daemon/tls: respect crypto policy overrides in OS

Merge !1525: distro/pkg/rpm: use noreplace for config.yaml

distro/pkg/arch: put config.yaml into backup

Same as previous commit, but for Arch Linux.

distro/pkg/rpm: use noreplace for config.yaml

Adds `%config(noreplace)` to `config.yaml`. This prevents the package
from overwriting the user's edited configuration upon update, and
instead adds the new default configuration as a `.rpmnew` file for the
user to potentially consider.

Merge branch 'upstream-version' into '6.0'

distro: auto-detect latest Knot Resolver version

See merge request knot/knot-resolver!1524

distro: auto-detect latest Knot Resolver version

New scripts/upstream-version.sh returns latest Knot Resolver version
based on upstream repo tags.

It's set as upstream.version_script in apkg config which enables:

    $ apkg info upstream-version
    upstream version: 6.0.7

and later `apkg build --upstream` when tarballs are available.

Merge branch 'release-6.0.7' into '6.0'

release 6.0.7

See merge request knot/knot-resolver!1523

release 6.0.7

Dockerfile: fix typo 'update' -> 'upgrade'

Merge branch '6.0.7-news' into '6.0'

NEWS: add missing entries for 6.0.7

See merge request knot/knot-resolver!1519

NEWS, README: "canonicalize" the link to Upgrading docs

NEWS: add missing entries for 6.0.7

Merge branch 'rpz-soa' into '6.0'

lib/rules: fix RPZ if SOA is repated, as usual in AXFR output

See merge request knot/knot-resolver!1521

lib/rules: avoid RPZ overriding the root SOA

lib/rules: fix RPZ if SOA is repated, as usual in AXFR output

The check for name equality didn't cover the case of repeated SOA.

Merge branch 'improve-limits' into '6.0'

manager: increase startup timeout for manager (again)

See merge request knot/knot-resolver!1520

manager, systemd: increase startup timeout for manager (again)

During the previous increase I didn't realize the comment added now.

Merge branch 'improve-limits' into '6.0'

minor improvements of limits

See merge request knot/knot-resolver!1518

lib/rules: increase default DB size to 2G on 64-bit platforms

The file is sparse, which really is supported by all sane filesystems
nowadays I think.  But for 32-bit systems I'm a bit afraid for the
ability to reliably get such a large contiguous mapping in process memory,
so there we take the 500M limit tested in knot-dns:
https://gitlab.nic.cz/knot/knot-dns/-/blob/v3.3.5/src/knot/conf/schema.c#L39

manager: increase startup timeout for processes

In production I believe we can assume that process continuing to work
without bailing out is probably doing something useful, e.g.
in case of kresd it might be preparing a very large rule-set.

Merge branch 'runtime-lib-paths' into '6.0'

meson.build: fix paths to knot-dns libs if exec_prefix != prefix

See merge request knot/knot-resolver!1503

meson.build: fix paths to knot-dns libs if exec_prefix != prefix

Man, this is complicated.  But I hope that this one will really be
reliable, with `sh` and `wc` being present in basically every POSIX env.

Merge branch 'udp-low-ports' into '6.0'

daemon/io: ignore UDP requests from ports < 1024

See merge request knot/knot-resolver!1507

daemon/io: ignore UDP requests from ports < 1024

Merge remote-tracking branch 'origin/master' into 6.0

Merge branch 'time_t' into 'master'

daemon/lua: fix on 32-bit systems with 64-bit time_t

See merge request knot/knot-resolver!1510

daemon/lua: fix on 32-bit systems with 64-bit time_t

This improves the heuristics.
The problem would be detected by meson, but not when cross-compiling,
in which case things would mostly run OK, except some lua code/modules.

Merge branch 'doc-update-oci' into '6.0'

doc styling fixes

See merge request knot/knot-resolver!1517

doc/_static/css: fix anchor colors

The global styling made some anchors misbehave. Since we only want to
recolor the anchors in the content part of the docs, let's properly
target the CSS rules.

doc/user: add missing sphinxcontrib.jquery

Accidentally omitted in `doc/user`, present in `doc/dev`.

Merge !1516: lib/rules: fix RPZ if it contains apex NS record

lib/rules: fix RPZ if it contains apex NS record

The spec even requires (at least one) NS record in apex
https://datatracker.ietf.org/doc/html/draft-vixie-dns-rpz-00#section-2
but until now the implementation took it as override for the root NS,
which obviously broke resolution (depending on the supplied name/s).

README.md: Fix incorrect URL to build instructions

Merge branch 'kresctl-docs-nits' into '6.0'

doc/manager-client: adjustments

See merge request knot/knot-resolver!1513

doc/manager-client: adjustments

Some language adjustments and improved optionality signalling (optional
parameters are usually surrounded by square brackets `[]`, while angle
brackets `<>` are usually reserved for mandatory ones).

Merge branch 'doc-move-pages' into '6.0'

remove `doc-dev` directory, merge into `doc/dev`

See merge request knot/knot-resolver!1515

remove `doc-dev` directory, merge into `doc/dev`

Merge branch 'doc-separation' into '6.0'

Separate user and developer documentation

See merge request knot/knot-resolver!1514

doc: better headings

NEWS update

doc: various fixes

Fix cross-references, heading levels, etc.

doc/user:  installation update

doc/dev/index: add backlink to the user docs + warning

doc/dev/build: add missing article

doc: separate user and developer documentation

This separates the documentation into a *blue* user documentation and a
*red* developer documentation, resolving problems where similar sections
collided in search queries, leading users to the advanced Lua config
documentation instead of the preferred declarative config one.

It also visually separates the two parts, so that users who do not wish
to meddle in Lua immediately see that they're somewhere wrong just by
seeing the red colour.

Merge branch 'manager-install-config' into '6.0'

python: expose prefix configuration as a module

See merge request knot/knot-resolver!1511

python: expose prefix configuration as a module

Merge !1508: lib/dnssec: dnskey nits

docs: fix typo in an option name

Reported on chat:
https://matrix.to/#/!yEaUZSBVTYRlULEqON:gitter.im/$ZXYw2v_QnbgIiP83lNtBiBptiJxqcXPKe4GI47tI86E?via=gitter.im&via=matrix.org&via=kack.it

Merge !1501: various nits

lib/dnssec: rename 'check_crypto_limit' to 'account_crypto_limit'

tests/integration/meson.build: refer to augeas as 'python-augeas'

This is so that it is more obvious that the PyPI package actually has
the `python-` prefix.

daemon/proxyv2: nits

lib/dnssec nit: reverse order of validating a DNSKEY set

Suggested by Libor Peltan.

lib/dnssec: refactor kr_dnssec_key_*

- The "ksk" and "zsk" in names were confusing,
  as they did NOT match the normal terms of KSK and ZSK.
- Add _usable() as a more useful function than _zsk() was.
- don't use 16-bit flag-sets; it's way easier to extract on byte level
- use inline for the simplified code

Merge branch 'forward-auth-port' into '6.0'

forwarding to authoritative servers doesn't allow overriding ports

See merge request knot/knot-resolver!1505

datamodel: forward: custom port and TLS are not supported for authoritative servers

document limitation of forwarding to authoritative servers

Merge branch 'keytrap-related' into 'master'

improve assertions around current releases

See merge request knot/knot-resolver!1506

lib/cache: bump CACHE_VERSION

Ideally we would've done that at once with increasing NSEC3 strictness,
i.e. in 5.7.1 + 6.0.6, as otherwise we could run into some recoverable
assertions until the records got removed or expired.
We at least do the bump now.

lib/dnssec: fix imprecise assertion

It was no longer correct after commit cc5051b444130 (KeyTrap).

Merge !1504: kresctl: timeout for http request

NEWS update

utils/request.py: higher timeout for http request

Merge branch 'python3.12-support' into '6.0'

manager: poetry: support for python 3.12

See merge request knot/knot-resolver!1502

manager: update Python versions

Use the oldest supported Python by default again, since that ensures our
compatibility. Also, remove explicit Python versions from README to
avoid duplication - `pyenv install` just installs the versions that are
already in `.python-version`, so let's leverage that.

lint: fixes for new versions of tools

manager: ci:  switch to python 3.12

poetry: support for python 3.12

- poetry: upgrade to 1.7.1
- poetry: python 3.7 support removed
- poetry: unnecessary tox tool removed
- poetry: deps version update

Merge !1500: datamodel: support interface names with dashes

Fixes #900

datamodel: support interface names with dashes

Dashes can't be present in normal identifiers in Lua,
so we switch to a different syntactic sugar for the same thing.

Merge branch 'manager-nits' into '6.0'

manager: nits, cleanups, fixes

See merge request knot/knot-resolver!1496

manager: get rid of old linters and clean-up some warnings

Removes references to pyright, which is not in use anymore. Also removes
warning suppressions and instead properly resolves the warnings.

manager: move `build.py` to `build_c_extensions.py`

This fixes a problem on some systems, where the `build.py` file
conflicts with the `build` module required by Poetry.

See <https://github.com/python-poetry/poetry/issues/7576>.

manager: have pyenv prefer the latest Python version instead of the oldest

Merge branch 'manager-api-cache-clear' into '6.0'

manager: cache-clear command via HTTP API

Closes #876

See merge request knot/knot-resolver!1491

manager/tests: validate JSON output from "kresctl cache clear --json" command

kresctl: config: reduction of duplicate code related to the data parsing

- set: there is no need to specify the input data format
- get: YAML is now the default format for output data

kresctl: cache command: output formats for 'clear' operation

modeling: parsing: data dump from instances of class 'Renamed'

manager: use proper JSON values for socket communication

This commit adds a special JSON mode for control sockets.

The mode is activated by issuing a special `__json` command to the
socket, resulting in all Lua objects returned by all subsequent commands
to be serialized into JSONs, prepended by a 32-bit unsigned integer
byte-length value.

This JSON mode is now exclusively utilized by Manager, removing the need
to hackily strip single-quotes from the output and to read the output by
lines. Instead, it can always just read the 32-bit length value and
subsequently the whole JSON-formatted message, which is now
automatically deserialized into a Python object.

'cache-clear' remade to 'cache/clear'

naming: replacing 'kids' suffix with 'kresids' for clarification

doc: cache clearing

manager/tests: simple test for /cache-clear API endpoint

doc/manager-client.rst: 'cache-clear' command added

api: cache-clear: validate data, render lua and send cmd

datamodel: schema and template for cache-clear command

api: added cache-clear route

datamodel: moving the main jinja template loader to the templates dir

controller: moving workers registration  helpers out of the statistics module

kresctl: 'cache-clear' command created

Merge branch 'release-6.0.6' into 6.0

Release 6.0.6

AUTHORS update

Merge !1497: lib/dnssec: allow validating some RRsets around 64 KiB size

lib/dnssec: allow validating some RRsets around 64 KiB size

- only with libknot >= 3.4 though (which is not released yet)
- use stack instead of static buffer (saves RAM; see code comment)

NEWS for 6.0.6

Merge branch 'master' into dos-feb13-6.0

There were some nontrivial conflicts to resolve, NEWS + the line
    ctx->vld_limit_crypto = KR_VLD_LIMIT_CRYPTO_DEFAULT;
(I had this resolution prepared for a long time.)

release 5.7.1