doh debug: add depedency on openssl to meson build

doh debug: package debug_opensslkeylog.so

doh debug: log timestamp of each OPENSSLKEYLOGFILE opening

Wireshark 3.0.5 is able to deal with # comments in middle of log file.

doh debug: create OPENSSLKEYLOGFILE accessible only by process owner

doh debug: log timestamp of OPENSSLKEYLOGFILE creation

doh debug: build and install OpenSSL SSLKEYLOGFILE helper library

It is not used in any way by default, enabling it requires manual
LD_PRELOAD= trickery as described in the source file.

doh debug: avoid warning about _GNU_SOURCE redefinition

doh debug: use more descriptive name debug_opensslkeylog

doh debug: rename SSLKEYLOG environment variable to OPENSSLKEYLOG

This avoids conflict between GnuTLS's built-in SSLKEYLOG and our hack
for OpenSSL. This would be important for instances which run
DNS-over-TLS using built-in GnuTLS
and at the same time DNS-over-HTTPS using lua-http (based on OpenSSL).

doh debug: add helper library with OpenSSL SSLKEYLOGFILE= support

Original file is GNU GPLv3+ licensed and was copied from
https://git.lekensteyn.nl/peter/wireshark-notes/plain/src/sslkeylog.c
blob: 370668907056f769e2d09bf7bd2e768249049f8f
commit: de25eb75c8d90282ba90396218210c4601603347
Copyright (C) 2014 Peter Wu <peter@lekensteyn.nl>

Merge branch 'zone-forward-ng' into 'master'

cache entry_list: fix crash on insertion via lua

See merge request knot/knot-resolver!889

tests: skip Deckard integration tests if sendmmsg is enabled

All Deckard tests would fail anyway so we now print a warning and skip
Deckard tests.

cache: integration test for explicit NS insertion

cache entry_list: fix crash on insertion via lua

When inserting NS or xNAME, we could get into this place with
qry == NULL, and we'd crash when trying to use the memory pool.
Let's simply use the stack instead.

Merge branch 'rpm-config-permissions' into 'master'

distro/rpm: move root.keys to proper location

Closes #513

See merge request knot/knot-resolver!888

distro/rpm: don't mark certificate as config file

distro/rpm: move root.keys to proper location

Fixes #513

meson: add option install_root_keys

meson: enable root keys installation to keyfile_default location

Merge branch 'sendmmsg_use-after-free' into 'master'

sendmmsg: fix a use-after-free case

See merge request knot/knot-resolver!891

NEWS for sendmmsg (preliminary text)

daemon/worker: add assertion

It might detect some use-after-free cases even without ASAN.

daemon/udp_queue: add a ref-unref pair

I must admit I don't really understand why we had a rare case
of use-after-free in the sendmmsg call, but this change should avoid
that without affecting anything else.

Merge branch 'ci-backtraces' into 'master'

ci: print backtraces from respdiff/resperf

See merge request knot/knot-resolver!893

ci: print docker output on respdiff/resperf failure

ci: use new security repo in gitlabci

Merge branch 'ci-boxes' into 'master'

ci: update distrotests

See merge request knot/knot-resolver!890

ci: use new distros for distrotests

distro/tests: add ubuntu1910

distro/tests: add Fedora 31

distro/tests: use generic/opensuse15 box

distro/tests: make ansible debug output readable

meson: remove upper version limit for knot

The advanced version comparison was isn't implemeted in meson 0.46,
which is used for CentOS 7 and it caused build issue with development
version of Knot.

Merge branch 'watchdog-details' into 'master'

watchdog details

See merge request knot/knot-resolver!881

modules/watchdog: use abort() for restarts

Motivation: core-dump might be very useful, and in this case there
are even very useful pointers on the C stack.

Merge branch 'systemd-network-online' into 'master'

systemd/kresd: fix dependency on network-online.target

See merge request knot/knot-resolver!884

systemd/kresd: fix dependency on network-online.target

The missing Wants= and After= directives for network-online.target
made it possible for kresd to start before network interfaces were
properly initialized and configured with IP addresses, leading to a
failure to bind to addresses.

Merge branch 'ci-odvr' into 'master'

ci: add support for knot-resolver-odvr OBS repo

See merge request knot/knot-resolver!887

ci: add support for knot-resolver-odvr OBS repo

Merge branch 'knot-3-dev' into 'master'

tweak conditionals to work with knot 3.0.dev

See merge request knot/knot-resolver!885

tweak conditionals to work with knot 3.0.dev

I didn't plan this well ahead :-/

Merge branch 'ci-knot-2.9' into 'master'

ci: switch to Knot DNS 2.9.x

See merge request knot/knot-resolver!883

ci: switch to Knot DNS 2.9.x

Merge branch 'meson-libknot' into 'master'

meson: allow libknot 3.0.dev

See merge request knot/knot-resolver!882

meson: allow libknot 3.0.dev

Merge !880: nitpicks: comments and .gitignore

lib/*: improve some comments

.gitignore: remove *.d rule

- we have ./systemd/*.d dirs
- with meson we don't do in-tree builds, so *.d files shouldn't appear

Merge branch 'enable-sendmmsg' into 'master'

meson: set sendmmsg to autodetection

See merge request knot/knot-resolver!877

meson: set sendmmsg to autodetection

Merge branch 'perf-getsockname-2' into 'master'

daemon: avoid excessive getsockname() syscalls

See merge request knot/knot-resolver!854

daemon sendmmsg: fix a minor TODO

This shouldn't change the operation in any way, it's just nicer.

daemon: avoid excessive getsockname() syscalls

Calling this on every incoming UDP request could cost us up to 5% time.

Merge branch 'http_reuseport' into 'master'

http: fix SO_REUSEPORT for HTTP sockets

See merge request knot/knot-resolver!879

http: fix parallel execution of HTTP tests with SO_REUSEPORT

We have to use disjoint port ranges for individual test, otherwise
parallel test execution leads to unpredictable results.

NEWS: http REUSEPORT, watchdog

http: fix SO_REUSEPORT for HTTP sockets

lua-cqueues.socket.fdopen() resets the reuseport flag, so binding Nth
instance without systemd socket activation failed

Merge branch 'watchdog' into 'master'

watchdog rewrite

See merge request knot/knot-resolver!878

distro/*: package watchdog module

watchdog rewrite

The watchdog module now can be loaded without systemd, has customisable
callbacks, and can do real DNS queries and check their results.

Merge branch 'setrlimit' into 'master'

file-descriptor count limit

See merge request knot/knot-resolver!876

daemon/main: file-descriptor count limit: soft->hard

systemd: file-descriptor count limit 1Mi

Merge branch 'release-4-2-2' into 'master'

release 4.2.2

See merge request knot/knot-resolver!875

ci: remove pkg:epel-7 pkg:fedora-29 jobs

These jobs started to suddenly fail inexplicably. They also
require privileged mode and are a mess in general

Build and packaging for these distros is handled by nightly OBS builds
nowadays, so let's remove these.

Perhaps in the future, it might make sense ot bring back some sensible
CentOS 7 build (without the packaging part) to make sure we keep
compatibility with older GnuTLS on every commit / MR, instead of
nightly.

release 4.2.2

Merge branch 'lua-libknot-regression' into 'master'

lua bindings: fix a regression from b42195a2

Closes #514

See merge request knot/knot-resolver!873

lua bindings: fix a regression from b42195a2

I'm really sorry; I didn't notice and it only hit parts that
*apparently* aren't tested normally.  Only 32-bit systems would be
affected, due to the structure only changing ABI on 32-bit systems.

modules/sd_watchdog nitpick: fix printf on some systems

The integer length didn't match on normal 32-bit linux.

Merge branch 'packaging-updates' into 'master'

distro/arch: add lua51-cqueues optional dependency

See merge request knot/knot-resolver!871

distro/arch: add lua51-cqueues optional dependency

Merge branch 'minor-fixes' into 'master'

minor fixes

See merge request knot/knot-resolver!870

docker: use latest Knot DNS

ci: keep OBS_REPO default value for distrotest jobs

Merge branch 'release-4-2-1' into 'master'

release 4.2.1

See merge request knot/knot-resolver!869

release 4.2.1

doc/upgrading: add note about knot-resolver-dbg

Merge branch 'nsrep-fixes' into 'master'

nsrep fixes

Closes #497

See merge request knot/knot-resolver!868

lib/nsrep: randomize the order of NS names

... as input into the *unchanged* algorithm (which is ugly).
This partially addresses the problem attempted by reverted commit,
and it also improves some other properties of the algorithm.

Revert "nsrep: allow inclusion of good nameservers if there's space in selection"

This reverts commit 196ebd4f0b3a55830b1e313fa82abfd8c290eedd.
It was buggy, and I can't simply recover the intended effect.

Merge branch 'validate-trim-ttls' into 'master'

validator: trim TTLs by RRSIG's expiration and original TTL

Closes #319

See merge request knot/knot-resolver!866

validator: trim TTLs by RRSIG's expiration and original TTL

A down-side is that validation can now modify the validated RRset
on success.  I checked all transitive call sites that it's OK.
The change is pretty simple; I just hand-tested it a bit with faketime.

Merge branch 'policy-special-use-dnames' into 'master'

modules/policy: DENY forgotten special-use domains

See merge request knot/knot-resolver!855

modules/policy: DENY home.arpa. and local. domains

- home.arpa.: 4. from https://tools.ietf.org/html/rfc8375#section-4
- local.: 4. from https://tools.ietf.org/html/rfc6762#section-22.1
Well, it's just an approximation... if the user specifies a forwarding
policy, any special names will also get forwarded, even though the RFC
says not to.  And this code will also reply NXDOMAIN to home.arpa. DS.

Some of these DENY rules are perhaps unnecessary, but for now we keep
the same approach.  For arguments see the MR 855 thread and linked ML.

Merge branch 'libknot-2.9' into 'master'

add compatibility with libknot 2.9

See merge request knot/knot-resolver!864

libknot compatibility: knot_edns_get_option()

lua bindings: compatibility with both libknot versions

meson: block compilation with future knot releases

I think it's safer to block it by default.  For developer convenience,
let's allow pre-release variants of one further minor version.

add compatibility with libknot 2.9

It's fairly easy to keep keep compatible with both 2.8 and 2.9,
so I'd go for that for now, as it may be practical.

Merge branch 'prefill-config' into 'master'

prefill module: allow a different module-loading style

Closes #506

See merge request knot/knot-resolver!863

prefill module: allow a different module-loading style

Otherwise plain `modules = { 'prefill' }` will error out,
which is surprising wrt. to style used/allowed by other modules.

Merge branch 'ci-updates' into 'master'

ci updates

See merge request knot/knot-resolver!865

ci: refuse respdiff jobs when reference is unstable

distro/tests: use upstream leap15 box

Leap15 box was (allegedly temporarily) removed from vagrantcloud.
This is official upstream box generated by openSUSE that should be the
same as the one that used to be available on vagrantcloud.

Merge !861: modules/prefill: resigned expired RRSIGS in test zones

Fixes #496

modules/prefill: resigned expired RRSIGS in test zones

Fixes: #496

Merge branch 'cd-servfail' into 'master'

lib/resolve answer_finalize: don't SERVFAIL bogus +cd

See merge request knot/knot-resolver!860

lib/resolve answer_finalize: don't SERVFAIL bogus +cd

As kresd works now, typically we do not know whether these records are
bogus, as with +cd we do not attempt validation.  Still, it's possible
that we have those records in cache from an occasion without +cd, in
which case we know they're bogus and this regression happened.

The potential impact of this issue seems minimal.

Merge branch 'rebinding-fixes' into 'master'

Rebinding fixes

See merge request knot/knot-resolver!859

rebinding NEWS