Merge branch 'dockerfile-add-flake8' into 'master'

ci: add flake8 to Dockerfile

See merge request knot/knot-resolver!449

ci: docker - add flake8, remove infer

We do not use Infer after all (see MR !435) so it does not make sense to
have it in the image.

Merge branch 'assert-cleanup' into 'master'

daemon/worker: clean up some unnecessary asserts

See merge request knot/knot-resolver!450

daemon/worker: clean up some unnecessary asserts

Merge branch 'tls_polish' into 'master'

TLS polish

See merge request knot/knot-resolver!447

TLS: make GnuTLS priorities compatible with CentOS 7 and Debian 9

gnutls-3.3.26-9.el7.x86_64 and libgnutls30-3.5.8-5+deb9u3 do not support
@SYSTEM keyword and CentOS 7 has problem with -VERS-DTLS-ALL.

We do not configure DTLS sockets so it should be harmless to delete
the DTLS keyword.

@SYSTEM is replaced by NORMAL, oh well.

fixup! TLS client: enforce minimal TLS version and no compression

TLS client: enforce minimal TLS version and no compression

Same change as in a625a0ea1ce03b0707fd421633f21c0aacb786da but for
client.

TLS server: enforce minimal TLS version and no compression

Server side now enforces security requirements from
draft-ietf-dprive-dtls-and-tls-profiles-11 section 9

TLS: use constants for GnuTLS return codes

GnuTLS manual for some functions do not declare that error return code
must be negative, so we should use constants to avoid potential
problems.

TLS client: fix certificate loading from file

gnutls_certificate_set_x509_trust_file could theoretically return 0
to indicate nothing was read, so we need to check for this as well.

Merge !448: daemon: tls forwarding; fix IO error processing

daemon: tls forwarding; fix erroneus task processing when io errors occur

Merge branch 'tmpfiles-create-cache' into 'master'

tmpfiles: create cache and use proper tmpfiles name

See merge request knot/knot-resolver!440

tmpfiles: create cache and use proper tmpfiles name

Merge branch 'tls_tests' into 'master'

policy TLS_FORWARD: add checks and documentation

See merge request knot/knot-resolver!445

policy TLS_FORWARDING: rename pin to pin_sha256

The pin parameter contains SHA-256 encoded using Base64, but this is not
the only option. Explicit name allows us to add alternative formats
later on, and is consistent with GnuTLS naming.

policy TLS_FORWARD: documentation improvements

policy TLS_FORWARD: add documentation

policy TLS_FORWARD: unify logging format

policy TLS_FORWARD: fix error reporting from net.tls_client()

policy TLS_FORWARD: check parameters from user

Policy handling was split into smaller functions to allow easier
checking. The code needs further refactoring, it seems that
net_tls_client is just a thin wrapper around tls_client_params_set in C,
which is unnecessary and error prone.

policy TLS_FORWARD: improve error reporting for invalid parameters

tests: add config tests for TLS_FORWARD

Apparently some corner cases are not handled properly.
We need to fix these in follow-up patches.

Merge branch 'cleanup-errors' into 'master'

fix some errors found by static analyzer

See merge request knot/knot-resolver!446

CI: tweak scan-build configuration

Clang right now does not support cleanup attribute which is causing
false positives, so the check is now disabled.
https://bugs.llvm.org/show_bug.cgi?id=3888

At the same time I've enabled all other checkers to see what happens. We
need to go though them and disable them one-by-one if necessary.

daemon/main: refactored keyfile initialization from main()

this helps avoid false positive leaks caused by combination of
cleanup functions and goto

refs #291

lib/dnssec: variable declaration close to intended to avoid dead stores

daemon/worker: fixed missing return value check

daemon/engine: fixed missing ret

daemon: fixed potential leak - cleanup not being called on longjmp

attribute cleanup (auto_free) gets called when variable goes out of
scope, not on longjmp (in lua_error), so the variable never gets freed

Merge branch 'dockerfile-add-static-analysis-tools' into 'master'

Dockerfile: add static analysis tools

See merge request knot/knot-resolver!444

Dockerfile: add static analysis tools

Merge branch 'tls-hs-timeout' into 'master'

daemon: TLS-handshake timeout timer was not properly activated; fix

See merge request knot/knot-resolver!441

daemon: TLS-handshake timeout timer was not properly activated; fix

Merge branch 'stricter-ci-build' into 'master'

ci: add -Werror to CFLAGS, added clang build target

See merge request knot/knot-resolver!432

lint: enabled several readability linters and fixed issues

this checks things such as inconsistent declarations and definitions

daemon: fixed garbage read when getsockname fails

lib: fixed possible null pointers passed to nonnull arguments

daemon: fixed minor linter problems

client: fixed minor linter problems

lib: fixed minor linter issues in lib

lib/defines: analyzable implementation for kr_error()

build: support `make lint-c` with clang-tidy

This supports linting of C code using clang-tidy to fix common
security and code quality issues early in the development workflow.
The benefit is that less time has to be spent in code reviews to
point out obvious problems, and ideally when the outstanding issues
are fixed, clang-tidy (and clang-format) can also be used to to
automatically fix basic problems and enforce common code style,
similarly to `go vet && go fmt` workflow.

ci: add -Werror to CFLAGS, added clang build target

Merge branch 'clang' into 'master'

fixup! CI: add Clang scan-build to the pipeline

See merge request knot/knot-resolver!438

fixup! CI: add Clang scan-build to the pipeline

Forgot to `git add` Dockerfile with Clang tools.

Merge branch 'systemd-modifications' into 'master'

Systemd modifications

See merge request knot/knot-resolver!436

systemd: add knot-resolver alias

The `knot-resolver` name is used for paths and user name. Creating a
systemd alias with the same name is user-friendly to end users who won't
have to remember another name (`kresd`).

Note: Systemd Alias is only created after service is enabled. Packagers
are thus advised to create symlinks for unit files during package installation
so users can use `knot-resolver` name right from the start.

systemd: use persistent cache by default

The /run directory is non-persistent. Use /var/cache/knot-resolver
as a persistent cache.

README: remove trailing whitespace

Merge branch 'clan-scan-build' into 'master'

CI: add Clan scan build to pipeline

See merge request knot/knot-resolver!437

CI: add Clang scan-build to the pipeline

For now error produced by scan-build are not fatal.
We need to fix these first.

CI: use images from local registry

Merge branch 'fix-systemd-service' into 'master'

systemd: drop WantedBy directive from kresd.service

See merge request knot/knot-resolver!433

systemd: drop WantedBy directive from kresd.service

This directive is unnecessary in the .service file, and it also causes
a dependency cycle that systemd is obliged to break.

Since kresd is socket-activated, there is no need for the WantedBy
directive in the .service file itself.  As long as the .socket files
are installed, the service will run when it is used.

Merge branch 'systemd-enable-manual-activation' into 'master'

systemd: enable manual activation of kresd.service as non-root user

See merge request knot/knot-resolver!434

systemd: enable manual activation of kresd.service as non-root user

To be able to bind to a well known port as a non-root user, the CAP_NET_BIND_SERVICE
capability is required.

Merge !431: daemon: fix clang warnings

daemon: fix clang warnings

Merge branch 'sim_qry' into 'master'

outbound TCP connections sharing; TLS over outbound TCP connections

Closes #104

See merge request knot/knot-resolver!379

daemon: avoid memory leaks under heavy load when using tls over outgoing tcp connection

daemon: kresd fall into endless loop in some circumstances when tls is used; fix

daemon/tls_ephemeral_credentials: avoid some memory leaks

daemon: explicit processing of UV_EOF within stream read callback function

TLS: only print [tls] messages if --verbose

modules/policy: TLS defaults to port 853

modules/policy: local variable declarations were fixed; cleanup

modules/policy: local variable declarations were fixed

daemon/tls: tls client bugfix; correct processing of tcp connection closure

daemon/tls: tls_push() can fall into endless loop in some circumstances; prevent it

daemon: outbound TLS: penalise NS if authentication fails

daemon: cleanup - free the memory allocated for hostnames

policy.TLS_FORWARD: reduce net.tls_client() calls

It should be enough to update the table once per TLS_FORWARD rule,
without re-doing that every time the policy is triggered.

print_tls_client_params: print all address#port pairs

nitpick: pre-allocate table sizes

daemon: TLS over outbound TCP connection - use hostname authentication

daemon: bugfixes

daemon: bugfix; resolver fails on assertion if TLS over outbound connection is used  and upstream closes connection after each query

daemon: retry waiting tasks when outbound TCP connection has problems

daemon/worker: clear query TCP flags when retrying

daemon/worker: bugfix, avoid access to deallocated task

daemon/worker: retry all waiting tasks if upstream drops TCP connection

daemon/worker: don't SERVFAIL immediately when TCP connection to upstream fails

CI: try increasing the number of allowed filedescriptors

(cherry picked from commit a4a6169c3cdf2293ea0637b9af4526fb2cbbb94d)
Testing what happens on our CI.

daemon: TCP - for now session source address is queried at tcp_accept(). AF_UNSPEC is treated as error for both of udp&tcp.

daemon: improved reliability under heavy load; bugfixing & minor refactoring

daemon: reuse outbound TCP connections if possible; TLS over outbound TCP connection

Merge !430: Travis fixes and dependency updates

travis: skip Deckard tests

travis: try to fix python modules

bootstrap-depends: update dependencies

Merge branch 'travis_fixes' into 'master'

Do not point to Travis from README

See merge request knot/knot-resolver!429

README: use badges from Gitlab instead of Travis/Coveralls

Makefile: suppress misleadning warning about missing coverage.stats dir

Makefile: remove unused check-config-clean

Merge branch 'vendemiat/extend_kres_lua' into 'master'

Add useful lua functions to handle knot types

See merge request knot/knot-resolver!425

allow access to cache object through context

this surfaces the struct kr_cache through context variable,
it doesn't implement any API or documented interface for it,
so I just added a tests for the struct presence and introspection

added basic tests for cache interface

renamed pkt:clear() to pkt:recycle() and added tests

support text conversion of unknown RR types

added more functions to packet, added tests