ARP: gc stale function arp_cancel

BSD: In privsep with no GIFALIAS support? getifaddrs over privsep

This makes the heavy weight call even more heavy weight :(

Linux: more freeifaddrs

privsep: Only use freeifaddrs if not using privsep

Linux: make resource limits work by using getifaddrs over privsep

Linux: resource limits don't easily work here either....

FreeBSD: Fix prior for capsicum as well.

OpenBSD: disable setting resource limits as we have pledge.

privsep: Set resource limits when dropping privs

Disables forking, new files, sockets and writing large files.

if: Keep the PF_LINK socket open throughout

Saves opening it and closing it each time we discover interfaces.

privsep: Remove pledges inet and dns from the master process

Achieved by adding IPC to ignore interfaces names based on
the interface group.

This means every process just pledges stdio for IPC which the
exception of the master process which also pledges route so it
can access the routing table.

Fix installing the embedded config as a file.

Release dhcpcd-9.1.1

privsep: Remove this error masking as well.

privsep: Log ECONNRESET errors again

Now that we've improved the robustness of the IPC this is important.

privsep: Set buffer sizes before setting rights.

privsep: Don't wait for the process to finish when stopping it

Instead, wait on receipt of SIGCHLD so we're not blocked.

Fix warning for prior on Linux

privsep: Fix returning indirect ioctl data

eloop: Just use ppoll(2)

epoll and kqueue are really too heavy weight.
With privsep, we now favour more processes for BPF and per address sockets.
As such, the number of fds to monitor will always be quite small.

All modern OS now have ppoll(2) (NetBSD has pollts, which is the same)
which works perfectly for us.
If neither are present, the a wrapper around pselect(2) is provided,
which can be found on all POSIX systems.

This makes the code a lot smaller and easier to follow.
The reduced binary size and memory usage is a nice win here.

auth: Fix warning for non privsep builds

privsep: Access the RDM monotic file via IPC

As we can't get at it in the chroot.
While here, harden the file.

BSD: Ignore fwip(4)

privsep: harden process handling

If eloop is exited, only allow explicit re-entry.
Only exit on read/write error if a forked process and not root.
If the root process fails to read/write to a sub-process,
stop the sub-process.

ifaces could be NULL here

ARP: call arp_announced when cancelling it

This signals that the announcement has finished and any BPF process
can then be closed off.

auth: Only accept RECONFIGURE messages from LL hosts

This has to be authentiated, and there is a chance we cannot know
the token if IP address sharing.
The initial messages are send via LL anyway, so the peer address
the server should record is the LL.

While here, drop the lease at exit if we accepted a reconfigure token.
The token may not be in all the replies from the server and we
always save the last reply.

XXX Save the token in another file?

privsep: Only open raw sockets for the needed protocols.

Just warn about any errors rather than forcing an early exit as well.
While here, fix startup if DHCPv6 disabled globally but enabled per if.

Fix compile without DHCP or DHCP6

privsep: Double the size of the send buffer.

And ensure the buffer size is not reduced.

privsep: Ensure socketpair IPC buffers are large enough.

For at least one fully sized message.

privsep: Don't carry ifa_next

While harmless, it's also meaningless.

Restore dumping a lease from stdin

Release dhcpcd-9.1.0

Fix compile with inet or inet6 disabled

Linux: File compile without plugins

route: improve overflow logging

logerr: Preserve errno

privsep: Drain the link socket as we can't re-open it.

Add debug per 100 messages.

Fix some Coverity isues

Fix some clang analyzer issues

Solaris: IP_RECVIF is busted on DilOS at least

Luckily Solaris supports IP_PKTINFO as well so lets fall back
to that for the time being.

Solaris: Fix sending RS probes

Solaris: driver names have numbers

So we can't use the BSD/Linux methodology

Solaris: Fix compile

But if_init is failing? Odd as this has not changed.

DHCP6: Revert part of prior - only allow vendorclassid to disable

Not set.
dhcpcd owns the IANA_PEN defined.
Either use it as is, or get your own.
This restores the prior behaviour but still allows the option
as a whole to be disabled by vendorclassid being disabled.

dhcpcd.conf: harden default options

Don't send the current hostname.
Don't send the default vendorclassid.
Slight re-org while here.

DHCP6: Use interface vendorclassid rather than context

This allows the vendor class to be turned off as well.

Appease older compilers

For systems without open_memstream(3) warn that /tmp needs to exit

Inside the privsep users home directory.

Check AF_PACKET is defined

dhcpcd: Fix a memory error dumping leases.

privsep: root and inet don't need arc4random

Saves a fd or two.

privsep: Avoid the /proc/../ escape

dhcpcd: Fix releasing addresses

privsep: Init the arc4random seed before chrooting

/dev/urandom isn't available in the chroot.
So keep a fd open to it.

Fix some memory issues with prior

Fix prior for BSD

privsep: Fix compile for prior without dev plugins

privsep: Pass BPF flags via ps_flags

privsep: Allow dev plugins to work

For udev at least, it requires a /var/run to be available in the chroot
which is poor. As such, give it a full IPC.

privsep: No need for a CHROOT reason now

privsep: Allow Linux to work without needing any mounts

Move get_line to common to re-use outside of options

Avoid putting an extra space here.

dhcpcd: Move the script file from per interface to global context

This *should* affect no-one, but you never know.
The primary motivation for this is to ensure that nothing arbitary
can be executed by the root process if anyone breaks into the
chrooted unprivileged master process.

It also makes for smaller code.

privsep: Validate ICMP messages we send as well

privsep: Validate UDP ports

Just like we filter the ioctls.

Apparently case is important.

dhcpcd: Silence console output entirely with more -q

SystemD logs console ouput and syslog to the same place.
Pretty daft if you ask me, but heh.
-qq disables console output entirely to make SystemD logs easier to read.

Note RFC6926 fields even though we don't perform a bulk lease query

privsep: Only allow file IO to specific paths

In the same vein as filtering ioctls.

privsep: Log the user chrooting as

Remove some old FORKED logic.

No longer needed now the main process forks from the get go.

privsep: Filter ioctls to a known list.

In-case the master process is broken into.

ARP: reduce conflicts from errors to warnings

It's only an error on DAD failure and you're warned about this
already.

privsep: inet processes no longer need inet pledge

OpenBSD: Avoid a pledge segfault when exiting

No cpath permission anymore, so we can't unlink the pidfile.
If compiled for pledge then don't bother.

privsep: Ensure we don't scribble garbage to BPF

Well, it's not garbage, it's a privsep IPC message telling us to
start BPF which the BPF process should not have recieved!
Add code to ensure this cannot happen.

ARP: A few minor fixes for prior

privsep: Add comment about BPF returing EPERM on OpenBSD.

Looks like an OpenBSD bug.

IPv4LL: Fix for non NetBSD

OpenBSD: Fix non privsep builds.

IPv4LL: Fix for prior on NetBSD at least.

Linux: workaround a kernel bug when sending DHCPv6 over SOCK_RAW

The equivalent works fine for DHCP messages, so hum ho.

privsep: No need for ipv4state

Fix compile on Linux

Remove some debug

Fix compile for prior on NetBSD

privsep: Enable Capsicum for all processes.

Except for the priviledged process.
This is quite an in-depth change:
 * ARP is now one process per address
 * BPF flags are now returned via privsep
 * BPF write filters are locked when supported
 * The root process sends to the network

The last step is done by opening RAW sockets and then sending a UDP
header (where applicable) to avoid binding to an address
which is already in use by the reader sockets.

This is slightly wasteful for OS's without sandboxing but does
have the very nice side effect of not needing a source address
to unicast DHCPs replies from which makes the code smaller.

Linux: Lock the BPF filter from future changes

ARP: Remove ability to filter specific addresses

This is only really needed for long lasting ARP, which is only
used for IPv4 address defence.
Modern NetBSD does not need this and it fails to work with
OpenBSD Pledge. FreeBSD Capsicum is more secure without this
as the BPF fd can then be locked for other changes [1].
That just leaves Linux and Solaris.

If anyone feels dhcpcd is processing to much ARP then please
implement RFC 5227 in the kernel like NetBSD.

[1] Locking the BPF fd is questionable because the inet proxy
using sendmsg can send any packet to any destination.

BPF: Set write filters where supported

While here make Capsicum and Pledge more granular so we can
easily Pledge the BPF BOOTP process but not the ARP one.

dhcpcd: allow sigpipe in scripts.

DHCP: always log inform when not renewing

So that we log a new lease on rebind from a renew failure.

privsep: sockaddr len should be socklen_t

While ps_root_getifaddrs is only for capsicum, it's highly portable
and thus in the privsep-root rather than privsep-bsd.
As such, store the sockaddr len as socklen_t because that's what
POSIX demands.

It's only a few more bytes and I'd rather make this change now
than it potentially bite me later.

Remove debug.

privsep: Add a generic wrapper for getifaddrs(3)

Although this is only for Capsicum, the getifaddrs interface is
quite portable although not POSIX.

With this final change, the Master process can now enter Capsicum
Capabilites Mode and this completes the Capsicum integration.

privsep: Move defines around

Bump date for prior