daemon/session: use common naming convention in the entire file

Rename "s" to "session" to be consistent with all the other
session_*() functions to make it easier to read.

daemon/tls: use session's write_queue

daemon/session: add write_queue_size

This data is useful to track whether our code has buffered any data
for writing to the socket. Tracking this in session instead of
tls_common_ctx is required to support other protocols, e.g. plain HTTP.

Merge branch 'ci-deckard-check' into 'master'

ci: check whether Deckard submodule commit is present on master

See merge request knot/knot-resolver!1038

ci: check whether Deckard submodule commit is present on master

This is to prevent issues like https://gitlab.nic.cz/knot/knot-resolver/-/merge_requests/1036

Merge branch 'fix-broken-rfc5011-rollover' into 'master'

Fix RFC5011 rollover

See merge request knot/knot-resolver!1035

modules/ta_update: resurrect RFC5011 test removed from deckard

modules/ta_update: fix broken RFC5011 rollover

modules/ta_update: indent correction

Merge branch 'ci-deckard-divergent-commit' into 'master'

ci: fix divergent commit in Deckard submodule

See merge request knot/knot-resolver!1036

ci: fix divergent commit in Deckard submodule

Branch on Deckard tree tracked in this repository was left unmerged in
Deckard. The two trees therefore diverged and broke CI in knot-resolver
repo on a few commits retroactively.

Merge branch 'validate-missing-rrsig' into 'master'

validator: new approach to missing RRSIG(s)

Closes #390

See merge request knot/knot-resolver!1020

NEWS: reference also issue, not only merge request

resolve: minor logging improvements

policy.DEBUG: translate rank values to human readable names

It is very useful when debugging. This code gets executed only with
special DEBUG policy so we do not need to worry about maximum performance.

validate: improve precision of one "going insecure" log

The line was being logged a bit prematurely when the validator isn't
really going insecure yet.  This solves (some of?) those cases.

validator: up->bottom chase DS if RRSIG(s) are missing

The original approach was using SOA owner in negative answers
to optimize number of DS queries. This approarch is less realiable with
weird "servers", including pre-DNSSEC servers which reply to DS query
with an SOA owner pointing to the child zone instead of parent zone.

We now walk the tree from root down to find the missing DS or proof of
its non-existance.

validator: bottom->up chase DS if RRSIG(s) are missing

This is about situations when validator *thinks* it's in a signed zone
but an unsigned answer comes in. The assumption was that RRSIGs didn't
make it through some middle-boxes and it retried with explicit QTYPE=RRSIG.

There were two issues with that.
1. It seems that in most cases the cause of the situation is that
   we skipped over a zone cut that transitioned to insecure state,
   so the signatures correctly don't exist.
2. An explicit RRSIG query appears to be more trouble than worth;
   it seems reasonable for servers not to answer it (fully);
   see RFC 8482 sect. 7.

The new approach simply tries to find a proof that the name is insecure,
by spawning a QTYPE=DS sub-query on that name.  That fixes some
real-life cases; usually this happens in iteration mode where one IP
address serves zones on both sides of a cut that transitions to insecure.
For details see new comments in that rrsig_not_found() function.

The change resulted in the iterator fallback not making sense anymore
so it was removed.

Merge branch '510-prometheus-and-graphite-metrics-are-missing-some-cache-stats' into 'master'

cache: add number of entries to cache.stats()

Closes #510

See merge request knot/knot-resolver!1028

cache: add number of entries to cache.stats()

Merge branch 'luajit-aarch64' into 'master'

daemon/lua: get rid of __engine symbol in lua

See merge request knot/knot-resolver!1033

daemon: don't get worker from uv_loop_t::data anymore

daemon/bindings: get rid of engine_luaget()

Lots of lines affected, but it gets slightly simpler.

daemon/lua: get rid of __engine symbol in lua

In particular this gets rid of last light user data inside kresd.

It was still causing problems on some systems, for example Debian Sid.
The error was the same: "bad light userdata pointer" from luajit,
but note that the problem can still be triggered by lua libraries,
e.g. cqueues.

Merge branch 'doc-worker-stats' into 'master'

doc: include worker.stats() description

See merge request knot/knot-resolver!1034

doc: include worker.stats() description

Merge branch 'ci_update' into 'master'

CI docker image update

See merge request knot/knot-resolver!1032

ci: avoid broken py.test 6.0.0 and dnspython 2.0.0 which causes linting errors

References:
- https://github.com/pytest-dev/pytest/pull/7565
- https://github.com/rthalley/dnspython/pull/561

ci: add tcpdump for Deckard to Debian image

Merge !1031: kr_pkt_text: accept OPT anywhere in ADDITIONAL

deckard: update to fix in CI (new dnspython in image)

kr_pkt_text: OPT RR does not need to be at the end of Additional section

Previous code incorrectly assumed that OPT was last RR in section
and this lead to truncating output.
https://tools.ietf.org/html/rfc6891#section-6.1.1 clearly states that
OPT can be anywhere in Additional section.

Printer relies on checks in libknot packet parser: check_rr_constraints()
prevents packets with more OPT RRs or OPT outside of additional section
from being parsed so the printer cannot see them.

Merge branch 'systemd-noversion' into 'master'

meson: don't pass libsystemd version to C preprocessor

Closes #592

See merge request knot/knot-resolver!1029

meson: don't pass libsystemd version to C preprocessor

We don't use it anymore, and on some systems it's apparently
not an integer.

Merge branch 'validate-signer-bailiwick' into 'master'

validate: don't chase non-sensical signers

Closes #587

See merge request knot/knot-resolver!1022

validate: don't chase non-sensical signers

When signer name isn't a prefix of owner, the signature does not make
sense and it's no use trying to use that signer name in any way.

We generally don't force queries on every level of the path,
so this signer confusion could "introduce SERVFAILs" if we
skip over a transition to insecure.

Merge branch '580-add-cache-usage-to-cache-stats' into 'master'

cache: add percentage usage to cache stats

Closes #580

See merge request knot/knot-resolver!1025

cache: add percentage usage to cache stats

Merge branch 'nitpicks' into 'master'

nitpicks: batch of tiny fixes collected over time

See merge request knot/knot-resolver!1024

ci travis: move to the last stage

So that the overall pipeline time isn't extended too much.

ci travis: tweak the timeouts a bit

In the past week the Travis runs have been consistently taking much more
time than before, usually around 20 minutes, leading to our CI timing out.
https://travis-ci.com/github/CZ-NIC/knot-resolver/builds

lib/resolve nitpick: missing newline in verbose message

.travis.yml: nit fixes according to the validator

- root: deprecated key sudo (The key `sudo` has no effect anymore.)
- root: key matrix is an alias for jobs, using jobs

doc-comments: fix some of the complaints from doxygen

There's still frequent issue that documenting some parameters would be
mainly noise but doxygen will warn when not doing it.
WARN_IF_UNDOCUMENTED apparently doesn't cover this and
WARN_IF_DOC_ERROR would probably remove even some useful warnings.

stats nitpick: nicer code

remove more --forks=1 ocurrences

It's deprecated since 5.0.0.

Merge !1023: pytests: fix tls session resumption tests

treewide: rename remaining deprecated labs URLs

pytests: fix tls session resumption tests

Merge branch 'tls_resumption_multi_process' into 'master'

tls: fix compilation to support net.tls_sticket_secret()

See merge request knot/knot-resolver!1021

config tests: better test net.tls_sticket_secret()

The trick there is that it isn't supported (by us) on gnutls < 3.6.3.
I checked that the test fails before the fix in parent commit
and that it succeeds (is skipped) with gnutls 3.6.2.

tls: enable net.tls_sticket_secret() for session resumption across processes

Merge branch 'gitlab-move' into 'master'

treewide: move to our new GitLab URL

See merge request knot/knot-resolver!1019

treewide: move to our new GitLab URL

s/gitlab\.labs\.nic/gitlab.nic/g
Redirects are in place, so it shouldn't be required now, but why not.

Merge branch 'test_cleanup' into 'master'

test cleanups

See merge request knot/knot-resolver!1017

module tests (daf + prefill): switch to shared check_answer()

I think this eliminates the remaining copies.  Most of the places don't
need all the features, but it still seems worth to deduplicate.

config tests: log test file name at the beginning of output

config tests: detect incorrect config test suite definitions

Old behavior where test definition without "return" was silently
skipped was very confusing.

config tests: do not load and detect_time_skew and ta_update modules

It was only generating noise in test logs, especially when network is
not abvailable/is intentionally disabled.

Merge !1012: don't drop capabilities when running as root

meson: add build options to disable libcapng

daemon: don't drop capabilities when running as root

When the effective user is root, no capabilities are dropped. This
change has no effect when running as non-privileged user or when
switching to non-privileged user via user() in config.

Dropping capabilities as a root user resulted in the following
unexpected behaviour:

1. When using trust anchor update, r/w access to root keys is neeeded.
   These are typically owned by knot-resolver user. When kresd is
   executed as root and capabilities are dropped, this file was no longer
   writable, because it is owned by knot-resolver, not root.
2. It is impossible to recreate/resize cache due to the same permission
   issue as above.

If you want to drop capabilities when starting kresd as a root user,
you can switch the user with the `user()` command. This changes the
effective user ID and drops any capabilities as well.

Merge branch 'release-5-1-2' into 'master'

release 5.1.2

See merge request knot/knot-resolver!1018

release 5.1.2

doc: default to ignoring warning during doc build

Add new target doc-strict for development to detect warnings, but avoid
failing package builds due to documentation warnings.

distro/rpm: use opensuse license format

opensuse and fedora/epel use different license strings, but the opensuse
value is used in Knot DNS, so let's be consistent.

Cherry picked from https://build.opensuse.org/request/show/817870

distro/tests: remove fedora30 (EOL)

Merge branch 'rpz-warnings' into 'master'

policy.rpz: various fixes

See merge request knot/knot-resolver!1016

NEWS: describe the RPZ fixes

policy.rpz: support local data with larger RRsets

tests check_answer(): support checking RDATA

Also allow using empty set as an alternative to NODATA pseudo-RCODE,
and migrate RPZ tests to this merged function.

policy.ANSWER: allow multiple RRs

... by allowing .rdata to be a table.  Larger RRsets seem useful.

policy.rpz: fix $ORIGIN-related handling

- use parser-detected $ORIGIN instead of looking at SOA owner
- skip records outside $ORIGIN (and warn) instead of nesting them
- simplify a bit, and tweak warnings

policy.rpz: don't warn on NS and SOA records

Also utilize table indexing.
This was a "regression" from extending RPZ support in 5.1.0.
NS and SOA are even mandatory, as RPZ is supposed to be a valid zone:
https://tools.ietf.org/html/draft-ietf-dnsop-dns-rpz-00#section-2

Merge branch '585-graphite-prevents-kresd-to-start-if-graphite-server-is-not-available' into 'master'

graphite: Reconnect to the graphite server when it was unavailable

Closes #585

See merge request knot/knot-resolver!1014

graphite: NEWS

graphite: use TCP timeout value derived from publish interval

It seems pointless to accumulate "late" connection attempts.

graphite: make socket operations asynchronous

graphite: more informative socket error messages

graphite: reconnect to the graphite server when it was unavailable

Merge branch 'gc-fixes' into 'master'

GC fixes

See merge request knot/knot-resolver!1009

gc: use kresd versioning instead of separate one

I don't think it makes sense to ever package it separately from kresd,
so why should it have separate versioning? (could be confusing)

gc: print numbers in more readable way

gc: fix integer overflow when computing how much to GC

On 32-bit systems the insufficient GC could commonly happen:
https://lists.nic.cz/pipermail/knot-resolver-users/2020/000265.html

The meaning of -f parameter got slightly changed, so that the buggy
computation could be greatly simplified.  GC seems to make sense when
most of cache space is used, in which case the difference is small.

gc: fix flushing of messages to logs

There were the usual effects: very incorrect timestamps (even by days),
and I suspect we could even lose some logs completely.

Merge !1013: lib/cache: fix locking around cache preallocation

Fixes #582.

cache: NEWS for prealloc lock fix

lib/cache: fix locking around cache preallocation

Merge !1010: meson: treat -Wattributes as error

meson: treat -Wattributes as error

Trie relies on __attribute__(cleanup) and if its missing, it could
lead to memory leaks such as:

https://sonarcloud.io/project/issues?id=dns-oarc%3Adnsjit&issues=AXDyskhlrWLe1VCMvmVe&open=AXDyskhlrWLe1VCMvmVe

Merge branch 'packaging-pytest' into 'master'

CI: optimize packaging tests

Closes #541

See merge request knot/knot-resolver!947

CI: error handling when using gitlab api

tests/packaging: fix runtime dependencies

tests/packaging: add centos 8

tests/packaging: add ubuntu 20.04

tests/packaging: add f32, remove f30

scripts: remove obsolete make-archive.sh

tests/packaging: python nitpicks

tests/packaging: rename packaging file directories to .packaging

tests: Remove old packaging tests