Downgrade CAP_NET_ADMIN to CAP_NET_RAW in unbound.service

Since kernel 3.2, CAP_NET_RAW instead of CAP_NET_ADMIN is sufficient to allow for the usage of the IP_TRANSPARENT socket option. CAP_NET_ADMIN allows far more mayhem then CAP_NET_RAW, so prefer the safer, more restrictive solution.

- Merge #80 from stasic: Improve wording in man page.
(Changelog entry for merge)

Merge pull request #80 from stasic/patch-1

Improve wording in man page

Improve wording in man page

Make it more consistent throughout the man page.
If a config option can either be *yes* or *no* use exact these terms and not something like *on* which could be easily read as *no*.

- Fix wrong response ttl for prepended short CNAME ttls, this would
  create a wrong zero_ttl response count with serve-expired enabled.

- Fix for oss-fuzz build warning.

- Fix fix for #78 to also free service callback struct.

- oss-fuzz badge on README.md.

- Merge pull request #76 from Maryse47: Improvements and fixes for
  systemd unbound.service.
(Changelog note for merge of #76).

Merge pull request #76 from Maryse47/patch-1

Improvements and fixes for systemd unbound.service

- Fix #78: Memory leak in outside_network.c.

Improvements and fixes for systemd unbound.service

1. Remove `ProtectKernelTunables=true`: This prevents various with socket options from working as shown below.
`unbound[] warning: so-rcvbuf 1048576 was not granted. Got 425984. To fix: start with root permissions(linux) or sysctl bigger net.core.rmem_max(linux) or kern.ipc.maxsockbuf(bsd) values.`

2. Add `CAP_NET_ADMIN` to available caps which is needed for `ip-transparent: yes` config option to work as shown below.
`unbound[] warning: setsockopt(.. IP_TRANSPARENT ..) failed: Operation not permitted`

3. Make `ReadWritePaths` less permissive: `UNBOUND_SYSCONF_DIR` equals to `sysconfdir` which usually equals to `/etc` and `UNBOUND_LOCALSTATE_DIR` equals to `localstatedir` which usually equals to `/var`. Allowing write access for those dirs shouldn't be needed. The only dirs unbound should be allow to write to are `/run` ( for pidfile), `@UNBOUND_RUN_DIR@` (for chroot) and `@UNBOUND_CHROOT_DIR@` in case it differs from the previous one.

4. Bind-mount `/run/systemd/notify`, `UNBOUND_PIDFILE`, `/dev/log`, `/dev/urandom` in order to use them inside chroot.

5. Add few extra hardening options: `RestrictNamespaces`, `LockPersonality` and `RestrictSUIDSGID` should be safe to use.

- Use explicit bzero for wiping clear buffer of hash in cachedb,
  reported by Eric Sesterhenn from X41 D-Sec.

- Fix #72: configure --with-syslog-facility=LOCAL0-7 with default
  LOG_DAEMON (as before) can set the syslog facility that the server
  uses to log messages.

- Fix #71: fix openssl error squelch commit compilation error.

- squelch DNS over TLS errors 'ssl handshake failed crypto error'
  on low verbosity, they show on verbosity 3 (query details), because
  there is a high volume and the operator cannot do anything for the
  remote failure.  Specifically filters the high volume errors.

- updated Makefile dependencies.

- ipset: refactor long routine into three smaller ones.

- ipset module #28: log that an address is added, when verbosity high.

- Master is 1.9.4 in development.

- Fix contrib/fastrpz.patch asprintf return value checks.

- 1.9.3rc2 release candidate tag.

delete duplicate file.

updated fastrpz.patch to apply cleanly.

- Fix that pkg-config is setup before --enable-systemd needs it.

- Fix log_dns_msg to log irrespective of minimal responses config.

- Document limitation of pidfile removal outside of chroot directory.

- Remove warning about unknown cast-function-type warning pragma.

- Fixup contrib/fastrpz.patch

- Please doxygen's parser for "@" occurrence in doxygen comment.

- Fix unittest valgrind false positive uninitialised value report,
  where if gcc 9.1.1 uses -O2 (but not -O1) then valgrind 3.15.0
  issues an uninitialised value for the token buffer at the str2wire.c
  rrinternal_get_owner() strcmp with the '@' value.  Rewritten to use
  straight character comparisons removes the false positive.  Also
  valgrinds --expensive-definedness-checks=yes can stop this false
  positive.

- (for later release): -V prints if TCP fastopen is available.

- 1.9.3rc1 release candidate tag.

- Fix character buffer size in ub_ctx_hosts.

- escape commandline contents for -V.

- avoid warning about upcast on 32bit systems for autotrust.

- Fix autotrust temp file uniqueness windows compile.

- iana portlist updated.

- Fix warning for unused variable for compilation without systemd.

- Fix #59, when compiled with systemd support check that we can properly
  communicate with systemd through the `NOTIFY_SOCKET`.

Merge pull request #57 from NLnetLabs/show-build-options

Introduce `-V` option to print the version number and build options.

Merge branch 'master' into show-build-options

- Generate configlexer with newer flex.

autoconf for the '-V' option changes.

- Introduce `-V` option to print the version number and build options.
  Previously reported build options like linked libs and linked modules
  are now moved from `-h` to `-V` as well for consistency.
- PACKAGE_BUGREPORT now also includes link to GitHub issues.

- Check repinfo in worker_handle_request, if null, drop it.

- Fix to timeval_add for remaining second in microseconds.

- Fix to return after failed auth zone http chunk write.
- Fix to remove unused test for task_probe existance.

- Fix #52 #53, fix for example fail program.

- For #52 #53, second context does not close logfile override.

Fix comment.

- Add hex print of trust anchor pointer to trust anchor file temp
  name to make it unique, for libunbound created multiple contexts.

- Add verbose log message when auth zone file is written, at level 4.

- Fix question section mismatch in local zone redirect.

Fixup space in error message.

- Fix #49: Set no renegotiation on the SSL context to stop client
  session renegotiation.

- Fix #48: Unbound returns additional records on NODATA response,
  if minimal-responses is enabled, also the additional for negative
  responses is removed.

-  Fix in respip addrtree selection. Absence of addr_tree_init_parents() call
   made it impossible to go up the tree when the matching netmask is too
   specific.

- Fix for possible assertion failure when answering respip CNAME from cache.

Nicer spelling and layout.

- For #45, check that 127.0.0.1 and ::1 are not used in unbound.conf
  when do-not-query-localhost is turned on, or at default on,
  unbound-checkconf prints a warning if it is found in forward-addr or
  stub-addr statements.

- Fix memleak in unit test, reported from the clang 8.0 static analyzer.

- Fix python dict reference and double free in config.

- Merge PR #6: Python module: support multiple instances
- Merge PR #5: Python module: define constant MODULE_RESTART_NEXT
- Merge PR #4: Python module: assign something useful to the
  per-query data store 'qdata'
Noted in Changelog.

Merge branch 'episource-dev/all-merged/master'.
Merge PR #6: Python module: support multiple instances
Merge PR #5: Python module: define constant MODULE_RESTART_NEXT
Merge PR #4: Python module: assign something useful to the per-query data store 'qdata'

Merge branch 'dev/all-merged/master' of git://github.com/episource/unbound into episource-dev/all-merged/master

- Added documentation to the ipset files (for doxygen output).

- make depend

- Fix to make unbound-control with ipset, remove unused variable,
  use unsigned type because of comparison, and assign null instead
  of compare with it.  Remade lex and yacc output.

- PR #28: IPSet module, by Kevin Chou.  Created a module to support
  the ipset that could add the domain's ip to a list easily.
  Needs libmnl, and --enable-ipset and config it, doc/README.ipset.md.
- Fix to omit RRSIGs from addition to the ipset.

Merge branch 'k9982874-master',PR #28 IPset module.

Merge branch 'master' of git://github.com/k9982874/unbound into k9982874-master

- Fix for #24: Fix abort due to scan of auth zone masters using old
  address from previous scan.

- Fix #39: In libunbound, leftover logfile is close()d unpredictably.

- Master contains version 1.9.3 in development.

- 1.9.2rc3 release candidate tag.

- Fix another spoolbuf storage code point, in prefetch.

- 1.9.2rc1 release candidate tag.

- Fix that fixes the Fix that spoolbuf is not used to store tcp
  pipelined response between mesh send and callback end, this fixes
  error cases that did not use the correct spoolbuf.

- 1.9.2rc1 release candidate tag.

- iana portlist updated.

- Fix to guard _OPENBSD_SOURCE from redefinition.

- gitignore config.h.in~.

- Fix to define _OPENBSD_SOURCE to get reallocarray on NetBSD.

- Fix double file close in tcp pipelined response code.

- Fix that spoolbuf is not used to store tcp pipelined response
  between mesh send and callback end.

- Note that so-reuseport at extreme load is better turned off,
  otherwise queries are not distributed evenly, on Linux 4.4.x.

fix segmentation fault

- Fix #31: swig 4.0 and python module.

- Attempt to fix malformed tcp response.

- Squelch log messages from tcp send about connection reset by peer.
  They can be enabled with verbosity at higher values for diagnosing
  network connectivity issues.

- Revert fix for oss-fuzz, error is in that build script that
  unconditionally includes .o files detected by configure, also
  when the machine architecture uses different LIBOBJS files.

- Attempt to fix build failure in oss-fuzz

because of reallocarray.
https://bugs.chromium.org/p/oss-fuzz/issues/detail?id=14648.
Does not omit compile flags from commandline.

- Fix doxygen output error on readme markdown vignettes.

- Fix edns-subnet locks, in error cases the lock was not unlocked.

Fix spelling in code annotation of changes

in the public domain lookup3.c file.

- Fix #30: AddressSanitizer finding in lookup3.c.

This sets the hash function to use a slower but better auditable code
that does not read beyond array boundaries.  This makes code better
security checkable, and is better for security.  It is fixed to be
slower, but not read outside of the array.

- Fix #29: Solaris 11.3 and missing symbols be64toh, htobe64.

rollback the code

bugfix