ntp: check if packet was received by right socket

ntp: store socket in NTP instance

This is preparation for separate client sockets.

ntp: split local_ip_addr from NTP_Remote_Address struct

ntp: set invalid socket fd by macro

doc: improve commandkey and keyfile descriptions

ntp: set minpoll from received KoD RATE at most to 10

Limit changing minpoll to a reasonable maximum in case the server is
broken or temporarily misconfigured.

ntp: print warning when source is added with unknown key

ntp: reset negative minpoll or maxpoll to default values

cmdparse: don't allow NTP key ID of 0

Key number 0 is used as inactive key, prevent the user from
inadvertently not using authentication.

test: add 111-knownclient

test: add port number check

ntp: make use of NCR_ProcessUnknown in NCR_ProcessKnown

After recent changes the code in NCR_ProcessKnown is now identical and
can be replaced with NCR_ProcessUnknown call.

ntp: don't store tx time stamp when replying to known source

ntp: don't reply to known source if missing key or invalid auth

This is now similar to replying to unknown sources.

test: extend 105-ntpauth

ntp: don't send requests with unknown key

There is no point in sending a request if the configured key is missing.
A reply would be ignored anyway.

ntp: remove unnecessary KEY_KeyKnown calls

keys: don't cache position for unknown keys

client: print positive signed freq and offset values with sign

test: make 110-chronyc more tolerant

tempcomp: print warning message on error

tempcomp: use macro to set maximum allowed compensation

sourcestats: fix signedness in scanf format

makefile: improve check rule

Add simulation tests

Use clknetsim to run multiple chronyd instances with simulated clocks
and network. It allows fast and reproducible testing, without real
network.

Included are several tests of performance in different clock/network
conditions, chronyd options, NTP authentication, chronyc, and past bug
fixes.

configure: suppress pkg-config errors

Check array index before reading

Merge branch '1.29-security'

make_release: set owner and group in released tarball to root

make_release: remove config.log and config.h

Update NEWS

Update faq.txt

Send cmdmon error replies only to allowed hosts

The status codes STT_BADPKTVERSION, STT_BADPKTLENGTH, STT_NOHOSTACCESS
were sent even to hosts that were not allowed by cmdallow. Deprecate
STT_NOHOSTACCESS and ignore packets from hosts not allowed by cmdallow
completely.

Support previous protocol version in chronyc

This adds compatibility with chronyd using the previous protocol version
(chrony versions 1.27, 1.28, 1.29).

Add padding to cmdmon requests to prevent amplification attack

To prevent an attacker using chronyd in an amplification attack, change
the protocol to include padding in request packets so that the largest
possible reply is not larger than the request. Request packets that
don't include this padding are ignored as invalid.

This is an incompatible change in the protocol. Clients from chrony
1.27, 1.28 and 1.29 will receive NULL reply with STT_BADPKTVERSION and
print "Protocol version mismatch". Clients from 1.26 and older will not
receive a reply as it would be larger than the request if it was padded
to be compatible with their protocol.

Set maximum number of samples in manual list reply to 16

In chronyd the maximum number of manual samples is 16, so there is no
need to keep room for 32 samples in the command reply. This limits the
maximum assumed size of the reply packet.

Replace number and total fields in cmdmon reply packet with padding

They were not used for anything and there is no plan to change that.

Don't read uninitialized memory in client packet length check

Before calling PKL_ReplyLength() check that the packet has full header.
This didn't change the outcome of the test if the packet was shorter as
the invalid result from PKL_ReplyLength() was either larger than length
of the packet or smaller than header length, failing the length check in
both cases.

Remove superfluous code in read_from_cmd_socket()

Fix writing of drift and RTC files

Without sequence points the driftfile and RTC file could be closed
before new values were written.

Fix selecting of sources with prefer option

List of selectable sources that is used in combining was trimmed to
sources with prefer option, but scoring algorithm considered all
selectable sources. When a source without prefer was selected and
no source was combined, it caused assertion failure.

Remove superfluous code in SRC_SelectSource

Fix error message when chronyc can't open keyfile

Update comment on setting poll in reply packet

Don't allow maxpoll to be set shorter than minpoll

Convert linux kernel info messages to debug

Update linux_freq_scale and linux_hz documentation

Print error message on invalid syntax with all chronyc commands

Simplify expression used in frequency accumulation

Fix frequency accumulation again

This is a revert of commit 99d18abf updated for later changes. It seems
in that commit the calculation was changed to match the reversed dfreq
added in 1a7415a6, which itself was calculated incorrectly. Fix the
calculation of updated frequency and matching dfreq.

Convert disabled log message in rtc_linux.c to DEBUG_LOG

Update documentation on trimrtc command

Improve description of refclock delay option

Fix default device in rtcdevice description

Add option to read RTC LOCAL/UTC setting from hwclock's adjtime file

Replace /sbin/clock with /sbin/hwclock in documentation and comments

Make naming of RTC config functions consistent

Fix ordering of sections in documentation

Make section descriptions consistent in documentation

Write fatal messages also to stderr when started with -n

Don't try to write to parent logging fd when closed

Merge config parsing functions for common data types

Add option to trim RTC automatically

Fix REF_GetOurStratum description

Remove forgotten macros

Use N_SAMPLES_PER_REGRESSION macro in rtc_linux module

Convert TRACEON LOG messages to DEBUG_LOG

Add support for debug messages

Add new DEBUG_LOG macro for debug messages. The messages are enabled
when compiled with --enable-debug and they are printed when the -d
option is used twice.

Fix log messages

Set printf format attribute for logging functions with gcc

Refactor logging

- merge LOG_Line_Function, LOG_Fatal_Function and LOG_Position
- use C99 variadic macros for LOG and LOG_FATAL

Update see also in man pages

Add refclock trace messages

Enable refclock error messages

Fix stratum with non-PPS SOCK refclock and local stratum

Append -lcap to EXTRA_LIBS in configure

Link with -lrt for clock_gettime() if needed

Fix compilation of PHC driver on systems without PTP_SYS_OFFSET

Add assert for parameter m in RGR_FindBestRegression()

Fix regression validity check in handle_relock_after_trim()

Fix id printed in duplicate key warning

Remove unused code in manual.c

Fix Clang static analyzer warnings about never read values

rtc_linux.c: Remove useless assignment `error = -1;`

The Clang static analyzer scan-build from Debian clang version 3.4-1
found the following unneeded assignment.

        rtc_linux.c:756:5: warning: Value stored to 'error' is never read
            error = 1;
            ^       ~

Indeed, if in that if branch, the function returns without ever looking
at the variable `error`. So remove the line.

Add dependency on chrony.txt to install target

Add URLs to documentation for gpsd, radioclk and linuxpps

Add PHC refclock driver

Implement a driver which allows using PTP hardware clock (PHC) as a
reference clock. It uses the PTP_SYS_OFFSET ioctl or clock_gettime()
to measure the offset between the PTP clock and the system clock. Ten
readings are made for every driver poll and the fastest one is returned.

As PHCs are typically kept in TAI instead of UTC, it's necessary to set
the TAI/UTC offset manually by the offset option. This could be improved
by obtaining the offset automatically from the right/UTC timezone.

Update NEWS

Drop support for SUBNETS_ACCESSED and CLIENT_ACCESSES commands

Support for the SUBNETS_ACCESSED and CLIENT_ACCESSES commands was
enabled in chronyd, but in chronyc it was always disabled and the
CLIENT_ACCESSES_BY_INDEX command was used instead. As there is no plan
to enable it in the future, remove the support completely.

Don't send uninitialized data in command replies

The RPY_SUBNETS_ACCESSED and RPY_CLIENT_ACCESSES command replies can
contain uninitalized data from stack when the client logging is disabled
or a bad subnet is requested. These commands were never used by chronyc
and they require the client to be authenticated since version 1.25.

Fix buffer overflow when processing crafted command packets

When the length of the REQ_SUBNETS_ACCESSED, REQ_CLIENT_ACCESSES
command requests and the RPY_SUBNETS_ACCESSED, RPY_CLIENT_ACCESSES,
RPY_CLIENT_ACCESSES_BY_INDEX, RPY_MANUAL_LIST command replies is
calculated, the number of items stored in the packet is not validated.

A crafted command request/reply can be used to crash the server/client.
Only clients allowed by cmdallow (by default only localhost) can crash
the server.

With chrony versions 1.25 and 1.26 this bug has a smaller security
impact as the server requires the clients to be authenticated in order
to process the subnet and client accesses commands. In 1.27 and 1.28,
however, the invalid calculated length is included also in the
authentication check which may cause another crash.

Update chrony.conf.example2

Don't mention pre 2.2 Linux kernels in documentation

Update NEWS

Treat address bind errors as non-fatal

Update chrony.spec.sample

Update copyright in chronyc GPL string

Update NEWS

Update example config files more

Document port directive set to 0 as random port