systemd: compatibility drop-in for kresd@.service

Unify the drop-in files for manual activation and systemd compatibility,
since it is not recommended to use manual activation if socket
activation is supported.

Also add --forks=1 to the command, otherwise the service attempts to
start in interactive mode.

systemd: link to kresd.systemd(7) in unit files and doc

systemd: provide kresd arguments in ExecStart=

To avoid using /etc/default/kresd, provide the needed arguments directly
in the ExecStart= in the kresd@.service.

systemd: remove kresd.service meta-service

The kresd.service meta-service could be confusing for users and provides
no extra functionality. The system-kresd.slice can be used to restart or
stop all running instances.

Distributions shipping with /etc/init.d/kresd should symlink the
kresd.service to /dev/null to prevent systemd-sysv-generator from
creating this service.

systemd: drop ReusePort=true, no longer needed

ReusePort=true isn't needed because there is a single listening
socket, which is shared across all instances.  Nothing needs to reuse
the port.

systemd: clarify dropping Sockets= for non-socket-activated services

If the adminstrator of a non-socket-activated kresd installation
doesn't clear Sockets=, then they will also inherit sockets from the
process manager, which doesn't make sense.  Help them avoid that
situation.

systemd: no need to include defaults

We want these files to be as simple as possible; there's no reason to
include arguments that are already the default.

--forks=1 is the default.

and the unit files indicate WorkingDirectory already.

systemd: drop the preset

If we only install the files in this directory, there is no need for
the preset, because kresd@1.service is not enabled by default anyway.

Simplify, simplify :)

systemd: remove symlinks

Administrators using bash tab completion with the full completion
utilities enabled will be able to tab-complete instantiated services.
shipping symlinks gets confused during tarball generation, and during
package installation, so it's safer and cleaner to just ship the
regular unit files.

More systemd service management cleanup

Please see discussion at:
https://github.com/systemd/systemd/issues/8096

The new approach is:

 * non-templated kresd.socket and kresd-tls.socket, for the
   public-facing listening ports.  They know to invoke kresd@1.service
   if they're socket-activated.

 * kresd@.service *is* templated, to allow the admin to add more
   concurrent runners with:

      systemctl enable kresd@2.service

 * kresd-control@.socket is still templated, since each daemon has a
   separately-addressable different control port.

 * non-templated kresd.service is a dummy meta-service.  it is in the
   same slice as kresd@.service, and all the kresd@.service instances
   are PartOf= it, so you should be able to stop and restart all
   services together.  On systems like debian that ship
   /etc/init.d/kres, this also avoids having systemd-sysv-generator
   create a kresd.service based on the initscript.

 * no templated instances are explicitly instantiated during initial
   ship, but kresd@1.service should be socket-activated cleanly

Gbp-Pq: Name 0010-More-systemd-service-management-cleanup.patch

Merge branch 'libknot' into 'master'

Require libknot 2.6.4 to avoid mysterious problems with DNS-over-TLS

See merge request knot/knot-resolver!499

Require libknot 2.6.4 to avoid mysterious problems with DNS-over-TLS.

Respdiff on kresd under load showed that DNS-over-TLS has higher ratio
of SERVFAILs than other transports. For some reason the problem
disappeared after upgrading from libknot 2.6.3 to 2.6.4, and appeared
again after downgrade.

Merge branch 'predict_bugfix' into 'master'

Predict module bugfixes

See merge request knot/knot-resolver!498

stats: remove tracking of expiring records

The predict module doesn't use this way since 965bab926f (v1.3.2),
and there seems to be no other likely use case.

cache: fix broken refresh of insecure records

... that were about to expire.  The effect was that predict module
started the request, but cache still didn't overwrite the record if it
wasn't secure.

Merge branch 'serve_stale' into 'master'

lua: fix a mistake in kr_query, and simplify serve_stale

See merge request knot/knot-resolver!487

lua: fix a mistake in kr_query, and simplify serve_stale

Fields after kr_nsrep got offset; fortunately only new fields were
added in there, unused from lua so far.

lua bindings: regenerate after renames in 06acb579

Merge branch 'draft-ietf-dnsop-kskroll-sentinel-01' into 'master'

Implement draft-ietf-dnsop-kskroll-sentinel-01

See merge request knot/knot-resolver!497

ta_sentinel: fix is/not logic

I got confused by the original text in
draft-ietf-dnsop-kskroll-sentinel-00 and inverted meaning of is/not
sentinel queries.

ta_sentinel: use names from draft-ietf-dnsop-kskroll-sentinel-01

Version 01 uses names incompatible with version 00.

Merge branch 'docker-git' into 'master'

ci: Dockerfile.debian - add newer git

See merge request knot/knot-resolver!496

ci: Dockerfile.debian - add newer git

git<=2.11 has issues with 'ls-files --recurse-submodules' command
which is used to generate upstream tarball

Merge branch 'policy-TLS-306' into 'master'

policy.TLS_FORWARD: fix a bug, add test + NEWS

Closes #306

See merge request knot/knot-resolver!492

NEWS: collect notable items up to now

policy.TLS_FORWARD tests: add cases from Tomas

policy.TLS_FORWARD: refusal when configuring with multiple IPs

Fixes https://gitlab.labs.nic.cz/knot/knot-resolver/issues/306

Merge branch 'update-ci' into 'master'

update CI

See merge request knot/knot-resolver!494

ci: add obs dependency to Dockerfile

ci: update respdiff config to newest version

Merge !493: stats.list(): fix returning nothing

stats module: fix stats.list() returning nothing

I messed this up in 44c2ea6bb0 !465.

Merge !481: detect_time_jump: keep cache on suspend-resume

Closes #284

detect_time_jump: don't clear cache on suspend-resume

This changes more time than anticipated, as the old naming didn't apply
anymore (time of last cache clear).

Merge branch 'fedora-symbols-again' into 'master'

Fedora symbols again

See merge request knot/knot-resolver!491

make: hopefully fix the modules again for Fedora

- their `cc --version` doesn't start with "gcc"
- modifying CFLAGS at this point doesn't work,
  so we modify BUILD_CFLAGS instead (_vomit_)

make: also print the linker command

Merge branch 'tls-push-refactoring' into 'master'

refactoring of the tls data sending scheme

See merge request knot/knot-resolver!489

daemon: tls; cleanup

daemon: unificate tls structures to avod code duplication

daemon: cleanup errors; avoid discrepancy between declaration and definition of tls_close()

daemon: avoid uv_try_write() usage both in tls-client and tls-server side; bugfixes

daemon: server-side tls: use asynchronous network io model

Merge branch 'nitpicks' into 'master'

nitpicks, see commits

See merge request knot/knot-resolver!480

kr_rplan_next: remove prototype

It had no implementation for years - since 456e5446ad4.

(cherry picked from commit 59126a772f1908543da68f87d646a1d08b32836f)
The commit was apparently "reverted" unintentionally when resolving
conflicts in a5b14c25b5a1.

update README.md

- no need to have gitter twice
- update information about modules (one cache, no alternative backends)
- add EPEL 7
- add mailing-list
- link to stable docs instead of latest master

resolve write_extra_ranked_records: fix hiding and error

Detected by clang as dead store.

version module: more understandable logging

Just loading the module without option was printing that it expected
number of milliseconds, which could've been confusing.

cache: assume NSEC if ". NS" is missing in cache

This happens e.g. after cache.clear(), and currently one can stay
long-term without that record in cache.  That was effectively disabling
aggressive answers from the root zone.

This needs disabling a buggy part of Deckard test.

main: fix --forks default

It mostly worked, just by accident.
I see no use for negative initialization in this case.

io: fix a no-return with -DNDEBUG

Merge !486: daemon: more consistent outbound TCP timeout

There's no real effect, probably.

daemon: set timeout for outbound tcp session more consistent

Merge !485: scripts: archive - dereference symlinks

scripts: archive - dereference symlinks

Symlinks are pointing to broken locations with the way we generate
source tarballs. Dereference them to avoid this issue.

Merge !484: doc: move kresd.systemd to section 7

doc: kresd.systemd belongs in section 7 of the manual

"man man" says that the sections are:

       1   Executable programs or shell commands
       2   System calls (functions provided by the kernel)
       3   Library calls (functions within program libraries)
       4   Special files (usually found in /dev)
       5   File formats and conventions eg /etc/passwd
       6   Games
       7   Miscellaneous  (including  macro  packages  and  conventions), e.g.
           man(7), groff(7)
       8   System administration commands (usually only for root)
       9   Kernel routines [Non standard]

Since there is no command named kresd.system it does not belong in
section 8.

Section 7 includes conventions and useful patterns like gitcli(7),
which seems more similar to the documentation that is supplied in
kresd.systemd.

Merge !483: systemd defaults: turn off verbose logging

systemd defaults: turn off verbose logging

Verbose logging should be used for debugging purposes, as it generates a
lot of output. It shouldn't be turned on by default for normal mode of
operation.

Merge branch 'ci-respdiff' into 'master'

ci: respdiff - use ipv4, increase timeout, collect kresd.log

See merge request knot/knot-resolver!473

ci: decrease respdiff mismatch tolerance back to 1%

This reverts threshold that was bumped in
commit de7a4a9658a769595d952a857d7d0aed066f8b5c.

ci: increase respdiff timeout to 11s

This decreases the amount of timeouts, which become SERVFAILs instead.
Overall, this results in more valid answers.

ci: run kresd in verbose mode and collect log

ci: configure servers to use IPv4 in respdiff

IPv6 isn't currently supported in our Docker image and using
it during resolution leads to a larger amount of timeouts.

Merge !479: scripts: change development's tarball name

scripts: change development's tarball name

To be able to use development version tarballs for creating distro
packages for Fedora/CentOS, the pre-release name can't contain
hyphens.

Merge branch 'systemd-fixes' into 'master'

systemd: fixes for unit files

See merge request knot/knot-resolver!476

systemd: move Service directive to Socket for kresd-tls, kresd-control

The Service directives belong to the Socket section. Otherwise,
systemd fails to find the associated service and the socket can't start.

systemd: remove unnecessary Service directive from kresd@.socket

systemd: add missing kresd@1.service symlink

Merge branch 'tls-errmsg-fix' into 'master'

tls_client: fix error message logging

See merge request knot/knot-resolver!478

tls_client: fix error message logging

Merge branch 'gnutls-compat' into 'master'

tls_client: compatibility for older gnutls version

See merge request knot/knot-resolver!475

tls_client: compatibility for older gnutls version

When older gnutls version is used, make sure not to use undeclared
symbols or functions.

Merge branch 'systemd-run-permissions' into 'master'

drop world-executable permissions on /run/knot-resolver

See merge request knot/knot-resolver!477

drop world-executable permissions on /run/knot-resolver

It's not clear why anyone other that the superuser needs to be able to
descend into /run/knot-resolver, so we should drop this extra
permission.

it appears to have been added
e0f33604fac3bdd6f105ed0c50a4a08f562c72f8, but the log message for that
commit doesn't explain why the permission needs to be loosened.

The main situation that calls for executable but not readable
directories is when a directory contains something at a known location
that everyone must be able to reach, but also contains some sensitive
file with a name that itself is unguessable (i.e. high entropy
string).  That doesn't appear to be the case here.

By principle of least privilege, we should leave it locked down unless
there's a clear justification for opening it up.

Merge !474: misc nitpicks (see commits)

resolve: verbose-log dropping AD because of opt-out

main: indentation in `parse_args()`

resolve: document some fields

Merge !472: release 2.0.0

release 2.0.0

Merge !470: daemon: restart client's tcp session timer after answer

daemon: restart client's tcp session timeout timer right after answer

Merge !471: doc: fix the build on readthedocs.org

doc: fix the build on readthedocs.org

The version restricion has remained way too long, apparently.

Merge !468: Add serve_stale module (demo)

new serve_stale module

Decision function is separated out.

daemon: decrease timeouts

Let's allow 4 UDP + 4 TCP attempts, within 2+2 seconds,
and then start also using stale cache.

lua: regenerate bindings

Some parts were hand-written, apparently.

Merge branch 'ci-respdiff' into 'master'

ci: respdiff - update config

See merge request knot/knot-resolver!469

ci: increase respdiff mismatch tolerance to 3%

Since we've added the `timeout` metric to respdiff, it uncovered
an issue when running in Docker, where a large amount of queries
(~2% / resolver) end with a timeout.

Until the issue is investigated and fixed, temporarily bump the CI's
tolerance for the test to pass to 3%.

ci: respdiff - add timeout field to config

Merge branch 'systemd-multiprocess' into 'master'

systemd: enable multiple processes with socket activation

See merge request knot/knot-resolver!464

systemd: enable multiple processes with socket activation

In order to be able to spawn multiple processes with socket activation,
systemd template (see systemd.unit(5)) is used. This allows the user to
create any amount of instances by simply providing a unique name for
each of them. The most sensible instance identifiers are natural
numbers, but any convention could be used.

The default recommended service name becomes kresd@1.service, replacing
the older kresd.service. Sockets are renamed in a similar way. Users are
able to take advantage of bash expansion to spawn/control multiple
processes, e.g. "systemctl start kresd@{1..16}.service"

The socket-activated service can now be launched directly with
"systemctl start kresd@1.service", which will request the associated
sockets without the need for any extra priviledges or capabilities.

Stopping the kresd service now also stops the associated sockets.
Stopping any individual socket is an isolated opration now (stopping
kresd@1.socket no longer stop kresd-tls@1.socket and
kresd-control@1.socket).

Users and packagers are also encouraged to use drop-in files for extra
configuration or modifications to ensure compatibility with their
distribution.

config.lua: exit if kresd isn't listening on any interface

Merge !422: aggressive use of cache DNSSEC-validated cache

It's not for NSEC3, etc.  We'll fill NEWS soon.

lint:c nitpicks

doc: fixup after moving files around

Merge tag 'v1.99.1-alpha' into cache-aggr-wip

It's just to have the tag in history.  The files are unchanged.