scripts/kresd-dbg.sh: auto-detect install prefix, change KRDBG_SCRIPT_FILE to KRDBG_WORKSPACE

scripts/kresd-dbg.sh: fix Massif and add Callgrind support

scripts/kresd-dbg.sh: add Vim debugging option

scripts: add kresd-dbg.sh convenience script for debugging

Merge !1386: lib/utils: fix timestamp format in dumps of records

lib/utils: fix timestamp format in dumps of records

The debug dumps of packets used UNIX timestamps (in RRSIG validity)
instead of the customary human stamps.
This was an unintentional regression of 0555828e, i.e. since v5.4.1

I looked again at all other differences from default kdig style,
and the only ones are that we don't show class and don't do IDN.
(both seem suitable here)

Merge !1387: ci: fix macOS builds

ci: fix macOS builds

Let's specify more of the dependencies explicitly.
I suspect it was pkg-config that was missing;
https://github.com/CZ-NIC/knot-resolver/actions/runs/4241689540/jobs/7372234570

Merge !1383: ci: leap < 15.4 are dead

ci: leap < 15.4 are dead

These packaging tests are dying anyway;
the manager branch reworked them.
So at least the breakages won't be shown in red until then.

https://gitlab.nic.cz/knot/knot-resolver/-/jobs/852665
https://build.opensuse.org/request/show/1050454

obs:leap15 after updating fails later in the vagrant step though:
https://gitlab.nic.cz/knot/knot-resolver/-/jobs/852799

Merge !1378: tests/pytests: quality-of-life improvements and notes

tests/pytests: quality-of-life improvements and notes

Added the option to run `kresd` inside `pytests` under `valgrind` and
`rr`, which can help with debugging. Also added a clarifying note that I
personally would have liked to have while exploring this.

Merge !1382: tests/pytests: adapt to stricter handling of trailing bytes

tests/pytests: adapt to stricter handling of trailing bytes

Since commit a0cbbde1 we don't ignore trailing bytes in queries.

Merge branch 'release-5.6.0' into 'master'

release 5.6.0

See merge request knot/knot-resolver!1381

ci: allow failure for bad OBS distrotest jobs

They've been failing for many months, e.g. see
https://gitlab.nic.cz/knot/knot-resolver/-/pipelines/104497
This way it at least won't be confusing by showing red in CI.

AUTHORS: .mailmap update

release 5.6.0

Merge branch 'reply-errors' into 'master'

avoid excessive TCP reconnections in some cases

See merge request knot/knot-resolver!1380

NEWS for the past two commits

daemon/io: penalize servers that close without reply

daemon/worker: call server_selection.error() more

On most fundamental issues like DNS message not parsing,
we did not call this.  Selection needs such information.

Merge !1379: tests/integration/deckard: update to version with --forked

tests/integration/deckard: update to version with --forked

Merge !1371: predict: fully deactivate prediction with `period = 0`

predict: fully deactivate prediction with `period = 0`

That setting is recommended by documentation but it would still leave
the timer triggering repeatedly.  Maybe it didn't cause any practical
difference, but it was unnecessary and possibly confusing.

Merge !1368: Copyright notices: remove years and replace e-mail

Copyright notices: remove years and replace e-mail

Merge !1369: NEWS + doc about TTL: forgotten minor tweaks

NEWS + doc about TTL: forgotten minor tweaks

Merge !1323: TTL tweaks

Closes #127 and #736

NEWS + doc about TTL: apply changes from previous commits

(and minor other changes)

TTL bounds: improve the logic

- apply to first (uncached) answer already
- don't extend over signature validity

Nit: the tests were using too high TTL (RFCs disallow the "sign bit").
It was working because (manual) cache-insertion was applying bounds,
but now the bounds don't get applied anymore, so it would fail.

cache.max_ttl(): lower the default from six days to one day

Allowing too much seems to have more risk than benefit.  For example,
the 2-day TTL on DS records in .com zone (e.g. Slack issue months ago).

lib/cache: tweak TTL computation for packets

When a whole packet is cached (instead of individual RRs),
let's simplify the way the packet's TTL gets computed.

The previous mechanism came from commit 5b383a2bb7,
probably a misunderstanding of:
https://datatracker.ietf.org/doc/html/rfc2308#section-5
Anyway, I see no motivation to do it, and this way we should
get rid of some weird cases where we might extend TTL of some records,
except if they were below the cache.min_ttl() setting (5s default).

Merge !1367: docs: run `meson setup` explicitly in build instructions

docs: run `meson setup` explicitly in build instructions

Fixing all instances of the same issue on the same docs page.

docs: run `meson setup` explicitly in build instructions

This silences the following warning given on newer version of meson:

WARNING: Running the setup command as `meson [options]` instead of
`meson setup [options]` is ambiguous and deprecated.

Merge !1365: iterate: no longer accept DNS messages with trailing data

iterate: no longer accept DNS messages with trailing data

We can get stricter here;
with negligible fraction of real-life names regressing.

daemon/worker: minor refactoring around knot_pkt_parse()

The separate function wasn't really doing anything.
Also add a debug log.

Merge !1364: policy.STUB: minor improvements

policy.STUB: avoid copying +dnssec flag from client to upstream

I can't see any motivation for the copying behavior,
and it made caching non-deterministic.

policy.STUB: avoid applying aggressive DNSSEC denial proofs

In particular, avoids unintentional NXDOMAIN on grafted subtrees.
Consequently the users can drop 'NO_CACHE' flag and get caching.

Merge !1366: policy.DEBUG_IF: don't trigger .REQTRACE unconditionally

policy.DEBUG_IF: don't trigger .REQTRACE unconditionally

I broke this in 54ab3f78 or closely around, so this never worked well
since 5.4.1, and maybe structured logging (5.4.0) had related issues.

Merge !1353: add option to link sbin/kresd to jemalloc

NEWS, doc: document jemalloc

use jemalloc in CI

distro/pkg/*: build with jemalloc

add option to link sbin/kresd to jemalloc

And by default do so iff jemalloc is found.

I chose the simplicity of adding the chosen allocator just
in the single binary.  Other sbin/* don't matter really,
and dynamic libs (e.g. modules) will just follow whoever loaded them.

Merge !1362: ci/images: drop the LXC images

ci/images: drop the LXC images

Last use case was dropped in 36b08eb30387,
and I don't expect we'd use this in future anymore.
The "bullseye" in README was clearly a typo (it's the codename for 11).

Merge !1360: doc/build.rst nit: add dnsdist as optional dependency

doc/build.rst nit: add dnsdist as optional dependency

Merge !1356: ci improvements, mainly for respdiff

doc nit: tweak the link to dnsflagday.net

As the web is now, combination without www doesn't redirect https
(only http).  So let's switch to the final URL; apex is problematic.

ci respdiff+resperf: make the skipped cases orange

ci respdiff+resperf: make them run manually

In that case there's no need to wait for other jobs, too.

ci: make jobs interruptible by default

We're usually not interested in CI on older commits,
and this default will help cancelling expensive respdiff jobs.

Also add default runner tags to make them less likely
to get underspecified.  For example, each job should choose
one option in the docker/lxc and amd64/arm64 pairs.

ci pytests: migrate away from LXC runner

This reverts commit 15c1353544be, with some modifications.
On LXC we've had issues with
  FileExistsError: [Errno 17] File exists: '/tmp/pytest-kresd-portdir'
.. which disappear with this commit.  (I don't know how/why.)

Merge !1357: doc XDP: update the list of required capabilities

doc XDP: update the list of required capabilities

We're the same as knotd in this; it evolved a bit
with libknot and kernel versions.  Taken from:
https://www.knot-dns.cz/docs/3.2/singlehtml/#mode-xdp-pre-requisites

Merge !1355: daemon/network: fix heap-buffer-overflow in endpoint key generation

daemon/network: fix heap-buffer-overflow in endpoint key generation

Reproducible by listening on an interface by name, ASAN reports a
heap-buffer-overflow. This was a regression caused by !1286, which did
not account for null-terminators properly.

Merge !1349: modules/dns64: add recommendation to also disable DNS64 via IPv4

modules/dns64: add recommendation to also disable DNS64 via IPv4

It's resonable to assume that people would also want to disable DNS64 for
IPv4 source addresses if they only enable it for some IPv6 sources.

Close https://github.com/CZ-NIC/knot-resolver/pull/83

Merge !1352: ci nixos-unstable:pkgbuild: fixup recent regression

ci nixos-unstable:pkgbuild: fixup recent regression

https://gitlab.nic.cz/knot/knot-resolver/-/jobs/802541#L272

Merge !1348: ci/images/debian-11: drop go

ci/images/debian-11: drop go

I don't know how to fix building the image with it.
A few things were tried around different go versions (from -backports).

Merge branch 'release-5.5.3' into 'master'

release 5.5.3

See merge request knot/knot-resolver!1343

release 5.5.3

lib/zonecut + iterator: limit large NS sets

It's a mitigation for CVE-2022-40188 and similar DoS attempts.
It's using really trivial approaches, at least for now.

Merge !1340: ci macOS: add Knot 3.2

ci macOS: add Knot 3.2

Merge !1339: cache test: loosen conditions on cache usage

NEWS: mention config_tests for macOS

cache test: loosen conditions on cache usage

This fixes config_tests on aarch64 macOS.
The key difference is that they use 16k pages,
so LMDB space usage also behaves a bit different.

Merge !1338: macOS nits

tests/config: skip `freebind` sub-test on macOS

That option isn't supported there, so the test wouldn't work.
Now the config tests work for me on x86 macOS.

daemon/http nit: silence a warning

Enums are more like ints anyway (in standard),
even when drawn from a small subset.

daemon/io: log another message if `freebind` isn't supported

So far the message wasn't pointing to freebind at all:
[net   ] bind to '::1@53' (UDP): Operation not supported

I used preprocessor to avoid duplication and unused warnings.

Another way would be to ignore the freebind option if not supported,
but I think it's better to convince users not to specify it.

Merge branch 'release-5.5.2' into 'master'

release 5.5.2

See merge request knot/knot-resolver!1337

ci OBS: replace Ubuntu 21.10 by 22.04

21.10 isn't supported anymore, which is probably why it's failing.

ci OBS: replace Fedora 34 by 36

We've already done that on OBS side, which is probably why it's failing.

release 5.5.2

doc nit: fix broken link, luacov home moved

https://github.com/lunarmodules/luacov/issues/99

NEWS nit: prefer imperative formulations

We're mostly using those in NEWS and first line of commit messages.
I'm not sure if they're much better than alternatives, but at least
consistency is nice.

Merge !1328: daemon/worker: drop caching of kr_request mempools

daemon/worker: drop caching of kr_request mempools

This caused a huge increase in real memory usage in case of queries
arriving to kresd while being disconnected from internet.
The usage was slowly creeping up, even over 2G.

Interesting past commits: b350d38d and two preceding.

There apparently was no real memory leak.  I assume that reusal of
long-living mempools is risky in terms of memory fragmentation,
though the extent of the issue surprised me very much.
The issue seemed the same with normal glibc and jemalloc.

I generally dislike ad-hoc optimization attempts like these freelists.
Now the allocator can better decide *itself* how to reuse memory.

daemon/worker: drop a long unused #define

Merge !1336: lib/generic/array: avoid quadratic work for long arrays

lib/generic/array: avoid quadratic work for long arrays

For long arrays we really want to increase their length by a fraction.
Otherwise it will cost lots of CPU.  Doubling seems customary,
though I could imagine e.g. keeping the +50% growth on longest arrays.

I finally got sufficiently angry with this piece of code when debugging
https://forum.turris.cz/t/how-to-debug-a-custom-hosts-file-for-kresd/17449
though in that case it wasn't the main source of inefficiency.

CI: two of the mysterious/bogus warnings around arrays disappeared.

Merge !1334: modules/renumber: fix renumber.name behaviour

Fixes #760

modules/renumber: fix renumber.name behaviour

Fixes #760.

Also removes a warning in policy.REROUTE that is no longer true.

Merge !1333: lib/log: Coverity Scan nits

lib/log: Coverity Scan nits

Fixes CIDs 355763 and 355764. Also fixes a minor typo.

Merge !1332{ ci/images/README: clarify build.sh for Coverity Scan

ci/images/README: clarify usage of build.sh for Coverity Scan