reference: negate offset printed in maxchange log message

This makes it consistent with other log messages.

makefile: add dependency to check target

main: setup access restrictions before initstepslew

ntp: close client socket when offline

ntp: close only client socket when destroying NCR instance

sources: ignore inactive sources in special mode ending

sources: add flag that source is active

When source is set as active, it's receiving reachability updates (e.g.
offline NTP sources are not active).

Also add function to count active sources.

ntp: reduce burst timeout to 2.0

With the new special mode ending it can be now equal to the burst
polling interval.

sources: rework special mode ending with unreachable sources

Instead of giving up when a source has 7 reach updates, continue as long
as at least one source has fewer than 7 updates and can still have 3
samples to be selectable in that number of updates.

When no sources are responding, it will give up sooner.

regress: make minimum number of samples for regression public

sched: fix main loop to allow timeout handlers modify fd set or quit

With special reference update modes, the timeout handlers may add or
remove file descriptors from the read fd set, so it needs to be copied
for select() call after they are dispatched. Also, they can now request
quit, so the exit flag needs to be checked before select() to avoid
hanging.

configure: add option to set default user

The default user is root by default, which disables root dropping by
default. The user directive or the -u option can still be used to set
the user.

main: support configuration commands on command line

If there are extra arguments on the chronyd command line, they will be
parsed as lines in a configuration file and the normal configuration file
will be ignored.

conf: allow NULL as filename

conf: split line parsing from CNF_ReadFile

main: add -q/-Q options to set clock/print offset once and exit

reference: add UpdateOnce and PrintOnce modes

logging: print warning message when not compiled with debug support

logging: set debug level instead of on/off

Prefix messages written to terminal with filename, line and function
name only with debug level 2 and higher.

logging: update format of messages written to terminal

Move the time stamp to start of the line and print full date in ISO 8601
format.

reference: exit with non-zero code when maxchange limit is reached

Use ending of normal mode to signal a failure.

sources: log selection messages only in normal reference update mode

We don't want to see source selection messages when initstepslew is
running.

ntp: reduce burst timeout to 2.5 seconds

This reduces the maximum time initstepslew can take.

ntp: set maximum number of iburst samples to size of reach register

Explicitly set the number of iburst samples to the size of the register
to make sure there are at least 7 reachability updates and the
initstepslew mode can be ended.

ntp: drop initstepslew NTP implementation

The initstepslew code has its own minimal NTP implementation. Drop the
code, add a new initstepslew mode to the reference updating code and
use regular NTP sources with iburst flag for initstepslew addresses
instead. When an update is made or a source is found unreachable, log a
message, remove the initstepslew sources and switch to normal mode.

This reduces code duplication and makes initstepslew use features
implemented only in the main code like source combining or SO_TIMESTAMP
support.

sources: replace beginning flag with size of reachability register

This will allow to detect sources that are not reachable on start.

sources: split source selection from sample accumulation

This will allow postponing source selection and reference update, which
could be useful in burst modes.

git: update .gitignore

test: add missing run script

conf: add bindacqaddress directive for client sockets

ntp: set only necessary socket options on client sockets

test: add 112-port

ntp: fix comment on NCR_ProcessUnknown

ntp: accept packets from unknown sources only from server sockets

test: update for latest clknetsim

Latest clknetsim now allows source and destination port numbers to
differ. This fixes the tests to work with the recent changes that added
client NTP sockets.

ntp: don't create server sockets if port is configured to 0

ntp: use separate connected sockets for each server

If acquisitionport is set to 0 (default), create and connect a new
socket for each server instead of using one socket per address family
for all servers.

ntp: use separate client sockets

Use separate sockets for NTP server or peer and client packets. The port
number is configured by the acquisitionport directive. With the default
value of 0 the port is assigned randomly by the kernel. It can be equal
to the value configured by the port directive to use the server sockets
for all packets as before.

ntp: don't try to bind acquire socket if port is equal to ntp port

ntp: check if packet was received by right socket

ntp: store socket in NTP instance

This is preparation for separate client sockets.

ntp: split local_ip_addr from NTP_Remote_Address struct

ntp: set invalid socket fd by macro

doc: improve commandkey and keyfile descriptions

ntp: set minpoll from received KoD RATE at most to 10

Limit changing minpoll to a reasonable maximum in case the server is
broken or temporarily misconfigured.

ntp: print warning when source is added with unknown key

ntp: reset negative minpoll or maxpoll to default values

cmdparse: don't allow NTP key ID of 0

Key number 0 is used as inactive key, prevent the user from
inadvertently not using authentication.

test: add 111-knownclient

test: add port number check

ntp: make use of NCR_ProcessUnknown in NCR_ProcessKnown

After recent changes the code in NCR_ProcessKnown is now identical and
can be replaced with NCR_ProcessUnknown call.

ntp: don't store tx time stamp when replying to known source

ntp: don't reply to known source if missing key or invalid auth

This is now similar to replying to unknown sources.

test: extend 105-ntpauth

ntp: don't send requests with unknown key

There is no point in sending a request if the configured key is missing.
A reply would be ignored anyway.

ntp: remove unnecessary KEY_KeyKnown calls

keys: don't cache position for unknown keys

client: print positive signed freq and offset values with sign

test: make 110-chronyc more tolerant

tempcomp: print warning message on error

tempcomp: use macro to set maximum allowed compensation

sourcestats: fix signedness in scanf format

makefile: improve check rule

Add simulation tests

Use clknetsim to run multiple chronyd instances with simulated clocks
and network. It allows fast and reproducible testing, without real
network.

Included are several tests of performance in different clock/network
conditions, chronyd options, NTP authentication, chronyc, and past bug
fixes.

configure: suppress pkg-config errors

Check array index before reading

Merge branch '1.29-security'

make_release: set owner and group in released tarball to root

make_release: remove config.log and config.h

Update NEWS

Update faq.txt

Send cmdmon error replies only to allowed hosts

The status codes STT_BADPKTVERSION, STT_BADPKTLENGTH, STT_NOHOSTACCESS
were sent even to hosts that were not allowed by cmdallow. Deprecate
STT_NOHOSTACCESS and ignore packets from hosts not allowed by cmdallow
completely.

Support previous protocol version in chronyc

This adds compatibility with chronyd using the previous protocol version
(chrony versions 1.27, 1.28, 1.29).

Add padding to cmdmon requests to prevent amplification attack

To prevent an attacker using chronyd in an amplification attack, change
the protocol to include padding in request packets so that the largest
possible reply is not larger than the request. Request packets that
don't include this padding are ignored as invalid.

This is an incompatible change in the protocol. Clients from chrony
1.27, 1.28 and 1.29 will receive NULL reply with STT_BADPKTVERSION and
print "Protocol version mismatch". Clients from 1.26 and older will not
receive a reply as it would be larger than the request if it was padded
to be compatible with their protocol.

Set maximum number of samples in manual list reply to 16

In chronyd the maximum number of manual samples is 16, so there is no
need to keep room for 32 samples in the command reply. This limits the
maximum assumed size of the reply packet.

Replace number and total fields in cmdmon reply packet with padding

They were not used for anything and there is no plan to change that.

Don't read uninitialized memory in client packet length check

Before calling PKL_ReplyLength() check that the packet has full header.
This didn't change the outcome of the test if the packet was shorter as
the invalid result from PKL_ReplyLength() was either larger than length
of the packet or smaller than header length, failing the length check in
both cases.

Remove superfluous code in read_from_cmd_socket()

Fix writing of drift and RTC files

Without sequence points the driftfile and RTC file could be closed
before new values were written.

Fix selecting of sources with prefer option

List of selectable sources that is used in combining was trimmed to
sources with prefer option, but scoring algorithm considered all
selectable sources. When a source without prefer was selected and
no source was combined, it caused assertion failure.

Remove superfluous code in SRC_SelectSource

Fix error message when chronyc can't open keyfile

Update comment on setting poll in reply packet

Don't allow maxpoll to be set shorter than minpoll

Convert linux kernel info messages to debug

Update linux_freq_scale and linux_hz documentation

Print error message on invalid syntax with all chronyc commands

Simplify expression used in frequency accumulation

Fix frequency accumulation again

This is a revert of commit 99d18abf updated for later changes. It seems
in that commit the calculation was changed to match the reversed dfreq
added in 1a7415a6, which itself was calculated incorrectly. Fix the
calculation of updated frequency and matching dfreq.

Convert disabled log message in rtc_linux.c to DEBUG_LOG

Update documentation on trimrtc command

Improve description of refclock delay option

Fix default device in rtcdevice description

Add option to read RTC LOCAL/UTC setting from hwclock's adjtime file

Replace /sbin/clock with /sbin/hwclock in documentation and comments

Make naming of RTC config functions consistent

Fix ordering of sections in documentation

Make section descriptions consistent in documentation

Write fatal messages also to stderr when started with -n

Don't try to write to parent logging fd when closed