Merge branch '580-add-cache-usage-to-cache-stats' into 'master'

cache: add percentage usage to cache stats

Closes #580

See merge request knot/knot-resolver!1025

cache: add percentage usage to cache stats

Merge branch 'nitpicks' into 'master'

nitpicks: batch of tiny fixes collected over time

See merge request knot/knot-resolver!1024

ci travis: move to the last stage

So that the overall pipeline time isn't extended too much.

ci travis: tweak the timeouts a bit

In the past week the Travis runs have been consistently taking much more
time than before, usually around 20 minutes, leading to our CI timing out.
https://travis-ci.com/github/CZ-NIC/knot-resolver/builds

lib/resolve nitpick: missing newline in verbose message

.travis.yml: nit fixes according to the validator

- root: deprecated key sudo (The key `sudo` has no effect anymore.)
- root: key matrix is an alias for jobs, using jobs

doc-comments: fix some of the complaints from doxygen

There's still frequent issue that documenting some parameters would be
mainly noise but doxygen will warn when not doing it.
WARN_IF_UNDOCUMENTED apparently doesn't cover this and
WARN_IF_DOC_ERROR would probably remove even some useful warnings.

stats nitpick: nicer code

remove more --forks=1 ocurrences

It's deprecated since 5.0.0.

Merge !1023: pytests: fix tls session resumption tests

treewide: rename remaining deprecated labs URLs

pytests: fix tls session resumption tests

Merge branch 'tls_resumption_multi_process' into 'master'

tls: fix compilation to support net.tls_sticket_secret()

See merge request knot/knot-resolver!1021

config tests: better test net.tls_sticket_secret()

The trick there is that it isn't supported (by us) on gnutls < 3.6.3.
I checked that the test fails before the fix in parent commit
and that it succeeds (is skipped) with gnutls 3.6.2.

tls: enable net.tls_sticket_secret() for session resumption across processes

Merge branch 'gitlab-move' into 'master'

treewide: move to our new GitLab URL

See merge request knot/knot-resolver!1019

treewide: move to our new GitLab URL

s/gitlab\.labs\.nic/gitlab.nic/g
Redirects are in place, so it shouldn't be required now, but why not.

Merge branch 'test_cleanup' into 'master'

test cleanups

See merge request knot/knot-resolver!1017

module tests (daf + prefill): switch to shared check_answer()

I think this eliminates the remaining copies.  Most of the places don't
need all the features, but it still seems worth to deduplicate.

config tests: log test file name at the beginning of output

config tests: detect incorrect config test suite definitions

Old behavior where test definition without "return" was silently
skipped was very confusing.

config tests: do not load and detect_time_skew and ta_update modules

It was only generating noise in test logs, especially when network is
not abvailable/is intentionally disabled.

Merge !1012: don't drop capabilities when running as root

meson: add build options to disable libcapng

daemon: don't drop capabilities when running as root

When the effective user is root, no capabilities are dropped. This
change has no effect when running as non-privileged user or when
switching to non-privileged user via user() in config.

Dropping capabilities as a root user resulted in the following
unexpected behaviour:

1. When using trust anchor update, r/w access to root keys is neeeded.
   These are typically owned by knot-resolver user. When kresd is
   executed as root and capabilities are dropped, this file was no longer
   writable, because it is owned by knot-resolver, not root.
2. It is impossible to recreate/resize cache due to the same permission
   issue as above.

If you want to drop capabilities when starting kresd as a root user,
you can switch the user with the `user()` command. This changes the
effective user ID and drops any capabilities as well.

Merge branch 'release-5-1-2' into 'master'

release 5.1.2

See merge request knot/knot-resolver!1018

release 5.1.2

doc: default to ignoring warning during doc build

Add new target doc-strict for development to detect warnings, but avoid
failing package builds due to documentation warnings.

distro/rpm: use opensuse license format

opensuse and fedora/epel use different license strings, but the opensuse
value is used in Knot DNS, so let's be consistent.

Cherry picked from https://build.opensuse.org/request/show/817870

distro/tests: remove fedora30 (EOL)

Merge branch 'rpz-warnings' into 'master'

policy.rpz: various fixes

See merge request knot/knot-resolver!1016

NEWS: describe the RPZ fixes

policy.rpz: support local data with larger RRsets

tests check_answer(): support checking RDATA

Also allow using empty set as an alternative to NODATA pseudo-RCODE,
and migrate RPZ tests to this merged function.

policy.ANSWER: allow multiple RRs

... by allowing .rdata to be a table.  Larger RRsets seem useful.

policy.rpz: fix $ORIGIN-related handling

- use parser-detected $ORIGIN instead of looking at SOA owner
- skip records outside $ORIGIN (and warn) instead of nesting them
- simplify a bit, and tweak warnings

policy.rpz: don't warn on NS and SOA records

Also utilize table indexing.
This was a "regression" from extending RPZ support in 5.1.0.
NS and SOA are even mandatory, as RPZ is supposed to be a valid zone:
https://tools.ietf.org/html/draft-ietf-dnsop-dns-rpz-00#section-2

Merge branch '585-graphite-prevents-kresd-to-start-if-graphite-server-is-not-available' into 'master'

graphite: Reconnect to the graphite server when it was unavailable

Closes #585

See merge request knot/knot-resolver!1014

graphite: NEWS

graphite: use TCP timeout value derived from publish interval

It seems pointless to accumulate "late" connection attempts.

graphite: make socket operations asynchronous

graphite: more informative socket error messages

graphite: reconnect to the graphite server when it was unavailable

Merge branch 'gc-fixes' into 'master'

GC fixes

See merge request knot/knot-resolver!1009

gc: use kresd versioning instead of separate one

I don't think it makes sense to ever package it separately from kresd,
so why should it have separate versioning? (could be confusing)

gc: print numbers in more readable way

gc: fix integer overflow when computing how much to GC

On 32-bit systems the insufficient GC could commonly happen:
https://lists.nic.cz/pipermail/knot-resolver-users/2020/000265.html

The meaning of -f parameter got slightly changed, so that the buggy
computation could be greatly simplified.  GC seems to make sense when
most of cache space is used, in which case the difference is small.

gc: fix flushing of messages to logs

There were the usual effects: very incorrect timestamps (even by days),
and I suspect we could even lose some logs completely.

Merge !1013: lib/cache: fix locking around cache preallocation

Fixes #582.

cache: NEWS for prealloc lock fix

lib/cache: fix locking around cache preallocation

Merge !1010: meson: treat -Wattributes as error

meson: treat -Wattributes as error

Trie relies on __attribute__(cleanup) and if its missing, it could
lead to memory leaks such as:

https://sonarcloud.io/project/issues?id=dns-oarc%3Adnsjit&issues=AXDyskhlrWLe1VCMvmVe&open=AXDyskhlrWLe1VCMvmVe

Merge branch 'packaging-pytest' into 'master'

CI: optimize packaging tests

Closes #541

See merge request knot/knot-resolver!947

CI: error handling when using gitlab api

tests/packaging: fix runtime dependencies

tests/packaging: add centos 8

tests/packaging: add ubuntu 20.04

tests/packaging: add f32, remove f30

scripts: remove obsolete make-archive.sh

tests/packaging: python nitpicks

tests/packaging: rename packaging file directories to .packaging

tests: Remove old packaging tests

packaging tests: Remove dependency on knot-resolver-release package

CI: run all distributions on nightly branch

packaging tests: add refuse_nord

packaging tests: Add Debian 9, CentOS 7, Fedora 30 and 31, Ubuntu 16.04
and Ubuntu 18.04, Leap 15.2

packaging tests: remove unused files

Add test to .gitlab-ci.yml

Add README.rst

tests: pytest packaging tests for Debian 10 and Ubuntu Disco

Merge branch 'tls-alerts' into 'master'

daemon/tls: send fatal error on failed handshake

See merge request knot/knot-resolver!1007

daemon/tls: send fatal alert on handshake failure

If the TLS handshake process fatally fails (e.g. no matching cipher
suite / cert), sent an alert to notify the peer.

Merge branch 'hints-nodata-noaddr' into 'master'

modules/hints: NODATA answers also for non-address queries

See merge request knot/knot-resolver!1005

modules/hints/tests: test NODATA, fix module order

tests check_answer(): support testing NODATA

The fact that it's not a real separate RCODE
is always complicating stuff.

Also avoid using non-local variables.

tests check_answer(): do not return until finished

tests: move check_answer() into require('tests_utils')

modules/hints: NODATA answers also for non-address queries

Apparently the original implementation in 14de9110 didn't think of this.
Noticed by Fantomas:
https://forum.turris.cz/t/kresd-returns-nxdomain-for-local-mx-records/12991

Merge branch 'backup_submodules' into 'master'

use 3rd party submodule mirrors from our Gitlab

Closes #576

See merge request knot/knot-resolver!1006

use 3rd party submodule mirrors from our Gitlab

lua-aho-corasick and lua-tapered submodules now use our mirrors
to avoid problems when upstream repositories are deleted
(which happened to lua-tapered on or around 2020-05-21).

Merge branch 'release-5-1-1' into 'master'

release 5.1.1

See merge request knot/knot-resolver!1004

update authors

release 5.1.1

Merge branch 'dos-many-ns' into 'master'

NXNSAttack mitigation

See merge request knot/knot-resolver!1003

NEWS for NXNSAttack CVE-2020-12667

NXNSAttack mitigation tests

New Deckard repo without conflicting iter_refused.rpl test
does not contain libswrap and libfaketime anymore
so I had to remove hacks in build system for these.

mitigate NXNSAttack protocol vulnerability for wildcards in victim zone

Attacker might generate fake NS records pointing to victim's DNS zone.
If the zone contains wildcard the attacker might force us into packet
exchange with a (lame) DNS server on that IP address.

We now limit number of consecuctive failures and kill whole request if
limit is exceeded.

mitigate NXNSAttack protocol vulnerability for unresolvable NS names

CWE-406: Insufficient Control of Network Message Volume (Network Amplification)

We now limit number of failed NS name resolution attempts for each
request. This does not prevent attacker from spoofing delegations
but it puts upper bound on amplification factor.

Merge !999: doc: fix broken links

doc: fix broken links

Merge branch 'distrotests-leap15.2' into 'master'

distro/tests: update to leap 15.2

See merge request knot/knot-resolver!1002

distro/tests: update to leap 15.2

Merge branch 'new-gdb' into 'master'

scripts/gen-cdefs.sh: adapt to changes in new gdb

See merge request knot/knot-resolver!1001

scripts/gen-cdefs.sh: adapt to changes in new gdb

Now it works again with the latest gdb-9.1.
As a side effect, some simplification was possible, so that some
typedefs are newly defined at once with the underlying type.

Merge !991: daemon/io: tty recognizes command boundary

daemon/io: tty recognize newline as command boundary

Merge branch 'luajit-includes' into 'master'

luajit includes

Closes #570

See merge request knot/knot-resolver!996

daemon/bindings: stricter luajit detection