doc: update NEWS

test: extend 105-ntpauth to test symmetric mode

test: allow setting options for each peer side separately

ntp: restrict authentication of server/peer to specified key

When a server/peer was specified with a key number to enable
authentication with a symmetric key, packets received from the
server/peer were accepted if they were authenticated with any of
the keys contained in the key file and not just the specified key.

This allowed an attacker who knew one key of a client/peer to modify
packets from its servers/peers that were authenticated with other
keys in a man-in-the-middle (MITM) attack. For example, in a network
where each NTP association had a separate key and all hosts had only
keys they needed, a client of a server could not attack other clients
of the server, but it could attack the server and also attack its own
clients (i.e. modify packets from other servers).

To not allow the server/peer to be authenticated with other keys
extend the authentication test to check if the key ID in the received
packet is equal to the configured key number. As a consequence, it's
no longer possible to authenticate two peers to each other with two
different keys, both peers have to be configured to use the same key.

This issue was discovered by Matt Street of Cisco ASIG.

doc: update NEWS

configure: disable scfilter by default

As an experimental feature it should be explicitly enabled.

client: add debug message for recv() error

doc: add minimum recommended configuration to FAQ

doc: include chrony version in manual title

doc: update comparison with ntpd

doc: remove obsolete section on contributing

doc: improve maxdistance description

logging: don't ignore message severity with debug support

The severity was fixed for all messages to LOGS_DEBUG. This was broken
in commit 7b2430fc3c44bc7f5fc3b6ca2b478cdea77ef841.

configure: check for struct in_pktinfo with ipi_spec_dst

On NetBSD there is a struct in_pktinfo, but it doesn't have the
ipi_spec_dst field and it breaks compilation.

configure: improve description of struct in6_pktinfo check

configure: include IPV6_PKTINFO in struct in6_pktinfo check

doc: update NEWS

examples: use one-second check interval in chrony-wait.service

configure: make default hwclockfile configurable

rtc: improve logging

Improve, shorten, or convert to debug log messages.

client: make waitsync check interval configurable

rtc: restore time from driftfile if later than RTC time

This is useful on computers that have an RTC, but there is no battery to
keep the time when they are turned off and start with the same time on
each boot.

rtc: don't run time_init function if pre_init failed

doc: reduce makestep threshold in examples to 1 second

sys_linux: abort when loading seccomp rules fails

doc: update NEWS

doc: update README

update copyright years

client: remove unreachable code

client: don't try sending request with invalid socket

client: don't shorten default timeout with ASYNCDNS

With connected sockets recv() should fail immediately if chronyd is not
listening on localhost and with the Unix socket connecting should fail.

stubs: add NSR_RefreshAddresses()

stubs: don't call DNS_Name2IPAddress handler directly

Instead of calling the handler directly schedule a timeout with zero
delay for resolving to make the function behave similarly to the real
asynchronous resolver. This should prevent problems with code that
inadvertently depends on this behavior and which would break only when
compiled without support for asynchronous resolving.

client: improve signal handling

After receiving a signal, don't process new command from readline() and
break from waitsync command.

doc: document refresh command

client: update help text

cmdmon: add refresh command

This command can be used to resolve the names of configured sources to
IP addresses again.

client: fix compiler warning on extra printf argument

doc: update for recent changes

client: update help text

Update the text for recent changes, add missing commands and indent the
description in the output.

logging: don't save debugging arguments when debug is disabled

Don't save the facility number, line number, function name and filename
in the compiled binary unless the debugging support is enabled.

sys: use NetBSD driver on FreeBSD

The NetBSD driver now provides fast slewing using adjtime(), which
can be used on FreeBSD too.

sys_netbsd: add fast slewing based on adjtime()

Implement slewing based on adjtime() that the generic driver can use to
correct offsets larger than 1 second with 5000 ppm slewing rate.

sys_generic: allow fast slewing with system driver

The system drivers may implement their own slewing which the generic
driver can use to slew faster than the maximum frequency the driver is
allowed to set directly.

sys_solaris: use timex driver

Remove driver functions based on adjtime() and switch to the new timex
driver. The kernel allows the timex frequency to be set in the full
range of int32_t, which gives a maximum frequency of 32768 ppm. Round
the limit to 32500 ppm.

sys_timex: set timex constant on Solaris

The kernel apparently checks the constant even when it's not being set
with MOD_TIMECONST and may return EINVAL on an uninitialized value.

client: fix binding of Unix socket on Solaris

bind() needs to be called before connect(), otherwise it fails with
EINVAL.

fix building on Solaris

- a feature test macro is needed to get msg_control in struct msghdr
- variables must not be named sun to avoid conflict with a macro
- res_init() needs -lresolv
- configure tests for IPv6 and getaddrinfo need -lsocket -lnsl
- pid_t is defined as long and needs to be cast for %d format

clean up sysincl.h more

Define feature test macros in config.h if needed.

configure: check if C compiler works

Check if the C compiler works to get a useful error message when it
doesn't or it's missing. If the CC environment variable is not set, try
gcc and then cc.

configure: prefix error messages

configure: don't set any arch-specific CFLAGS

configure: ignore architecture in system selection

Assume chrony can be compiled and work on all architectures supported by
the operating systems.

sys: drop SunOS driver

On FreeBSD is used the new timex driver and SunOS 4 is not supported
anymore.

sys: use timex driver on FreeBSD

Switch from the SunOS adjtime() based driver to the timex driver.
There is no FreeBSD-specific code, so call SYS_Timex_Initialise()
and SYS_Timex_Finalise() directly from sys.c.

clean up sysincl.h

drop WINNT-specific code

This was never really supported and it would probably require a lot of
work to get a usable chronyd in Cygwin. Remove all WINNT-specific code.

sys: don't allow empty SYS_Initialise()/SYS_Finalise()

Require one system-specific macro to be defined to always call an
initialization/finalization function.

sys: move DRIFT_REMOVAL_INTERVAL definition

In the SunOS and Solaris drivers DRIFT_REMOVAL_INTERVAL needs to be
defined before it's used. This was broken in commit
b6a27df5b9be0f07f151c8fba311cb7eadb2b13e.

sys_netbsd: use timex driver

Remove the driver functions based on adjtime() and switch to the new
timex driver, which is based on ntp_adjtime(). This allows chronyd to
control the kernel frequency, adjust the offset with sub-microsecond
accuracy, and set the kernel leap and sync status. A drawback is that
the maximum slew rate is now limited by the 500 ppm maximum frequency
offset, while adjtime() on NetBSD slewed by up to 5000 ppm.

sys_linux: use timex driver

Remove functions that are included in the new timex driver. Keep only
functions that have extended functionality, i.e. read and set the
frequency using the timex tick field and apply step offset with
ADJ_SETOFFSET.

Merge the code from wrap_adjtimex.c that is still needed with
sys_linux.c and remove the file.

sys: add generic timex driver

This is based on sys_linux.c and wrap_adjtimex.c. It's intended for all
systems that support the adjtimex() or ntp_adjtime() system call. The
driver functions can be replaced with extended system-specific versions
(e.g. to control the frequency with the tick field on Linux).

test: add tests for system adjtime() and ntp_adjtime()

Include a test program to determine how the adjtime() implementation
behaves. Check the range of supported offset, support for readonly
operation, and slew rate with different update intervals and offsets.

Also, add a test for ntp_adjtime() to check what frequency range it
supports.

git: use absolute paths in .gitignore

sys_linux: allow uname in seccomp filter

It may be called from res_init() apparently.

util: print expected uid/gid in UTI_CheckDirPermissions()

sys_linux: allow setting IP_FREEBIND option in seccomp filter

This is needed when chronyd is started with no allow directive, but the
NTP server socket is opened by the allow command later.

test: extend compilation/001-features

stubs: add CAM_OpenUnixSocket()

It is needed to build with disabled cmdmon.

configure: add --disable-scfilter option

configure: update chronyc feature list

doc: update section on isolated networks

Since the NTPv4 update, the detection of synchronization loops based on
the refid prevents a server to initialize its clock from its clients
after restart. Remove that part from the recommended configuration.
Also, mention the time smoothing feature.

doc: update for recent changes

sys_linux: add support for seccomp filters

The Linux secure computing (seccomp) facility allows a process to
install a filter in the kernel that will allow only specific system
calls to be made. The process is killed when trying to make other system
calls. This is useful to reduce the kernel attack surface and possibly
prevent kernel exploits when the process is compromised.

Use the libseccomp library to add rules and load the filter into the
kernel. Keep a list of system calls that are always allowed after
chronyd is initialized. Restrict arguments that may be passed to the
socket(), setsockopt(), fcntl(), and ioctl() system calls. Arguments
to socketcall(), which is used on some architectures as a multiplexer
instead of separate socket system calls, are not restricted for now.
The mailonchange directive is not allowed as it calls sendmail.

Calls made by the libraries that chronyd is using have to be covered
too. It's difficult to determine which system calls they need as it may
change after an upgrade and it may depend on their configuration (e.g.
resolver in libc). There are also differences between architectures. It
can all break very easily and is therefore disabled by default. It can
be enabled with the new -F option.

This is based on a patch from Andrew Griffiths <agriffit@redhat.com>.

main: install signal handler sooner

doc: fix typo in chronyd man page

rtc: fix setting time from driftfile when RTC reading fails

Fix RTC_Linux_TimePreInit() to return 0 when the RTC device can be
opened, but reading its time fails to at least have the time restored
from the driftfile.

sys_macosx: reset drift removal timer after spike in offset_sd

When a large spike occurs in offset_sd the drift removal interval can be
set to an excessively long time, although what ever event caused the
perturbation has passed. At the next set_sync_status() we now compare
the expected drift removal interval with that currently in effect. If
they are significantly different, the current timer is cancelled and new
cycle started using the new drift removal interval.

sys_linux: always call TMX_SetLeap() in set_leap()

The optimization avoiding unnecessary setting of the kernel leap status
can cause a problem when something outside chronyd sets the status to
the new expected value. There will be no TMX_SetLeap() call which would
update the saved status and the kernel status will be overwritten with
the old (incorrect) value in a later TMX_*() call.

Always call TMX_SetLeap() to save the new value and for the log message
selection just check if a leap second has been applied.

reference: call LCL_SetSystemLeap() only on leap changes

examples: update for removed cmdmon authentication

sys_macosx: add option to run chronyd as real-time process

Adds option -P to chronyd on MacOS X which can be used to enable the
thread time constraint scheduling policy. This near real-time scheduling
policy removes a 1usec bias from the 'System time' offset.

sources: add option to limit selection by root distance

Add maxdistance directive to set the maximum root distance the sources
are allowed to have to be selected. This is useful to reject NTPv4
sources that are no longer synchronized and report large dispersion.
The default value is 3 seconds.

configure: add new options to disable dropping root privileges

sys_netbsd: allow running without root privileges

On NetBSD programs with write access to /dev/clockctl can adjust or set
the system clock without the root privileges. Add a function to drop the
privileges and check if the process has write access to the device to
get a more descriptive error message when the chrony uid/gid doesn't
match the owner of the device.

main: open cmdmon and NTP internet sockets before dropping root

Call the CAM, NIO, NCR initialization functions and setup the access
restrictions before root is dropped. This will be needed on NetBSD,
where it's not possible to bind sockets to privileged ports without the
root privileges. Split the creation of the Unix domain command socket
from the CAM initialization to keep the chrony user as the owner of the
socket.

conf: allow wildcard patterns in include directive

Use glob() to match and read multiple configuration files with one
include directive.

conf: extend logging in CNF_ReadFile()

sys_linux: remove unused variables

cmdmon: update candm.h

Remove the auth fields in the command request/reply and replace the
token and utoken fields with padding.

keys: remove support for command key

Without the cmdmon authentication, there is no need for command keys.

client: remove authentication support

Follow the removal of the server authentication support and remove also
the client support. The -a and -f options are now silently ignored to
not break scripts. The authhash and password commands print a warning,
but they don't return an error.

cmdmon: remove authentication support

With the new support for cmdmon over Unix domain sockets, authentication
is no longer necessary to authorize a client running on localhost with
the permissions of the root or chrony user/group. Remove the cmdmon
authentication support to simplify the code and significantly reduce the
attack surface of the protocol.

Only monitoring commands are now allowed remotely. Users that need to
configure chronyd remotely or locally without root/chrony permissions
are advised to use ssh and/or sudo.

cmdmon: allow unauthenticated commands from Unix domain socket

Allow all commands received from the Unix domain command socket (which
is accessible only by the root and chrony user/group), even when they
are not authenticated with the command key.

client: connect to Unix domain socket by default

The default value of the -h option is now
/var/run/chrony/chronyd.sock,127.0.0.1,::1.

configure: add option to set default location of Unix domain sockets

client: reconnect with multiple addresses

Allow multiple hostnames/addresses separated by comma to be specified
with the -h option. Hostnames are resolved to up to 16 addresses. When
connecting to an address fails or no reply is received, try the next
address in the list.

Set the default value for the -h option to 127.0.0.1,::1.

client: allow connecting to Unix domain sockets

If the specified hostname starts with /, consider it to be the path of
the chronyd Unix domain command socket. Create the client socket in the
same directory as the server socket (which is not accessible by others)
and change its permission to 0666 to allow chronyd running without root
privileges to send a reply. Remove the socket on exit.

client: connect socket

Call connect() on the socket to set the remote address and switch from
sendto()/recvfrom() to send()/recv(). Setting the IP_RECVERR option no
longer seems to be necessary in order to get ECONNREFUSED errors.

client: add -d option to print debug messages