Test ANY bind UDP handling for the v4 case

v6 is more work, as the test client code assumes v4

Tested by neutering IsAnyAddress handling of auth and rec and verifying the tests fail.

Fixes #3965 (at least th v4 part).

Merge pull request #12307 from omoerbeek/update-builder

Update builder to work better on MacOS

Merge pull request #12305 from Habbie/auth-docs-4.5.5-4.6.4-4.7.3

auth 4.5..5 / 4.6.4 / 4.7.3: changelog & secpoll

Merge pull request #12306 from rgacogne/ddist-docs-checkclass-typo

dnsdist: Fix a typo in the Healthcheck configuration guide

Update builder to work better on MacOS

dnsdist: Fix a typo in the Healthcheck configuration guide

As reported by Kai Stian Olstad (thanks!).

Merge pull request #12297 from chbruyand/auth-ifurlup-byteslimit

minicurl: fix missing CURLOPT_XFERINFOFUNCTION on old curl versions

auth 4.5..5 / 4.6.4 / 4.7.3: changelog & secpoll

Merge pull request #12302 from omoerbeek/dnsdist-docs-implicit

dnsdist: Document what happens to a packet not handled by any action

dnsdist: Document what happens to a packet not handled by any action

Merge pull request #12301 from omoerbeek/rec-docs-preoutquery

rec: Document preoutquery limitations

rec: Document preoutquery limitations

Fixes #10247

minicurl: fix missing CURLOPT_XFERINFOFUNCTION on old curl versions

Merge pull request #12203 from sspans/patch-3

rec: Allow both A and AAAA when importing /etc/hosts

Merge pull request #12282 from Habbie/lmdb-notify

auth lmdb: make outgoing notifications work

Merge pull request #11554 from yog-singh/yog-singh/ddist-ebpf-memlock-limit

dnsdist: Raise RLIMIT_MEMLOCK automatically when eBPF is requested

Take searchsuffix into acount when generating targets of PTR records.

Fix tests for that and also add a testcode for boths v4 and v6 localhost

Avoid too many lookups by using iterator

Allow multiple records with same name for etc/hosts processing

This seems to do something right at least

Merge pull request #12281 from rgacogne/ddist-optim-cross

dnsdist: Get rid of TCPCrossProtocolQuerySender

lmdb tests: actually use lmdb config

auth lmdb: make outgoing notifications work

Merge pull request #12298 from Habbie/tinydns-data-fix2

actually fix tinydns data

Merge pull request #12274 from rgacogne/ddist-debug-snmp

dnsdist: Add logs to investigate the SNMP regression tests failure

actually fix tinydns data

Merge pull request #12290 from omoerbeek/mincurl-coverity

Coverity 1501408: Uninitialized scalar field

Merge pull request #12289 from omoerbeek/rec-unsupported-qtype

rec: refactor unsuppored qtype code and make sure we ServFail on all unsupported qtypes

Merge pull request #12285 from mind04/auth-api-consumer

auth: api, do not create SOA and NS records for consumer zones

Only raise the limit to 1M if the current is lower than 1M

Elaborate on NSEC/NSEC3 diffference in comment

Apply suggestions from code review

Co-authored-by: Peter van Dijk <peter.van.dijk@powerdns.com>

Merge pull request #12288 from rgacogne/fix-spelling

Fix a typo and allow 'byteslimit'

Merge pull request #11065 from pieterlexis/sd-protectproc

service files: Add more sandboxing options

Merge pull request #12185 from PenelopeFudd/master

Enhancing dnsupdate documentation

Coverity 1501408: Uninitialized scalar field

Merge pull request #12216 from kpfleming/catalog-zone-doc-clarifications

Small clarifications to docs for API usage with catalog zones.

Incorporate comments from @rgacogne

rec: refactor unsuppored qtype code and make sure we ServFail on all unsupported qtypes

This fixes #12251

Also I'd like to know why we ServFail on NSEC3 but not on NSEC: we should either fix that or add a comment explaining this.

rec: Fix a typo in the doc

spell-check: Allow 'byteslimit' (name of a parameter to a Lua function)

Merge pull request #12287 from Habbie/fix-tinydns-data

auth: fix tinydns data, missed this spot in #12279

systemd service: Only enable MemoryDenyWriteExecute for ixfrdist

Because it does not play well with LuaJIT, which all other products
use.

systemd service: disallow access to devices (except, zero, full, null, random, urandom)

systemd service: lock down IPC

service files: Add MemoryDenyWriteExecute

This disallows the services to write executable memory.

service files: Add ProtectProc

Another sandboxing option,
[ProtectProc](https://www.freedesktop.org/software/systemd/man/systemd.exec.html#ProtectProc=)
hides all /proc/<pid> that are not owned by the service user and hides
some kernel things from /proc as well.

dnsdist: Rename the field containing the TCP worker thread ID

Merge pull request #12248 from kpfleming/issue-11153

systemd: Add "After" dependency on time-sync.target

Merge pull request #12237 from rgacogne/ddist-unscrew-resumption-ossl3

dnsdist: Ignore unclean TLS session shutdown

Merge pull request #12283 from rgacogne/ddist-fix-long-double-warning

dnsdist: Fix a warning about long to double conversion

Short Description:
Raise RLIMIT_MEMLOCK automatically when eBPF is requested.

This PR adds changes to eBPF filter constructor which when invoked automatically raises the RLIMIT_MEMLOCK from 64k to 1024k.
The hard limit for the user needs to be set in `/etc/security/limits.conf`.

auth: fix tinydns data, missed this spot in #12279

auth: api, add create/delete consumer zone test

auth: api, do not create SOA and NS records for consumer zones

dnsdist: Fix a warning about long to double conversion

```
dnsdist-backend.cc:601:61: warning: implicit conversion from 'long' to 'double' changes value from 9223372036854775807 to 9223372036854775808 [-Wimplicit-const-int-float-conversion]
      if (backOffCoeffTmp != HUGE_VAL && backOffCoeffTmp <= std::numeric_limits<time_t>::max()) {
                                                         ~~ ^~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
```

dnsdist: Get rid of TCPCrossProtocolQuerySender

We need this construct to deal with cross-protocol queries, like
queries received over TCP or DoT, but forwarded over DoH, because
the thread dealing with the client and the one dealing with the
backend will not be the same in that case, and we do not want to
have different threads touching the same TCP connections.
So we pass the query and response to the correct thread via pipes.
Until now we were allocating an additional object, TCPCrossProtocolQuerySender,
to deal with that case, but I noticed that the existing IncomingTCPConnectionState
object already does everything we need, except that it needs to
know that the response is a cross-protocol one in order to pass it
via the pipe instead of treating it in a different way. This can be
done by looking if the current thread ID differs from the one that
created this object: if it does, we are dealing with a cross-protocol
response and should pass it via the pipe, and if it does not we
can deal with it directly.
This change saves the need to allocate a new object wrapped in a
shared pointer for each cross-protocol query, which is quite nice.

Merge pull request #12276 from rgacogne/ddist-less-wakeups

dnsdist: Reduce useless wake-ups from the event loop

Merge pull request #12278 from rgacogne/ddist-prevent-allocs

dnsdist: Small improvements

Merge pull request #12279 from Habbie/auth-test-ordername

auth: add ordername testing

add ordername testing

Merge pull request #12275 from rgacogne/ddist-andor-modern

dnsdist: Refactor AndRule and OrRule to modern C++ loops

Merge pull request #12218 from nneul/patch-1

rec: Document negation of netmasks in settings.rst

Merge pull request #12277 from chbruyand/auth-ifurlup-byteslimit

auth: add byteslimit support to lua ifurlup() function

dnsdist: Only allocate a ConnectionInfo object when actually needed

Introduce a seperate parapraph explaining negation in netmask lists.

Also tell which settings allow negation.

auth: add byteslimit support to lua ifurlup() function

dnsdist: Prevent a copy when inserting a tag

Merge pull request #12254 from rgacogne/restrict-github-token

Restrict permissions for GITHUB_TOKEN in our workflows

dnsdist: Keep the local copy of the downstream servers around

dnsdist: Reduce useless wake-ups from the event loop

The TCP acceptor, UDP client and Lua network threads never needs to break out of the event loop.
The outgoing DoH one only needs to do that once per second to check for timeouts.

dnsdist: Refactor AndRule and OrRule to modern C++ loops

dnsdist: Add logs to investigate the SNMP regression tests failure

Merge pull request #12087 from zeha/apizonecreaterectify

API: Auth: fix newly created zone not rectified

Merge pull request #12269 from frei-style/master

auth: fix invalid catalog zone sql query for gpgsqlbackend

auth: fix invalid catalog zone sql query for gpgsqlbackend

Merge pull request #12265 from Habbie/alsonotifies

auth: move alsoNotifies up into DNSBackend

auth: move alsoNotifies up into DNSBackend, fixes #12256

Merge pull request #12257 from Habbie/auth-api-backend-refused

auth API: slightly clearer message when a backend cannot create domains

auth API: slightly clearer message when a backend cannot create domains

Merge pull request #12255 from rgacogne/ddist-doc-counters-typo

dnsdist: Fix a typo in the counters documentation

dnsdist: Fix a typo in the counters documentation

Restrict permissions for GITHUB_TOKEN in our workflows

Added using https://github.com/step-security/secure-workflows
For more information see:
- https://github.com/ossf/scorecard/blob/d8fefc9b246db3600c777e9d60d441d7c386ce1d/docs/checks.md#token-permissions
- https://github.blog/changelog/2021-04-20-github-actions-control-permissions-for-github_token/

Merge pull request #11020 from MiniPierre/xdp-logging

dnsdist: Added XDP middleware for dropped/redirected queries logging

Merge pull request #12252 from omoerbeek/auth-docs-recordtypes

auth: Update supported recordtypes: remove A6 MAILA MAILB SIG and WKS, add ZONEMD

dnsdist: fixed XDP filter indentation

dnsdist: Added XDP middleware for dropped/redirected queries logging

Merge pull request #11863 from darnuria/dnsname/usememchr_check_length

DNSName constructor use memchr instead of strchr and cleanup with string_view

Drop ref from string_view arg

Use '\0' for (char) 0 and ref for string_view argument

fixup: Optionnal removal of plen.

WIP: Clean-up DNSName constructor unify with string_view.

fixup: Apply @omoerbeek suggestion

DNSName constructor use memchr instead of strchr.

Also check length before dereferencing.
Rational for this change:

- Why using strchr if we have a length?
- Accepting char * p that doesn't contains `\0`.

Merge pull request #11594 from ClaudioRifo/patch-1

Update statistics.rst

Update supported recordtypes: remove A6 MAILA MAILB SIG and WKS, add ZONEMD

Fixes #11468

better word

Co-authored-by: Remi Gacogne <github@coredump.fr>

Refer to Linux docs and RFC instead of documenting these ourselves.

Update statistics.rst

Notes that help understand some UDP counters.
Note that help understand that counters from /proc/net/ are global and O.S. related.

Merge pull request #11951 from Habbie/Werror

make builds pass with -Werror on _my_ system

systemd: Add "After" dependency on time-sync.target

Adds 'After=time-sync.target' to the service unit files; this will not
have any immediate effect, unless the system administrator has also
enabled a unit which has a 'Before' dependency on that target;
there are none of those units enabled in a default configuration in
common distributions. systemd itself adds such an 'After' dependency
to all timer units with OnCalendar settings, and to some other units.

However, in a system which makes use of systemd-timesyncd, the admin
can enable systemd-time-wait-sync.service, which has such a
dependency. The result would be that none of the PowerDNS services on
the system would be started until after systemd-timesyncd is certain
that the system's clock is synchronized with the configured external
source.

A similar configuration can be achieved on systems which use ntpd,
chronyd, or other time synchronization tools.

Closes #11153.