Merge !1303: meson nit: deal with warning about future of run_command

meson nit: deal with warning about future of run_command

WARNING: You should add the boolean check kwarg to the run_command call.
         It currently defaults to false,
         but it will default to true in future releases of meson.
         See also: https://github.com/mesonbuild/meson/issues/9300

In almost all cases we already check the return code explicitly
and throw a more descriptive message than what would be the default.

Merge !1302: renumber: allow renumbering a subnet to a single IP

renumber: named local variables for readability

renumber: add test for single IP rewrite

renumber: document additions from the parent commit

renumber: allow renumbering a subnet to a single IP

https://github.com/CZ-NIC/knot-resolver/pull/77
originally but changed by vcunat quite a bit.

lib/utils nit: deduplicate one line

Merge !1301: lib/cache: handle posix_fallocate returning EOPNOTSUPP

lib/cache: handle posix_fallocate returning EOPNOTSUPP (Linux/musl)

https://man7.org/linux/man-pages/man3/posix_fallocate.3.html#ERRORS:
> EOPNOTSUPP
> The filesystem containing the file referred to by fd does not support
> this operation.  This error code can be returned by C libraries that
> don't perform the emulation shown in NOTES, such as **musl libc**.

I've encountered this problem on Alpine Linux running inside an LXC
container on Ubuntu with data on ZFS.

Merge !1279: daemon/http: HTTP response codes

Fixes #728

daemon/http: copy headers to streams instead of ownership transfer

tests/config/tapered: update for difference prints

daemon/http: documentation

ci: ODVR will also need Debian 11

Debian 10 could probably get dropped soon, but not yet.

daemon/http: move status sends outside nghttp2 callbacks

The nghttp2 documentation states that we must not send data from inside
of its callbacks. It may result in crashes.

daemon/http: return 400 on failed packet_parse + improved stream handling

daemon/http: return 400 on stream end with no processed packets

daemon/http: add basic HTTP response codes

Merge !1295: daemon/tls: use GNUTLS_NO_TICKETS_TLS12

Closes #742

daemon/tls: use GNUTLS_NO_TICKETS_TLS12

Merge !1294: lib/dnssec: rewrite most of NSEC validation code

Closes #443 and #738

NEWS for the rewrite of some NSEC validation parts

lib/dnssec: nits

lib/dnssec: rewrite kr_nsec_ref_to_unsigned()

- I see no motivation to search for NS records here;
  and I didn't like that loop nesting
- philosophy shift akin to the recent
  replacement of kr_nsec_existence_denial()

lib/dnssec: drop kr_nsec_name_error_response_check()

Just as with NODATA; basically the same comments
apply here (i.e. for NXDOMAIN) as well.

lib/dnssec: replace kr_nsec_existence_denial()

The NSEC validation code has been written very mechanically
according to RFC 4033..4035, but those explain wildcard-related
topics in a way that's hard to understand right.

So here I rewrite it with a different philosophy, so it should be
easier to understand, a bit faster, and less buggy and bug-prone.

daemon/lua nit: sort RR rank names in debug logs

I was diffing logs from different runs and got annoyed by the shuffles.

Merge !1287: tests/dnstap: add missing protobuf dependency

tests/dnstap: add missing protobuf dependency

Merge !1286: daemon/network: Use trie_t instead of map_t for network endpoints

lib/generic/map: remove

lib/utils kr_sockaddr_key_same_addr(): more precision

... in case of IPv6 link-local addresses.
The casting isn't very nice, but we certainly rely on `family` being
always on the same offset anyway (and it's ensured by standards).

daemon/network: reintroduce net.close() wildcard semantics

lib/utils: check for unix socket paths null-termination

daemon/network: Use trie_t instead of map_t for network endpoints

Merge !1290: modules/stats: use trie_t instead of map_t

modules/stats: use trie_t instead of map_t

lib/generic/trie: add trie_apply_with_key()

Merge !1292: lib/dnssec/ta: use trie_t instead of map_t

lib/dnssec/ta: use trie_t instead of map_t

Merge !1288: daemon/worker: Use trie_t instead of map_t for TCP connections

daemon/worker: Use trie_t instead of map_t for TCP connections

lib/utils: sockaddr key generation

Merge branch !1285: daemon/zimport: close transaction after importing batch

daemon/zimport: close transaction after importing batch

I'm really sorry about this.  It's my regression in 5.5.0 (!1225)

Practical consequence was that the RW transaction was held open
until that instance did something with cache (and thus closed),
so any other instance would be frozen in the meantime if doing
anything non-read-only with cache (e.g. startup).
https://lists.nic.cz/hyperkitty/list/knot-resolver-users@lists.nic.cz/thread/6DOXXOA6ACEUBVYPUY3T2MLGIHWOMV6M/

Merge !1283: ci: fix ambiguous tag-sets

ci: fix ambiguous tag-sets

In a few places the tag-set specification for jobs could match
either amd64 or arm64 runners.  That non-determinism is bad,
especially when passing platform-specific artifacts around.

This is just a stop-gap measure.  Later we'll need to rethink our CI
in terms of the two platforms.

I didn't touch tag-sets with `condor`, as that will probably always be
just a single machine (which coordinates scheduling on others).

Merge !1282: ci/pkgtest: fix issues with sphinx

ci/pkgtest: fix issues with sphinx

The apkg installation through pip3 was pulling too new jinja2 version,
breaking subsequent usage of sphinx to build docs (in `apkg build`).

Merge !1276: xdp: make it work also with libknot 3.1

Fixes #735

xdp nit: utilize freeing API added in libknot 3.1

It's probably a bit more efficient, but this part of code should be
rarely used even on a resolver serving all in XDP.

xdp: make it work also with libknot 3.1

Somehow I did this wrong when porting to libknot 3.1.

Merge !1281: pkg: update changelogs

pkg: update changelogs

* set myself as package maintainer
* use {{ now }} instead of hardcoded datetime
  * bump apkg compat to 2

rpm: sync from Fedora

This is a no-op as GPG_CHECK is disabled for upstream package but it
keeps the .spec files in sync.

Merge !1271: ci/images: add docs

ci/images: add debian-11-coverity description

ci/images: add image description

ci/images: ensure base image is updated

Merge !1275: modules/dns64: fix incorrect packet writes for cached packets

Fixes #727

modules/dns64: fix incorrect packet writes for cached packets

Also change the return type of kr_pkt_has_dnssec() and lua's :dobit()

Merge branch 'release-5-5-0' into 'master'

release 5.5.0

See merge request knot/knot-resolver!1272

AUTHORS: duplicate alias removed

release 5.5.0

Merge !1273: Documentation nits (policy, predict)

predict docs: be more explicit about recommended use

We're still run into people who thought that the example config
is a suitable default.  Example where it caused practical issues:
https://lists.nic.cz/hyperkitty/list/knot-resolver-users@lists.nic.cz/thread/WQDJJ3LLEIZ5U3VVSCITW6DZPICW4L7U/

policy docs: explain non-ASCII names

Merge branch 'selection' into 'master'

lib/selection: fix interaction of timeouts with reboots

Closes #722

See merge request knot/knot-resolver!1269

Revert "daemon/worker: add task timeouts for upstream TCP connections"

This reverts commit 0c9ea1332e1c4475043eab571f60915b90985999 (!1226).

CI rp:fwd-tls6.udp-asan now repeatedly shows use-after-free.
That could be a serious issue, and this commit's feature
seems less important than the risk.  Let's revert until the issue
gets deeper investigation.

lib/selection: fix interaction of timeouts with reboots

We use "monotonic" time-stamps for the dead_since field;
that breaks on system reboots, in which case we reset the stats.
(if the server was categorized as dead)

If the server times out afterwards, we'd fail the condition
`cur_state.consecutive_timeouts == old_state.consecutive_timeouts`
so its stats would not update.  Therefore we'd get stuck forever
in a state where the unusable server has high priority (no_rtt_info).

This commit changes a bit more than was necessary to fix this,
including precision of the stats (in some cases).

lib/selection: improve randomness of ties

The approach was dubious: random shuffle, qsort() and choose the first.
The main functional problem was that qsort() isn't a stable sort,
so the effect of pre-shuffling is not reliable, even though I don't have
any evidence of this causing issues in practice.

The new code should also be a bit more efficient in terms of CPU and
consumed randomness, but that probably won't be noticeable.
The arrays passed into select_transport() are now const (no sorting),
which could make the code easier to "understand".

Merge branch 'ci-remove-arm' into 'master'

ci: remove experimental arm builds

See merge request knot/knot-resolver!1270

ci: remove experimental arm builds

These are running on a hardware setup which is hard to maintain. In the
near future, ARM64 should be covered by a dedicated runner.

Merge branch 'keyblock-update' into 'master'

pgp: remove tkrizek, add amrazek

See merge request knot/knot-resolver!1268

pgp: remove tkrizek, add amrazek

Merge branch 'distrotests-rocky8' into 'master'

distro/tests: use rocky8 instead of centos8

See merge request knot/knot-resolver!1267

distro/tests: add Rocky support

.gitlabci: add some doc comments for distotest job

distro/tests: use rocky8 instead of centos8

Merge !1266: Coverity Scan false positives clarifications

Coverity Scan false positives clarifications

Merge branch 'cache-nit-ttl' into 'master'

cache nit: reduce cache.max_ttl limit a bit

See merge request knot/knot-resolver!1265

cache nit: reduce cache.max_ttl limit a bit

The new limit is over 68 years, so still completely meaningless.

Merge !1264: Fix defects detected by Coverity Scan

Fix defects detected by Coverity Scan

Targeted CIDs: 155456, 155962, 346121, 346123, 346124, 346125,
  346126, 346127, 346130, 346131, 346132, 346134, 346135, 346138,
  346140, 346145, 346146, 346149, 346152, 346154, 346156, 346157

lib/dnssec/nsec3.c change:
  apparently cleaning fallout from my (= vcunat's) commit b5cf61325ae

Merge !1256: modules/dnstap: improve UX for common errors

modules/dnstap: improve UX for common errors

The main thing is the "failed to open socket" message.
But let's also elevate other fatal one-off logs to ERROR level.

modules/dnstap: don't do anything on loading the module

Usually in configuration the module is loaded in a separate command
from passing configuration to it.  For dnstap this loading would
immediately lead to opening the default socket path, even if the
configuration actually specifies (a different) path later.

Users can still force using the default by passing an empty table:
`dnstap.config({})` or `modules = { dnstap = {}}`
(though I doubt the utility of the default /tmp/dnstap.sock anyway)

Merge !1257: lib/resolve, modules: NO_ANSWER for not responding to clients

Implements #432

lib/resolve, modules: NO_ANSWER for not responding to clients

Merge !1238: Support for PROXYv2 protocol

daemon, lib: document API changes made due to PROXYv2

daemon: add PROXYv2 SSL TLV handling + minor refactoring

daemon: correct PROXYv2 handling for TCP sessions

daemon/bindings doc: PROXYv2 clarifications

daemon: use flags from proxy header + refactor comm data

daemon: allow setting zero netmasks for net.proxy_allowed()

tests/config: net.proxy_allowed() support

daemon/proxyv2.test: deckard test for PROXYv2