privsep: copy configuration file into chroot

Only if it has changed.
Saves having to maintian it outside of dhcpcdm in a script or
something.

inet6: fix forced RA expiration for a given interface

privsep: chroot the master process

This means that the privileged actioneer process needs to cleanup
sockets and pidfile.
It also has some reliance on how dhcpcd is started to create
a decent chroot area AND copy the configuration file to it.

privsep: Close stdout/stderr after forking processes

Well, redirect them to /dev/null anyway.
Also tidy a few things in common whilst here.

BSD: Improve RTM_NEWADDR/RTM_DELADDR validaton some more

Only ignore address messages from ourself for deletion.

We need to process addition for flag changes.

BSD: Validate RTM_NEWADDR as well

This is important because the address could be added and quickly
deleted and RTM_NEWADDR arrvives after deletion.

inet6: Check if we can try a new address on DAD failure.

Not all prefixes are autoconfable.

inet6: Log expiration of a prefix if autoconf is not set

Rather than the address. Otherwise it looks wierd.

Minor fix to prior.

OpenBSD: Support privacy extensions

If course, OpenBSD is really different from other BSD's.
IN6_IFF_PRIVACY is their IN6_IFF_TEMPORARY.
Temporary addresses are on by default, you need to turn them
off on OpenBSD via ifconfig.
Temporary addresss timings are not configurable and the address
itself is always preferred over non temporary addresses within the
same scope.

inet6: Temporary addresses only work if prefix + ifidlen == 128

Cater for various prefix lengths when using temporay addresses.

privsep: chdir after chroot

chroot itself does not actually change the directory....

inet6: Support a /128 autoconf prefix from RA

This is apparently a thing. Unsure why, but heh ho.

Linux: Silence a warning on 32-bit Linux

BSD: Disable checking rtm_pid and comment why.

It's because we turn off SO_USELOOPBACK.
Also note that this trick does NOT work for addresses.

BSD: Ignore messages from ourself in privsep.

Linux: Use the persistent route socket for writing netlink msgs

This reverts 2c8dc9ee7.
This *should* be fine because we can detect ourself and privsep
sending messages so we can ignore them.

Typo

dhcpcd: Ignore SIGPIPE, prefer EPIPE.

This is mainly to get dhcpcd running in privsep on my ERLITE
router running some NetBSD pre-9 branch.

So far, seems harmless....

anonymous: Allow Domain Name option through.

To be clear, we don't send our domain name, we just request one
for old servers that don't support Domain Search.

DHCP6: Fix writing mudurl

dhcpcd: Don't report DUID or IAID in anonymous.

It just confuses things.

Solaris: Add a shim for hardware address randomisation

Doesn't work yet.

DHCP6: Fix a bogus compile warning

Linux: Support hardware address randomisation

FreeBSD: Support hardware address randomisation

if: Fix hardware address randomisation

And copy back the actual length of it, not the whole buffer.

dhcpcd: carrier up does not mean interface is up

And we really want it up here.

Implement Anonymity Profiles for DHCP Clients, RFC 7844

This works by randomising the hardware address when carrier is down
and using this to construct a DUID LL which is used over any saved
DUID. IAID is defaulted to zero and hostname + FQDN are disabled.
Then every possible option is masked out except for essential ones.

It's possible to request options *after* anonymous option which
will enable it. This is RFC compliant and allows 100% flexability
in letting the user decide what, if any, details leek out.

This is disabled by default.
Only works on NetBSD, other OS coming shortly.

Linux: close the netlink privsep socket once done.

privsep: Remove fd's from event loop and ensure all closed.

control: avoid unlinking the socket when sending commands

privsep: Fix prior so we init

privsep: Delay control startup after starting privsep

This means we don't need to close it for other processes.
Add ps_init so that we can change directory permissions before
starting privsep itself.

DHCP: Spawn a listener in non master mode for a new lease

Fixes a privsep issue

privsep: sa_family_t can be a different size

privsep: correct debug struct name

privsep: If the privsep user does not exist, reset errno

Incase logerrx sets it....
Now we work on musl!

ioctl: The POSIX signature differs from BSD and glibc

BSD and glibc have the signature for request as unsigned long.
musl and Solaris have a signed int.

As such, we need to detect this at compile time and adjust the
signature of our internal ioctl functions to match.
To keep the onwire format the same, memcpy the request to the
unsigned long request and back again, thus preserving the signedness.

Linux: privsep write uint to path needs to read the resultant error

Otherwise it hangs around and provides bogus errors to the next
caller of root processes.

privsep: Pad structs out so there are no uninited memory issues

Add #ifdef'd out debug code for them as well.

Linux: Improve privsep code a little

Linux: clean up some compile warnings without privsep

Linux: write uints to paths again

Remove debug ... sigh

DHCP6: Only set RT to state with callbacks.

eloop: header is now the single source of truth for SEC_PER_SEC

Saves duplication

DHCP: Fix a bogus gcc warning

This cast is no longer needed.

common: Remove some now unused timing definitions

dhcpcd: Use milliseconds rather than timespec for delays

common: Remove now unused timespec macros

inet6: Use milliseconds rather than timespec for calculating delays

inet6: Use milliseconds rather than timespec for calcuating delays

ARP: Use milliseconds rather than timespec for retransmission

DHCP: Use milliseconds rather than timespec for retranmission

eloop: fix some warnings

common: We don't use timespeccmp anymore.

It's error prone when time wraps.

inet6: Don't compare router dates when sorting

Newest routers are added at the end, so we prefer newest anyway.

eloop: We no longer use timespec macros here

arp: use eloop_timespec_diff to handle wrapped times

common: Don't need timespecadd/sub anymore

DHCP6: Calulate ReTransmission using milliseconds

This is the exact formula in RFC8415 Section 15, the prior one
was not so exact.
This makes the code a lot simpler and removes the need for
complicated timespec handling.

eloop: reduce timers rather than calculating expiry

This saves the need to store a created date per timer, we just need
to know when the timers were last changed which we can store in the
eloop.

This makes it easier to make the actual timeout for polling.

While here, add the eloop_timespec_diff function to workout the
elapsed time from usp to tsp even when time has wrapped on one or
both times.
This works if time wraps on the maximal size time_t allows AND
we know that tsp is always newer than usp.

eloop: Allow for for timeouts greater than time_t and time wrapping

On some systems time_t is int32_t.
However, on wire timeouts are generally uint32_t.
As such, we need to avoid using timespec internally except to
record when the timeout was created. Instead, record the timeout
as unsigned int seconds and long nanoseconds.

On long running systems using time_t as int32_t, monotonic time
would wrap after approximately 68 years. It's highly unlikely dhcpcd
would be running for so long, but just incase it does, the code
should now cope.

Welcome to 2020!

inet: Open ARP for probing when not in privsep.

inet: Allow forcing a host route from an interface without a lease

inet6: Adjust prior so that we don't support old kernels

Mulitplying retrans could overflow on 32-bit kernels with
big timers, so just don't bother.

Merge pull request #12 from andersk/ra-time-units

The RA times are provided in milliseconds, but commit
569051c8aa8fc297eb8edb7bd228e0fd353d30c1 (dhcpcd-8.1.3~18) “Linux:
prefer ms RA times” incorrectly scaled them by an extra factor of 1000
before writing them to retrans_time_ms and base_reachable_time_ms.
Instead, write the values in milliseconds directly to the *_ms files,
and correctly convert to jiffies or seconds for the other files if
necessary.

Signed-off-by: Anders Kaseorg <andersk@mit.edu>

Linux: fix RA time unit confusion

The RA times are provided in milliseconds, but commit
569051c8aa8fc297eb8edb7bd228e0fd353d30c1 (dhcpcd-8.1.3~18) “Linux:
prefer ms RA times” incorrectly scaled them by an extra factor of 1000
before writing them to retrans_time_ms and base_reachable_time_ms.
Instead, write the values in milliseconds directly to the *_ms files,
and correctly convert to jiffies or seconds for the other files if
necessary.

Fixes NixOS/nixpkgs#76710.

Signed-off-by: Anders Kaseorg <andersk@mit.edu>

options: Fix allocating the script option

When passing PARSE_STRING_NULL we expect to store the string
NULL terminated. As such, allocate space for it an ensure we have
space for it.

DHCP: Ensure we have a lease to extract options from.

privsep: Support the generic _dhcp entry on DragonFly

No need to create a specific _dhcpcd user in this instance.

Linux: Move RTA_OK and RTA_NEXT from a while to a for loop.

DHCP6: Remove now unused vars

DHCP6: Add disabled code to allow packet replay

I get bored of adding similar code from time to time just to
aid debugging, so let's just add it in.

Someone else might find it useful too.

DHCP6: Rework delegation deprecation

Split ipv6_addaddrs out so ipv6_doaddr can operate on a single address.
Call this when deprecating delegated addresses to avoid calling
ipv6_addaddrs.

This allows a more simple ipv6_addaddrs that doesn't need to test
which address collection we are deleting from and removes DHCPv6
specific code from the generic IPv6 module.

Correct URL in prior

Note some compilation issues and how to solve them.

Linux: work around alignment isses with clang

Linux: remove some casts no longer needed

DHCP6: Fix deprecating a delegated prefix

Be sure to remove the address using the right TAILQ member.
While here, simplify the initialisation of pd_pfxs.

options: Suboption 3 of NTP Server is a FQDN

As such it should be domain and not ip6address.

DHCP: Don't warn about expiry of deprecated addresses

compat: Add a guard to _strtoi.h

Not really needed but LGTM wants it which blows.
Should really take this upstream.....

Refix assertation....

IPv6ND: Fix reachable test

privsep: Don't close not open fd's

privsep: prefer IN_PRIVSEP macros

privsep: Enable ARP BPF filtering for interesting addresses

This brings parity with non privsep features.
Aside from the lack of Solaris support, but that's another day.

script: Document why this block is intentionally blank.

DHCP: dl is always >0 at this point, so remove check.

Found by the LGTM bot.

privsep: Fix an assertation

Found by LGTM bot.

privsep: Allow priviledge separation user to be specified by configure

privsep: Enable privsep by default

Except on Solaris where it's not expected to work.

privsep: Always check the unpriv user exists

So that every process fails and we can fall back to non privsep mode.

privsep: Dont exit the eloop on signal in the launcher process

The state engine will receive the signal and write back to the
fork_fd socket.

dhcpcd: log forked to background earlier

dhcpcd: Only report SSID when we have a carrier