privsep: Reduce fd use

On start close all FD's above stderr.
Close some fd's we don't need in processes spawned from priv.
Ensure we init some FD's to -1 to ensure we don't close stdin.
If DEBUG_FD is defined, we log FD's opened by pid.
Audit process FD usage and document it so I don't forget it.

Fixes #316.

Add compat support for closefrom cribbed from libbsd

We had compat support in older dhcpcd but we want it faster
when linux supports faster, because, you know, fast.

dhcpcd: Only drop/release address family specified when given

Fixes #311

Fix time_offset to be int to match RFC-2132

https://datatracker.ietf.org/doc/html/rfc2132#section-3.4

time_offset (dhcp v4 option 2) should be int32, not uint32, as it can
indicate a time offset east (positive) or west (negative) of zero
meridian.

hooks: stop wpa_supplicant on STOPPED

Taken from Void Linux package

linux: modern kernels can create stable private addresses

Just improve the comment.
Closes #301

Respect IPV6_PREFERRED_ONLY flag on DHS_NONE state

Current IPv6_PREFERRED_ONLY (option 108) handling code is only effective
when current state is DHS_DISCOVER and DHS_REBOOT. However, when we
receive multiple ACKs upon our REQUEST, the first ACK will trigger the
use_v6only code path and dhcp_drop() us into DHS_NONE state, as a result
the option 108 on the second ACK won't be handled correctly and we'll
bind to the lease instead.

This patch fixes the issue by adding DHS_NONE as a state to respect
option 108 as well.

compat: stub out _rs_forkhandler for compat/arc4random.c

We need to keep the fd open at fork, but we retained the code to
handle a fork.

The original update to chacha avoided this by guarding the call
but left the code alive which produced an unused function warning
on the GitHub Ubuntu runner.
This update fixes that.

DHCP6: Remove leading space from delegated_dhcp6_prefix

add RFC4191 support (#297)

* add RFC4191 support

- handles route information options from RAs.
- refactor `sa_fromprefix()` to expose lower level functionality
- refactor `ipv6nd_rtprefix()` to be usable outside of `struct ra` context

* changes as requested by RM

- mostly minor/cosmetic changes
- functional change: "no longer a default router" warning moved to capture changes from routeinfo options

* simplify routeinfo_find/new

Define the Azure Endpoint and other site-specific options (#299)

Added the azureendpoint site-specific option as an ipaddress
definition to make it easier for Azure VMs using dhcpcd to get their
WireServer endpoint address.

Added binhex definitions for all otherwise undefined site-specific
options so that site-specific hooks can use them.

Move dhcp(v4) packet size check earlier (#295)

dhcp_handlebootp handled zero sized packets correctly, but
dhcp_redirect_dhcp did not have such protection. Move size check before
both of them. Size when called from dhcp_packet is checked by
is_packet_udp_bootp call. Only dhcp_recvmsg needs earlier checking to be
added.

Fixes #283

DHCP: DECLINE address on ARP defend failure

Also, drop the lease.
This should get us a new address from the DHCP server when we
re-enter DISCOVER to avoid looping on the same address and fail
again.

dhcpcd: Add support for arp persist defence (#273)

RFC 5227 recommends 3 ways to deal with address conflict detection.
a) Stop everything.
b) Defend and then stop on fail - this is what dhcpcd currently does.
c) Notify and carry on.

The current change implements the option c. A new option arp_persistdefence
has been added and when this is enabled, the a defence is attempted upon a
conflict and when that fails, an error is logged on every other conflict
within the DEFEND_INTERVAL and the current IP address is retained.

Fixes #272

Release dhcpcd-10.0.6

DHCP6: For Prefix Delegation, the - interface means no assignment

- is an invalid interface name.
So we take this to mean don't assign the Delegated Prefix to
any interfaces.
The reject route for the Delegated Prefix is still installed.

Fixes #270

DHCP6: Improve logging when changing IA type

Changing from PD to IA or IA to PD can result in a diagnostic
when there is no address to confirm AND we haven't loaded
a lease.
This improves the check and no more Success errors should
be reported.

Fully configure an interface when being activated.

We need the full configuration - for example dhcpcd.conf
might have environment options for the hooks for the interface
being activated.

Because we now guard against starting protocols with IF_ACTIVE_USER
this is safe.

Fixes #257.

Fix year

Document that limiting address protocol can affect signalling dhcpcd

Fixes #264

Fix an unused var warning for capsicum for prior

Fix privsep builds for prior.

dhcpcd: Remove stdio callback and detach on daemonise

For some reason, the stdio callback is extremely flaky on
*some* Linux based distributions making it very hard to debug some
things.
Removing it is fine because we now enforce that we have file descriptors
for stdin, stdout and stdrr on launch and dup them to /dev/null on daemonise.

It's also interesting to see behavioural differences between
some socketpair implementations that emit a HANGUP and some don't.

As such, we now close the fork socket on daemonise once more AND
in the fork_cb depending on if we hangup or read zero first.

Fixes #262

control: Abort control recv path on hangup

This fixes a crash when we try and re-use it in another function.

dhcpcd: Detach from launcher before stopping root process

This fixes non privsep builds where the launcher reports dhcpcd
hungup. Unsure why this happens, but it should not be a problem.

While here, shutdown has no effect on non STREAM sockets and
remove the silly error logging in fork_cb that we read an
error. We already printed the error so this makes no sense.

Hopefully fixes #262.

control: Fix hangup for non privsep builds

Fix related to #262.

Release dhcpcd-10.0.5

privsep: Note that unveil(2) is not needed

As we are in a chroot.
https://www.mail-archive.com/misc@openbsd.org/msg171664.html

privsep: Allow dup3 on Linux

It seems some libc will really call dup3 rather than dup2.
Another fix for #260.

dev: Don't fail to start if we cannot open the dev plugin path

We accidently returned stdin fd in this case - return -1 instead.

dhcpcd: Close fork_fd on hangup

Closing it early results in zero length reads in some situations.
Logging that we forked via the launcher process also make more sense
and allows us to use log* functions.

While here, handle error condtions better by forcing a return
rather than handling an invalid state.

Fixes #260.

configure: guard config.h with #ifdef CONFIG_H

Rename CONFIG_H guard in defs.h to DEFS_H
This avoids a redeclaration issue on DragonFly.

IPv4LL: Don't start if already started

It's just pointless noise.
A follow-on fix for #255.

DHCP: re-enter DISCOVER phase if server doesn't reply to our REQUEST

Use the reboot timeout as per the initial DISCOVER timeout.

Fixes #255

Expose memset_s on FreeBSD

Fix tests or #252.

compat: test for memset_explicit, explicit_bzero and memset_s

These won't be optimised away by the compiler and our arc4random
compat function should use them *if* available.
If none are then a warning will be emitted to say it's potentially insecure.

Hopefully only uclibc users will see this message.

Fixes #252.

Improve comment about capturing script output.

Release dhcpcd-10.0.4

dhcpcd: Improve script status handling

privsep: Allow dup2 with SECCOMP

privsep: Notify processes when dhcpcd has daemonised

This allows us to dup stdout and stderr onto stdin which is
guaranteed to be dupped to /dev/null.
This in turn avoids SIGPIPE when the privileged proccess launches
the script and it wants to write to stdout/stderr or stupidly
read from stdin.

compat/arc4random.c: use memset instead of explicit_bzero (#252)

Use memset instead of explicit_bzero to avoid the following build
failure with uclibc-ng since version 10.0.3 and
https://github.com/NetworkConfiguration/dhcpcd/commit/837d09e34c487edaa92aa2ae71a630d84c927f8e:

/home/fabrice/buildroot/output/host/lib/gcc/arm-buildroot-linux-uclibcgnueabi/12.3.0/../../../../arm-buildroot-linux-uclibcgnueabi/bin/ld: ../compat/arc4random.o: in function `_rs_stir_if_needed':
arc4random.c:(.text+0x8cc): undefined reference to `explicit_bzero'

Signed-off-by: Fabrice Fontaine <fontaine.fabrice@gmail.com>

privsep: allow __NR_clock_gettime32 syscall (#254)

musl libc doesn't have __NR_clock_gettime definition,
but has __NR_clock_gettime32. clock_gettime implementation
fallbacks to 32-bit version if 64-bit is not supported by the kernel.

Signed-off-by: Oleg Lyovin <ovlevin@sberdevices.ru>

privsep: allow __NR_mmap2 syscall (#253)

The issue occured while compiled by musl toolchain:

    mmap2(NULL, 4096, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) = ?
    +++ killed by SIGSYS +++

This patchs allows seccomp to make __NR_mmap2 syscall.

Signed-off-by: Oleg Lyovin <ovlevin@sberdevices.ru>

dhcpcd: freopen of stdin/stdout may change the fd

So use dup2 instead.

privsep: Log script exit status.

Release dhcpcd-10.0.3

DHCP6: Set all requested addrs as not stale when starting discovery

Hopefully fixes #249.

doc: mention using `--with-openssl`

Fixes #225

IPv6: Be explicit that lifetime zero means no longer a default router

Fixes #244

options: introduce the uri option as opposed to a string

Currently we don't attempt to validate a uri given, aside from
not allowing any space characters within.

If the option is `array uri` then the first two bytes are the
length of the uri in network order and the rest is a uri element.
The uri's are space separated for the variable because space is not
allowed within the uri.

This allows us to implement RFC 8572, Secure Zero Touch Provisioning.

options: andsf6 is DHCPv6, not DHCP

Cast a compile warning away

compat: use OpenSSL RAND_priv_bytes() for entropy (#248)

* compat: use OpenSSL RAND_priv_bytes() for entropy

Use OpenSSL random number generator to seed arc4random() if available,
if it fails fall back to /dev/urandom.

* tests: link eloop-bench against LDADD lib

arc4random might depend on libcrypto so we need to link it.

Send correct amount of used buffer for prefix exclude option (#250)

The payload of the prefix exclude option was correctly created
but the amount of bytes to send in the DHCPv6 request was
always set to 0 which resulted in an invalid prefix exclude option

This patch fixes this behavior by calculating the correct amount
of bytes to send.

Guard against handling many SIGTERM/SIGINT.

Privsep has a mini-eloop for reading data from other processes.
This mini-eloop processes signals as well so we can reap children.
During teardown we don't want to process SIGTERM or SIGINT again,
as that could trigger memory issues.

Hopefully fixes #247.

Use a local variable instead of the optind (#86)

The optind get overwritten by reload_config(), so the reconf_reboot()
used a wrong argument count.

Signed-off-by: Petr Gotthard <petr.gotthard@centrum.cz>

Support libcrypto for hmac and sha256 (#223)

* compat: Add OpenSSL libcrypto compatibility layer

Detect libcrypto in configure script.  Only fall back
to using libcrypto when /usr libs are allowed and no
other compatible implementation is available or when
--with-openssl is passed explicitly.
Make sure libcrypto and libmd are never linked at the
same time.

Add OpenSSL based SHA256 and HMAC compat shims in
compat/crypt_openssl. Depeding on version and build flags,
libcrypto ships with a compatible SHA256 API in
"openssl/sha.h".  OpenSSL 3 has deprecated the SHA API,
so if it is not detected we fall back to an EVP_DIGEST
based version.
Because the API might still be in use in OpenSSL internally,
the compatibility wrappers have a dhcpcd_ prefix to avoid
symbol conflicts.

* Add sha256 tests based on the existing hmac-md5 tests.

Fix some grammar in README.md

Clarify persistent wording to address confusion.

When persistent is not specified, dhcpcd de-configures the interface at exit.
However, the default dhcpcd.conf example provided enables the option.
See https://github.com/NetworkConfiguration/dhcpcd/discussions/140

Ignore VSCode .vscode and macOS .DS_Store files

compat: update arc4random() to newer chacha20 based version from OpenBSD (#227)

* compat: update arc4random() to newer chacha20 based version from OpenBSD

* arc4random: keep fd after first call to arc4random

privsep + chroot doesn't allow us to reopen /dev/urandom in
an unpriviledged process so we open the fd once and then
hold onto it.

ci: execute tests after successful build (#243)

linux: fix wireless roaming

Fixes #228.

privsep: Fix a FD leak when processes exit

Add commentary to say they are closed on receipt of SIGCHLD.

privsep: fix strlcpy overflow in psp_ifname (#239)

When running our Ubuntu tests with libc6 and strlcpy overflow checks
enabled we found that the wrong size is passed to strlcpy resulting
in a crash because of an overflow.

dhcpcd: Fix off-by-one overflow when read() writes full BUFSIZ (#236)

Add CI builds for Ubuntu, OpenBSD, FreeBSD and NetBSD (#229)

Do not crash on dhcpcd test run (#231)

Check if state->bpf is allocated before attempting to write there.

Fix --enable-secomp

privsep: Allow diabling of SECCOMP on Linux

This allows a POSIX resource limited sandbox to be used at least
with privilege separation, which is better than just disabling
privilege separation entirely for when SECCOMP stops working due to
libc/kernel changes.

Release dhcpcd-10.0.2

Fix compile warning with rb.c sync

compat sync (#226)

* compat: sync pidfile.c with netbsd v1.16

- fix typos in word "otherwise".
- s/sucess/success/ in comment.

* compat: sync rb.c with netbsd v1.16

- fix typos in word "successfully", mainly s/succesfully/successfully/.
- toolify

* compat: sync strlcpy.c with openbsd v1.16

- I am retiring my old email address;  replace it with my OpenBSD one.

* compat: sync arc4random_uniform.c with openbsd v1.3

linux: consider IFF_LOWER_UP and !IFF_DORMANT for LINK_UP

privsep: Send only what we have put in the buffer to script env

Rather then sending the whole buffer size.
If there is an error writing the last option, it may not be
NUL terminated correctly causing an assert.
Even so, we should not write the failed option to the environment
either as it would be a false positive for an empty option.

common: Allow hwaddr_ntoa to print an empty string

This fixes #218 where we get a zero hardware address length in
an ARP packet or a length that overflows the string buffer.

common: Improve valid_domain and check correct return

Improvement for #218.

privsep: Only unlink control sockets if we created them

Fixes a segfault when trying to start dhcpcd as a non root user.
Closes #219 without an explicit test for being the root user.

risc-v fix vendor error (#213)

* added mproc for risc-v

* make mproc arches alphabetically sorted again

Additional DHCP options (#214)

DDoS Open Threat Signaling (DOTS) Agent Discovery, RFC8973
DHCP option 147,147; DHCPv6 option 141,142

Captive Portal, RFC8910
DHCP option 114; DHCVv6 option 104

update to attribution for MUD URL - RFC8520

Signed-off-by: Rob Gill <rrobgill@protonmail.com>

privsep: Check if we have a root process before sending it stuff

Fixes #210

Linux: Improve learning IPv6 address flags

Rather than matching addresses during netlink message processing,
extract the local, address and flag parts.
Once done, then match local and address to the address we are
looking for and if equal apply the flags.

Fixes #201 and maybe #149.

chore: Link to GitHub for the commit log and release announcements (#203)

Fixes one of the two rotten links reported in #202

Linux: fix disabling of kernel RA autoconf

Well, that was a big whups leaving it turned on.
Thanks to Klaus Frank for the spot.
Fixes #176.

chore: Fix generation of dependency file

build: Remove suffix prerequisite rules

Just to silence GNU make.
This makes development slightly harder on BSDs, just have to
do a `make clean` when changing configuration options.

Fixes #197.

chore: Document building a bit more

And the fact that configure is not GNU.

options: Allow waitip to take space separated address families

This is easier than writing confusing documentation to clarify.
Fixes #206.

dhcpcd: Fix waitip address family

Minor fix for #206.

dhcpcd: support HANGUP of stderr cb

control: Ingore control not connected errors too

For FreeBSD.
Another one for #205.

control: ignore EPIPE errors on write

Other end has shutdown.

control: deal with hangup better

Maybe fix #205

privsep: Allow zero length messages through

They should be handled gracefully without privsep anyway.
Fix for #179.

DHCP: Don't enforce the message came port 67

RFC2131 and updates make no mention of what the source port
should or must be.

Update for #179.

BSD: Fix non INET6 builds

OpenBSD: Ensure if_afreq is correct initialised.

BSD: When we get RTM_NEWADDR the interface must have IFF_UP.

This is apparently historic behaviour.
It's not always mirrored in RTM_IFINFO either so we need to
replicate the behaviour if we had got it earlier.

This fixes dhcpcd requiring at least something to set the interface
up before starting on OpenBSD.
Other BSD are less impacted because it's a lot harder to get into
this state as we have more control over setting the IPv6 LL address.