Merge branch 'policy-domain' into 'master'

modules/policy: add 'domain' filter for equality matching

See merge request knot/knot-resolver!1228

modules/policy: deduplicate doc

modules/policy docs: tweak an example

Overriding records makes more sense on a particular name
than in a whole sub-tree.

modules/policy: fix doc

modules/policy: fix unused variable (luacheck)

modules/policy: add integration test for 'domains' function

modules/policy: use a list of domains, instead of a single domain

modules/policy: add 'domain' filter for equality matching

Merge branch 'spelling' into 'master'

spelling & edns_keepalive fix

See merge request knot/knot-resolver!1229

.gitlab-ci: omit unused variable

edns_keepalive: fix loading of module

Due to the typo in the EDNS keepalive init funcion name, the module
wouldn't be properly initialized after loading and wouldn't be
functional.

Signed-off-by: Josh Soref <jsoref@users.noreply.github.com>

spelling

Signed-off-by: Josh Soref <jsoref@users.noreply.github.com>

Merge branch 'nitpicks' into 'master'

nitpicks

See merge request knot/knot-resolver!1220

ci/distrotests: add fedora35, ubuntu2110

ci: allow extra sync time for macos GH action

doc logging: add a simple example

The brackets notation and string quotation are not obvious to everyone.

ci build:macOS: more delay

Today it was often failing due to starting too soon.
Nothing depends on this job, so it's cheap to start its check later.

doc: remove outdated note about survery

lib/resolve: clarify why debug level is checked

modules/nsid: improve sanity check

Merge branch 'lua-log-fix' into 'master'

lua log(): make it work again

See merge request knot/knot-resolver!1223

lua log(): make it work again

sandbox.lua:72: attempt to call global 'log_notice' (a nil value)
Broken by commit 39dd89db (MR !1208)

Merge branch 'zonemd-misc' into 'master'

various refactoring

See merge request knot/knot-resolver!1221

lib/cache: improve internal docs

lib/cache kr_cache_insert_rr(): add another parameter

NSEC* params were not being stashed by this function.  For prefilling
it's useful, but doing it on *every* NSEC* record would be quite a waste,
so we introduce a parameter to select this.

Implementation: there were good reasons not to implement this until
needed - it wasn't straightforward at all.

contrib/mempattern: add mm_ctx_delete()

It was a bit weird that the API had mempool creation but no deletion.

lib/utils: factor out kr_timer_* from GC code

Also be more careful about rounding, overflows and assertions in there.
The implicit internal timer was unused and didn't seem worth keeping.

lib/util: remove unused function

The POSIX APIs using `struct timeval` are deprecated anyway
in favor of clock_gettime() + `struct timespec`.

The function didn't seem well designed anyway, as `long` is just
32-bit on usual 32-bit platforms, which certainly isn't safe.
(roughly one month, on a quick glance)

Merge branch 'ipvx_priming_fix' into 'master'

modules/priming: don't query A/AAAA when IPv4/IPv6 is disabled

See merge request knot/knot-resolver!1222

modules/priming: don't query A/AAAA when IPv4/IPv6 is disabled

Previously we primed for A/AAAA addresses of root servers even when
the respective IP version was disabled from configuration.

Merge branch 'zonemd-validator' into 'master'

lib/dnssec: refactor some parts

See merge request knot/knot-resolver!1213

lib/dnssec.h: improve API docs

lib/dnssec/signature nit: improve API docs

lib/dnssec: add a simple validator API

lib/dnssec: make kr_dnskeys_trusted() cleaner

This way it will be easier to re-use (and more efficient).
I really disliked those searches for RRSIGs embedded deep inside.

Uh, I tried to keep the new function as clean as possible,
moving hacks to outside.

lib/dnssec: add a simpler version of kr_rrset_validate_with_key()

lib/dnssec: factor out trim_ttl()

That `pkt` check was useless.

lib/dnssec refactor: struct dseckey -> struct dnssec_key

I can't see motivation to add another abstraction layer here,
and it caused ugly type juggling.  Let's use the libdnssec's type.

lib/dnssec.c: refactor validate_rrsig_rr()

Merge !1218: doc: lua-basexx dependency, clarify unit tests

doc: Add missing lua-basexx dependency, clarify default unit tests

Merge branch 'docker-debug-mode-log' into 'master'

Dockerfile: polish request tracing in debug_mode

See merge request knot/knot-resolver!1217

Dockerfile: polish request tracing in debug_mode

Since v5.4.0, using both debug level log and request tracing duplicates
lines in the log output. This makes the log more readable while
hopefully keeping all the relevant information there.

Merge branch 'ci-knot-3.1' into 'master'

ci: use knot 3.1

See merge request knot/knot-resolver!1219

ci: fix pylint issues

ci: use Knot 3.1

Merge branch 'policy-rpz-origin' into 'master'

policy.rpz: fix origin detection in files without $ORIGIN

See merge request knot/knot-resolver!1215

policy.rpz: nitpick - format zone file

policy.rpz: test coverage for SOA-defined origin

policy.rpz: increase log severity

Issues affecting functionality of the RPZ should NOT be hidden
by default.

policy.rpz: fix origin detection in files without $ORIGIN

Merge branch 'systemd_nss-lookup' into 'master'

systemd: add interaction with nss-lookup.target

See merge request knot/knot-resolver!1216

systemd: add interaction with nss-lookup.target

The point is to allow other services wait for DNS availability.
Of course, kresd may not be the DNS provider for this machine,
but it seems reasonable to still do this by default.

Merge branch 'release-5-4-2' into 'master'

release 5.4.2

See merge request knot/knot-resolver!1212

release 5.4.2

scripts: remove ljezek from PGP keyblock

Merge branch 'nitpicks' into 'master'

nitpicks

See merge request knot/knot-resolver!1206

daemon/worker: work around a rare crash

So far we have no idea how it can happen, but in this (rare) case
it seems fine to keep the process running.

distro/test: turn off OBS packaging tests for CentOS7

Builds are still checked by the other pkftest suite. However, OBS
mirrors for CentOS 7 are just problematic. We've already tried to
contact them once, they fixed the issue but mentioned it will probably
come back. No point in wasting any more time with this test then.

etc/config: fix typo in privacy example

doc: update install instructions

distro/tests: update to leap 15.3

NEWS 5.3.2: add CVE-2021-40083 reference

CI: improve README.md

Our "debian-buster" CI image was clearly not a buster
(based on versions in logs).  I suspect this change can help.

trie_del: use KNOT_EOK instead of kr_ok()

Merge branch 'knot-headers' into 'master'

build: fix when knot-dns headers are on non-standard location

See merge request knot/knot-resolver!1210

distro/tests: fix leap15 test

knot-utils package is needed for kdig. However, if downstream package is
used, that tool is part of knot pkg instead - thus the missing package
would be non-critical. It is still needed if upstream packages are used.

build: fix when knot-dns headers are on non-standard location

Merge branch 'detect_time_skew-nits' into 'master'

modules/detect_time_skew: minor fixes

See merge request knot/knot-resolver!1211

modules/detect_time_skew: avoid cached `NS .`

Cache is persistent (in principle) and it might not have accurate data
for whatever reason.  Let's not bring caching complications into this.
It's cheap: just a single query to root server(s) on resolver start.

modules/detect_time_skew: fix wording of the message

Local time appears in future == the signatures appear not valid
*anymore*, and vice versa.

Merge !1207: lib/selection: improve the NO6 behavior

lib/selection: improve the NO6 behavior

With broken IPv6 and no knowledge of IP addresses, we were quite often
chosing to resolve a NS's AAAA and then using it... which wasn't good.
Let's give preference to A here as well.

Merge branch 'distrotest-centos-ca-certs' into 'master'

distro/test: update CA certificates for CentOS

See merge request knot/knot-resolver!1209

distro/test: update CA certificates for CentOS

On CentOS 7, the base image has an outdated LetsEncrypt certificate.

Merge !1208: lua: use notice level for log()

lib/log: check the *last* log group number

lua: use notice level for log()

By default, notice level is set. Thus, if users want to use log() in the
same way as pre-5.4, they'd have to increase the log level. This bumps
the log level of log() function to keep the same behavior.

Merge !1205: distro/tests: add debian11

ci: fix lint:pendantic

scripts: fix scanbuild on debian 11

tests/pytests: configure pylint to ignore consider-using-with

tests/pytests: remove dead code

ci: migrate jobs to debian 11

doc: fix build on debian 11

distro/tests: add debian11

Merge branch 'dns64-features' into 'master'

modules/dns64: new features

Closes #478 and #368

See merge request knot/knot-resolver!1201

modules/dns64: improve code readability

modules/dns64: document the new features

modules/dns64: implement "exclusion prefixes"

The RFC says we MUST do it, though this implementation is lazy and
avoids a SHOULD in the RFC.

lib/utils kr_straddr_subnet() nit

For example, absolute path meant for AF_UNIX could confuse this.

modules/dns64: add kr_query::flags.DNS64_DISABLE

It's not a perfect solution and with the future policy engine it will
hopefully be better, but it's really trivial to add this already.
(should've done that years ago)

modules/dns64: also map the reverse (PTR) subtree

modules/dns64: allow configuring by a table

Backward compatible.  It will be useful when adding further features.
Also improve config error traces.

Merge branch 'release-5-4-1' into 'master'

release 5.4.1

See merge request knot/knot-resolver!1204

release 5.4.1

Merge branch 'doh2-free-unsent-streams' into 'master'

doh2: ensure memory from unsent streams is freed

See merge request knot/knot-resolver!1202

doh2: use stream_write_data instead of stream  user_data

doh2: handle OOM when allocating callbacks

doh2: ensure memory from unsent streams is freed

The nghttp2 on_stream_close callback is only called for streams that are
properly closed. If we need to tear down the HTTP connection due to any
reason (e.g. IO error in underlying layer), some streams may not be
propely closed.

Due to HTTP/2 flow control, we may also wait indefinitely for the data
to be written. This can also cause the stream to never be properly
closed.

To handle these cases, a reference of allocated data is kept and we
ensure everything is freed once we're closing the http session.