Merge branch '1.0.0'

Merge branch 'supervisor'

version bump, added kresd(8) man, updated doc

daemon: systemd socket activation

addition to previous generic socket activation

fixes #11

daemon: support running in supervised mode (--fd=X)

daemon can accept existing fds on command line,
thus supporting process managers like circus or
upstart. a tiny supervisor script is attached

lib/resolve: worked around bug with multiple TAs

build: bumped version to 1.0.0-beta4

Merge branch 'better-rtt-tracking'

Merge branch 'set-adbit-when-secure' into better-rtt-tracking

lib/resolve: set AD=1 when client asks with it and secure

daemon: track case when all upstreams fail

previously full timeout led to reset of the evaluated
address list and no upstream server was penalised
for not answering the query, this penalises all of
tried servers with TIMEOUT

Use Knot DNS 2.1.1 instead of Knot DNS 2.1.0-rc1

Merge branch 'ent-wc-fix' into 'master'

Fixed nsec3 proof validation with opt-out below wildcard

See merge request !17

lib/cache;lib/dnssec;lib/layer: some issues were fixed

modules/graphite: updated doc

modules/graphite: support for Graphite/TCP

graphite module now supports sending over TCP,
if the connection is severed it will attempt to
reconnect periodically. the stats module is now
optional, if not loaded only core built-in stats
will be transmitted

Fix 'bogus proof of DS non-existence' for non-existant DS records in the cache

lib/cache: kr_cache_clear() fixed

Fix 'bogus proof of DS non-existence' for non-existant DS records in the cache

dnssec/nsec3: some clarifications were made in comments

dnssec/nsec3: missed kr_error() fixed

nsec3: rfc5155 errata 3114 8.5 was implemented

lib/validate: scrubbed extra rrs in NS were checked

the validator module should ignore any data that
will be scrubbed, that includes non-authoritative
data outside current bailiwick. previously,
validator attempted to ignore these records only
for answer section and had a special case for NS
records.

cache: non-authoritative NS records are always
unchecked and must be treated as insecure

affected: www.iana.org trying to provide
delegation information for CNAME target, which is
moot with CNAME target explicit-fetch policy unless
the the resolver already knows DNSKEY with which
is could verify the records

doc: changes in dnssec

daemon/trust_anchors: accept DS in root keys

kresd accepts DS records in root keys if provided,
it will eventually replace them with DNSKEY in
automatic mode

build: enabled -ld for Linux

daemon/config: bind to v4 and v6 loopback separately

build: fixed too early CFLAGS expansion

doc: fixed broken breathe mistaking define for func

breathe failed to process the typedef thinking
the macro expansion was a function pointer

scripts/tools: updated doc, timers

daemon/worker: updated doc, worker.timeout metric

scripts/kresd-host: name alias handling

scripts/kresd-host: ignore other types in answer

lib/dnssec: new nsec3 test, cleanup

layer/validate: fixed NSEC nodata in some cases

updated tests

scripts: 'host' utility alternative in scripts

the utility supports most of the 'unbound-host'
functionality except PTR records

daemon/lua: rrset printing, new flags

this is a temporary change until luajit-kdns is
merged-in with complete functionality,
this will break the API later and will require a
couple changes in several modules and trust anchors

scripts: kresd-query.lua (new)

this is a boilerplate for a CLI utility to resolve
names and execute script on query response
in another words, "a jq for resolver answers"

this is a scaffolding for alternative tools like
'host' or a plug-in part for scripting around it.

it basically starts a kresd instance, but doesn't
bind to any interface or read configuration,
then a query + callback is sent to kresd standard
input, and it quits after the execution

daemon/trust_anchors: faster TA bootstrap refetch

when boostrapping root TA, the DNSKEYs are updated
immediately after retrieving DS from the side channel

daemon/lua: kres can see request zone cut (part)

a part of the zone cut is visible from Lua world:
- zone cut name (dname)
- trust anchor (rrset)
- current key (rrset)

lib/resolve: new flag ALWAYS_CUT

when raised, a response zone cut will be recovered
even if the response came from cache. this is
normally not needed (and incurs additional cache
lookups), but it may be useful for
inspection

daemon: "-c -" doesn't ready any configuration

this includes default configuration, resolver
starts completely blank

daemon: resolve callback has request as well

the second parameter to resolve() callback function
is request (kres.request_t), so the caller can
look into request stats, timing and zone cut data

daemon: -q for quiet mode, deferred TA update

the quiet mode doesn't print neither intro messages nor prompt
in the interactive mode, which makes it useful for scripted usage

daemon/trust_anchors: fixed root key fetch

tests/deckard: synced to master

Merge branch 'deck_test'

tests: sync deckard; lib\iterate: sync to master

lib/iterate: ignore out-of-bailiwick NSs for positive answers

there are broken resolution chains where a zone cut is advertised,
but it doesn't exist and the final NS answers from its parent's
zone cut, which is an attempt to escape bailiwick

example:

resolving A ab.cd.ef
NS ef responds:
 - ab.cd.ef NS X ; adverises ab.cd.ef zone cut
X responds:
 - A ab.cd.ef A 1.2.3.4
 - cd.ef NS X ; escapes previously advertised cut

on the other hand, it is important to fail early for referrals as
it signifies a lame answer

lib/iterate: ignore out-of-bailiwick NSs for positive answers

there are broken resolution chains where a zone cut is advertised,
but it doesn't exist and the final NS answers from its parent's
zone cut, which is an attempt to escape bailiwick

example:

resolving A ab.cd.ef
NS ef responds:
 - ab.cd.ef NS X ; adverises ab.cd.ef zone cut
X responds:
 - A ab.cd.ef A 1.2.3.4
 - cd.ef NS X ; escapes previously advertised cut

on the other hand, it is important to fail early for referrals as
it signifies a lame answer

lib/dnssec: wrong prepend_asterisk() usage was fixed, cleanup

tests/deckard: sync to master

lib/dnssec: nsec3.c, wrong prepend_asterisk() usage was fixed

deckard: sync to master

modules/zonefile: cleanup

scripts: moved LuaJIT to Github, updated deckard

Merge branch 'new-libknot'

tests: synced deckard

tests/cache: disabled malloc faking (broken)

this is broken by changes in libknot2/db api,
needs to be done differently later

modules/view: fixed direct access to addr family

lib/utils: added function for addr family

the field length is platform-dependent

daemon: ignore empty TA instead of failing

daemon: proper initialization of requests's source address

lib: answer finalization was changed

modules/tinyweb: fixed module path

wip: trustanchor(), compat with libknot2/libzscanner1

tests: synced deckard

all: ported to upcoming libknot APIs

this is not going to be backwards compatible change, but it will be the first tagged libknot release sufficient for resolver

modules: doc update

daemon: optional FFI to support e500

build: version bump

modules/policy: updated readme

build: fixed NDEBUG build

tests/deckard: synced to master

layer/iterate: fail answers with NSs outside bailiwick immediately

build: better incremental builds (less depends)

build: do not rebuild hiredis/libmc every time

build: revert hiredis to git

build: install hiredis to PREFIX

build: follow redirects in dl links

build: cleanup, added hiredis/libmemcached to Travis build

daemon: luasec/luasocket optional

build: merged #21,#22

thanks @darix!
fixes #21,#22

build: set soname for ELF libraries with versioning

fixes #20

build: fixed modules depends

fixes #19

build: fixed modules broken by latest build

fixes #18

Merge branch 'build-improvements'

scripts: added basic service/sysconfig/apparmor templates

this should help packaging the project to other platforms

thanks @darix!

support: updated doc, added config examples

build: library able to compile to both static/dynamic versioned libs

* PIE,RELRO+NOW and other security features enabled
* support for both static/dynamic builds with BUILDMODE
* dynamic library is ABI-versioned, starting at 1
* pkg-config file is installed

contrib: compile to convenience static library

this is needed to make sure it always compiles with PIC

build: hardening, doc, cleanup build rules

lib: do not use potentially large stack allocations

rdata may be <=64k + 8B on stack which may be source of various mystery
errors later, for example in bindings or stackspace-constricted env

doc: documented default paths

layer/validate: buggy rrsig qtype resolution in tests

daemon/lua: update defaults (both v4/v6 localhost, 100M cache)

daemon: worker.id and worker.count documented

lib/cache: count clear()s as deletes

build: DESTDIR= support, doc

build: *DIR variables are assembled in Makefile

this allows to override any dstdir variable without
patching config.mk

daemon: root trust anchors automatically bootstrapped from IANA

if the root key file doesn’t exist, it will be populated from root DNSKEY query, which will be validated against root trust anchors retrieved over HTTPS with IANA cert verification against built-in current IANA cert CA. it requires luasocket and luasec for it to work. trust anchors XML file signature is not checked, as there’s no facility for PKCS7 checking yet.