rec: Document preoutquery limitations

Fixes #10247

Merge pull request #11554 from yog-singh/yog-singh/ddist-ebpf-memlock-limit

dnsdist: Raise RLIMIT_MEMLOCK automatically when eBPF is requested

Merge pull request #12281 from rgacogne/ddist-optim-cross

dnsdist: Get rid of TCPCrossProtocolQuerySender

Merge pull request #12298 from Habbie/tinydns-data-fix2

actually fix tinydns data

Merge pull request #12274 from rgacogne/ddist-debug-snmp

dnsdist: Add logs to investigate the SNMP regression tests failure

actually fix tinydns data

Merge pull request #12290 from omoerbeek/mincurl-coverity

Coverity 1501408: Uninitialized scalar field

Merge pull request #12289 from omoerbeek/rec-unsupported-qtype

rec: refactor unsuppored qtype code and make sure we ServFail on all unsupported qtypes

Merge pull request #12285 from mind04/auth-api-consumer

auth: api, do not create SOA and NS records for consumer zones

Only raise the limit to 1M if the current is lower than 1M

Elaborate on NSEC/NSEC3 diffference in comment

Apply suggestions from code review

Co-authored-by: Peter van Dijk <peter.van.dijk@powerdns.com>

Merge pull request #12288 from rgacogne/fix-spelling

Fix a typo and allow 'byteslimit'

Merge pull request #11065 from pieterlexis/sd-protectproc

service files: Add more sandboxing options

Merge pull request #12185 from PenelopeFudd/master

Enhancing dnsupdate documentation

Coverity 1501408: Uninitialized scalar field

Merge pull request #12216 from kpfleming/catalog-zone-doc-clarifications

Small clarifications to docs for API usage with catalog zones.

Incorporate comments from @rgacogne

rec: refactor unsuppored qtype code and make sure we ServFail on all unsupported qtypes

This fixes #12251

Also I'd like to know why we ServFail on NSEC3 but not on NSEC: we should either fix that or add a comment explaining this.

rec: Fix a typo in the doc

spell-check: Allow 'byteslimit' (name of a parameter to a Lua function)

Merge pull request #12287 from Habbie/fix-tinydns-data

auth: fix tinydns data, missed this spot in #12279

systemd service: Only enable MemoryDenyWriteExecute for ixfrdist

Because it does not play well with LuaJIT, which all other products
use.

systemd service: disallow access to devices (except, zero, full, null, random, urandom)

systemd service: lock down IPC

service files: Add MemoryDenyWriteExecute

This disallows the services to write executable memory.

service files: Add ProtectProc

Another sandboxing option,
[ProtectProc](https://www.freedesktop.org/software/systemd/man/systemd.exec.html#ProtectProc=)
hides all /proc/<pid> that are not owned by the service user and hides
some kernel things from /proc as well.

dnsdist: Rename the field containing the TCP worker thread ID

Merge pull request #12248 from kpfleming/issue-11153

systemd: Add "After" dependency on time-sync.target

Merge pull request #12237 from rgacogne/ddist-unscrew-resumption-ossl3

dnsdist: Ignore unclean TLS session shutdown

Merge pull request #12283 from rgacogne/ddist-fix-long-double-warning

dnsdist: Fix a warning about long to double conversion

Short Description:
Raise RLIMIT_MEMLOCK automatically when eBPF is requested.

This PR adds changes to eBPF filter constructor which when invoked automatically raises the RLIMIT_MEMLOCK from 64k to 1024k.
The hard limit for the user needs to be set in `/etc/security/limits.conf`.

auth: fix tinydns data, missed this spot in #12279

auth: api, add create/delete consumer zone test

auth: api, do not create SOA and NS records for consumer zones

dnsdist: Fix a warning about long to double conversion

```
dnsdist-backend.cc:601:61: warning: implicit conversion from 'long' to 'double' changes value from 9223372036854775807 to 9223372036854775808 [-Wimplicit-const-int-float-conversion]
      if (backOffCoeffTmp != HUGE_VAL && backOffCoeffTmp <= std::numeric_limits<time_t>::max()) {
                                                         ~~ ^~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
```

dnsdist: Get rid of TCPCrossProtocolQuerySender

We need this construct to deal with cross-protocol queries, like
queries received over TCP or DoT, but forwarded over DoH, because
the thread dealing with the client and the one dealing with the
backend will not be the same in that case, and we do not want to
have different threads touching the same TCP connections.
So we pass the query and response to the correct thread via pipes.
Until now we were allocating an additional object, TCPCrossProtocolQuerySender,
to deal with that case, but I noticed that the existing IncomingTCPConnectionState
object already does everything we need, except that it needs to
know that the response is a cross-protocol one in order to pass it
via the pipe instead of treating it in a different way. This can be
done by looking if the current thread ID differs from the one that
created this object: if it does, we are dealing with a cross-protocol
response and should pass it via the pipe, and if it does not we
can deal with it directly.
This change saves the need to allocate a new object wrapped in a
shared pointer for each cross-protocol query, which is quite nice.

Merge pull request #12276 from rgacogne/ddist-less-wakeups

dnsdist: Reduce useless wake-ups from the event loop

Merge pull request #12278 from rgacogne/ddist-prevent-allocs

dnsdist: Small improvements

Merge pull request #12279 from Habbie/auth-test-ordername

auth: add ordername testing

add ordername testing

Merge pull request #12275 from rgacogne/ddist-andor-modern

dnsdist: Refactor AndRule and OrRule to modern C++ loops

Merge pull request #12218 from nneul/patch-1

rec: Document negation of netmasks in settings.rst

Merge pull request #12277 from chbruyand/auth-ifurlup-byteslimit

auth: add byteslimit support to lua ifurlup() function

dnsdist: Only allocate a ConnectionInfo object when actually needed

Introduce a seperate parapraph explaining negation in netmask lists.

Also tell which settings allow negation.

auth: add byteslimit support to lua ifurlup() function

dnsdist: Prevent a copy when inserting a tag

Merge pull request #12254 from rgacogne/restrict-github-token

Restrict permissions for GITHUB_TOKEN in our workflows

dnsdist: Keep the local copy of the downstream servers around

dnsdist: Reduce useless wake-ups from the event loop

The TCP acceptor, UDP client and Lua network threads never needs to break out of the event loop.
The outgoing DoH one only needs to do that once per second to check for timeouts.

dnsdist: Refactor AndRule and OrRule to modern C++ loops

dnsdist: Add logs to investigate the SNMP regression tests failure

Merge pull request #12087 from zeha/apizonecreaterectify

API: Auth: fix newly created zone not rectified

Merge pull request #12269 from frei-style/master

auth: fix invalid catalog zone sql query for gpgsqlbackend

auth: fix invalid catalog zone sql query for gpgsqlbackend

Merge pull request #12265 from Habbie/alsonotifies

auth: move alsoNotifies up into DNSBackend

auth: move alsoNotifies up into DNSBackend, fixes #12256

Merge pull request #12257 from Habbie/auth-api-backend-refused

auth API: slightly clearer message when a backend cannot create domains

auth API: slightly clearer message when a backend cannot create domains

Merge pull request #12255 from rgacogne/ddist-doc-counters-typo

dnsdist: Fix a typo in the counters documentation

dnsdist: Fix a typo in the counters documentation

Restrict permissions for GITHUB_TOKEN in our workflows

Added using https://github.com/step-security/secure-workflows
For more information see:
- https://github.com/ossf/scorecard/blob/d8fefc9b246db3600c777e9d60d441d7c386ce1d/docs/checks.md#token-permissions
- https://github.blog/changelog/2021-04-20-github-actions-control-permissions-for-github_token/

Merge pull request #11020 from MiniPierre/xdp-logging

dnsdist: Added XDP middleware for dropped/redirected queries logging

Merge pull request #12252 from omoerbeek/auth-docs-recordtypes

auth: Update supported recordtypes: remove A6 MAILA MAILB SIG and WKS, add ZONEMD

dnsdist: fixed XDP filter indentation

dnsdist: Added XDP middleware for dropped/redirected queries logging

Merge pull request #11863 from darnuria/dnsname/usememchr_check_length

DNSName constructor use memchr instead of strchr and cleanup with string_view

Drop ref from string_view arg

Use '\0' for (char) 0 and ref for string_view argument

fixup: Optionnal removal of plen.

WIP: Clean-up DNSName constructor unify with string_view.

fixup: Apply @omoerbeek suggestion

DNSName constructor use memchr instead of strchr.

Also check length before dereferencing.
Rational for this change:

- Why using strchr if we have a length?
- Accepting char * p that doesn't contains `\0`.

Merge pull request #11594 from ClaudioRifo/patch-1

Update statistics.rst

Update supported recordtypes: remove A6 MAILA MAILB SIG and WKS, add ZONEMD

Fixes #11468

better word

Co-authored-by: Remi Gacogne <github@coredump.fr>

Refer to Linux docs and RFC instead of documenting these ourselves.

Update statistics.rst

Notes that help understand some UDP counters.
Note that help understand that counters from /proc/net/ are global and O.S. related.

Merge pull request #11951 from Habbie/Werror

make builds pass with -Werror on _my_ system

systemd: Add "After" dependency on time-sync.target

Adds 'After=time-sync.target' to the service unit files; this will not
have any immediate effect, unless the system administrator has also
enabled a unit which has a 'Before' dependency on that target;
there are none of those units enabled in a default configuration in
common distributions. systemd itself adds such an 'After' dependency
to all timer units with OnCalendar settings, and to some other units.

However, in a system which makes use of systemd-timesyncd, the admin
can enable systemd-time-wait-sync.service, which has such a
dependency. The result would be that none of the PowerDNS services on
the system would be started until after systemd-timesyncd is certain
that the system's clock is synchronized with the configured external
source.

A similar configuration can be achieved on systems which use ntpd,
chronyd, or other time synchronization tools.

Closes #11153.

Merge pull request #11346 from omoerbeek/pdnsutil-no-colors

auth: Basic abstraction for handling colored terminal output, respecting isatty(), --no-colors and NO_COLOR

Basic abstraction for handling colored terminal output, respecting isatty(), --no-colors and NO_COLOR

Merge pull request #9709 from rgacogne/fuzz-yahttp

Add a simple fuzzing target for YaHTTP

Merge pull request #12244 from rgacogne/typos

Fix a typo in the recursor's ChangeLog, allow 'builddeb'

spellcheck: Allow 'builddeb'

rec: Fix a typo (Timout->Timeout) in the recursor's ChangeLog

Add a fuzzing target for YaHTTP

Merge pull request #11329 from Kian0815/doc-remove-kees-monshouer

Update installation.rst

Merge pull request #12243 from omoerbeek/rpz-axfr-docs

rec: Mention timeout also aplies to IXFRs

fix typo

Merge pull request #11417 from nils-wisiol/benchmark-2048bit

Use RSA-2048 instead of RSA-1024 for crypto benchmark

Mention timeout also aplies to IXFRs

Merge pull request #12210 from rgacogne/auth-remotebackend-tests-failures

auth: Better error handling in the remote backend tests

Merge pull request #11966 from darnuria/clang-tidy/empty

[clang-tidy] pdns_utils use empty where possible + move decl to assignation site.

Merge pull request #11910 from darnuria/clang-tidy/get-line

[clang-tidy]: DynListener::getLine.

Merge pull request #11968 from darnuria/clang-tidy/nullptr/pdns-utils

[clang-tidy] Use nullptr explicitly and initialize directly.

Merge pull request #12059 from darnuria/clang-tidy/geoipbackend

Clang tidy/geoipbackend

Merge pull request #12060 from darnuria/clang-tidy/bindbackend

Clang tidy/bindbackend

Merge pull request #11505 from jroessler-ox/docs-auth-api-examples

updates to API documentation of Auth