policy: work around a .local problem on some distros

It's probably caused by certain range of systemd-resolved versions.

Merge branch 'zonemd-misc' into 'master'

various refactoring

See merge request knot/knot-resolver!1221

lib/cache: improve internal docs

lib/cache kr_cache_insert_rr(): add another parameter

NSEC* params were not being stashed by this function.  For prefilling
it's useful, but doing it on *every* NSEC* record would be quite a waste,
so we introduce a parameter to select this.

Implementation: there were good reasons not to implement this until
needed - it wasn't straightforward at all.

contrib/mempattern: add mm_ctx_delete()

It was a bit weird that the API had mempool creation but no deletion.

lib/utils: factor out kr_timer_* from GC code

Also be more careful about rounding, overflows and assertions in there.
The implicit internal timer was unused and didn't seem worth keeping.

lib/util: remove unused function

The POSIX APIs using `struct timeval` are deprecated anyway
in favor of clock_gettime() + `struct timespec`.

The function didn't seem well designed anyway, as `long` is just
32-bit on usual 32-bit platforms, which certainly isn't safe.
(roughly one month, on a quick glance)

Merge branch 'ipvx_priming_fix' into 'master'

modules/priming: don't query A/AAAA when IPv4/IPv6 is disabled

See merge request knot/knot-resolver!1222

modules/priming: don't query A/AAAA when IPv4/IPv6 is disabled

Previously we primed for A/AAAA addresses of root servers even when
the respective IP version was disabled from configuration.

Merge branch 'zonemd-validator' into 'master'

lib/dnssec: refactor some parts

See merge request knot/knot-resolver!1213

lib/dnssec.h: improve API docs

lib/dnssec/signature nit: improve API docs

lib/dnssec: add a simple validator API

lib/dnssec: make kr_dnskeys_trusted() cleaner

This way it will be easier to re-use (and more efficient).
I really disliked those searches for RRSIGs embedded deep inside.

Uh, I tried to keep the new function as clean as possible,
moving hacks to outside.

lib/dnssec: add a simpler version of kr_rrset_validate_with_key()

lib/dnssec: factor out trim_ttl()

That `pkt` check was useless.

lib/dnssec refactor: struct dseckey -> struct dnssec_key

I can't see motivation to add another abstraction layer here,
and it caused ugly type juggling.  Let's use the libdnssec's type.

lib/dnssec.c: refactor validate_rrsig_rr()

Merge !1218: doc: lua-basexx dependency, clarify unit tests

doc: Add missing lua-basexx dependency, clarify default unit tests

Merge branch 'docker-debug-mode-log' into 'master'

Dockerfile: polish request tracing in debug_mode

See merge request knot/knot-resolver!1217

Dockerfile: polish request tracing in debug_mode

Since v5.4.0, using both debug level log and request tracing duplicates
lines in the log output. This makes the log more readable while
hopefully keeping all the relevant information there.

Merge branch 'ci-knot-3.1' into 'master'

ci: use knot 3.1

See merge request knot/knot-resolver!1219

ci: fix pylint issues

ci: use Knot 3.1

Merge branch 'policy-rpz-origin' into 'master'

policy.rpz: fix origin detection in files without $ORIGIN

See merge request knot/knot-resolver!1215

policy.rpz: nitpick - format zone file

policy.rpz: test coverage for SOA-defined origin

policy.rpz: increase log severity

Issues affecting functionality of the RPZ should NOT be hidden
by default.

policy.rpz: fix origin detection in files without $ORIGIN

Merge branch 'systemd_nss-lookup' into 'master'

systemd: add interaction with nss-lookup.target

See merge request knot/knot-resolver!1216

systemd: add interaction with nss-lookup.target

The point is to allow other services wait for DNS availability.
Of course, kresd may not be the DNS provider for this machine,
but it seems reasonable to still do this by default.

Merge branch 'release-5-4-2' into 'master'

release 5.4.2

See merge request knot/knot-resolver!1212

release 5.4.2

scripts: remove ljezek from PGP keyblock

Merge branch 'nitpicks' into 'master'

nitpicks

See merge request knot/knot-resolver!1206

daemon/worker: work around a rare crash

So far we have no idea how it can happen, but in this (rare) case
it seems fine to keep the process running.

distro/test: turn off OBS packaging tests for CentOS7

Builds are still checked by the other pkftest suite. However, OBS
mirrors for CentOS 7 are just problematic. We've already tried to
contact them once, they fixed the issue but mentioned it will probably
come back. No point in wasting any more time with this test then.

etc/config: fix typo in privacy example

doc: update install instructions

distro/tests: update to leap 15.3

NEWS 5.3.2: add CVE-2021-40083 reference

CI: improve README.md

Our "debian-buster" CI image was clearly not a buster
(based on versions in logs).  I suspect this change can help.

trie_del: use KNOT_EOK instead of kr_ok()

Merge branch 'knot-headers' into 'master'

build: fix when knot-dns headers are on non-standard location

See merge request knot/knot-resolver!1210

distro/tests: fix leap15 test

knot-utils package is needed for kdig. However, if downstream package is
used, that tool is part of knot pkg instead - thus the missing package
would be non-critical. It is still needed if upstream packages are used.

build: fix when knot-dns headers are on non-standard location

Merge branch 'detect_time_skew-nits' into 'master'

modules/detect_time_skew: minor fixes

See merge request knot/knot-resolver!1211

modules/detect_time_skew: avoid cached `NS .`

Cache is persistent (in principle) and it might not have accurate data
for whatever reason.  Let's not bring caching complications into this.
It's cheap: just a single query to root server(s) on resolver start.

modules/detect_time_skew: fix wording of the message

Local time appears in future == the signatures appear not valid
*anymore*, and vice versa.

Merge !1207: lib/selection: improve the NO6 behavior

lib/selection: improve the NO6 behavior

With broken IPv6 and no knowledge of IP addresses, we were quite often
chosing to resolve a NS's AAAA and then using it... which wasn't good.
Let's give preference to A here as well.

Merge branch 'distrotest-centos-ca-certs' into 'master'

distro/test: update CA certificates for CentOS

See merge request knot/knot-resolver!1209

distro/test: update CA certificates for CentOS

On CentOS 7, the base image has an outdated LetsEncrypt certificate.

Merge !1208: lua: use notice level for log()

lib/log: check the *last* log group number

lua: use notice level for log()

By default, notice level is set. Thus, if users want to use log() in the
same way as pre-5.4, they'd have to increase the log level. This bumps
the log level of log() function to keep the same behavior.

Merge !1205: distro/tests: add debian11

ci: fix lint:pendantic

scripts: fix scanbuild on debian 11

tests/pytests: configure pylint to ignore consider-using-with

tests/pytests: remove dead code

ci: migrate jobs to debian 11

doc: fix build on debian 11

distro/tests: add debian11

Merge branch 'dns64-features' into 'master'

modules/dns64: new features

Closes #478 and #368

See merge request knot/knot-resolver!1201

modules/dns64: improve code readability

modules/dns64: document the new features

modules/dns64: implement "exclusion prefixes"

The RFC says we MUST do it, though this implementation is lazy and
avoids a SHOULD in the RFC.

lib/utils kr_straddr_subnet() nit

For example, absolute path meant for AF_UNIX could confuse this.

modules/dns64: add kr_query::flags.DNS64_DISABLE

It's not a perfect solution and with the future policy engine it will
hopefully be better, but it's really trivial to add this already.
(should've done that years ago)

modules/dns64: also map the reverse (PTR) subtree

modules/dns64: allow configuring by a table

Backward compatible.  It will be useful when adding further features.
Also improve config error traces.

Merge branch 'release-5-4-1' into 'master'

release 5.4.1

See merge request knot/knot-resolver!1204

release 5.4.1

Merge branch 'doh2-free-unsent-streams' into 'master'

doh2: ensure memory from unsent streams is freed

See merge request knot/knot-resolver!1202

doh2: use stream_write_data instead of stream  user_data

doh2: handle OOM when allocating callbacks

doh2: ensure memory from unsent streams is freed

The nghttp2 on_stream_close callback is only called for streams that are
properly closed. If we need to tear down the HTTP connection due to any
reason (e.g. IO error in underlying layer), some streams may not be
propely closed.

Due to HTTP/2 flow control, we may also wait indefinitely for the data
to be written. This can also cause the stream to never be properly
closed.

To handle these cases, a reference of allocated data is kept and we
ensure everything is freed once we're closing the http session.

Merge !1203: docker: update to Debian 11

docker: update to Debian 11

Merge branch 'log-policy' into 'master'

policy trace-logging improvements, mainly

See merge request knot/knot-resolver!1199

modules/bogus_log nits

- use notice log level instead of error
  The failure is often a normal condition but we probably want it
  logged by default (after explicitly loading the module).
- don't repeat the "dnssec" word twice in a row (+update docs)
- docs bogus_log.frequent(): we format tables differently (old change)

policy docs: rewrite the section about logging actions

Partly to document changes from recent changes,
partly to fix long-lasting issues in the descriptions.
Hopefully it will be easier to understand now.

policy trace-logging improvements

The logs can be triggered from policy actions, in per-request fashion:
- they're on LOG_DEBUG level but always sent, regardless of log config
- those messages will show double group tags: "[reqdbg][foo   ]"
  (but they lack proper meta-data - about location of the log's origin)
- reqdbg is *in addition* to normal logs, so the lines may be duplicated
  if that's how the logging was configured

lib/log: add [rdebug] group

It's special: always on and not shown in log_groups() output.

It's been quite a long fight to find how to best deal with such
a special case (from user perspective; code itself is easy).

trace_log: include the "[group]" tag in the messages

lua kr_request_t::selected:tostring(): adjust style

The result gets logged as a single multi-line message,
so let's not repeat any prefix on (some of) those in-the-middle lines.

lib/log kr_log_fmt(): pass parameters more properly

Systemd docs say:
> Those arguments must contain valid journal entries including
> the variable name, e.g. "CODE_FILE=src/foo.c", [...]

I tried that passing all three strings empty (without variable name)
wouldn't result into the line getting logged; the suggested style does.

lib/log nit: fix order of the levels

I suspect it was me who broke the ordering here.

adjust RR-dumping style a little

The former "default" dumping style isn't really used anywhere in Knot.
The only visible difference is that RRSIGs are now logged *without*
replacing their TTLs by the original non-decremented TTL values.
That can avoid some confusion when reading debug logs.
(Those original TTLs are still shown a bit further on each line.)

daemon: fix --version output

Logging is not set up at this point; it wouldn't be shown unless
preceded by -v/--verbose.

Merge branch 'nits' into 'master'

various tiny changes

See merge request knot/knot-resolver!1200

ci build:macOS: skip in security repo

Code wouldn't be leaked.  We'd just send the branch name to GH servers.
Still, it' better to skip the step.

lua kres.type: add new constants

This is all that's missing in comparison to enum knot_rr_type.
For now I didn't remove types that aren't present there (anymore),
even though noone would miss them, most likely.

doc/build: add a couple optional dependencies

Also improve a few details.

dnstap: avoid a false-positive warning

../modules/dnstap/dnstap.c: In function 'dnstap_config':
../modules/dnstap/dnstap.c:410:29: warning: 'strndup' specified bound 4096 exceeds source size 17 [-Wstringop-overread]
  410 |                 sock_path = strndup(DEFAULT_SOCK_PATH, PATH_MAX);
      |                             ^
../modules/dnstap/dnstap.c:423:37: warning: 'strndup' specified bound 4096 exceeds source size 17 [-Wstringop-overread]
  423 |                         sock_path = strndup(DEFAULT_SOCK_PATH, PATH_MAX);
      |                                     ^

We don't need to restrict our built-in path defaults to PATH_MAX
characters, as they just can't be that long and it's not an issue if we
shoot over it anyway - opening such a file would only fail.

Merge branch 'kres_gen_test-cross' into 'master'

daemon/lua/meson.build: disable kres_gen_test on cross

See merge request knot/knot-resolver!1198

daemon/lua/meson.build: disable kres_gen_test on cross

I considered switching it to our usual 3-option combo,
but that way didn't really seem useful.

daemon/lua/meson.build: whitespace

I didn't intend to use this mix of tabs and spaces for indentation.