dnsdist: Dedup Prometheus help and type lines for custom metrics with labels

(cherry picked from commit 4781d5b094850dbda246366474c3ae70cc018380)

Merge pull request #14353 from rgacogne/ddist19-backport-14241-xdp-aarch64

dnsdist-1.9.x: Backport "skip libxdp-devel for rhel8-aarch64"

dnsdist.spec: skip libxdp-devel for rhel8-aarch64

(cherry picked from commit 7b070182728b4537489fcf33e6c382a93becb4a9)

Merge pull request #14342 from rgacogne/ddist19-backport-14341

dnsdist-1.9.x: Backport of 14341: Fix a race condition with custom Lua web handlers

dnsdist: Fix a race condition with custom Lua web handlers

Custom web handlers written in Lua modify the global Lua context,
but until now they did not take the lock protecting it so a data
race condition was possible.
Reported by TSAN while running our unit tests.

Merge pull request #14339 from rgacogne/ddist19-backport-14302

dnsdist-1.9.x: Backport of 14302: Add Lua FFI bindings to generate SVC responses

Merge pull request #14334 from rgacogne/ddist19-backport-14162

dnsdist-1.9.x: Backport of 14162: Fix a warning when compiling the unit tests without XSK

Merge pull request #14338 from rgacogne/ddist19-backport-14255

dnsdist-1.9.x: Backport of 14255: Add a Lua FFI function to set proxy protocol values

Merge pull request #14337 from rgacogne/ddist19-backport-14270

dnsdist-1.9.x: Backport of 14270: Fix 'Error creating TCP worker' error message

Merge pull request #14336 from rgacogne/ddist19-backport-14281

dnsdist-1.9.x: Backport of 14281: Edit the systemd unit file, `CAP_BPF` is no longer enough

Merge pull request #14335 from rgacogne/ddist19-backport-14247

dnsdist-1.9.x: Backport of 14247: autoconf: allow prerelease systemd versions

Merge pull request #14333 from rgacogne/ddist19-backport-14197

dnsdist-1.9.x: Backport of 14197: YaHTTP: Enforce max # of request fields and max request line size

Merge pull request #14332 from rgacogne/ddist19-backport-14131

dnsdist-1.9.x: Backport of 14131: Log the correct amount of bytes sent for DoH w/ nghttp2

dnsdist: Add Lua FFI bindings to generate SVC responses

(cherry picked from commits:
- 27e2f4f2f98529d8439754714cbd861336d3dee3
- 0b2bf7c3e6096b523c139b7304a767d0594c930a
- c8823bbffab993ba0d292c74ddac08d6f200a536
)

Merge pull request #14331 from rgacogne/ddist19-backport-14050

dnsdist-1.9.x: Backport of #14050: Syslog should be enabled by default

dnsdist: Hopefully appease the static analyzer gods

(cherry picked from commit 2549d37d40720a958d0965f4cb758e3b5106e760)

dnsdist: Add a Lua FFI function to set proxy protocol values

(cherry picked from commit 060a00a1ecfd5d064294c26b152ee6c1c1e7c295)

dnsdist: Fix 'Error creating TCP worker' error message

There is a dangling '%' at the end of the format string, which is
only a formatting issue because of the way our logger works but is
still ugly.

(cherry picked from commit 7d545ae15324d844c2f95b3ccf0045179bc39db0)

dnsdist: Edit the systemd unit file, `CAP_BPF` is no longer enough

We used to be able to use only `CAP_BPF` since kernel 5.8, but the
eBPF verifier has been made more strict a few versions later and we
now require `CAP_SYS_ADMIN` again.

(cherry picked from commit 4470c638111963dc765be12b7680401508dda8ba)

autoconf: allow prerelease systemd versions

For example 256~rc3. Also preemptively support versions like 252.2.

(cherry picked from commit 81e3f38b1909956e228077e4677c34f469ea9835)

dnsdist: Fix a warning when compiling the unit tests without XSK

(cherry picked from commit e1e0ca39d2c38fa30e8c5decc36fc7cd54be50ea)

YaHTTP: Enforce max # of request fields and max request line size

The default values, 8192 bytes for the maximum request line size and
100 fields, are taken from the default settings of Apache HTTPd:
- https://httpd.apache.org/docs/2.2/mod/core.html#limitrequestline
- https://httpd.apache.org/docs/2.2/mod/core.html#limitrequestfields

Reported by OSS-Fuzz as a timeout in https://bugs.chromium.org/p/oss-fuzz/issues/detail?id=67993

(cherry picked from commit 249c86a63865e4a980511839887890c3940fc6e6)

dnsdist: Log the correct amount of bytes sent for DoH w/ nghttp2

(cherry picked from commit 35ffb61530571618ae601c0b598dd18aa2a76790)

dnsdist: syslog should be enabled by default

Regression introduced with the logging refactoring of dnsdist.

In rel/dnsdist-1.8.x: https://github.com/PowerDNS/pdns/blob/4d5bb67a2a75f9d88894e7dfc42bbbebfda297b0/pdns/dnsdist.cc#L103 :

bool g_syslog{true};

In master and 1.9.x the newly intrdoduced LoggingConfiguration::s_syslog
is inited to false.

This does not matter using the default systemd unit file as it disables syslog:

ExecStart=@bindir@/dnsdist --supervised --disable-syslog

but it does matter for non-systemd cases.

(cherry picked from commit 22931f35e56ff2c0b5e2147c157a5a765d60b8a2)

Merge pull request #14320 from romeroalx/backport-14241-to-dnsdist-1.9.x

dnsdist-1.9.x: Backport removal of centos-8 and centos-8-stream as build targets

remove centos-8 and centos-8-stream as build targets

Merge pull request #14292 from romeroalx/backport-14171-to-dnsdist-1.9.x-2

dnsdist-1.9.x: backport of #14171 for fixing the build of images on new tags

gh actions: add WF for building and pushing images when a new tag is created

gh actions: add WF for building and pushing images manually

gh actions: modify docker.yml for building and pushing images daily (master)

gh actions: add WF for building and pushing multi-platform images on workflow_call events

Merge pull request #14166 from rgacogne/ddist19-backport-14078

dnsdist-1.9.x: Backport of #14078 - Use the correct source IP for outgoing QUIC datagrams

Merge pull request #14213 from romeroalx/backport-14171-to-dnsdist-1.9.x

dnsdist-1.9.x: Partial backport of #14171 for fixing the build of arm64 images

Adding liblua5.3-dev/libluajit-5.1-dev to dockerfiles

Merge pull request #14170 from rgacogne/ddist19-backport-14167

dnsdist-1.9.x: Backport of 14167 - Prevent a race when calling `registerWebHandler` at runtime

Merge pull request #14163 from rgacogne/ddist19-backport-14128

dnsdist-1.9.x: Backport of 14128 - Reply to HTTP/2 PING frames immediately

dnsdist: Prevent a race when calling `registerWebHandler` at runtime

dnsdist: Fix clang-tidy warnings

(cherry picked from commit 77c1af635077857d9de975d198631b3e54913e1d)

dnsdist: Add regression for destination address harvesting with QUIC

(cherry picked from commit 88913b8327e1cc443b9e22224e961c0fa47bfdb7)

dnsdist: Use the correct source IP for outgoing QUIC datagrams

And expose the correct destination IP to Lua.

(cherry picked from commit 699689aa9c7008d00bbbfa772291835bf9616110)

dnsdist: Reply to HTTP/2 PING frames immediately

We usually buffer a bit to avoid sending a lot of small data chunks
on the wire (or to the kernel anyway), but for `HTTP/2 PING` frames
that are not followed by anything else calling for a response, this
causes an issue as these frames are designed to measure the latency
between a client and a server, and are used by HTTP/2 proxies to
ensure that a connection can be reused.

(cherry picked from commit 4170083b33b171b150257311ef832c743f4d32c6)

Merge pull request #14150 from romeroalx/backport-14044-to-dnsdist-1.9.x

dnsdist: Backport 14044 to dnsdist-1.9.x: gh actions - replace yq snap in collect job build-and-test-all

gh actions - replace yq snap in collect job build-and-test-all

dnsdist: Fix handling of XFR requests over DoH

We did not properly handle incoming XFR requests received over DoH
When a TCP-only or DoT backend was configured, and the nghttp2 provider
used.
This commit fixes the assertion failure and makes sure that XFR
requests are denied with `NOTIMP` when received over DNS over HTTPS,
including DNS over HTTP/3. It also denies them when received over
DNS over QUIC as this is not properly handled at the moment, although
it does not cause a crash.

Merge pull request #14087 from rgacogne/ddist19-backport-13983

dnsdist-1.9.x: Backport 13983 - Generate Software Bill Of Materials (SBOMs) for our RPM packages

Merge pull request #14105 from rgacogne/ddist19-backport-14104

dnsdist-1.9.x: Backport 14104 - Fix a crash in incoming DoH with nghttp2

dnsdist: Fix a crash in incoming DoH with nghttp2

This fixes an issue in the code dealing with incoming DNS over HTTPS
queries with the nghttp2 provider. In some rare cases, if the incoming
query is forwarded to the backend over TCP and the response comes back
immediately (the `read()` call done just after the `write()` call sending
the query must succeed and yield a complete response), the processing
of the response might end up calling `IncomingHTTP2Connection::readHTTPData()`
down the line, via the `nghttp2` callbacks, while we were already
inside this function. This does not actually work because
`nghttp2_session_mem_recv` is not reentrant, so the internal state of
the `nghttp2_session` object might become inconsistent and trigger
an assertion, for example:
```
nghttp2_session.c:6854: nghttp2_session_mem_recv2: Assertion `iframe->state == NGHTTP2_IB_IGN_ALL' failed.
```

This results in a call to `abort()` and very unlikely to be exploitable,
because there is no memory corruption occurring. It would also be quite
difficult for an attacker to trigger the conditions leading to this event
remotely.

Reported by Daniel Stirnimann from Switch and Stephane Bortzmeyer, many thanks to them.

(cherry picked from commit a4d82c53f714211462ae4da2e16fb13dec51ba05)

Merge pull request #14082 from rgacogne/ddist19-backport-14037

dnsdist-1.9.x: Backport 14037 - Fix "C++ One Definition Rule" warnings in XSK

Merge pull request #14080 from rgacogne/ddist19-backport-13972

dnsdist-1.9.x: Backport 13972 - Move the version (and hashes) of external dependencies to JSON files

Merge pull request #14081 from rgacogne/ddist19-backport-14070

dnsdist-1.9.x: Backport 14070 - Fix DNS over plain HTTP broken by `reloadAllCertificates()`

dnsdist: Fix "C++ One Definition Rule" warnings in XSK

It turns out we need to include the linux specific headers AFTER the
regular ones, because it then detects that some types have already been
defined (`sockaddr_in6` for example) and does not attempt to re-define
them, which otherwise breaks the C++ One Definition Rule

(cherry picked from commit 679360ad842c60e38f4009cecac6e1422c747889)

dnsdist: Fix DNS over plain HTTP broken by `reloadAllCertificates()`

This was introduced in 1.9.0, with the use of the `nghttp2` library
for incoming DNS over HTTP(S).

(cherry picked from commit e07785a477d8a65d4f3eb4d110395519cf95a4db)

SBOM: Dynamically generate the list of auth-related packages

(cherry picked from commit 94b262b9709077f7c3a4e8cd74108e2c6991a63e)

SBOM: Fix the builder target variable

(cherry picked from commit b17412c732f8ec98ae47926254828cb45ff825df)

Fix syntax errors

(cherry picked from commit fef1b1c63e150b34a391bc836596657ec068de81)

Disable SBOM generation on el-7 (almost EOL), fix it on el-8

(cherry picked from commit 4b54c7db6822c31d70a5661258b4ed70c58ee163)

Hopefully fix SBOM generation

(cherry picked from commit 5efa3cdfbcf590068006030da64cd5673e11bf8d)

Attempt to generate SBOMs after building packages

(cherry picked from commit 44503ded5e8e6f088d009177f5f951d408467b58)

Add license, publisher information to the external deps data

(cherry picked from commit cb7e7db7990d4a6ea7a873e3ff4d0c63cd2f1291)

Move the version (and hashes) of external dependencies to JSON files

(cherry picked from commit 4ccb0f786bab6e752ce8f6bc8223d428754c0081)

Merge pull request #14040 from rgacogne/ddist19-revert-14004

dnsdist-1.9.x: Revert "dnsdist: Release failed TCP backend connections more quickly"

Revert "dnsdist: Release failed TCP backend connections more quickly"

This reverts commit 7b5f590ee72fecf54c0c40b24e98ba03a406af53.

(cherry picked from commit b3d13db2b0ddf5c5bea4c080330ac1e72475c918)

Merge pull request #14017 from rgacogne/ddist19-backport-14004

dnsdist-1.9.x: Backport 14004 - Release failed TCP backend connections more quickly

Merge pull request #14016 from rgacogne/ddist19-backport-14005

dnsdist-1.9.x: Backport 14005 - Release incoming TCP connection right away on backend failure

Merge pull request #14012 from rgacogne/ddist19-backport-14003

dnsdist-1.9.x: Backport 14003 - Fix a null-deref in incoming DoH w/ nghttp2

Merge pull request #14013 from rgacogne/ddist19-backport-14001

dnsdist-1.9.x: Backport 14001 - Support "no server available" result from Lua FFI LB policies

Merge pull request #14014 from rgacogne/ddist19-backport-13999

dnsdist-1.9.x: Backport 13999 - Fix DNS over HTTP connections/queries counters with `nghttp2`

Merge pull request #14015 from rgacogne/ddist19-backport-14006

dnsdist-1.9-x: Backport 14006 - FDWrapper: Do not try to close negative file descriptors

dnsdist: Release failed TCP backend connections more quickly

After a timeout we cannot reuse the TCP connection to the backend
anyway, so let's release it immediately.

(cherry picked from commit 7b5f590ee72fecf54c0c40b24e98ba03a406af53)

dnsdist: Release incoming TCP connection right away on backend failure

We used to keep a shared pointer to the incoming TCP connection around
in `TCPConnectionToBackend::d_currentQuery.d_sender` even after all queries
sent to the backend failed, which prevented the incoming TCP connection
from being closed as soon as it should have.

(cherry picked from commit 5e8f7194934857b1fd579c2ad68c56523d0e5941)

FDWrapper: Always reset the internal descriptor to -1

Even if it was a different negative value, which happens for example
with the bpf helper functions which return `-errno`.

(cherry picked from commit eefbe57feca72af4a088e8e872e864dc36e9284e)

FDWrapper: Do not try to close negative file descriptors

It turns out that some of the BPF helper functions return
a negative `errno` value in case of failure, and since we
wrap the return value into a `FDWrapper` right away this
led to a warning from Valgrind about trying to close an
invalid file descriptor.

(cherry picked from commit ef1e068d55f2247ff416204cebbbb96063a175c2)

dnsdist: Fix formatting in dnsdist-nghttp2-in.cc

(cherry picked from commit 7f4b2ec776c888f61eb9934363fa41edfaa1ba5e)

dnsdist: Add a regression test for DoH connection counters

(cherry picked from commit 82dc167be78195ebf38dd9f1e64b1ba652c2a4c8)

dnsdist: Properly increase the HTTP connections counter w/ nghttp2

(cherry picked from commit 5fea1763bc6e0e19412e40f029b11ae4d3d8a800)

dnsdist: Remove commented out include directive

(cherry picked from commit 79608ac498be158c8f5a94fde85d90a700963152)

dnsdist: Increase the HTTP/1.1 query counter when DoH with 1.1 ALPN

This way we can keep track of how many HTTP/1.1 connections attempt
we see. We will not actually process the DNS over HTTP/1.1 payload
anyway when the `nghttp2` provider is used.

(cherry picked from commit 3bd0eadc3ae285266c781cbc4bfe53c78723587f)

dnsdist: Delint test-dnsdistlbpolicies_cc.cc

(cherry picked from commit 467380e1287097b26cf47193912c050bca5c77fb)

dnsdist: Fix clang-tidy warnings

(cherry picked from commit 6a2478eaf4652e89b3d40d7af182ecb3832b2e24)

dnsdist: Clarify how to return 'no server available' from the FFI policies

(cherry picked from commit faa96abfe2b025d2322bebb60882e6c775855c11)

dnsdist: Support "no server available" result from Lua FFI LB policies

(cherry picked from commit 08fb08ce087af355c37dfa0bad21efca89c9ee55)

dnsdist: Fix a null-deref in incoming DoH w/ nghttp2

When an incoming DoH connection using the `nghttp2` provider is waiting
for a response from a backend that results in a I/O error or timeout,
and the incoming connection also fails due to a I/O error or timeout,
dnsdist could in some cases try to dereference a null pointer, leading
to a crash.

(cherry picked from commit 0e809f7ec9796cae0e3cc0b6e7407083a22cc157)

Merge pull request #13976 from rgacogne/ddist19-13946

dnsdist-1.9.x: Backport #13946 - Also handle EHOSTUNREACH as a case for reconnecting the socket

dnsdist: also handle EHOSTUNREACH as a case for reconnecting the socket

Manual backport of c42df46af74f9af4158eebb51bfba3d1d8fb1a42 to
rel/dnsdist-1.9.x

Merge pull request #13944 from rgacogne/ddist19-13914

dnsdist-1.9.x: Backport of 13914 - Fix XSK-enabled check when reconnecting a backend

Merge pull request #13943 from rgacogne/ddist19-13927

dnsdist-1.9.x: Backport of 13927 - Fix annoying compiler warnings by introducing and switching to `pdns::UniqueFilePtr`

Merge pull request #13940 from rgacogne/ddist19-13851

dnsdist-1.9.x: Backport of #13851 - tcpiohandler: Use server preference algoritm for ALPN selection

Merge pull request #13945 from rgacogne/ddist19-13834

dnsdist-1.9.x: Backport of 13834 - dnsdist: Properly handle a failure of the first lazy health-check

Merge pull request #13942 from rgacogne/ddist19-13920

dnsdist-1.9.x: Backport of #13920 - Shrink InternalQueryState's size by reordering its fields

Merge pull request #13941 from rgacogne/ddist19-13906

dnsdist-1.9.x: Backport of #13906 - Fix first IPv6 console connection being rejected

Merge pull request #13939 from rgacogne/ddist19-13849

dnsdist-1.9.x: Backport of #13849 - Docker: Only print config if debug flag is set

Merge pull request #13938 from rgacogne/ddist19-13805

dnsdist-1.9.x: Backport of #13805 - Fix compilation warnings

dnsdist: Fix clang-tidy warning

dnsdist: Fix clang-tidy warnings

dnsdist: Properly account the failure to forward a query to a backend

Manually backported from b0b3480b98d41db821f681183f45d5d08db02f93

dnsdist: Fix exponential backoff computation in edge cases

(cherry picked from commit a8856ce717f439832515440af5550ca9d51f4b7d)

dnsdist: Properly handle a failure of the first lazy health-check

Manually backported from 2cd1a8d65bd8bc45458115f5827126aa537906b3

dnsdist: Fix XSK-enabled check when reconnecting a backend

The check was reverted, meaning that we did not properly remove an address:port from the XSK map when reconnecting a backend, and actually tried to remove an entry from a non-existing map when XSK is compiled in but not enabled, triggering a:
```
Error getting the XSK destination addresses map path '/sys/fs/bpf/dnsdist/xsk-destinations-v4'
```
message.

(cherry picked from commit bb218803ee8348a4ce9cd11b97681d6eba4082cf)

Fix clang-tidy warnings, again

(cherry picked from commit 6e58535e4cf4b5d139e66cc3c6f18f7b2e62e64a)

Add `pdns::openFileForWriting()` to control permissions when creating a file

(cherry picked from commit b1564d45616abcd65bf606fa5816449bde41af3e)