Revert "Make hazard pointers max_threads configurable at runtime."

This reverts commit e83951144b40588e46c3d9584b208d6dcb538782.

Make hazard pointers max_threads configurable at runtime.

hp implementation requires an object for each thread accessing
a hazard pointer. previous implementation had a hardcoded
HP_MAX_THREAD value of 128, which failed on machines with lots of
CPU cores (named uses 3n threads). We make isc__hp_max_threads
configurable at startup, with the value set to 4*named_g_cpus.
It's also important for this value not to be too big as we do
linear searches on a list.

netmgr: set sock->listening in isc__nm_async_tcplisten always, even in case of errors, to avoid a deadlock. In case of a failure it will be cleared anyway

netmgr: issue stop_udp_child synchronously only if we're in this sockets thread

Merge branch '1497-threadsanitizer-data-race-lib-isc-unix-socket-c-1839-2-in-destroy' into 'master'

Add missing isc_refcount_destroy and lock the socket ISC_LISTS in destroy()

Closes #1497

See merge request isc-projects/bind9!2767

Additionally lock accessing the ISC_LISTs in free_socket()

Add missing isc_refcount_destroy and lock the socket ISC_LISTS in destroy()

Merge branch '1486-threadsanitizer-lock-order-inversion-potential-deadlock-dns_resolver_createfetch-vs' into 'master'

Resolve "ThreadSanitizer: lock-order-inversion (potential deadlock) - dns_resolver_createfetch vs dns_resolver_shutdown"

Closes #1471 and #1486

See merge request isc-projects/bind9!2760

make resolver->zspill atomic to prevent potential deadlock

Merge branch '1494-lock-order-inversion-potential-deadlock-nm_thread-vs-nm_destroy' into 'master'

Resolve "lock-order-inversion (potential deadlock) - nm_thread vs nm_destroy"

Closes #1494

See merge request isc-projects/bind9!2763

address lock order inversion

Merge branch '1423-threadsanitizer-data-race-time-c-170-in-isc_time_nowplusinterval' into 'master'

Ensure all zone_settimer() calls are done on locked zone

Closes #1423

See merge request isc-projects/bind9!2738

Ensure all zone_settimer() calls are done on locked zone

Merge branch 'michal/prepare-release-notes-for-bind-9.15.7' into 'master'

Prepare release notes for BIND 9.15.7

See merge request isc-projects/bind9!2753

Prepare release notes for BIND 9.15.7

  - Add a GitLab merge request number to the "trust-anchors" release
    note and slightly rephrase its second half.

  - Replace tabs with spaces in doc/arm/notes-9.15.7.xml to retain
    consistency with other XML files containing release notes.

  - Move the "Security Fixes" section for BIND 9.15.6 higher up, for
    consistency with release notes for other versions.

Merge branch '1119-enable-thread-sanitizer-in-the-gitlab-ci' into 'master'

Enable ThreadSanitizer enabled build and unit tests

See merge request isc-projects/bind9!2367

Enable ThreadSanitizer enabled build, system and unit tests

Merge branch 'mnowak/fedora31' into 'master'

Update GitLab CI to Fedora 31

See merge request isc-projects/bind9!2662

Update GitLab CI to Fedora 31

Since Fedora 31 is the current Fedora release, replace Fedora 30 GitLab
CI jobs with their up-to-date counterparts.

Merge branch 'michal/update-release-checklist' into 'master'

Update release checklist

See merge request isc-projects/bind9!2751

Update release checklist

Apply tweaks necessary to make the release checklist consistent with the
security incident handling checklist.

Merge branch 'michal/fix-release-notes-for-bind-9.15.6' into 'master'

Fix release notes for BIND 9.15.6

See merge request isc-projects/bind9!2607

Fix release notes for BIND 9.15.6

  - Add a missing release note for TCP high-water.  That feature was not
    yet merged when the initial version of !2524 was prepared and its
    release note was missed when that merge request was later rebased.

  - Rephrase the release note for CVE-2019-6477 so that it uses the same
    text as its corresponding notes in all other releases.

  - Unify whitespace in doc/arm/notes-9.15.6.xml.

Merge branch 'michal/create-release-tarballs-in-gitlab-ci' into 'master'

Create release tarballs in GitLab CI

See merge request isc-projects/bind9!2745

Drop Jenkins mentions from release issue template

Update the release issue template to account for the fact that Jenkins
is no longer needed for creating BIND release tarballs.

Add a job creating a release tarball to GitLab CI

Add a GitLab CI job (which is run only if all other jobs in a pipeline
succeed) that builds a BIND release tarball, i.e. fetches the source
tarball from the tarball building job, creates Windows zips, puts
certain parts of BIND documentation into the appropriate places, and
packs it all up into a single tarball whose contents can be subsequently
signed and published.

Add a Windows debug system test job to GitLab CI

Add a system test job for binaries created by Visual Studio in the
"Debug" build configuration to GitLab CI so that they can be tested
along their "Release" counterparts when necessary.

Add a Windows debug build job to GitLab CI

Add a Visual Studio build job using the "Debug" build configuration to
GitLab CI without enabling it for every pipeline as it takes about twice
as long to complete as its "Release" counterpart.

Create and test BIND source tarballs in GitLab CI

Add a set of jobs to GitLab CI that create a BIND source tarball and
then build and test its contents.  Run those extra jobs only when a tag
is pushed to the Git repository as they are only meant to be sanity
checks of BIND source tarball contents.

Include prepare-softhsm2.sh in source tarballs

The util/prepare-softhsm2.sh script is useful for initializing a working
SoftHSM environment which can be used by unit tests and system tests.
However, since it is a test-specific script, it does not really belong
in the util/ subdirectory which is mostly pruned during the BIND source
tarball creation process.  Move the prepare-softhsm2.sh script to
bin/tests/ so that its location is more appropriate for its purpose and
also so that it does not get removed during the BIND source tarball
creation process, allowing it to be used for setting up test
environments for tarball-based builds.

List paths which should be excluded from tarballs

Convert the logic (currently present in the form of "rm -rf" calls in
util/kit.sh) for removing files and directories which are tracked by Git
but redundant in release tarballs into a set of .gitattributes rules
which allow the same effect to be achieved using "git archive".

Merge branch 'michal/fix-the-forward-system-test-on-windows' into 'master'

Fix the "forward" system test on Windows

See merge request isc-projects/bind9!2750

Fix the "forward" system test on Windows

Make sure carriage return characters are stripped from sed input to
enable the "forward" system test to pass on Windows.

Merge branch '1479-_wait_for_rcode-adds-extraneous-query' into 'master'

Resolve "_wait_for_rcode adds extraneous query"

Closes #1479

See merge request isc-projects/bind9!2747

consume all arguments we have processed in shift

Merge branch '1411-threadsanitizer-data-race-resolver-c-2153-in-fctx_query' into 'master'

Resolve "ThreadSanitizer: data race resolver.c:2153 in fctx_query"

Closes #1411

See merge request isc-projects/bind9!2675

Note bucket lock requirements and move REQUIRE inside locked section.

lock access to fctx->nqueries

Merge branch '1473-threadsanitizer-data-race-home-ondrej-projects-bind9-lib-isc-netmgr-netmgr-c-1027-in' into 'master'

Resolve "ThreadSanitizer: data race /home/ondrej/Projects/bind9/lib/isc/netmgr/netmgr.c:1027 in nmhandle_free"

Closes #1473

See merge request isc-projects/bind9!2739

Add isc_refcount_destroy() call to nm_handle_free()

Add isc_refcount_destroy() call to nm_destroy()

Correct the DbC check order in isc__nm_async_tcpchildstop()

Merge branch '1441-threadsanitizer-lock-order-inversion-potential-deadlock-usr-lib-x86_64-linux-gnu-libtsan-so-0' into 'master'

Resolve "ThreadSanitizer: lock-order-inversion (potential deadlock) (/usr/lib/x86_64-linux-gnu/libtsan.so.0+0x2cf99) in pthread_rwlock_rdlock"

Closes #1441

See merge request isc-projects/bind9!2734

address deadlock introduced in cd2469d3cdbc211ecf8a82c76c1a0a1c4a545fec

Merge branch '1465-fix-idna-system-test' into 'master'

Fix the "idna" system test

See merge request isc-projects/bind9!2740

Only use LC_ALL=C where intended

The LC_ALL=C assignments in the "idna" system test, which were only
meant to affect a certain subset of checks, in fact persist throughout
all the subsequent checks in that system test.  That affects the test's
behavior and is misleading.

When the "VARIABLE=value command ..." syntax is used in a shell script,
in order for the variable assignment to only apply to "command", the
latter must be an external binary; otherwise, the VARIABLE=value
assignment persists for all subsequent commands in a script:

    $ cat foo.sh
    #!/bin/sh

    foo() {
        /bin/sh bar.sh
    }

    BAR="baz0"
    BAR="baz1" /bin/sh bar.sh
    echo "foo: BAR=${BAR}"
    BAR="baz2" foo
    echo "foo: BAR=${BAR}"

    $ cat bar.sh
    #!/bin/sh

    echo "bar: BAR=${BAR}"

    $ /bin/sh foo.sh
    bar: BAR=baz1
    foo: BAR=baz0
    bar: BAR=baz2
    foo: BAR=baz2
    $

Fix by saving the value of LC_ALL before the relevant set of checks in
the "idna" system test, restoring it afterwards, and dropping the
"LC_ALL=C command ..." syntax.

Merge branch 'ondrej/run-full-pipeline-on-schedule' into 'master'

Run all jobs on scheduled builds (including OpenBSD and Windows)

See merge request isc-projects/bind9!2736

Run all jobs on scheduled builds (including OpenBSD and Windows)

Merge branch '1469-lock-order-inversion-tcp-listening' into 'master'

Fix a potential lock-order-inversion in tcp listening code

Closes #1469

See merge request isc-projects/bind9!2737

Fix a potential lock-order-inversion in tcp listening code

Merge branch 'wpk/tcp-multithreaded' into 'master'

netmgr: make tcp listening multithreaded.

See merge request isc-projects/bind9!2659

CHANGES entry

shorten some names

reduce line breaks and general unwieldiness by changing some
function, type, and parameter names.

style nits

unittest: Allow for 32 (not 16) mock nmhandles in ns tests

Remove read callback before detaching from inner socket in tcpdns

Fix a race in socket destruction - we need to remove handle from socket in async close callback or we might race between destruction in the callback and in the original nmhandle_unref

always return true in ns_interfacemgr_listeningon if interfacemgr is shutting down
to avoid deadlocks on shutdown.

netmgr: Add more DbC checks for asynchronous calls.

pause and unpause netmgr in isc_nm_destroy to flush all events from worker queues

Style fixes

Fix a race in tcpdns close with uv_close on timer

stop timers before closing

netmgr: tcpdns_close needs to be asynchronous, it manipulates sock->timer

netmgr: fix a race in socket destruction, happening if we close the socket
externally and, at the same time, a timeout timer callback was called.

netmgr:
 - make tcp listening IPC pipe name saner
 - put the pipe in /tmp on unices
 - add pid to the pipe name to avoid conflicts between processes
 - fsync directory in which the pipe resides to make sure that the
   child threads will see it and be able to open it

style, comments

- Add separate priority event queue for events that must be processed
  even when worker is paused (e.g. interface reconfiguration). This is
  needed to prevent deadlocks when reconfiguring interfaces - as network
  manager is paused then, but we still need to stop/start listening.

- Proper handling of TCP listen errors in netmgr - bind to the socket first,
  then return the error code.

Add uv_handle_{get,set}_data functions that's absent in pre-1.19 libuv to make code clearer.
This might be removed when we stop supporting older libuv versions.

netmgr: make tcp listening multithreaded.

When listening for TCP connections we create a socket, bind it
and then pass it over IPC to all threads - which then listen on
in and accept connections. This sounds broken, but it's the
official way of dealing with multithreaded TCP listeners in libuv,
and works on all platforms supported by libuv.

Merge branch '1443-threadsanitizer-data-race-lib-dns-rbtdb-c-1960-in-decrement_reference-2' into 'master'

Resolve "ThreadSanitizer: data race lib/dns/rbtdb.c:1960 in decrement_reference"

Closes #1443

See merge request isc-projects/bind9!2703

Add is_leaf and send_to_prune_tree.

Add is_leaf and send_to_prune_tree to make the logic easier
to understand in cleanup_dead_nodes and decrement_reference.

Testing node->down requires the tree lock to be held.

In decrement_reference only test node->down if the tree lock
is held.  As node->down is not always tested in
decrement_reference we need to test that it is non NULL in
cleanup_dead_nodes prior to removing the node from the rbt
tree.  Additionally it is not always possible to aquire the
node lock and reactivate a node when adding parent nodes.
Reactivate such nodes in cleanup_dead_nodes if required.

Merge branch '1453-the-zero-system-test-timeouts-intermittently' into 'master'

Bail-out early if dig fails to finish successfully or takes too long

Closes #1453

See merge request isc-projects/bind9!2712

Merge branch '1458-intermittent-failure-in-the-forward-system-test' into 'master'

Resolve "Intermittent failure in the forward system test"

Closes #1458

See merge request isc-projects/bind9!2716

Bail-out early if dig fails to finish successfully or takes too long

Before, the zero system test could get stuck almost infinitely, because
the first test sends > 300 queries with 5 seconds timeout on each in
each pass.  If named crashed early, it would took the test more than 4
hours to properly timeout.

This commit introduces a "watchdog" on the dig commands running in the
background and failing the test on timeout, failing any test if any dig
command fails to return successfully, and making the tests.sh script
shellcheck clean.

Wait for named to forward the question before testing the validity

Make forward system test shellcheck clean

Use $n to keep diagnostic output of every individual test separate

Add the standard $n to each test

Merge branch '1425-intermittent-failure-in-the-addzone-system-test' into 'master'

Resolve "Intermittent failure in the addzone system test"

Closes #1425

See merge request isc-projects/bind9!2714

tests: addzone: retry when checking for things, to allow for timing problems

loop waiting for the redirect zone to load

Merge branch '1466-kasp-test-keyid-0' into 'master'

Fix get key id from key_idpad

Closes #1466

See merge request isc-projects/bind9!2731

Fix get key id from key_idpad

The kasp system test has a call to sed to retrieve the key identifier
without leading zeros.  The sed call could not handle key id 0.
Update the kasp test to also correctly deal with this case.

Merge branch '1457-intermittent-failure-autosign' into 'master'

Resolve "Intermittent failure in the autosign system test"

Closes #1457

See merge request isc-projects/bind9!2729

Better error handling in autosign system test

Fix race in autosign test

The autosign test has a test case where a DNSSEC maintaiend zone
has a set of DNSSEC keys without any timing metadata set.  It
tests if named picks up the key for publication and signing if a
delayed dnssec-settime/loadkeys event has occured.

The test failed intermittently despite the fact it sleeps for 5
seconds but the triggered key reconfigure action should happen after
3 seconds.

However, the test output showed that the test query came in before
the key reconfigure action was complete (see excerpts below).

The loadkeys command is received:

15:38:36 received control channel command 'loadkeys delay.example.'

The reconfiguring zone keys action is triggered after 3 seconds:

15:38:39 zone delay.example/IN: reconfiguring zone keys
15:38:39 DNSKEY delay.example/NSEC3RSASHA1/7484 (ZSK) is now published
15:38:39 DNSKEY delay.example/NSEC3RSASHA1/7455 (KSK) is now published
15:38:39 writing to journal

Two seconds later the test query comes in:

15:38:41 client @0x7f1b8c0562b0 10.53.0.1#44177: query
15:38:41 client @0x7f1b8c0562b0 10.53.0.1#44177: endrequest

And 6 more seconds later the reconfigure keys action is complete:

15:38:47 zone delay.example/IN: next key event: 05-Dec-2019 15:48:39

This commit fixes the test by checking the "next key event" log has
been seen before executing the test query, making sure that the
reconfigure keys action has been complete.

This commit however does not fix, nor explain why it took such a long
time (8 seconds) to reconfigure the keys.

Move wait_for_log to conf.sh.common

Save settime output

Merge branch 'misc-fixes-kasp' into 'master'

Miscellaneous fixes kasp

See merge request isc-projects/bind9!2711

Change some dnssec-policy defaults

Suggested by Tony Finch, these seem to be more reasonable defaults.

Default key size 2048

The default size for RSA keys is 2048 bits, for both ZSKs and KSKs.

Update docs with durations, built-in dnssec-policy

Clarify in the ARM that TTL-style options can also now take ISO
8601 durations.

Mention the built-in dnssec policies "default" and "none".  Mention
that "none" is the default.

Add a file documenting the default dnssec-policy configuration options.

Fix dnssec-policy syntax in ARM (dnssec-policy.grammar.xml).

Merge branch 'ondrej/remove-too-generic-node_count-macro-from-dns_acl' into 'master'

Change the (acl)->node_count macro to dns_acl_node_count(acl) macro to clean the global namespace

See merge request isc-projects/bind9!2725

Change the (acl)->node_count macro to dns_acl_node_count(acl) macro to clean the global namespace

Merge branch '1401-intermittent-failures-in-the-catz-system-test' into 'master'

Debug "Intermittent failures in the catz system test"

See merge request isc-projects/bind9!2715

Increase wait_for_message attempts to 20.

save wait_for_message contents

Merge branch '1452-system-test-framework-cleanup-tweaks' into 'master'

System test framework: cleanup tweaks

Closes #1452

See merge request isc-projects/bind9!2717

Merge branch '1452-detect-missing-system-test-results' into 'master'

Detect missing system test results

See merge request isc-projects/bind9!2708

Automatically run clean.sh from run.sh

The first step in all existing setup.sh scripts is to call clean.sh.  To
reduce code duplication and ensure all system tests added in the future
behave consistently with existing ones, invoke clean.sh from run.sh
before calling setup.sh.