test: add option to override generated server directives on client

sources: fix marking of non-preferred selectable sources

When reducing the list of selectable sources to sources with the prefer
option, sources before the first preferred source were left with the
SRC_OK status, which triggered an assertion failure in the next
selection.

smooth: add option to smooth out only leap seconds

The leaponly option can be used to enable a mode where only leap seconds
are smoothed out and normal offset/frequency changes are ignored. This
is useful to make the interval in which a leap second is smoothed out
constant and allow an NTP client to use multiple leap smearing servers
safely.

cmdmon: replace definitions of empty requests with null request

cmdmon: set only non-success status in command handling functions

cmdmon: refactor allow/deny functions

ntp: include message precision in peer dispersion

util: add UTI_Log2ToDouble()

util: handle NaN in UTI_FloatHostToNetwork()

client: handle empty hostname before slash in allow/deny commands

doc: remove chrony(1) man page

It's a copy of README, chrony(1) is not a program itself.

ntp: increase minimum replacement interval to 30 minutes

ntp: replace non-pool sources when unreachable or falsetickers

Sources that are not specified as a pool and have a name (i.e. not
specified by an IP address or added from chronyc) will be replaced with
a newly resolved address of the name when they become unreachable or
falseticker too.

ntp: add sources specified by IP directly without name resolving

ntp: improve alignment of columns in banner for measurements log

doc: update NEWS

doc: update chrony description

doc: document when smoothtime function is activated

sys: fix TMX_ResetOffset() to set status back correctly

reference: use 2012 leap second in leapsectz test

sources: ignore reselect distance when combining with refclock

use return to exit from main function

client: improve usage line

main: print usage with -h option

ntp: don't log error when socket() fails for client only socket

doc: don't mention ancient systems

Also, don't try to track working versions of supported systems, assume
current versions are ok.

update copyright years

doc: warn that unauthenticated peers are vulnerable to DoS attack

sys: clamp frequency set in generic driver on exit

util: don't allow time too close to 32-bit time_t overflow

In UTI_IsTimeOffsetSane() consider time in one year interval before
32-bit time_t overflow (in 2038) as invalid. Hopefully everything will
be using 64-bit time_t when that time comes.

doc: fix CVE-ID in NEWS

CVE-2015-1853 is for chrony, CVE-2015-1799 is for ntp.

doc: update NEWS

Merge branch '1.31-security'

Conflicts:
NEWS
ntp_core.c

sys: allow drivers to fail when applying step offset

Different systems may consider different time values to be valid.
Don't exit on settimeofday()/adjtimex() error in case the check in
UTI_IsTimeOffsetSane() isn't restrictive enough.

refclock: check offset sanity

manual: check offset sanity

local: check offset sanity before accumulation

Don't accept an offset that points to time before 1970 or outside the
interval to which is mapped NTP time.

local: clamp frequency offset

Don't allow frequency offset larger than 50%, the tracked time must not
stop or run backwards.

cmdmon: fix handling of client access command

Rework the loop to limit the number of iterations to MAX_CLIENT_ACCESSES
and not waste CPU.

ntp: set maximum allowed polling interval

To have an upper bound don't allow polling interval be larger than 24
(194 days).

doc: document smoothtime directive

doc: update NEWS

cmdmon: fix initialization of allocated reply slots

When allocating memory to save unacknowledged replies to authenticated
command requests, the last "next" pointer was not initialized to NULL.
When all allocated reply slots were used, the next reply could be
written to an invalid memory instead of allocating a new slot for it.

An attacker that has the command key and is allowed to access cmdmon
(only localhost is allowed by default) could exploit this to crash
chronyd or possibly execute arbitrary code with the privileges of the
chronyd process.

addrfilt: fix access configuration with subnet size indivisible by 4

When NTP or cmdmon access was configured (from chrony.conf or via
authenticated cmdmon) with a subnet size that is indivisible by 4 and
an address that has nonzero bits in the 4-bit subnet remainder (e.g.
192.168.15.0/22 or f000::/3), the new setting was written to an
incorrect location, possibly outside the allocated array.

An attacker that has the command key and is allowed to access cmdmon
(only localhost is allowed by default) could exploit this to crash
chronyd or possibly execute arbitrary code with the privileges of the
chronyd process.

test: extend 113-leapsecond for leap smear

ntp: smear leap second with slewing mode and smoothing

Suppress leap second in packets sent to clients when smoothing and leap
second slew mode are enabled.

test: add 119-smoothtime

ntp: add server time smoothing

Time smoothing determines an offset that needs to be applied to the
cooked time to make it smooth for external observers. Observed offset
and frequency change slowly and there are no discontinuities. This can
be used on an NTP server to make it easier for the clients to track the
time and keep their clocks close together even when large offset or
frequency corrections are applied to the server's clock (e.g. after
being offline for longer time).

Accumulated offset and frequency are smoothed out in three stages. In
the first stage, the frequency is changed at a constant rate (wander) up
to a maximum, in the second stage the frequency stays at the maximum for
as long as needed and in the third stage the frequency is brought back
to zero.

Time smoothing is configured by the smoothtime directive. It takes two
arguments, maximum frequency offset and maximum wander. It's disabled by
default.

ntp: protect authenticated symmetric associations against DoS attacks

An attacker knowing that NTP hosts A and B are peering with each other
(symmetric association) can send a packet with random timestamps to host
A with source address of B which will set the NTP state variables on A
to the values sent by the attacker. Host A will then send on its next
poll to B a packet with originate timestamp that doesn't match the
transmit timestamp of B and the packet will be dropped. If the attacker
does this periodically for both hosts, they won't be able to synchronize
to each other. It is a denial-of-service attack.

According to [1], NTP authentication is supposed to protect symmetric
associations against this attack, but in the NTPv3 (RFC 1305) and NTPv4
(RFC 5905) specifications the state variables are updated before the
authentication check is performed, which means the association is
vulnerable to the attack even when authentication is enabled.

To fix this problem in chrony, save the originate and local timestamps
only when the authentication check (test5) passed.

[1] https://www.eecis.udel.edu/~mills/onwire.html

test: fix source selection check

The chronyd log message changed from "no reachable sources" to "no
selectable sources" in 8f062454.

reference: update our reference time on slew

sourcestats: fix updating of slope on slew with large residual freq

test: make 009-sourceselection more reliable

test: add 118-maxdelay

test: add 117-fallbackdrift

reference: schedule fallback drift even when synchronized

After update to NTPv4 the synchronized status doesn't change when
sources are unreachable, start fallbackdrift timeout on reference update
too.

reference: don't limit fallback drift offset

reference: fix initial fallback drift setting

ntp: check also reference timestamp in test3

Zero reference timestamp doesn't pass test7, but only before we reach
the next NTP era.

cmdmon: remove obsolete request/reply in candm.h

cmdmon: fix noselect flag setting in source data

ntp: change default maxdelay to 3 seconds

doc: document leapsecmode directive

test: extend 113-leapsecond to test new leap modes

reference: use step leap mode by default if system is not supported

reference: update leap status right after leap second

Don't wait for the next update, there may not be any before the end of
the day.

reference: don't report synchronized status during leap second

During inserted leap second the time is invalid, reply with
unsynchronized status to avoid confusing clients that are not smart
enough to ignore measurements close to leap second.

reference: add new leap second handling modes

In addition to the system driver handling add new modes to slew or step
the system clock for leap second, or ignore it completely. This can be
configured with leapsecmode directive.

sys: avoid syslog message when leap bits are not changed

After leap second the kernel removes STA_INS and STA_DEL bits from the
adjtimex status automatically, don't report a change when clearing the
bits.

refclock: start refid numbering at zero

Commit d92583ed inadvertently changed the refclock refid numbering to
start from 1 instead of 0. Restore the original numbering.

ntp: fix maxdelayratio test

This was broken in commit 8fbfe55e.

test: require latest clknetsim

doc: update NEWS

examples: add chrony.conf.example1

This is a minimal example.

examples: update configuration examples

examples: rename chrony.conf.example to chrony.conf.example3

Order the examples by complexity.

doc: update chrony.conf man page

doc: update chrony.texi

test: add compilation test

Check if chrony can be compiled in various combination of disabled
features. This should fail if there are missing functions in stubs.c.

clientlog: remove unused code

cmdmon: bind to loopback interface by default

cmdmon: use system values for loopback addresses

test: require latest clknetsim

contrib: remove DNSchrony from distribution

With the new pool directive chronyd is now able to replace unreachable
NTP servers with newly resolved addresses automatically. Starting
without DNS wasn't a problem since 1.25.

ntp: remove unnecessary check in read_from_socket()

create NTP and cmdmon sockets after root drop

This is now possible as we keep the cap_net_bind_service capability.

ntp: keep all length constants signed

This should make it harder to accidentally create an unsafe comparison
between signed and unsigned values.

ntp: use different value for invalid socket in ntp_core

This should make it easier to see invalid sockets leaking from ntp_core
to ntp_io.

ntp: fix length check of NTPv4 extension fields

Don't allow extension fields shorter than 16 bytes.

ntp: open server socket only when access is allowed

When changing access configuration, check if any address is allowed and
open/close the server socket as needed.

ntp: count references to NTP server sockets

Server sockets are now explicitly opened and closed for normal NTP
server, NTP broadcast and NTP peering. This will allow closing the
NTP port when not needed.

sys: keep cap_net_bind_service capability

This will be needed to allow opening of NTP server socket after root
privileges are dropped.

ntp: rename NIO_Get*Socket functions

doc: improve FAQ section on improving accuracy

doc: use example.net domain in examples

doc: update description of tracking command

Negative root delay is never reported with the current code.

doc: list server/peer options that can be set in chronyc

doc: fix examples of add server and add peer commands

cmdparse: add function to convert error status to string

This is used to avoid duplication of error printing in chronyd and
chronyc.

sys: use system headers for adjtimex