sys: introduce generic driver

This driver is intended to complete system-specific drivers that don't
have implemented all required driver functionality. Currently, it
implements offset functions working on top of system-specific frequency
functions. Offsets are corrected by changing frequency, similarly to
fast slewing implemented in the Linux driver.

test: make 110-chronyc even more tolerant

doc: update faq.txt

client: don't override hostname with -4 or -6 after -h

client: set default hostname to 127.0.0.1 instead of localhost

This is to make sure chronyd will see the remote address as 127.0.0.1
and allow access even when localhost resolves to an address of a
non-loopback interface.

client: enable IP_RECVERR socket option

This is useful to get ECONNREFUSED when the host replies with ICMP port
unreachable message and avoid having to wait for timeout.

sys: remove unused static variables in Linux driver

doc: update for separate client sockets

doc: update chronyd -r and chronyc -h descriptions

main: switch errors in initialization to fatal errors

test: require latest clknetsim

This is needed for async name resolving and dropping root privileges.

client: shorten default timeout with localhost and async resolving

When chronyd is compiled with asynchronous name resolving, it should
always respond quickly. Shorten the default chronyc timeout for
localhost.

nameserv: add asynchronous resolving with POSIX threads

Run getaddrinfo()/gethostbyname() in separate thread to avoid blocking.
Only one resolving thread is running at one time, so this should work
also on systems where the functions are not thread-safe.

configure: check if getaddrinfo() is available

This allows disabling IPv6 support and keeping getaddrinfo().

ntp: start resolving only from NSR_ResolveSources

Also, use macros to define the minimum and maximum resolving interval.

ntp: use async name resolving for NTP sources

Use the new asynchronous call to resolve addresses of NTP servers
configured by the server/peer directives. Introduce a callback to be
notified when the first resolving attempt ends to correctly finish
chronyd initialization (dumpfile reload and reference mode end).

ntp: delay initial transmission until first resolving ends

This will be needed to prevent loading of dump files after sources have
already accumulated samples and possibly reference was already updated
when async resolving of sources is implemented.

sourcestats: assert dump file is loaded with no accumulated samples

nameserv: prepare for asynchronous resolving

Introduce a new function with callback to resolve names to IP addresses
asynchronously. For now, use a blocking wrapper around DNS_Name2IPAddress.

configure: sed Makefile with MYCPPFLAGS

configure: replace unnecessary variables in Makefile

refclock: remove duplicated declaration

cmdmon: fix doffset command with negative values on 64-bit systems

reference: negate offset printed in maxchange log message

This makes it consistent with other log messages.

makefile: add dependency to check target

main: setup access restrictions before initstepslew

ntp: close client socket when offline

ntp: close only client socket when destroying NCR instance

sources: ignore inactive sources in special mode ending

sources: add flag that source is active

When source is set as active, it's receiving reachability updates (e.g.
offline NTP sources are not active).

Also add function to count active sources.

ntp: reduce burst timeout to 2.0

With the new special mode ending it can be now equal to the burst
polling interval.

sources: rework special mode ending with unreachable sources

Instead of giving up when a source has 7 reach updates, continue as long
as at least one source has fewer than 7 updates and can still have 3
samples to be selectable in that number of updates.

When no sources are responding, it will give up sooner.

regress: make minimum number of samples for regression public

sched: fix main loop to allow timeout handlers modify fd set or quit

With special reference update modes, the timeout handlers may add or
remove file descriptors from the read fd set, so it needs to be copied
for select() call after they are dispatched. Also, they can now request
quit, so the exit flag needs to be checked before select() to avoid
hanging.

configure: add option to set default user

The default user is root by default, which disables root dropping by
default. The user directive or the -u option can still be used to set
the user.

main: support configuration commands on command line

If there are extra arguments on the chronyd command line, they will be
parsed as lines in a configuration file and the normal configuration file
will be ignored.

conf: allow NULL as filename

conf: split line parsing from CNF_ReadFile

main: add -q/-Q options to set clock/print offset once and exit

reference: add UpdateOnce and PrintOnce modes

logging: print warning message when not compiled with debug support

logging: set debug level instead of on/off

Prefix messages written to terminal with filename, line and function
name only with debug level 2 and higher.

logging: update format of messages written to terminal

Move the time stamp to start of the line and print full date in ISO 8601
format.

reference: exit with non-zero code when maxchange limit is reached

Use ending of normal mode to signal a failure.

sources: log selection messages only in normal reference update mode

We don't want to see source selection messages when initstepslew is
running.

ntp: reduce burst timeout to 2.5 seconds

This reduces the maximum time initstepslew can take.

ntp: set maximum number of iburst samples to size of reach register

Explicitly set the number of iburst samples to the size of the register
to make sure there are at least 7 reachability updates and the
initstepslew mode can be ended.

ntp: drop initstepslew NTP implementation

The initstepslew code has its own minimal NTP implementation. Drop the
code, add a new initstepslew mode to the reference updating code and
use regular NTP sources with iburst flag for initstepslew addresses
instead. When an update is made or a source is found unreachable, log a
message, remove the initstepslew sources and switch to normal mode.

This reduces code duplication and makes initstepslew use features
implemented only in the main code like source combining or SO_TIMESTAMP
support.

sources: replace beginning flag with size of reachability register

This will allow to detect sources that are not reachable on start.

sources: split source selection from sample accumulation

This will allow postponing source selection and reference update, which
could be useful in burst modes.

git: update .gitignore

test: add missing run script

conf: add bindacqaddress directive for client sockets

ntp: set only necessary socket options on client sockets

test: add 112-port

ntp: fix comment on NCR_ProcessUnknown

ntp: accept packets from unknown sources only from server sockets

test: update for latest clknetsim

Latest clknetsim now allows source and destination port numbers to
differ. This fixes the tests to work with the recent changes that added
client NTP sockets.

ntp: don't create server sockets if port is configured to 0

ntp: use separate connected sockets for each server

If acquisitionport is set to 0 (default), create and connect a new
socket for each server instead of using one socket per address family
for all servers.

ntp: use separate client sockets

Use separate sockets for NTP server or peer and client packets. The port
number is configured by the acquisitionport directive. With the default
value of 0 the port is assigned randomly by the kernel. It can be equal
to the value configured by the port directive to use the server sockets
for all packets as before.

ntp: don't try to bind acquire socket if port is equal to ntp port

ntp: check if packet was received by right socket

ntp: store socket in NTP instance

This is preparation for separate client sockets.

ntp: split local_ip_addr from NTP_Remote_Address struct

ntp: set invalid socket fd by macro

doc: improve commandkey and keyfile descriptions

ntp: set minpoll from received KoD RATE at most to 10

Limit changing minpoll to a reasonable maximum in case the server is
broken or temporarily misconfigured.

ntp: print warning when source is added with unknown key

ntp: reset negative minpoll or maxpoll to default values

cmdparse: don't allow NTP key ID of 0

Key number 0 is used as inactive key, prevent the user from
inadvertently not using authentication.

test: add 111-knownclient

test: add port number check

ntp: make use of NCR_ProcessUnknown in NCR_ProcessKnown

After recent changes the code in NCR_ProcessKnown is now identical and
can be replaced with NCR_ProcessUnknown call.

ntp: don't store tx time stamp when replying to known source

ntp: don't reply to known source if missing key or invalid auth

This is now similar to replying to unknown sources.

test: extend 105-ntpauth

ntp: don't send requests with unknown key

There is no point in sending a request if the configured key is missing.
A reply would be ignored anyway.

ntp: remove unnecessary KEY_KeyKnown calls

keys: don't cache position for unknown keys

client: print positive signed freq and offset values with sign

test: make 110-chronyc more tolerant

tempcomp: print warning message on error

tempcomp: use macro to set maximum allowed compensation

sourcestats: fix signedness in scanf format

makefile: improve check rule

Add simulation tests

Use clknetsim to run multiple chronyd instances with simulated clocks
and network. It allows fast and reproducible testing, without real
network.

Included are several tests of performance in different clock/network
conditions, chronyd options, NTP authentication, chronyc, and past bug
fixes.

configure: suppress pkg-config errors

Check array index before reading

Merge branch '1.29-security'

make_release: set owner and group in released tarball to root

make_release: remove config.log and config.h

Update NEWS

Update faq.txt

Send cmdmon error replies only to allowed hosts

The status codes STT_BADPKTVERSION, STT_BADPKTLENGTH, STT_NOHOSTACCESS
were sent even to hosts that were not allowed by cmdallow. Deprecate
STT_NOHOSTACCESS and ignore packets from hosts not allowed by cmdallow
completely.

Support previous protocol version in chronyc

This adds compatibility with chronyd using the previous protocol version
(chrony versions 1.27, 1.28, 1.29).

Add padding to cmdmon requests to prevent amplification attack

To prevent an attacker using chronyd in an amplification attack, change
the protocol to include padding in request packets so that the largest
possible reply is not larger than the request. Request packets that
don't include this padding are ignored as invalid.

This is an incompatible change in the protocol. Clients from chrony
1.27, 1.28 and 1.29 will receive NULL reply with STT_BADPKTVERSION and
print "Protocol version mismatch". Clients from 1.26 and older will not
receive a reply as it would be larger than the request if it was padded
to be compatible with their protocol.

Set maximum number of samples in manual list reply to 16

In chronyd the maximum number of manual samples is 16, so there is no
need to keep room for 32 samples in the command reply. This limits the
maximum assumed size of the reply packet.

Replace number and total fields in cmdmon reply packet with padding

They were not used for anything and there is no plan to change that.

Don't read uninitialized memory in client packet length check

Before calling PKL_ReplyLength() check that the packet has full header.
This didn't change the outcome of the test if the packet was shorter as
the invalid result from PKL_ReplyLength() was either larger than length
of the packet or smaller than header length, failing the length check in
both cases.