Merge branch 'packaging-improvements' into 'master'

Packaging improvements

Closes #323

See merge request knot/knot-resolver!540

distro/deb: sync keyfile-ro patch from debian

distro/deb: avoid shipping duplicate root.hints and icann-ca.pem

Closes #323

Merge branch 'aho-corasick-update' into 'master'

Aho corasick update

See merge request knot/knot-resolver!548

Update lua-aho-corasick build rules

This continues work done in !547 by respecting sensible build patterns
across a submodule.

use https for lua-aho-corasick submodule

Merge !547: use CPPFLAGS if set

use CPPFLAGS if set

CPPFLAGS is a traditional build environment variable used to set C
pre-processor flags.  Accept these flags during the build if they've
been set.

Merge branch 'marek/fix-parentchild-insecure-delegation' into 'master'

iterate: update zone cut when NS is authoritative for both parent and child

See merge request knot/knot-resolver!543

iterate: move structure declaratin outside of ifdef block

iterate: update zone cut when NS is authoritative for both parent and child

In some cases the NS is authoritative for both parent and the child side of
the delegation (e.g. nrl.navy.mil). When it gets the query for such NS,
it can respond from the child side with an NS record in the answer and AA=1.
The resolver should update the zone cut accordingly, otherwise it would fail
validation in cases when the child-side of the delegation is insecure,
but parent side  of the delegation is secure, because the child side
would respond without DNSSEC records, and it wouldn't indicate that
the zone cut needs updating (when using minimal answers) (e.g. www.nrl.navy.mil).

Merge !542: Grammar and wording improvements in README

Grammar and wording improvements in README

Merge branch 'nsfetch-nokey' into 'master'

lib/resolve: cut fetching: don't use root hints if no keys fetched, but glue addresses found

See merge request knot/knot-resolver!513

lib/zonecut: nitpicks in kr_zonecut_has_glue()

lib/zonecut: get rid off incorrect function name

lib/resolve: cut fetching: don't use root hints if no keys fetched, but glue addresses found

Merge branch 'nitpicks' into 'master'

Nitpicks

See merge request knot/knot-resolver!537

docs: cross-linking nitpicks

- clickable module references
- clickable RFC references via :rfc:`NNN#anchor`

predict: don't auto-load stats if not needed

and make docs conform to the reality.

daemon/bindings: keep the pattern for function names

document cache.ns_tout

Merge branch 'validate-cname-nxdomain' into 'master'

validator: fix CNAME to NXDOMAIN in a single answer

See merge request knot/knot-resolver!538

validator: fix CNAME to NXDOMAIN in a single answer

Real example: cname.nohats.ca
This case was handled for forwarding only, presumably because it
happened more often (no need to be withing single zone to be within
single answer); now the approach is the same.

Merge branch 'release-2-2-0' into 'master'

Release 2.2.0

See merge request knot/knot-resolver!535

cache: nitpick after !532 (no effect)

lua bindings: fix generator after !534

debian: bump to libkres7

release 2.2.0

Merge branch 'serve-stale-rcache-v1' into 'master'

Serve stale with reputation cache: version 1

See merge request knot/knot-resolver!534

lib/nsrep: cleanup

lib/nsrep: tuning of serve-stale parameters; valid NS's sometimes been ignored by ns election algorithm, fixed

daemon: tuning of stale-serve parameters

daemon: time period which determines how long NS non-reachabilty will be cached made configurable

daemon/engine: remove cache cleaning timer since this functionality was relocated to nsrep

lib/nsrep: tuning of 'serve_stale' module

lib/nsrep: when timeout occurs and NS has no cached RTT yet, don't mark it as timeouted

lib/nsrep: don't mark NS as 'timeouted' immediately, but after two retries

lib/nsrep: minor changes

lib/nsrep: some changes in NS selection algorithm

lib/nsrep: some changes in NS selection algorythm

Merge branch 'fix-crash-with-large-rrsets' into 'master'

cache: fixed crash with RR sets with over 255 records

See merge request knot/knot-resolver!532

cache: fixed crash with RR sets with over 255 records

The previous cache version encoded RR count as uint8_t, which doesn't
work with RR sets with over 255 records. This caused cache writes
to fail and subsequently ending in an assertion failure.
It is not very common to have large RR sets, but it has legitimate
use cases such as a lot of SRV or address records for large container
deployments etc.

Merge branch 'fix-oversize-responses-over-tcp' into 'master'

daemon/worker: allow large responses for outbound over TCP

See merge request knot/knot-resolver!526

daemon/worker: allow large responses for outbound over TCP

This was previously fixed in e25358d4f6521a55c33ec1d3a55f2bf6e2f99607,
but broken in the rewrite. The answer buffer size must be a maximum size,
otherwise payloads larger than configured UDP buffer size can't be
transmitted over TCP.

Merge branch 'debian-no-symbols-in-dev' into 'master'

debian: build dev packages without symbols file

See merge request knot/knot-resolver!524

debian: build dev packages without symbols file

Merge branch 'packaging-tests' into 'master'

packaging: tests - explicitly specify repository for testing

See merge request knot/knot-resolver!525

packaging: tests - explicitly specify repository for testing

Merge branch 'disable-tls-error-logs' into 'master'

daemon/tls: downgraded TLS logging to verbose

See merge request knot/knot-resolver!531

daemon/tls: downgraded TLS logging to verbose

Logging handshake and connection failures should be verbose, as
it's not really a server failure if client errors, or uses a wrong
SPKI pin to the certificate. It is however not ideal to flood logs.

Merge branch 'update-readme-pkg' into 'master'

README: update package information

See merge request knot/knot-resolver!529

README: update package information

Merge branch 'obs-nightly-build' into 'master'

ci: execute OBS build nightly instead of after every change

See merge request knot/knot-resolver!528

ci: execute OBS build nightly instead of after every change

There are couple reasons to prefer nightly builds:
- to conserve hw resources
- automated builds at predictable times make it easier to use the devel
repo for manual testing builds

Merge !516: nitpicks, see individual commits

make: don't magically -D_FORTIFY_SOURCE=2

This is just annoying for development.  You want -O0 or -Og,
and consequently you get lots of warnings that are difficult to disable.

I believe hardening options are more of a responsibility/choice of the
caller, typically distributions have some general policies and pass the
flags (almost) uniformly to all packages.  I can't see any part of kresd
being so specific to warrant explicit hardening.

ucw/mempool-fmt: alloca.h isn't needed (anymore)

The file is new here, but it has a long history upstream.
Thanks to Leo Vandewoestijne for finding the problem on FreeBSD.

kr_qrflags: fix a comment

NDEBUG has no effect on this, for a long time.

Merge branch 'ci-histogram' into 'master'

ci: respdiff - plot histogram

See merge request knot/knot-resolver!521

ci: respdiff - plot histogram

Merge branch 'rpm-spec-update' into 'master'

rpm: don't turn off selinux

See merge request knot/knot-resolver!520

rpm: don't turn off selinux

Merge !517: ci: no distro builds for knot-resolver forks

They don't have enough privileges anyway.

ci: do not trigger distro builds for knot-resolver forks

Merge !514: nitpicks: unused function, --verbose strings

utils: remove an unused function

Last usage dropped in 1.9, and it seems unlikely to be useful in this
form.

--verbose: use strings with clearer meaning

Merge !503: map_t, set_t: unify memory allocation to mm_*

map_add, set_add: fix misleading API doc

I really hate such "inaccuracies".

map_t, set_t: unify memory allocation to mm_*

We use the knot style everywhere else; this was very similar and yet
different, so really annoying to me.  In the long term we might better
migrate to qp-tries from knot, but the API differs, so it's delayed...

Merge branch 'obs-change-user' into 'master'

packaging: change OBS user

See merge request knot/knot-resolver!512

packaging: change OBS user

Merge branch 'rpmbuild-in-ci' into 'master'

ci: Fedora/EPEL/Arch builds in CI and OBS

See merge request knot/knot-resolver!502

scripts: obs - require confirmation when not pushing to devel

deb: update keyfile-ro patch

deb: remove lintian overrides

deb: drop unnecessary python3 patch

makefile: use python3 to detect modules

rpm: update specfile

gitlabci: add comments

packaging: rename distro directories

packaging: add tests

debian: rebase patches

packaging: cleanup scripts

packaging: script to build in obs

Also triggers OBS build in a dedicated knot-resolver-devel repo in OBS,
which doesn't use the development libraries of knot from master branch.

ci: build debian packages

packing: debian

ci: trigger OBS build for arch

scripts: fill in VERSION for all distro files

packaging: add files for Arch builds

ci: trigger obs build

ci: create rpm packages for Fedora/EPEL

scripts: use dot as a separator for pre-release versions

To be able to use the exact same version in both upstream tarballs
and downstream packages always use dot as a version separator.

This enables downstream packages to re-use the upstream versions
(especially the pre-release ones which no longer contain dash) when
building packages. This is very useful for building testing packages
e.g. in Fedora and Arch, which do not allow dash in version number.

Tags should follow this format from now on as well, e.g. 2.99.0.alpha
instead of 2.99.0-alpha

scripts: add script to modify spec file

packaging: add Fedora/EPEL files

Fedora/EPEL files and the ability to create srpm was added to be
able to test Fedora/EPEL build in upstream CI.

ci: add fedora dockerfile

Merge branch 'keyfile-doc-update' into 'master'

man: fix typos in kresd.8

See merge request knot/knot-resolver!510

man: fix typos in kresd.8

Merge branch 'release-2-1-1' into 'master'

release 2.1.1

See merge request knot/knot-resolver!509