daemon/lua/trust_anchors: Use module 'http.request' instead 'ssl.https'

modules/prefill: support large zone file

modules/prefill: Add the functionality to specify a custom CA file

modules/prefill: Remove unused ltn12

modules/prefill: Fetch root zone file asynchronously

modules/prefill: Use module 'http.request' instead 'ssl.https'

Merge branch 'multiple-config-files' into 'master'

daemon/main: support multiple config files

See merge request knot/knot-resolver!909

clarify errors from luaL_dofile while loading configs

daemon/main: remove "-" from config array

daemon/main: log config path and workdir

lib/utils: create get_workdir() utility function

daemon/main: use engine_loadconf() for default config

daemon/main: remove useless l_dosandboxfile macro

The exact same function is implemented as luaL_dofile() in Lua 5.1,
there seems to be no reason to use our project-specific macro for it.

https://www.lua.org/manual/5.1/manual.html#luaL_dofile

daemon/main: support multiple config files

Merge branch '520-prefill-remove-depedency-on-lua-filesystem-lfs' into 'master'

prefill: remove depedency on lua-filesystem (lfs)

Closes #520

See merge request knot/knot-resolver!912

prefill: remove depedency on lua-filesystem (lfs)

Merge branch 'ci-obs-buildall' into 'master'

ci: allow failure of obs:build:all

See merge request knot/knot-resolver!910

ci: allow failure of obs:build:all

This job tends to fail very often, but very frequently due to issues
with OBS itself - outside of our control. The output of the job can
still be useful to check manually, e.g. before releases.

ci: document confusing allow_failure: false

This value seems to be the default, but it is important to have
it set explicitly, otherwise when: manual actions could be skipped

https://docs.gitlab.com/ee/ci/yaml/#whenmanual

Merge branch 'lua_gc' into 'master'

lua: stop trying to tweak lua's GC

See merge request knot/knot-resolver!201

lua: stop trying to tweak lua's GC

cherry-picked from f0ca89ac, original author Vlada Cunat

TL;DR: I believe all lua_gc() calls stemmed from misunderstanding lua
documentation, and the current settings seem potentially dangerous.

First, let me rely on lua 5.1 docs, as luajit 2 is documented to have
done only minor changes in the GC.
http://www.lua.org/manual/5.1/manual.html#lua_gc
http://wiki.luajit.org/New-Garbage-Collector#rationale

Commit 5a709411 claims to have increased the speed of GC to 400 % of
speed of allocation, but LUA_GCSETSTEPMUL is the parameter that
controls that, and that one was lowered to 99 % and later in
0ee2d1d7 even to 50 %.  Documentation explicitly says that setting
the value under 100 % may cause problems.

The default values seem perfectly sane to me and currently I can't see
any particular reason to change them.  It's 200 % relative GC speed,
and waiting for allocated size to double before starting another cycle.

I assume the resulting possibility of GC being too slow caused the need
to explicitly force a non-incremental GC cycle once in a while, but
that seems not useful anymore and not good for latency.

Merge branch 'reuseport-freebsd' into 'master'

daemon/io: use SO_REUSEPORT_LB if available (FreeBSD 12.0+)

See merge request knot/knot-resolver!907

daemon/io: use SO_REUSEPORT_LB if available (FreeBSD 12.0+)

and don't use SO_REUSEPORT on non-Linux.  (Free)BSD has a different
meaning for it, which only brings confusion - only the last instance
would be getting packets.

Merge branch 'tty-logging' into 'master'

daemon/ tty commands: don't log unless --verbose

Closes #528

See merge request knot/knot-resolver!908

daemon/ tty commands: don't log unless --verbose

It's minimalistic: no change if in interactive or --verbose mode.

Merge branch 'systemd-instance' into 'master'

systemd: add env variable SYSTEMD_INSTANCE

See merge request knot/knot-resolver!906

systemd: add env variable SYSTEMD_INSTANCE

Merge branch 'ci-update' into 'master'

ci: updates

See merge request knot/knot-resolver!905

ci: update respdiff jobs

ci: allow odvr release in tag pipelines

Merge branch 'release-4-3-0' into 'master'

update NEWS, bump to 4.3.0

See merge request knot/knot-resolver!904

update NEWS, bump to 4.3.0

Merge branch '518-confidential-issue' into 'master'

Resolve "RRset merge operation is too slow for big RRsets"

Closes #518

See merge request knot/knot-resolver!903

NEWS: update

doc: clarify upgrade instructions for modules

lib/utils kr_ranked_rrarray_add(): clarify merging RRs

ci: skip MacOS tests in security repo

iterate: better efficiency on huge RRsets

- written relatively defensively - act OK even if the API
  isn't used in an ideal way
- CI lint:scan-build: bump the error count;
  It's only another instance of the mis-detected array_push().
- the removed stale note in modules/meson.build isn't really related

Merge branch 'cname-limit' into 'master'

iterate: fix limit on CNAME chain length

See merge request knot/knot-resolver!899

ci: skip Travis build for security repo

iterate: clarify error messages about CNAME chains

iterate: tests for CNAME chain restrictions

iterate: reduce CNAME length limit: 40 -> 13

Unbound has limit 10, and practically useful numbers are way lower.

iterate: fix limit on CNAME chain length

The accounting was just broken and overly messy anyway.

Merge !896: daemon: support dropping capabilities

NEWS: mention dropping capabilities

distro/*: add libcap-ng dependency

systemd/nosocket: use capabilities

daemon/main: add libcap-ng support to drop capabilities

Merge branch 'perf-lua-ffi_cleaned' into 'master'

performance: lua-related improvements

See merge request knot/knot-resolver!874

modules/ta_signal_query: optimize

Basically the same as the parent commit (just much simpler).

modules/ta_sentinel: optimize

When all lua modules get unloaded, this change makes the module's
contribution to QPS unmeasurable (for me), saving a few percent.
The point is to almost always return very cheaply, in particular without
creating any lua GC object (like FFI for kr_query).

Note: some checks didn't make much sense, so I improved those as well.

modules/policy: optimize special domain processing

Running the full special-domain checks is relatively expensive.

modules/policy: optimize postrules

I've never seen anyone use postrules.

lua FFI: avoid frequent usage of lua_pushpointer()

The new way of transitioning to layer callbacks - done because of
portability (mainly to aarch64) - is a bit expensive.  This is a simple
way of recovering that cost.  Merge 603a24f regressed speed a bit.

Merge branch 'packaging-fixes' into 'master'

Packaging fixes

See merge request knot/knot-resolver!895

systemd: add proper User/Group

The Group= settings was ommited and default group of User= was
implicitly used. Now the group set at build time is respected.

GC didn't respect the user/group set at build time at all.

distro/*: http module requires the same knot-resolver version

Previously, it was possible to update just "knot-resolver" even
when the "knot-resolver-module-http" package was installed, or the
other way around.

Merge branch 'ci-timeout' into 'master'

ci: increase test timeout

See merge request knot/knot-resolver!897

ci: increase test timeout

During heavy load, test:valgrind tends to fail quite often with timeout.
This should improve the situation.

Merge branch 'packaging-docs' into 'master'

tests: packaging

See merge request knot/knot-resolver!892

tests: packaging

Directory with subdirectory "packaging" is called "component".

List all components: python3 tests/packaging-doc.py --list
Run all tests/compoments: python3 tests/packaging-doc.py
Run specific test/component: python3 tests/packaging-doc.py --test <component>

The file structure for 1 component:
daemon - dependencies for 1 component "kresd daemon" (default component, must always be there)
scripts/distros - dependencies for 1 component for specific distro (must always be there)
scripts/dockerfile_gen.py - test Dockerfile generator, see below
tests/packaging.py - script to generate and build all combinations
                     of Docker files for all components
[component] - directory of component/test, see below
      (e.g. "client/packaging/", "modules/http/packaging/" etc.)

The file structure of each component:
[component]
<distro>/<version> - package names
- builddeps - list of build depedencies
- rundeps - list of runtime depedencies
- pre-build.sh - script called before build phase
- post-build.sh - script called after build phase
- pre-run.sh - script called before run phase
- post-run.sh - script called after run phase
- install.sh and build.sh script called during build phase
test.config or test.sh - kresd config test or shell script
note: content of "scripts/distroos" is same as "<distro>/<version>" of component.

There are "build" and "run" phases. "build" phase precedes "run" phase.
All script are called in this order:
1. pre-<phase>.sh
2. install packages specifed in the file "<phase>deps"
3a. for "build" phase: run build.sh and install.sh
3b. for "run" phase: run 'kresd -c [component]/test.config' or config.sh
4. remove packages specified in the file "<phase>deps"
5. post-<phase>.sh

Each step above is combines base components with a component under test.
E.g. component "scripts/distros" always precedes component "daemon/packaging"
and it precedes the tested component e.g. "modules/http".

In long term we might migrate this to py.test or some other well known
framework.

Merge branch 'doh_decrypt' into 'master'

DoH debugging: auxiliary library for OpenSSL key logging

See merge request knot/knot-resolver!886

distro/rpm: fix opensuse build

opensslkey_debug is never built for opensuse, because
openssl is not a dependency, thus there's no need to remove
the non-existent file.

dog debug: ignore -Wpedantic to unblock CI

It would be cumbersome to explicitly cast all those void*
to correct function types.

doh debug: do not build debug_opensslkeylog if openssl is missing

ci: add openssl devel package for http module debug library

doh debug: add depedency on openssl to meson build

doh debug: package debug_opensslkeylog.so

doh debug: log timestamp of each OPENSSLKEYLOGFILE opening

Wireshark 3.0.5 is able to deal with # comments in middle of log file.

doh debug: create OPENSSLKEYLOGFILE accessible only by process owner

doh debug: log timestamp of OPENSSLKEYLOGFILE creation

doh debug: build and install OpenSSL SSLKEYLOGFILE helper library

It is not used in any way by default, enabling it requires manual
LD_PRELOAD= trickery as described in the source file.

doh debug: avoid warning about _GNU_SOURCE redefinition

doh debug: use more descriptive name debug_opensslkeylog

doh debug: rename SSLKEYLOG environment variable to OPENSSLKEYLOG

This avoids conflict between GnuTLS's built-in SSLKEYLOG and our hack
for OpenSSL. This would be important for instances which run
DNS-over-TLS using built-in GnuTLS
and at the same time DNS-over-HTTPS using lua-http (based on OpenSSL).

doh debug: add helper library with OpenSSL SSLKEYLOGFILE= support

Original file is GNU GPLv3+ licensed and was copied from
https://git.lekensteyn.nl/peter/wireshark-notes/plain/src/sslkeylog.c
blob: 370668907056f769e2d09bf7bd2e768249049f8f
commit: de25eb75c8d90282ba90396218210c4601603347
Copyright (C) 2014 Peter Wu <peter@lekensteyn.nl>

Merge branch 'zone-forward-ng' into 'master'

cache entry_list: fix crash on insertion via lua

See merge request knot/knot-resolver!889

tests: skip Deckard integration tests if sendmmsg is enabled

All Deckard tests would fail anyway so we now print a warning and skip
Deckard tests.

cache: integration test for explicit NS insertion

cache entry_list: fix crash on insertion via lua

When inserting NS or xNAME, we could get into this place with
qry == NULL, and we'd crash when trying to use the memory pool.
Let's simply use the stack instead.

Merge branch 'rpm-config-permissions' into 'master'

distro/rpm: move root.keys to proper location

Closes #513

See merge request knot/knot-resolver!888

distro/rpm: don't mark certificate as config file

distro/rpm: move root.keys to proper location

Fixes #513

meson: add option install_root_keys

meson: enable root keys installation to keyfile_default location

Merge branch 'sendmmsg_use-after-free' into 'master'

sendmmsg: fix a use-after-free case

See merge request knot/knot-resolver!891

NEWS for sendmmsg (preliminary text)

daemon/worker: add assertion

It might detect some use-after-free cases even without ASAN.

daemon/udp_queue: add a ref-unref pair

I must admit I don't really understand why we had a rare case
of use-after-free in the sendmmsg call, but this change should avoid
that without affecting anything else.

Merge branch 'ci-backtraces' into 'master'

ci: print backtraces from respdiff/resperf

See merge request knot/knot-resolver!893

ci: print docker output on respdiff/resperf failure

ci: use new security repo in gitlabci

Merge branch 'ci-boxes' into 'master'

ci: update distrotests

See merge request knot/knot-resolver!890

ci: use new distros for distrotests

distro/tests: add ubuntu1910

distro/tests: add Fedora 31

distro/tests: use generic/opensuse15 box

distro/tests: make ansible debug output readable

meson: remove upper version limit for knot

The advanced version comparison was isn't implemeted in meson 0.46,
which is used for CentOS 7 and it caused build issue with development
version of Knot.