local: refactor invocation of parameter change handlers

ntp: reset NCR instance thoroughly when switching to offline

sourcestats: reset SST instance thoroughly when dropping samples

sourcestats: remove forgotten declaration

configure: fix test code to be compilable with -Werror

rtc: more reliable method of reading rtc for initial trim

When chrony reads in the linux rtc for the first time to trim the system
clock, it only reads it once. As it is possible that the rtc updates
itself during the read operation, the reported rtc time could be false.
To prevent this I've added a loop that reads the rtc clock twice, if the
seconds do not match retry the two read operations. If they match you
can assume the read operation was successful.

This is based on the hwclock implementation of reading the rtc clock
from the util-linux package.

refclock: don't include average dispersion in unfiltered samples

The dispersion of refclock samples before filtering now includes only
offset correction error and precision.

This should fix a problem where locked PPS got stuck with large average
dispersion and didn't accept new samples due failing check of offset
and dispersion.

refclock: add maxdispersion option

This can be used to prevent accumulation of samples with estimated
dispersion above given limit. By default, this limit is disabled.

sys: drop frequency scaling in Linux driver

Since the kernel USER_HZ constant was introduced and the internal HZ
can't be reliably detected in user-space, the frequency scaling constant
used with older kernels is just a random guess.

Remove the scaling completely and let the closed loop compensate for the
error. To prevent thrashing between two states when the system's
frequency error is close to a multiple of USER_HZ, stick to the current
tick value if it's next to the new required tick. This is used only on
archs where USER_HZ is 100 as the frequency adjustment is limited to 500
ppm.

The linux_hz and linux_freq_scale directives are no longer supported,
but allowed by the config parser.

sys: set tick_update_hz to 100 by default in Linux driver

We can't reliably detect the internal kernel HZ, it may not even be
fixed (CONFIG_NO_HZ). Use a fixed value of 100.

sys: avoid notification of neglible dispersion on slew update

doc: update description of refclock options

refclock: fix sample validation with sub-second poll

reference: fix logging of initial unsynchronized tracking entry

main: initialize reference mode properly

refclock: honour leap second flag in the PPS refclock

This patch fixes leap second handling for the PPS refclock. Without the
patch the PPS refclock will always report LEAP_normal. But if a locked
refclock (the SHM clock in my case) does report a leap state it should
also be taken over by the PPS refclock, otherwise chrony will still use
LEAP_normal when the PPS clock is used as reference source.

The patch will copy the leap state from the refclock. In case the PPS
clock is not specifically locked to another refclock it will take over
the leap state from the local clock.

I've tested this patch by simulating a leap second through the samples
for the SHM clock, and with the patch you will see chrony properly jump
forward or backward on the leap second. Without the patch it will not do
this and the clock becomes desynchronized and no leap state is reported
upstream to other NTP clients.

Signed-off-by: Tjalling Hattink <t.hattink@fugro.nl>

sys: use maximum timeout for offsets below minimum correction

There is no need to try to correct offsets below the specified minimum
(1 nanosecond), let the clock drift away after crossing zero offset and
avoid unnecessary updates.

conf: add option to set maximum slew rate

With the generic driver, the maxslewrate directive sets the maximum
frequency offset that the driver is allowed to use to slew the time. By
default, it's set to 83333.333 (1/12). This is identical to what Linux
fast slewing used to use.

conf: change default corrtimeratio to 3.0

This improves the overall frequency accuracy of the clock at a slight
cost in the time accuracy.

sys: add apply_step_offset function to generic driver

Move the generic code away from the Linux driver and keep there only
stepping by adjtimex(ADJ_SETOFFSET).

test: update for recent changes in Linux driver

sys: convert Linux driver to use generic offset functions

Strip all slewing code (adjtime(), freq locked nano PLL, fast tick
slewing) from the Linux driver and use the new generic frequency only
slewing instead. The advantages include stable clock control with very
short update intervals, good control of the slewing frequency, cheap
cooking of raw time stamps and unlimited frequency offset.

sys: introduce generic driver

This driver is intended to complete system-specific drivers that don't
have implemented all required driver functionality. Currently, it
implements offset functions working on top of system-specific frequency
functions. Offsets are corrected by changing frequency, similarly to
fast slewing implemented in the Linux driver.

test: make 110-chronyc even more tolerant

doc: update faq.txt

client: don't override hostname with -4 or -6 after -h

client: set default hostname to 127.0.0.1 instead of localhost

This is to make sure chronyd will see the remote address as 127.0.0.1
and allow access even when localhost resolves to an address of a
non-loopback interface.

client: enable IP_RECVERR socket option

This is useful to get ECONNREFUSED when the host replies with ICMP port
unreachable message and avoid having to wait for timeout.

sys: remove unused static variables in Linux driver

doc: update for separate client sockets

doc: update chronyd -r and chronyc -h descriptions

main: switch errors in initialization to fatal errors

test: require latest clknetsim

This is needed for async name resolving and dropping root privileges.

client: shorten default timeout with localhost and async resolving

When chronyd is compiled with asynchronous name resolving, it should
always respond quickly. Shorten the default chronyc timeout for
localhost.

nameserv: add asynchronous resolving with POSIX threads

Run getaddrinfo()/gethostbyname() in separate thread to avoid blocking.
Only one resolving thread is running at one time, so this should work
also on systems where the functions are not thread-safe.

configure: check if getaddrinfo() is available

This allows disabling IPv6 support and keeping getaddrinfo().

ntp: start resolving only from NSR_ResolveSources

Also, use macros to define the minimum and maximum resolving interval.

ntp: use async name resolving for NTP sources

Use the new asynchronous call to resolve addresses of NTP servers
configured by the server/peer directives. Introduce a callback to be
notified when the first resolving attempt ends to correctly finish
chronyd initialization (dumpfile reload and reference mode end).

ntp: delay initial transmission until first resolving ends

This will be needed to prevent loading of dump files after sources have
already accumulated samples and possibly reference was already updated
when async resolving of sources is implemented.

sourcestats: assert dump file is loaded with no accumulated samples

nameserv: prepare for asynchronous resolving

Introduce a new function with callback to resolve names to IP addresses
asynchronously. For now, use a blocking wrapper around DNS_Name2IPAddress.

configure: sed Makefile with MYCPPFLAGS

configure: replace unnecessary variables in Makefile

refclock: remove duplicated declaration

cmdmon: fix doffset command with negative values on 64-bit systems

reference: negate offset printed in maxchange log message

This makes it consistent with other log messages.

makefile: add dependency to check target

main: setup access restrictions before initstepslew

ntp: close client socket when offline

ntp: close only client socket when destroying NCR instance

sources: ignore inactive sources in special mode ending

sources: add flag that source is active

When source is set as active, it's receiving reachability updates (e.g.
offline NTP sources are not active).

Also add function to count active sources.

ntp: reduce burst timeout to 2.0

With the new special mode ending it can be now equal to the burst
polling interval.

sources: rework special mode ending with unreachable sources

Instead of giving up when a source has 7 reach updates, continue as long
as at least one source has fewer than 7 updates and can still have 3
samples to be selectable in that number of updates.

When no sources are responding, it will give up sooner.

regress: make minimum number of samples for regression public

sched: fix main loop to allow timeout handlers modify fd set or quit

With special reference update modes, the timeout handlers may add or
remove file descriptors from the read fd set, so it needs to be copied
for select() call after they are dispatched. Also, they can now request
quit, so the exit flag needs to be checked before select() to avoid
hanging.

configure: add option to set default user

The default user is root by default, which disables root dropping by
default. The user directive or the -u option can still be used to set
the user.

main: support configuration commands on command line

If there are extra arguments on the chronyd command line, they will be
parsed as lines in a configuration file and the normal configuration file
will be ignored.

conf: allow NULL as filename

conf: split line parsing from CNF_ReadFile

main: add -q/-Q options to set clock/print offset once and exit

reference: add UpdateOnce and PrintOnce modes

logging: print warning message when not compiled with debug support

logging: set debug level instead of on/off

Prefix messages written to terminal with filename, line and function
name only with debug level 2 and higher.

logging: update format of messages written to terminal

Move the time stamp to start of the line and print full date in ISO 8601
format.

reference: exit with non-zero code when maxchange limit is reached

Use ending of normal mode to signal a failure.

sources: log selection messages only in normal reference update mode

We don't want to see source selection messages when initstepslew is
running.

ntp: reduce burst timeout to 2.5 seconds

This reduces the maximum time initstepslew can take.

ntp: set maximum number of iburst samples to size of reach register

Explicitly set the number of iburst samples to the size of the register
to make sure there are at least 7 reachability updates and the
initstepslew mode can be ended.

ntp: drop initstepslew NTP implementation

The initstepslew code has its own minimal NTP implementation. Drop the
code, add a new initstepslew mode to the reference updating code and
use regular NTP sources with iburst flag for initstepslew addresses
instead. When an update is made or a source is found unreachable, log a
message, remove the initstepslew sources and switch to normal mode.

This reduces code duplication and makes initstepslew use features
implemented only in the main code like source combining or SO_TIMESTAMP
support.

sources: replace beginning flag with size of reachability register

This will allow to detect sources that are not reachable on start.

sources: split source selection from sample accumulation

This will allow postponing source selection and reference update, which
could be useful in burst modes.

git: update .gitignore

test: add missing run script

conf: add bindacqaddress directive for client sockets

ntp: set only necessary socket options on client sockets

test: add 112-port

ntp: fix comment on NCR_ProcessUnknown

ntp: accept packets from unknown sources only from server sockets

test: update for latest clknetsim

Latest clknetsim now allows source and destination port numbers to
differ. This fixes the tests to work with the recent changes that added
client NTP sockets.

ntp: don't create server sockets if port is configured to 0

ntp: use separate connected sockets for each server

If acquisitionport is set to 0 (default), create and connect a new
socket for each server instead of using one socket per address family
for all servers.

ntp: use separate client sockets

Use separate sockets for NTP server or peer and client packets. The port
number is configured by the acquisitionport directive. With the default
value of 0 the port is assigned randomly by the kernel. It can be equal
to the value configured by the port directive to use the server sockets
for all packets as before.

ntp: don't try to bind acquire socket if port is equal to ntp port

ntp: check if packet was received by right socket

ntp: store socket in NTP instance

This is preparation for separate client sockets.

ntp: split local_ip_addr from NTP_Remote_Address struct

ntp: set invalid socket fd by macro

doc: improve commandkey and keyfile descriptions

ntp: set minpoll from received KoD RATE at most to 10

Limit changing minpoll to a reasonable maximum in case the server is
broken or temporarily misconfigured.

ntp: print warning when source is added with unknown key

ntp: reset negative minpoll or maxpoll to default values

cmdparse: don't allow NTP key ID of 0

Key number 0 is used as inactive key, prevent the user from
inadvertently not using authentication.

test: add 111-knownclient

test: add port number check

ntp: make use of NCR_ProcessUnknown in NCR_ProcessKnown

After recent changes the code in NCR_ProcessKnown is now identical and
can be replaced with NCR_ProcessUnknown call.

ntp: don't store tx time stamp when replying to known source

ntp: don't reply to known source if missing key or invalid auth

This is now similar to replying to unknown sources.

test: extend 105-ntpauth

ntp: don't send requests with unknown key

There is no point in sending a request if the configured key is missing.
A reply would be ignored anyway.