: Document taskqueue metrics and add them to SNMP MIB

Merge pull request #10019 from omoerbeek/rec-dnssec-cd-docs

rec: Document CD bit better, reference detailed DNSSEC docs from settings

Typos and spelling

Document taskqueue metrics and add them to SNMP MIB

Document CD bit better, reference detailed DNSSEC docs from settings
and reformat two item lists.

Merge pull request #10015 from rgacogne/ddist-nmg-exclude

dnsdist: Accept a NMG to fill DynBlockRulesGroup ranges

dnsdist: Accept a NMG to fill DynBlockRulesGroup ranges

Merge pull request #9974 from rgacogne/ddist-rename-non-terminal-actions

dnsdist: Unify non-terminal actions as SetXXXAction()

Allow testing at a specific point in time for SyncRes and primeHints.

Use this to test various signature validation cases at interesting
moments in time. Beyond 2106 fails atm.

Mention rfc4034.tx in comments, marking the spots something has to be done in the future.

Merge pull request #9998 from rgacogne/dnsdist-aligned-atomics

dnsdist: aligned atomics

Merge pull request #10012 from rgacogne/ddist-fix-edns-servfail-no-server

dnsdist: Fix EDNS in ServFail generated when no server is available

dnsdist: Fix EDNS in ServFail generated when no server is available

dnsdist: Fix issues and comments from the code review

Formatting

dnsdist: Unify non-terminal actions as SetXXXAction()

Merge pull request #9999 from rgacogne/ddist-qps-cache-hits

dnsdist: Don't apply QPS to backend server on cache hits

dnsdist: Fix source files order in Makefile.am

Merge pull request #10003 from pieterlexis/rec-spec-fixes

Two spec-file fixes for the recursor

Basic test for negcache.

This one seems to be safe from code inspection. All timestamps are time_t.

rec rpms: pull in fstrm unconditionally

More elaborate unit tests for recursor cache and fix implemantation.

There remain cases where a time_t is assigned to a uint32_t. This is wrong
but cannot be avoided atm due to swicthing back and forth between ttl and ttd
in records. This will cause trouble when time causes uint32_t to wrap.

Add/modify test so the timestamps involved pass the 2038 high cliff.

Recursor cache one is currently failing, a few functions return
int32_t instead of time_t.

rec rpms: stop pulling in protobuf build depends

Merge pull request #10001 from wopfel/carbon_instance_help_text

Fix help text for carbon-instance

Merge pull request #9996 from pieterlexis/rec-rfc6761-localhost

rec: treat the .localhost domain as special

Fix help text for carbon-instance

"the the"

When running `pdns_recursor --help`, or `pdns_server --help`:

  --carbon-instance=...
If set overwrites the the instance name default

dnsdist: Don't apply QPS to backend server on cache hits

Separate out stat_h into a .hh file and make it a template in the pdns namespace.

Use atomics aligned to CPU_LEVEL1_DCACHE_LINESIZE for stats

rec: treat the .localhost domain as special

This satisfies the SHOULD in RFC6761 section 6.3 point 4.

Merge pull request #9993 from rgacogne/ddist-offensive-terms

dnsdist: Replace offensive terms in our code and documentation

Merge pull request #9991 from rgacogne/ddist-notimp-empty-queries

dnsdist: Send a NotImp answer on empty (qdcount=0) queries

Merge pull request #9992 from rgacogne/ddist-rule-truncated-counters

dnsdist: Add a counter for queries truncated because of a rule

dnsdist: Replace offensive terms in our code and documentation

dnsdist: Add a counter for queries truncated because of a rule

dnsdist: Send a NotImp answer on empty (qdcount=0) queries

Merge pull request #9957 from rgacogne/ddist-tcp-worker-threads

dnsdist: Start all TCP worker threads on startup

Merge pull request #9972 from rgacogne/ddist-stats-no-auth

dnsdist: Deprecate parameters to webserver(), add 'statsRequireAuthentication' parameter

Merge pull request #9984 from rgacogne/ddist-dynblock-response-count-as-query

dnsdist: Add a test for "Dynamic Block RCode rules messing up the queries count"

Merge pull request #9989 from rgacogne/ddist-named-facilities

dnsdist: Handle syslog facility as string, document the numerical one

Merge pull request #9986 from rgacogne/ddist-cert-ocsp-reloading

dnsdist: Add regression tests for certificates and OCSP reloading

dnsdist: Handle syslog facility as string, document the numerical one

dnsdist: Add regression tests for certificates and OCSP reloading

Merge pull request #9885 from RobinGeuze/clearLMDBCacheMaster

Clear the LMDB set state when performing a new lookup or list to prevent corruption cases

dnsdist: Add a debugging function to load a grepq into the rings

dnsdist: Add a test for "Dynamic Block RCode rules messing up the queries count"

Merge pull request #9966 from Habbie/auth-4.4-docs-ipseckey

auth upgrade notes: IPSECKEY did not make it into 4.4

Merge pull request #9962 from rgacogne/ddist-doh-sub-paths

dnsdist: Add an option to allow sub-paths for DoH

Merge pull request #9976 from rgacogne/ddist-more-dynblock-unit-tests

dnsdist: More tests for the dynamic block's sliding window

Merge pull request #9959 from omoerbeek/rec-docs-plusassign

rec: Mention += in the docs plus an example

Merge pull request #9969 from zeha/doc-nit-alias

auth: Document resolver setting

Merge pull request #9975 from aerique/feature/add-rec-45-to-repo-script

Add rec-45 to repo test script.

Merge pull request #9981 from franklouwers/feature/update-lmdb-schema-docs

Document LMDB backend schema versions

Merge pull request #9983 from omoerbeek/dist-tar-ustar

Move to ustar format for dist tarballs.

Merge pull request #9979 from omoerbeek/calidns-msg_iovlen-type

Some platforms actually have an unsigned msghdr.msg_iovlen even though Posix says it should be an int.

Merge pull request #9982 from omoerbeek/rm-c++17

Rm c++17

Move to ustar format for dnsdist dist tarball.

Pre-Posix format has too low limit on path length that might
get hit on long branch names.

Addding re2 flags wil break c++17, so override

Update docs/backends/lmdb.rst

Co-authored-by: Peter van Dijk <peter.van.dijk@powerdns.com>

Document LMDB backend schema versions

Some platforms actually have an unsigned msghdr.msg_iovlen even
though Posix says it should be an int.

So use the power of C++ to make the var the same type as msghdr.msg_iovlen.

Merge pull request #9978 from Habbie/configure-sanitizers

auth, rec, dnsdist: always show sanitizers in C[XX]FLAGS in configure output

Refer to EOL policy

auth, rec, dnsdist: always show sanitizers in C[XX]FLAGS in configure output

Now that configure adds the -std= flag always, we can stop specifying it manually

dnsdist: More tests for the dynamic block's sliding window

Check that we do not look at queries older than our sliding window,
but also that we correctly trigger a block with a huge peak of
queries not followed by any more queries.

Remove `rec-41` from repo test script.

Merge pull request #9971 from omoerbeek/rec-prep-450-alpha1

rec: Prep for rec-4.5.0-alpha1

Add rec-45 to repo test script.

auth upgrade notes: IPSECKEY did not make it into 4.4

auth lmdb: do not reuse backend that has seen corrupted data

Clear the LMDB set state when performing a new lookup or list to prevent corruption cases

Merge pull request #9960 from rgacogne/ddist-skip-cache-response-action

dnsdist: Add SkipCacheResponseAction

Merge pull request #9970 from rgacogne/rec-expanded-wildcard-nsec-ttl

rec: Account for the NSEC(3) denial TTL in expanded wildcard answers

dnsdist: Replace tabs with whitespaces in 'webserver()'

dnsdist: Deprecate parameters to webserver(), add 'statsRequireAuthentication' parameter

This PR deprecates the use of additional parameters with `webserver()`,
as the syntax is confusing and could lead to believe that the parameters
are per-instance while they actually are global.
Also implements an additional 'statsRequireAuthentication' parameter
to allow scraping the statistics without any kind of authentication,
which is useful to Prometheus setups with dynamic service discovery.

Process review comments

rec: Test that we correctly cap the answer's TTL in expanded wildcard cases

Merge pull request #9968 from omoerbeek/rec-cache-coverity-origttl

rec: As found by coverity, origTTL can be left uninitialized if all the entries found are expired.

Start of upgrade guide for 4.5.0

Prep for rec-4.5.0-alpha1

rec: Account for the NSEC(3) denial TTL in expanded wildcard answers