lua: fix a mistake in kr_query, and simplify serve_stale

Fields after kr_nsrep got offset; fortunately only new fields were
added in there, unused from lua so far.

lua bindings: regenerate after renames in 06acb579

Merge branch 'draft-ietf-dnsop-kskroll-sentinel-01' into 'master'

Implement draft-ietf-dnsop-kskroll-sentinel-01

See merge request knot/knot-resolver!497

ta_sentinel: fix is/not logic

I got confused by the original text in
draft-ietf-dnsop-kskroll-sentinel-00 and inverted meaning of is/not
sentinel queries.

ta_sentinel: use names from draft-ietf-dnsop-kskroll-sentinel-01

Version 01 uses names incompatible with version 00.

Merge branch 'docker-git' into 'master'

ci: Dockerfile.debian - add newer git

See merge request knot/knot-resolver!496

ci: Dockerfile.debian - add newer git

git<=2.11 has issues with 'ls-files --recurse-submodules' command
which is used to generate upstream tarball

Merge branch 'policy-TLS-306' into 'master'

policy.TLS_FORWARD: fix a bug, add test + NEWS

Closes #306

See merge request knot/knot-resolver!492

NEWS: collect notable items up to now

policy.TLS_FORWARD tests: add cases from Tomas

policy.TLS_FORWARD: refusal when configuring with multiple IPs

Fixes https://gitlab.labs.nic.cz/knot/knot-resolver/issues/306

Merge branch 'update-ci' into 'master'

update CI

See merge request knot/knot-resolver!494

ci: add obs dependency to Dockerfile

ci: update respdiff config to newest version

Merge !493: stats.list(): fix returning nothing

stats module: fix stats.list() returning nothing

I messed this up in 44c2ea6bb0 !465.

Merge !481: detect_time_jump: keep cache on suspend-resume

Closes #284

detect_time_jump: don't clear cache on suspend-resume

This changes more time than anticipated, as the old naming didn't apply
anymore (time of last cache clear).

Merge branch 'fedora-symbols-again' into 'master'

Fedora symbols again

See merge request knot/knot-resolver!491

make: hopefully fix the modules again for Fedora

- their `cc --version` doesn't start with "gcc"
- modifying CFLAGS at this point doesn't work,
  so we modify BUILD_CFLAGS instead (_vomit_)

make: also print the linker command

Merge branch 'tls-push-refactoring' into 'master'

refactoring of the tls data sending scheme

See merge request knot/knot-resolver!489

daemon: tls; cleanup

daemon: unificate tls structures to avod code duplication

daemon: cleanup errors; avoid discrepancy between declaration and definition of tls_close()

daemon: avoid uv_try_write() usage both in tls-client and tls-server side; bugfixes

daemon: server-side tls: use asynchronous network io model

Merge branch 'nitpicks' into 'master'

nitpicks, see commits

See merge request knot/knot-resolver!480

kr_rplan_next: remove prototype

It had no implementation for years - since 456e5446ad4.

(cherry picked from commit 59126a772f1908543da68f87d646a1d08b32836f)
The commit was apparently "reverted" unintentionally when resolving
conflicts in a5b14c25b5a1.

update README.md

- no need to have gitter twice
- update information about modules (one cache, no alternative backends)
- add EPEL 7
- add mailing-list
- link to stable docs instead of latest master

resolve write_extra_ranked_records: fix hiding and error

Detected by clang as dead store.

version module: more understandable logging

Just loading the module without option was printing that it expected
number of milliseconds, which could've been confusing.

cache: assume NSEC if ". NS" is missing in cache

This happens e.g. after cache.clear(), and currently one can stay
long-term without that record in cache.  That was effectively disabling
aggressive answers from the root zone.

This needs disabling a buggy part of Deckard test.

main: fix --forks default

It mostly worked, just by accident.
I see no use for negative initialization in this case.

io: fix a no-return with -DNDEBUG

Merge !486: daemon: more consistent outbound TCP timeout

There's no real effect, probably.

daemon: set timeout for outbound tcp session more consistent

Merge !485: scripts: archive - dereference symlinks

scripts: archive - dereference symlinks

Symlinks are pointing to broken locations with the way we generate
source tarballs. Dereference them to avoid this issue.

Merge !484: doc: move kresd.systemd to section 7

doc: kresd.systemd belongs in section 7 of the manual

"man man" says that the sections are:

       1   Executable programs or shell commands
       2   System calls (functions provided by the kernel)
       3   Library calls (functions within program libraries)
       4   Special files (usually found in /dev)
       5   File formats and conventions eg /etc/passwd
       6   Games
       7   Miscellaneous  (including  macro  packages  and  conventions), e.g.
           man(7), groff(7)
       8   System administration commands (usually only for root)
       9   Kernel routines [Non standard]

Since there is no command named kresd.system it does not belong in
section 8.

Section 7 includes conventions and useful patterns like gitcli(7),
which seems more similar to the documentation that is supplied in
kresd.systemd.

Merge !483: systemd defaults: turn off verbose logging

systemd defaults: turn off verbose logging

Verbose logging should be used for debugging purposes, as it generates a
lot of output. It shouldn't be turned on by default for normal mode of
operation.

Merge branch 'ci-respdiff' into 'master'

ci: respdiff - use ipv4, increase timeout, collect kresd.log

See merge request knot/knot-resolver!473

ci: decrease respdiff mismatch tolerance back to 1%

This reverts threshold that was bumped in
commit de7a4a9658a769595d952a857d7d0aed066f8b5c.

ci: increase respdiff timeout to 11s

This decreases the amount of timeouts, which become SERVFAILs instead.
Overall, this results in more valid answers.

ci: run kresd in verbose mode and collect log

ci: configure servers to use IPv4 in respdiff

IPv6 isn't currently supported in our Docker image and using
it during resolution leads to a larger amount of timeouts.

Merge !479: scripts: change development's tarball name

scripts: change development's tarball name

To be able to use development version tarballs for creating distro
packages for Fedora/CentOS, the pre-release name can't contain
hyphens.

Merge branch 'systemd-fixes' into 'master'

systemd: fixes for unit files

See merge request knot/knot-resolver!476

systemd: move Service directive to Socket for kresd-tls, kresd-control

The Service directives belong to the Socket section. Otherwise,
systemd fails to find the associated service and the socket can't start.

systemd: remove unnecessary Service directive from kresd@.socket

systemd: add missing kresd@1.service symlink

Merge branch 'tls-errmsg-fix' into 'master'

tls_client: fix error message logging

See merge request knot/knot-resolver!478

tls_client: fix error message logging

Merge branch 'gnutls-compat' into 'master'

tls_client: compatibility for older gnutls version

See merge request knot/knot-resolver!475

tls_client: compatibility for older gnutls version

When older gnutls version is used, make sure not to use undeclared
symbols or functions.

Merge branch 'systemd-run-permissions' into 'master'

drop world-executable permissions on /run/knot-resolver

See merge request knot/knot-resolver!477

drop world-executable permissions on /run/knot-resolver

It's not clear why anyone other that the superuser needs to be able to
descend into /run/knot-resolver, so we should drop this extra
permission.

it appears to have been added
e0f33604fac3bdd6f105ed0c50a4a08f562c72f8, but the log message for that
commit doesn't explain why the permission needs to be loosened.

The main situation that calls for executable but not readable
directories is when a directory contains something at a known location
that everyone must be able to reach, but also contains some sensitive
file with a name that itself is unguessable (i.e. high entropy
string).  That doesn't appear to be the case here.

By principle of least privilege, we should leave it locked down unless
there's a clear justification for opening it up.

Merge !474: misc nitpicks (see commits)

resolve: verbose-log dropping AD because of opt-out

main: indentation in `parse_args()`

resolve: document some fields

Merge !472: release 2.0.0

release 2.0.0

Merge !470: daemon: restart client's tcp session timer after answer

daemon: restart client's tcp session timeout timer right after answer

Merge !471: doc: fix the build on readthedocs.org

doc: fix the build on readthedocs.org

The version restricion has remained way too long, apparently.

Merge !468: Add serve_stale module (demo)

new serve_stale module

Decision function is separated out.

daemon: decrease timeouts

Let's allow 4 UDP + 4 TCP attempts, within 2+2 seconds,
and then start also using stale cache.

lua: regenerate bindings

Some parts were hand-written, apparently.

Merge branch 'ci-respdiff' into 'master'

ci: respdiff - update config

See merge request knot/knot-resolver!469

ci: increase respdiff mismatch tolerance to 3%

Since we've added the `timeout` metric to respdiff, it uncovered
an issue when running in Docker, where a large amount of queries
(~2% / resolver) end with a timeout.

Until the issue is investigated and fixed, temporarily bump the CI's
tolerance for the test to pass to 3%.

ci: respdiff - add timeout field to config

Merge branch 'systemd-multiprocess' into 'master'

systemd: enable multiple processes with socket activation

See merge request knot/knot-resolver!464

systemd: enable multiple processes with socket activation

In order to be able to spawn multiple processes with socket activation,
systemd template (see systemd.unit(5)) is used. This allows the user to
create any amount of instances by simply providing a unique name for
each of them. The most sensible instance identifiers are natural
numbers, but any convention could be used.

The default recommended service name becomes kresd@1.service, replacing
the older kresd.service. Sockets are renamed in a similar way. Users are
able to take advantage of bash expansion to spawn/control multiple
processes, e.g. "systemctl start kresd@{1..16}.service"

The socket-activated service can now be launched directly with
"systemctl start kresd@1.service", which will request the associated
sockets without the need for any extra priviledges or capabilities.

Stopping the kresd service now also stops the associated sockets.
Stopping any individual socket is an isolated opration now (stopping
kresd@1.socket no longer stop kresd-tls@1.socket and
kresd-control@1.socket).

Users and packagers are also encouraged to use drop-in files for extra
configuration or modifications to ensure compatibility with their
distribution.

config.lua: exit if kresd isn't listening on any interface

Merge !422: aggressive use of cache DNSSEC-validated cache

It's not for NSEC3, etc.  We'll fill NEWS soon.

lint:c nitpicks

doc: fixup after moving files around

Merge tag 'v1.99.1-alpha' into cache-aggr-wip

It's just to have the tag in history.  The files are unchanged.

move files: all cache stuff is in lib/cache/ now

Almost.  A trivial lib/layer/cache.c remains.
I put all lib/generic/*.h into libkres_HEADERS, to be sure.
They rarely change anyway.

Merge branch 'master' into cache-aggr-wip

Merge !466: osx and other fixes

main: fix exiting with --help etc.

main: fix build without CAN_FORK_EARLY

make: fixup passing export-dynamic flags

It was breaking on Darwin, and clang was throwing warnings.
Problem since ddb699d364.

Merge branch 'organize-doc' into 'master'

documentation: reorganize chapters

See merge request knot/knot-resolver!467

documentation: reorganize chapters

The manual page discusses basic usage of kresd, but completely lacks
configuration description. Users are pointed to
https://knot-resolver.readthedocs.io for reference. When visiting this
page, the most important information they don't have yet, is how to
configure kresd. This should be the first chapter in the documentation
to make it easier to find.

logging: fix bad whitespace (newline inside message)

doc: fixup after removing other cache modules

Merge branch 'clang-scan' into 'master'

fix two nitpicks from clang-scan

See merge request knot/knot-resolver!465

fix two nitpicks from clang-scan

- utils.c: overflowing size_t is basically impossible, but well...
- stats.c: NULL would probably not cause a problem with zero length passed

Merge !454: daemon/worker: fix regression from e7c5c102d0eb8

daemon/worker: cleanup errors; missed packet source

cache: avoid leaking memory

Also guard all allocations in cache against this, via assert.
(Except in cases that would segfault anyway.)

cache: *always* store and retrieve RRSIGs