speedtest: Count the system time as well as the user time

Our tests are designed to run for 100 ms of CPU time, but this is currently
measured with `ITIMER_VIRTUAL` which means only when the process is executing
in userspace. Switching to `ITIMER_PROF` would also account for the time spent
when the system is running on behalf of the process, which seems closer to what
we want.

Merge pull request #10749 from mind04/pdns-nobackend

auth: add cookie counters

fix title underline length

Merge pull request #10711 from Habbie/gh-actions-auth-backends

gh actions: test auth backends

auth: add cookie counters

gh actions: move testing of almost all auth backends from CircleCI

Merge pull request #10745 from rgacogne/ddist-duplicate-id-on-tcp-conn

dnsdist: Don't increase the outstanding counter on a duplicated ID over TCP

Merge pull request #10740 from omoerbeek/some-codeql-fixes

Fix "Large object passed by value" issues as spotted by CodeQL

Merge pull request #10727 from pieterlexis/svcb-generic-parse

SVCB: Accept known SVCParams in generic format

Merge pull request #10289 from pieterlexis/auth-cookies-3

Implement EDNS cookies in the auth

Merge pull request #10742 from Habbie/rec-build-without-sodium

rec: unbreak building without libsodium

dnsdist: Don't increase the outstanding counter on a duplicated ID over TCP

If the client has sent more than one concurrent query using the same query ID,
we only send one response for all of these queries, and we should not mess up
our outstanding queries counter.

typo

Co-authored-by: Remi Gacogne <github@coredump.fr>

Tweaks

Mostly "Large object passed by value" fixes a spoted by CodeQL.

Plus a sign issue in a test as detected by OpenBSD/clang.
I simplified the hostog.hh template since it is used in only one place (dnsscope)
and the argument is not used there.

Merge pull request #10733 from pieterlexis/ddist-svcb-table

dnsdist: accept a table to SVCParams for newSVCRecordParameters

rec: unbreak building without libsodium

Merge pull request #10738 from omoerbeek/rec-fix-prom-threads

Rec: fix Prometheus thread cpu usage

Prometheus is a dependency for rec regress tests now

Fix #10735: Prometheus formatting of tag values

Add a regress test for Prometheus output

Merge pull request #10737 from rgacogne/coverity-20210920

Fix issues reported by Coverity

auth: Add missing <optional> header

Credentials: Add move assignement operator

Credentials: Fix a possible overflow with a very large work factor

Reported by Coverity as CID 1462395.

FDWrapper: Propery handle a negative descriptor in the move assignement operator

Reported by Coverity in CID 1462392.

Merge pull request #10720 from Habbie/gh-actions-daily

gh actions: build packages & docker images only once a day

COOKIES: Use getInnerRemote to determine IP

dnsdist: accept a table to SVCParams for newSVCRecordParameters

COOKIE: Only send BADCOOKIE over UDP

Remove separate string_compare source

dnspacket: add missing include

COOKIES: remove comment

COOKIES: more constness, rm unused func

cookies: move consts to class instead of defines

Apply suggestions from code review

Co-authored-by: Remi Gacogne <github@coredump.fr>

Cookies: use constant time comparison

Move constantTimeStringEquals to its own file

Don't store validation state in cookie object

Make some cookie sizes constant, fix nits

auth: Add counter for EDNS Cookies

auth: Implement RFC 7872 and 9018 (COOKIES)

This implements the siphash-based interoperable DNS COOKIES defined in
RFC 9018 for the authoritative server. The EDNSCookieOpt struct has been
expanded to accomodate this and can now has constructors and functions
to check and generate a server cookie.

Cookies will only be sent out if the client sent a cookie and the
edns-cookie-secret setting is configures. The auth will respond with
EDNS+FORMERR when the client cookie is malformed, BADCOOKIE when the
client sent a server cookie we can't decode or is invalid and a normal
response with a cookie (either new or sent by the client) when the
cookie can be validated.

Add function to make a bytestring from hex

ComboAddress: Add toByteString() function

find crypto_shorthash in sodium for siphash-2-4

SVCB: Accept known SVCParams in generic format

Merge pull request #10718 from rgacogne/rec-ns-not-aa-in-dname-answers

rec: Only the DNAME records are authoritative in DNAME answers

Merge pull request #9662 from cmouse/patch-1604087167

Coverity fixes

Merge pull request #10653 from rgacogne/lock-guarded-auth

auth: Convert locks to LockGuarded

Merge pull request #10157 from rgacogne/ddist-hashed-passwords

Move to hashed passwords for the web interface

comfun.cc: Fix issues

Merge pull request #10729 from rgacogne/ddist-doc-deps

dnsdist: Update the list of dependencies in the documentation

distributor.hh: Document threadname truncation

pdns: stubresolver - Ignore waitForPipe error, handled later

pdns: signingpipe - Ignore waitForPipe error, handled later

pdns: distributor - Initialize question id and callback

global: Check setsockopt return value

pdns: dnsseckeeper - Clarify cache clearing never fails

pdns: svc-records - Delete default constructor

It is not usable

Merge pull request #10660 from Habbie/auth-proxy-protocol

auth: incoming PROXY support

dnsdist: Update Outgoing regression tests for hashed credentials

dnsdist: Reduce the "non-hashed password" messages to the info level

Document that hashed credentials can be used without 'webserver-hash-plaintext-credentials'

rec: Add "hash-password" to the rec_control help

Update m4/pdns_check_libcrypto.m4

Co-authored-by: Otto Moerbeek <otto.moerbeek@open-xchange.com>

Credentials: Fix compilation without OpenSSL 1.1.1

Credentials: Fix formatting issues

Whitelist 'scrypt' for the spell checker

dnsdist: Convert the regression tests to the new password storage format

Credentials: Apply comments from code review

Credentials: Fix a missing semicolon

auth: Allow hashing with a custom work factor

rec: Allow hashing with a custom work factor

dnsdist: Allow hashing with a custom work factor

Use OpenSSL's scrypt for secure credential storage

rec_control, pdnsutil: Read the credentials from the terminal/stdin

Make the hashing of plaintext credentials optional

Actually check whether crypto_pwhash_str() is available

Instead of just checking if libsodium is there.

Use sodium_memcmp() if CRYPTO_memcmp() is not available

auth: Be more straightforward in pdnsutil for 'hash-password'

rec: Be more straightforward in rec_control for 'hash-password'

dnsdist: Clarify that setWebserverConfig() wants a hashed password

Run the credentials unit tests in the auth and rec as well

Fix formatting

dnsdist: Fix formatting in test-credentials_cc.cc

CircleCI: ixfrdist needs the sodium library now

dnsdist: API keys should now be hashed as well

auth: Add speed tests for the credentials class

dnsdist: Add unit tests for the credentials class

dnsdist: We want to know if the password was hashed, not if it is now

rec: Document that the webserver password and API key can be hashed

auth: Document that the webserver password and API key can be hashed

dnsdist: Document that the API key can now be hashed as well

Attempt at constant-time credentials verification without sodium

rec: Implement rec_control hash-password

auth: Implement pdnsutil hash-password

Support hashed credentials (password, API key) in the auth and rec

dnsdist: Make hashed passwords more transparent to use

dnsdist: Fix a missing space in the documentation

dnsdist: Fix a weird sentence in the documentation

Co-authored-by: Peter van Dijk <peter.van.dijk@powerdns.com>