Merge branch '510-prometheus-and-graphite-metrics-are-missing-some-cache-stats' into 'master'

cache: add number of entries to cache.stats()

Closes #510

See merge request knot/knot-resolver!1028

cache: add number of entries to cache.stats()

Merge branch 'luajit-aarch64' into 'master'

daemon/lua: get rid of __engine symbol in lua

See merge request knot/knot-resolver!1033

daemon: don't get worker from uv_loop_t::data anymore

daemon/bindings: get rid of engine_luaget()

Lots of lines affected, but it gets slightly simpler.

daemon/lua: get rid of __engine symbol in lua

In particular this gets rid of last light user data inside kresd.

It was still causing problems on some systems, for example Debian Sid.
The error was the same: "bad light userdata pointer" from luajit,
but note that the problem can still be triggered by lua libraries,
e.g. cqueues.

Merge branch 'doc-worker-stats' into 'master'

doc: include worker.stats() description

See merge request knot/knot-resolver!1034

doc: include worker.stats() description

Merge branch 'ci_update' into 'master'

CI docker image update

See merge request knot/knot-resolver!1032

ci: avoid broken py.test 6.0.0 and dnspython 2.0.0 which causes linting errors

References:
- https://github.com/pytest-dev/pytest/pull/7565
- https://github.com/rthalley/dnspython/pull/561

ci: add tcpdump for Deckard to Debian image

Merge !1031: kr_pkt_text: accept OPT anywhere in ADDITIONAL

deckard: update to fix in CI (new dnspython in image)

kr_pkt_text: OPT RR does not need to be at the end of Additional section

Previous code incorrectly assumed that OPT was last RR in section
and this lead to truncating output.
https://tools.ietf.org/html/rfc6891#section-6.1.1 clearly states that
OPT can be anywhere in Additional section.

Printer relies on checks in libknot packet parser: check_rr_constraints()
prevents packets with more OPT RRs or OPT outside of additional section
from being parsed so the printer cannot see them.

Merge branch 'systemd-noversion' into 'master'

meson: don't pass libsystemd version to C preprocessor

Closes #592

See merge request knot/knot-resolver!1029

meson: don't pass libsystemd version to C preprocessor

We don't use it anymore, and on some systems it's apparently
not an integer.

Merge branch 'validate-signer-bailiwick' into 'master'

validate: don't chase non-sensical signers

Closes #587

See merge request knot/knot-resolver!1022

validate: don't chase non-sensical signers

When signer name isn't a prefix of owner, the signature does not make
sense and it's no use trying to use that signer name in any way.

We generally don't force queries on every level of the path,
so this signer confusion could "introduce SERVFAILs" if we
skip over a transition to insecure.

Merge branch '580-add-cache-usage-to-cache-stats' into 'master'

cache: add percentage usage to cache stats

Closes #580

See merge request knot/knot-resolver!1025

cache: add percentage usage to cache stats

Merge branch 'nitpicks' into 'master'

nitpicks: batch of tiny fixes collected over time

See merge request knot/knot-resolver!1024

ci travis: move to the last stage

So that the overall pipeline time isn't extended too much.

ci travis: tweak the timeouts a bit

In the past week the Travis runs have been consistently taking much more
time than before, usually around 20 minutes, leading to our CI timing out.
https://travis-ci.com/github/CZ-NIC/knot-resolver/builds

lib/resolve nitpick: missing newline in verbose message

.travis.yml: nit fixes according to the validator

- root: deprecated key sudo (The key `sudo` has no effect anymore.)
- root: key matrix is an alias for jobs, using jobs

doc-comments: fix some of the complaints from doxygen

There's still frequent issue that documenting some parameters would be
mainly noise but doxygen will warn when not doing it.
WARN_IF_UNDOCUMENTED apparently doesn't cover this and
WARN_IF_DOC_ERROR would probably remove even some useful warnings.

stats nitpick: nicer code

remove more --forks=1 ocurrences

It's deprecated since 5.0.0.

Merge !1023: pytests: fix tls session resumption tests

treewide: rename remaining deprecated labs URLs

pytests: fix tls session resumption tests

Merge branch 'tls_resumption_multi_process' into 'master'

tls: fix compilation to support net.tls_sticket_secret()

See merge request knot/knot-resolver!1021

config tests: better test net.tls_sticket_secret()

The trick there is that it isn't supported (by us) on gnutls < 3.6.3.
I checked that the test fails before the fix in parent commit
and that it succeeds (is skipped) with gnutls 3.6.2.

tls: enable net.tls_sticket_secret() for session resumption across processes

Merge branch 'gitlab-move' into 'master'

treewide: move to our new GitLab URL

See merge request knot/knot-resolver!1019

treewide: move to our new GitLab URL

s/gitlab\.labs\.nic/gitlab.nic/g
Redirects are in place, so it shouldn't be required now, but why not.

Merge branch 'test_cleanup' into 'master'

test cleanups

See merge request knot/knot-resolver!1017

module tests (daf + prefill): switch to shared check_answer()

I think this eliminates the remaining copies.  Most of the places don't
need all the features, but it still seems worth to deduplicate.

config tests: log test file name at the beginning of output

config tests: detect incorrect config test suite definitions

Old behavior where test definition without "return" was silently
skipped was very confusing.

config tests: do not load and detect_time_skew and ta_update modules

It was only generating noise in test logs, especially when network is
not abvailable/is intentionally disabled.

Merge !1012: don't drop capabilities when running as root

meson: add build options to disable libcapng

daemon: don't drop capabilities when running as root

When the effective user is root, no capabilities are dropped. This
change has no effect when running as non-privileged user or when
switching to non-privileged user via user() in config.

Dropping capabilities as a root user resulted in the following
unexpected behaviour:

1. When using trust anchor update, r/w access to root keys is neeeded.
   These are typically owned by knot-resolver user. When kresd is
   executed as root and capabilities are dropped, this file was no longer
   writable, because it is owned by knot-resolver, not root.
2. It is impossible to recreate/resize cache due to the same permission
   issue as above.

If you want to drop capabilities when starting kresd as a root user,
you can switch the user with the `user()` command. This changes the
effective user ID and drops any capabilities as well.

Merge branch 'release-5-1-2' into 'master'

release 5.1.2

See merge request knot/knot-resolver!1018

release 5.1.2

doc: default to ignoring warning during doc build

Add new target doc-strict for development to detect warnings, but avoid
failing package builds due to documentation warnings.

distro/rpm: use opensuse license format

opensuse and fedora/epel use different license strings, but the opensuse
value is used in Knot DNS, so let's be consistent.

Cherry picked from https://build.opensuse.org/request/show/817870

distro/tests: remove fedora30 (EOL)

Merge branch 'rpz-warnings' into 'master'

policy.rpz: various fixes

See merge request knot/knot-resolver!1016

NEWS: describe the RPZ fixes

policy.rpz: support local data with larger RRsets

tests check_answer(): support checking RDATA

Also allow using empty set as an alternative to NODATA pseudo-RCODE,
and migrate RPZ tests to this merged function.

policy.ANSWER: allow multiple RRs

... by allowing .rdata to be a table.  Larger RRsets seem useful.

policy.rpz: fix $ORIGIN-related handling

- use parser-detected $ORIGIN instead of looking at SOA owner
- skip records outside $ORIGIN (and warn) instead of nesting them
- simplify a bit, and tweak warnings

policy.rpz: don't warn on NS and SOA records

Also utilize table indexing.
This was a "regression" from extending RPZ support in 5.1.0.
NS and SOA are even mandatory, as RPZ is supposed to be a valid zone:
https://tools.ietf.org/html/draft-ietf-dnsop-dns-rpz-00#section-2

Merge branch '585-graphite-prevents-kresd-to-start-if-graphite-server-is-not-available' into 'master'

graphite: Reconnect to the graphite server when it was unavailable

Closes #585

See merge request knot/knot-resolver!1014

graphite: NEWS

graphite: use TCP timeout value derived from publish interval

It seems pointless to accumulate "late" connection attempts.

graphite: make socket operations asynchronous

graphite: more informative socket error messages

graphite: reconnect to the graphite server when it was unavailable

Merge branch 'gc-fixes' into 'master'

GC fixes

See merge request knot/knot-resolver!1009

gc: use kresd versioning instead of separate one

I don't think it makes sense to ever package it separately from kresd,
so why should it have separate versioning? (could be confusing)

gc: print numbers in more readable way

gc: fix integer overflow when computing how much to GC

On 32-bit systems the insufficient GC could commonly happen:
https://lists.nic.cz/pipermail/knot-resolver-users/2020/000265.html

The meaning of -f parameter got slightly changed, so that the buggy
computation could be greatly simplified.  GC seems to make sense when
most of cache space is used, in which case the difference is small.

gc: fix flushing of messages to logs

There were the usual effects: very incorrect timestamps (even by days),
and I suspect we could even lose some logs completely.

Merge !1013: lib/cache: fix locking around cache preallocation

Fixes #582.

cache: NEWS for prealloc lock fix

lib/cache: fix locking around cache preallocation

Merge !1010: meson: treat -Wattributes as error

meson: treat -Wattributes as error

Trie relies on __attribute__(cleanup) and if its missing, it could
lead to memory leaks such as:

https://sonarcloud.io/project/issues?id=dns-oarc%3Adnsjit&issues=AXDyskhlrWLe1VCMvmVe&open=AXDyskhlrWLe1VCMvmVe

Merge branch 'packaging-pytest' into 'master'

CI: optimize packaging tests

Closes #541

See merge request knot/knot-resolver!947

CI: error handling when using gitlab api

tests/packaging: fix runtime dependencies

tests/packaging: add centos 8

tests/packaging: add ubuntu 20.04

tests/packaging: add f32, remove f30

scripts: remove obsolete make-archive.sh

tests/packaging: python nitpicks

tests/packaging: rename packaging file directories to .packaging

tests: Remove old packaging tests

packaging tests: Remove dependency on knot-resolver-release package

CI: run all distributions on nightly branch

packaging tests: add refuse_nord

packaging tests: Add Debian 9, CentOS 7, Fedora 30 and 31, Ubuntu 16.04
and Ubuntu 18.04, Leap 15.2

packaging tests: remove unused files

Add test to .gitlab-ci.yml

Add README.rst

tests: pytest packaging tests for Debian 10 and Ubuntu Disco

Merge branch 'tls-alerts' into 'master'

daemon/tls: send fatal error on failed handshake

See merge request knot/knot-resolver!1007

daemon/tls: send fatal alert on handshake failure

If the TLS handshake process fatally fails (e.g. no matching cipher
suite / cert), sent an alert to notify the peer.

Merge branch 'hints-nodata-noaddr' into 'master'

modules/hints: NODATA answers also for non-address queries

See merge request knot/knot-resolver!1005

modules/hints/tests: test NODATA, fix module order

tests check_answer(): support testing NODATA

The fact that it's not a real separate RCODE
is always complicating stuff.

Also avoid using non-local variables.

tests check_answer(): do not return until finished

tests: move check_answer() into require('tests_utils')

modules/hints: NODATA answers also for non-address queries

Apparently the original implementation in 14de9110 didn't think of this.
Noticed by Fantomas:
https://forum.turris.cz/t/kresd-returns-nxdomain-for-local-mx-records/12991

Merge branch 'backup_submodules' into 'master'

use 3rd party submodule mirrors from our Gitlab

Closes #576

See merge request knot/knot-resolver!1006

use 3rd party submodule mirrors from our Gitlab

lua-aho-corasick and lua-tapered submodules now use our mirrors
to avoid problems when upstream repositories are deleted
(which happened to lua-tapered on or around 2020-05-21).