report which backend failed to instantiate

Merge pull request #13012 from rgacogne/ddist-healthcheck-spurious

dnsdist: Better handling of spurious wake-ups, interrupted calls

Merge pull request #13041 from rgacogne/auth-coverity

auth: Fix a bunch of warnings reported by Coverity

dnsdist: Add suggestions from code review

Merge pull request #13021 from omoerbeek/rec-pb-cache-tags

Rec: fix setting of policy tags

Merge pull request #13052 from rgacogne/fix-getmessagefromerrno-libcrypto

misc: `pdns::getMessageFromErrno()` does not depend on libcrypto

Merge pull request #13042 from jpmens/patch-15

Typo in dnsupdate.rst

Apply suggestions from code review

Co-authored-by: Remi Gacogne <github@coredump.fr>

Do not store tags set by gettag(_ffi) into the PC by keeping them separate.

We do pass them to the other Lua functions, but take care to erase them
aagin before creating the partial PB message stored into the cache.

Use gettag

Set the pb policy tags in the right places

Regression test for pb tags coming out of packet cache or not

misc: `pdns::getMessageFromErrno()` does not depend on libcrypto

This prevents compiling dnsdist when libcrypto is not available, which
should be possible.

Merge pull request #13047 from Habbie/pyyaml-6.0.1

auth docs: pin pyyaml 6.0.1 specifically

Merge pull request #13045 from omoerbeek/less-copyright-years

Further removal op copyright years

Merge pull request #13048 from omoerbeek/rec-dnstap-regr-errno

rec: include errno in dnstap regression test

include errno

to avoid:
     File "/__w/pdns/pdns/regression-tests.recursor-dnssec/test_RecDnstap.py", line 189, in FrameStreamUnixListener
        if e.errno in (errno.EBADF, errno.EPIPE):
     NameError: name 'errno' is not defined

auth docs: pin pyyaml 6.0.1 specifically, see #13046

Remove copyright years in webserver output; noted by @mind04

Further removal op copyright years

Fixes #13004

Merge pull request #13044 from omoerbeek/copyright-no-year

Do not include year(s) in copyright messages.

Do not include year(s) in copyright messages.

It's too hard to keep up-to-date and serves no real purpose.

Typo in dnsupdate.rst

Merge pull request #13040 from zeha/rm-dnsproxy-unused-decl

auth: DNSProxy: remove declaration without implementation

auth: Fix 'exceptions not caught' warnings from Coverity

auth: Apply Coverity's suggestion to prevent copies in loops w/ auto

auth: DNSProxy: remove declaration without implementation

Merge pull request #12753 from cmouse/pkcs11-relogin

pkcs11signers: If private key object has CKA_ALWAYS_AUTHENTICATE attribute, perform CKU_CONTEXT_SPECIFIC login after OperationInit to make it actually work.

Merge pull request #13032 from setharnold/patch-8

Update settings.rst -- clarify edns-subnet-allow-list

Merge pull request #13035 from Call-Me-G-Now/patch-3

Update dnsdist changelog

auth: Apply Coverity's suggestions to initialize field members

auth: Apply Coverity's suggestions to move objects whenever possible

Remove dnsdist-healthchecks.* from the 'not formatted' list

dnsdist: Reformat dnsdist-healthchecks.cc and dnsdist-healthchecks.hh

dnsdist: Delint dnsdist-healthchecks.cc

dnsdist: Better handling of spurious wake-ups, interrupted calls

If we were woken up by the multiplexer but have actually nothing to read,
or the call to `recv()` is interrupted, we do not want to stop listening
for the health-check response event. It is also not useful to log about
it, even at "verbose health-check" level.
Note that we would have logged previously, so this kind of event would
not have gone unnoticed anyway.

Merge pull request #13036 from Habbie/dnsdist-changelog-indent

dnsdist changelog: fix indentation of this line

Merge pull request #13026 from rgacogne/dnsheader-bitfield-uint16

dnsheader: Switch from bitfield to uint16_t whenever possible

dnsdist changelog: fix indentation of this line

Merge pull request #13034 from Call-Me-G-Now/patch-2

Update recursor changelog

Merge pull request #13033 from Call-Me-G-Now/patch-1

update changelog

Update changelog

Update changelog

Update changelog

Update changelog

Naming inconsistencies pdns-auth <> pdns-rec docs

- Release Notes <> Release Guide
- upgrading.html <> upgrade.html

Update changelog

cleanup

update changelog

Update settings.rst -- clarify edns-subnet-allow-list

Try to reduce confusion about what the edns-subnet-allow-list setting does and doesn't affect.

Merge pull request #13029 from kovacs-andras/master

wait for mysql.service

wait for mysql.service

dnsheader: Switch from bitfield to uint16_t whenever possible

pkcs11signers: Add braces

Satisfies clang-tidy

pkcs11signers: Support CKA_ALWAYS_AUTHENTICATE

If private key has this flag, relogin with CKU_CONTEXT_SPECIFIC
before sign/verify operation.

pkcs11signers: Use emplace_back for attributes

Merge pull request #13022 from omoerbeek/rec-fix-arc4random-linking

rec: libarc4random should be linked even if libsodium is not used

rec: libarc4random should be linked even if libsodium is not used

Merge pull request #13009 from rgacogne/ddist-heathcheck-metrics

dnsdist: Add metrics for health-check failures

dnsdist: Add a couple comments in the health-check timeout handling code

dnsdist: Add metrics for health-check failures

Merge pull request #12938 from omoerbeek/auth-coverty-time_t

auth: Fix coverity time_t related warnings

Merge pull request #12912 from omoerbeek/rec-nose-to-pytest

rec: Upgrade regression tests to use pytest instead of nose

Merge pull request #12805 from hlindqvist/clarify-log-aa-not-set

Clarify log message for NODATA/NXDOMAIN without AA

Merge pull request #12976 from rgacogne/ddist-fix-doh-xforwardedfor-maxtcpconnperclient

dnsdist: Fix a crash when X-Forwarded-For overrides the initial source IP

Merge pull request #12974 from rgacogne/ddist-coverity-394511

dnsdist: Fix "Pointer to local outside storage" reported by Coverity

Merge pull request #13001 from omoerbeek/arc4random-build-fix2

Fix build part2: include chacha_private.h and explicit_bzero.c

Merge pull request #13002 from Habbie/auth-4.8.1-docs-secpoll

auth 4.8.1: docs & secpoll

auth 4.8.1: docs & secpoll

Use PDNS_CHECK_SECURE_MEMSET, as suggested by @rcagogne

Also include explcit_bzero(), which is needed when using older glibc

Fix build: put chacha_private.h into _SOURCES

Also fix redundant declaration warnings

Followup to #12999

Merge pull request #12999 from omoerbeek/arc4random-build-fix

Fix build: put arc4random.hh into _SOURCES

Fix build: put arc4random.hh into _SOURCES

Also a tiny bit of cleanup

Merge pull request #12931 from omoerbeek/use-arc4random

Use arc4random only for random values

Merge pull request #12985 from Habbie/lmdb-check-index

auth lmdb: add backend commands for checking & refreshing indexes

Merge pull request #12990 from Habbie/lmdb-dup-delete-rwtx

auth lmdb: in Lightning Stream mode, during deleteDomain, use RW transaction to get ID list

delint waitFor2Data

Remove commented out code, add #pragma once

Build libarc4random in CodeQL target for dnsdist

Fix dependency for remote backend test code

Fuzzing target needs arc4random as well

Fix configure syntax

Zap reference to dns_random_urandom.cc

Format

Stop using random(), only place left is in dnsdist-random.cc as a fallback

Tweaks for macOS

Start buildina and using arc4random

Port of the openss-poratble arc4random code to our build environment

Initial needed files from openssh-portable

auth lmdb: in Lightning Stream mode, during deleteDomain, use RW transaction to get ID list

auth lmdb: add index refresh-all backend command

auth lmdb: add 'index check domains' and 'index refresh domains <ID>' backend-cmds

Merge pull request #12776 from jacobbunk/tsig-qtype

Make DNSQType.TSIG available in dnsdist

auth: Simplify the SQL upgrade condition

dnsdist: Make clang-tidy happy

We will have to come back if ComboAddress ever becomes heavier, but
hey.

Merge pull request #12979 from rgacogne/build-package-workflow-permissions

builder-dispatch: Explicitly grant permissions to the build package workflow

builder-dispatch: Explicitly grant id-token: write to the build package workflow

dnsdist: Fix a crash when X-Forwarded-For overrides the initial source IP

When both the processing of X-Forwarded-For DNS-over-https headers
(`trustForwardedForHeader=true`) and a maximum number of concurrent
TCP connections per client (`setMaxTCPConnectionsPerClient()`) are
enabled, dnsdist could crash because of an uncaught exception:
```
dnsdist[X]: terminate called after throwing an instance of 'std::runtime_error'
dnsdist[X]:   what():  DOH thread failed to launch: map::at
```
This was caused by the TCP connection being first accounted for with the
initial source IP (from the upstream HTTP proxy) but later released using
the IP extracted from the X-Forwarded-For header, leading to an unexpected
failure to locate the corresponding entry in the map.

We might not actually want to enforce the maximum number of concurrent
TCP connections per client when X-Forwarded-For processing is enabled,
though, because we usually want to rate limit the actual client and
not the HTTP proxy, but X-Forwarded-For being set per HTTP query, instead
of per-connection, makes that pretty much impossible at our level since
the same connection from the HTTP proxy can be reused for several clients.
The proxy protocol would be a better option to enforce that limit.

Merge pull request #12955 from rgacogne/ddist-fix-doc-codeblocks

dnsdist: Fix the rendering of some Lua configuration examples

Merge pull request #12970 from rgacogne/fix-build-provenance

build-packages: Fix the package buikding workflow