doc: update NEWS

main: create new file when writing pidfile

When writing the pidfile, open the file with the O_CREAT|O_EXCL flags
to avoid following a symlink and writing the PID to an unexpected file,
when chronyd still has the root privileges.

The Linux open(2) man page warns about O_EXCL not working as expected on
NFS versions before 3 and Linux versions before 2.6. Saving pidfiles on
a distributed filesystem like NFS is not generally expected, but if
there is a reason to do that, these old kernel and NFS versions are not
considered to be supported for saving files by chronyd.

This is a minimal backport specific to this issue of the following
commits:
- commit 2fc8edacb810 ("use PATH_MAX")
- commit f4c6a00b2a11 ("logging: call exit() in LOG_Message()")
- commit 7a4c396bba8f ("util: add functions for common file operations")
- commit e18903a6b563 ("switch to new util file functions")

Reported-by: Matthias Gerstner <mgerstner@suse.de>

doc: update NEWS

update copyright years

doc: add note about minsamples to FAQ

refclock: remove unnecessary strlen() call

test: extend 133-hwtimestamp test

ntp: check value returned by CMSG_FIRSTHDR

In NIO_Linux_RequestTxTimestamp(), check the returned pointer and the
length of the buffer before adding the control message. This fixes an
issue reported by the Clang static analyzer.

ntp: check timestamping configuration when SIOCSHWTSTAMP fails

With future kernels it may be possible to get, but not set, the HW
timestamping configuration on some specific interfaces like macvlan in
containers. This would require the admin to configure the timestamping
before starting chronyd.

If SIOCSHWTSTAMP failed on an interface, try SIOCGHWTSTAMP to check if
the current configuration matches the expected configuration and allow
the interface to be used for HW timestamping.

examples: remove /var from PIDFile in chronyd.service

Recent systemd versions complain when loading a unit using a PIDFile
that relies on the /var/run -> /run symlink.

doc: update NEWS

doc: add more recommendations for best stability to FAQ

doc: update list of contributors

Include all authors from the git repository.

doc: simplify acknowledgements in README

Stop trying to maintain a list of individual contributions. Just list
the contributors. For tracking individual changes in the source code
there is git.

doc: list build requirements in installation

doc: improve combinelimit description

doc: improve rtconutc description

test: use env in shebang of system tests

This should allow the tests to run on systems where bash is not in /bin.

test: add 104-systemdirs system test

test: fix owner of driftfile and keys in system tests

test: allow separate lib/log/run directories in system tests

test: check if non-root user can access test directory

test: redirect error messages in system tests

test: allow TEST_DIR and CHRONYC_WRAPPER to be set for system tests

sys_posix: support SCHED_FIFO and mlockall on more OSs

Real-time scheduling and memory locking is available on posix compliant
OSs. This patch centralizes this functionality and brings support to
FreeBSD, NetBSD, and Solaris.

[ML: updated coding style]

refclock: check all driver options

In each driver provide a list of supported options and abort when an
unknown option is specified in the refclock directive.

doc: fix syntax of refclock directive

When multiple driver options are specified, they need to be separated by
colon, not comma.

test: add system tests

Add a new set of tests for testing basic functionality, starting chronyd
with root privileges on the actual system instead of the simulator.

Tests numbered in the 100-199 range are considered destructive and
intended to be used only on machines dedicated for development or
testing. They are started by the run script only with the -d option.
They may adjust/step the system clock and other clocks, block the RTC,
enable HW timestamping, create SHM segments, etc.

Other tests should not interfere with the system and should work even
when another NTP server/client is running.

sys_linux: use pthread_setschedparam instead of sched_setscheduler

Fix an issue with Linux and musl libc where sched_setscheduler is not
implemented. It seems that pthread_setschedparam is more widely
supported across different C libraries and OSs. For our use case, it
should make no difference which call is used.

sys_linux: allow further syscalls in seccomp filter

These are needed on arm64.

sys_linux: allow recv and send in seccomp filter

sys_linux: allow waitpid in seccomp filter

sys_linux: allow _llseek in seccomp filter

This is needed on various 32-bit platforms to reposition read/write file
offset on {raw}measurements and statistics log files.

test: fix distribution of settings in ntp_core unit test

ntp: don't use IP_SENDSRCADDR on bound socket

On FreeBSD, sendmsg() fails when IP_SENDSRCADDR specifies a source
address on a socket that is bound to the address. This prevents a server
configured with the bindaddress directive from responding to clients.

Add a new variable to check whether the server IPv4 socket is not bound
before setting the source address.

sys_linux: add support for PTP_SYS_OFFSET_EXTENDED ioctl

A new ioctl will probably be added in Linux 4.21. It should enable a
significantly more accurate measurement of the offset between PHC and
system clock.

sys_linux: split reading and processing of PHC samples

ntp: fix transposition with timestamping packet info

Don't forget to include the length of the frame check sequence (FCS) in
the RX timestamp transposition when the L2 length of the received packet
is from SCM_TIMESTAMPING_PKTINFO.

This fixes commit 934d4047f12741f4052e35c7975f72c5307b3e68.

sys_macosx: remove adjtime() check

Remove the runtime checking of adjtime(). adjtime() was broken in beta
releases of macOS 10.13 but is ok now.

test: fix tests to skip when missing required feature

test: allow unit tests to be skipped

test: add function for checking config.h in tests

test: include util.h for MIN macro

nameserv: adopt some include directives from sysincl.h

Move headers specific to name resolving to nameserv.c. This should hide
the system MIN/MAX macros from the rest of the code.

hash: include util.h for MIN macro

The hash_intmd5.c file inadvertently relied on the system headers to
provide the MIN macro, but it is missing with some libc implementations.

test: fix Makefile to not create .deps in project root

doc: add new question to FAQ

doc: improve description of minsamples directive

test: add 136-broadcast test

test: add 012-daemonts test

test: improve Makefile

The -s option of make apparently doesn't work when called from make -C.
Add another filter to ignore the Entering/Leaving messages.

Also, fix a typo.

test: include all objects in prerequisites of unit tests

test: get list of objects from main Makefile

Instead of linking unit tests with *.o in the root directory, which may
include conflicting objects from a different configuration (e.g. hash),
add a print target to the main Makefile and use it in the unit test
Makefile to link only with objects that are relevant in the current
configuration.

test: add 135-ratelimit test

test: add 134-log test

test: extend 110-chronyc test

git: update .gitignore

makefile: remove gcov files and core dumps

update copyright years

examples: drop chrony.spec

The example spec file was too limited to be recommended for use in any
rpm-based distribution, e.g. it didn't configure chronyd to drop the
root privileges.

Users that want to build a package from the latest source code should
start with the official package of their distribution.

examples: improve description in chrony.keys example

doc: warn about permissions in keyfile description

test: fix samplefilt unit test to work with low-precision clock

samplefilt: use SQUARE macro in SPF_CreateInstance()

examples: update chrony.conf example for new default pidfile

test: make 129-reload more reliable

configure: fix compiler warning in pthread test code

doc: update NEWS

test: extend 110-chronyc test

test: extend 106-refclock test

doc: update FAQ

configure: fix detection of timepps.h on NetBSD

The header requires <time.h> for struct timespec.

refclock: fix compiler warning on FreeBSD

ntp: add support for IP_RECVDSTADDR and IP_SENDSRCADDR

FreeBSD doesn't support IP_PKTINFO. Instead it provides IP_RECVDSTADDR
and IP_SENDSRCADDR, which can be used to get/set the destination/source
address.

In future IP_RECVIF and IP_SENDIF may be supported to get and set also
the interface.

ntp: set interface index in IP*_PKTINFO when responding

When a server with multiple interfaces in the same network is sending a
response, setting the ipi_spec_dst/ipi6_addr field of the IP*_PKTINFO
control message selects the source address, but not necessarily the
interface. The packet has the expected source address, but it may be
sent by an interface that doesn't have the address.

Set the ipi_ifindex/ipi6_ifindex field to respond on the same interface
as the request was received from to avoid asymmetries in delay and
timestamping.

test: add 133-hwtimestamp test

test: add 132-logchange test

test: add 131-maxchange test

test: extend 108-peer test

test: don't override user settings with default values

This fixes commit 671daf06b832940bb331242d07462c0f69be9618.

test: extend ntp_core unit test

test: update hash unit test

test: enable unit tests to suspend logging

logging: allow reopening stderr

LOG_OpenFileLog(NULL) can be now used to reopen stderr.

logging: close previous file log after opening new one

Currently, the log is always opened only once, but that will change with
tests temporarily suspending logging.

ntp: optimize MAC truncation

When generating a MAC for an NTP packet, request only the bytes that
will be sent.

hash: allow truncated output

Tomcrypt, some NSS hash functions, and the internal MD5 require the
output buffer to be at least as long as the digest. To provide the same
hashing API with all four options, use an extra buffer for the digest
when necessary and copy only the requested bytes to the caller.

ntp: remove unnecessary constant

sources: check maximum reach size before postponing update

Don't wait for other sources to be selectable when the maximum
selectable and non-selectable reachability registers happen to match
and a register is already full (e.g. after heavy packet loss).

doc: improve description of LastRx column in chronyc sources

test: add 130-quit test

test: add 129-reload test

test: add 128-nocontrol test

test: separate client/server chronyd options

test: avoid using eval in shell scripts

test: extend util unit test

test: add samplefilt unit test

test: add sanitizers test

test: detect configure errors in compilation test

test: add -Werror to CFLAGS in compilation test