Linux: fix a memory leak when dhcpcd exits or the log is reopened

eloop: Allow eloop to process all fds returned from poll(2)

We do this by ensuring the events list or pollfd struct storage
is not modified during the revent processing.
An event with a fd of -1 means it's been deleted and one without
a pollfd struct reference has been newly added.
This also allows us to count down the number of fd's that
returned a revent so we can break the loop early if possible.

This is a really minor optimisation that at best only applies if
more than one revent is returned via poll(2).
In the case on dhcpcd on NetBSD with privsep, the number of
fd's is really low. And on other platforms or without privsep it's
low also (just not as low).
It's only when you run dhcpcd per interface that the number
of fd's starts to creep upwards as you then need one per address
dhcpcd is monitoring (as well as the ARP listener per IPv4 address
for non NetBSD).

However, I use eloop in other code where this could be a good saving
and dhcpcd is where the master version of this lives!

script: Use rt_proto_add to ensure no duplicate interfaces on OpenBSD

OpenBSD allows matching priorities, so we need to take the interfaces
in the order given to ensure uniqueness.

Release dhcpcd-9.4.0

script: ignore inactive interfaces for ordering

DHCP: Split hardware address randomisation out of anonymous option

A 3rd party might want to control the randomisation.

DHCP: For anonymous, just use a generic clientid

20-resolv.conf: Don't call resolvconf -c if we didn't call -C

This solves the warnings on all OS other than Linux who don't have
a supporting resolvconf for deprecating DNS because they never
emit the NOCARRIER_ROAMING reason.

Check for NetBSD in prior, as we did before

dhcpcd: Don't roam when anonymous is set

We can now remove the NOCARRIER_PRESERVE_IP define.

NetBSD: Map IP Persistance to roaming

We can use IN_IFF_TENTATIVE for this.

Adjust prior to build routes and run script after aborting protocols for roaming

hooks: add NOCARRIER_ROAMING reason

This is given when the OS supports the concept of wireless roaming
or the IP setup can be persisted when the carrier drops.

When this happens, routes are moved to a higher metric (if supported)
to support non preferred but non roaming routes.
The `interface_order` hook variable will now order the interfaces
according to priority and move roaming interfaces to the back of the
list.
If resolvconf is present then it is called with the -C option
to deprecate DNS and if carrier comes back it is called again with the
-c option to activate it once more.

As part of this change, default route metrics have been changed to
support a larger number of interfaces.
base metric 1000 (was 200)
wireless offset 2000 (was 100)
IPv4LL offset 1000000 (was 10000)
roaming offset 2000000

src/dhcpcd.c: fix build without fork or signals (#20)

Since version 9.3.3 and commit a5348dd02c86fa940cd93f203d0aa974cae0563c,
build without fork or signals fails on:

dhcpcd.c: In function ‘main’:
dhcpcd.c:2261:3: error: label ‘start_master’ used but not defined
   goto start_master;
   ^~~~

Signed-off-by: Fabrice Fontaine <fontaine.fabrice@gmail.com>

privsep: log sandbox when not daemonising

linux: ARM64 stock kernel does not emit hardware in cpuinfo

They have no plans to add it either, so just hardcode AArch64.

privsep: Fix Linux i386 for SECCOMP as it just uses socketcall

Rather than accept(2), recv(2), etc..... which is horrible!

Thanks to Steve Hirsch <stevehirsch49@msn.com> for testing.

DHCP6: Fix a LGTM issue

privsep: Allow getsockopt for SO_RCVBUF on Linux

For when the link socket overflows

link: Report errors obtaining recv buffer size on link overflow

link: Only report hardware address changes for active interfaces

Linux: Support wireless IP roaming

This is achieved by checking that the interface is wireless,
IFF_UP and IFF_LOWER_UP are present, but IFF_RUNNING is missing.

This gives exactly the same support as modern NetBSD when carrier
loss is detected, but without the address verifications when the
carrier comes back as that needs to be handled in the kernel.

While IP setup is maintained, other configuration data is discarded.
Note that this should be improved in the future.

Thanks to Boris Krasnovskiy <borkra@gmail.com> for helping with this.

privsep: Don't log a BPF error that network is down

The master process will catch this clean remove the BPF process.

Linux: Fix privsep build by including sys/termios.h for all platforms

Release dhcpcd-9.3.4

DHCP6: Abort in test mode when an error is returned by server.

Don't stop control in test

options: Allow duid to take a value

If a value is given, it overrides /var/db/dhcpcd/duid.

options: allow --ia_na=1 and --ia_pd=2 on the command line

This only works for non master mode.

DHCP: If error adding the address in oneshot, exit with failure

Otherwise we loop.
It's unlikely oneshot would be used with IPv6 due to addresses
having lifetimes.

DHCP: Only listen to the address if we successfully added it

Fixes an issue on Linux where the headers advertise something
newer than what the kernel actually provides.

Improve readability.

DHCP6: Delegated activations work once more

This was broken with the --noconfigure option in dhcpcd-9.3.3

DHCP6: Fix segfault introduced in dhcpcd-9.3.3

lo0 won't have a configuration for example.

dhcpcd.conf(8): add all -> at all

Release dhcpcd-9.3.3

privsep: adjust comment for prior

Note that this is a requirement for printf over serial terminals.

privsep: Allow ioctl TCGETS

printf on some platforms seems to require it.
Without this, script_dump() may fault.

privsep: Allow fcntl64 and fstat64 to fix ARM32 talking to the controller

We already allow fcntl and fstat so this is not a problem.

route: Correct prior logic

dhcpcd: Don't create launcher process if keeping in foreground

There is little point.

control: create an unpriv socket for non master mode

This allows `dhcpcd -U4 eth0` to work once more.

When adding a route, the interface will always have options.

Add --noconfigure option

With this set dhcpcd will not configure anything on the host.
The expectation is that a 3rd party script will instead.

fix if_getnetworknamespace matching bug. (#19)

Co-authored-by: Ted Feng <Ted.Feng@Aviatnet.com>

Linux: Fix detecting existing IPv4 addresses

This is important for better NetworkManager support.

options: Don't log unknown option errors when printing the pidfile

Release dhcpcd-9.3.2

Fix compile without various defines

Remove debug from prior

privsep: don't leave a BOOTP process hanging around on SIGUSR1

When not in master mode.

log: Allow logopen to be called without logclose

logclose is meant to free resources.
On Linux this means that _log_prog is also free'd and once in the
chroot we cannot work it out again.

As such allow logopen to close what it needs to so that reopening
works.

privsep: Allow logfile reopening in a chroot

Now that only the privileged actioneer does the actual logging
we can safely reopen the file we are logging to.
This also closes and re-opens the syslog connection.

privsep: Send all log messages to the privileged actioneer

If dhcpcd starts and no syslogd implementation is running then
various syscall filters could be triggered when dhcpcd wants to syslog
and it's already in a chroot.

Not all libc openlog implementations support LOG_NDELAY and
openlog does not return an error code and can also mask errno back to 0.
So we have no way of knowing if we have a syslog connection or not.
This means we cannot cache the connection at startup because syslog itself
will try and open if no connection.

As such, all logging is now directed to the dhcpcd privileged actioneer
process which will handle all the syslog and log file writing actions.

The only downside of this approach (other than an extra fd per process)
is that we no longer know which PID raised the message. While we could
put the correct PID in the logfile as we control the API, we cannot
put it into syslog as we cannot control that API.
As all privsep errors should log which function they came from this
will hopefully not be an issue as on the happy path only the master
process will log stuff.

DHCP: Implement IPv6-Only Preferred option, RFC 8925.

Enable it like so in dhcpcd.conf:
option ipv6_only_preferred

privsep: Close BPF socket on ENXIO.

This stops log spam if RTM_IFANNOUNCE is delayed for the departing
interface.

Bump date for prior

dhcpcd.conf(5): mention fallback for the reboot option

Syncs with dhcpcd(8)

BSD: LINK_UNKNOWN is traditionally treated as LINK_UP

privsep: Allow more syscalls through SECCOMP and add a debugger

This fixes PowerPC at least.

The debugger should not be enabled by default as the attacker
could keep the processes running.
However, it is need to work out which syscall is failing due to the
way SECCOMP works.

Make a note about solaris privileges

duid: plug a potential memory leak

Release dhcpcd-9.3.1

privsep: Minor correction to prior logic

privsep: We need to ensure stderr is valid before testing if tty

privsep: Fix stderr redirection again

privsep: allow gettimeofday for SECCOMP

We need it for logging.

BSD doesn't use envp

setproctitle compat requires envp, not environ

The two could be different!
envp is NOT C or POSIX standard, but does appear to be a UNIX standard.

Just give up with setproctitle on Illumos

Their ps tools go out of their way to only show how it was launched :/

Change copyright on setproctitle.h

compat: Use libbsd's setproctitle(3)

Linux PRCTL variant, although more light weight, doesn't work on
some kernels.
This weighs in around 1k more, but always works.
It does play around with environ and args but unlike other
similar variants doesn't appear to stamp on what you actually
use in the program.

privsep: Always try and open syslog

Even if we don't print as otherwise we can't in a chroot.

privsep: Ensure command is for BPF first and interface valid second

Otherwise we won't call inet_dispatch on a message meant for it.

Linux: fix compile

privsep: Improve rights on launcher fork and stderr fds

privsep: Only start network proxy if we need to

Do this before starting it rather than it shutting down.

privsep: Only log chrooting from the launcher process

And the sandbox tech as well.
Rework stop_interface so we can reuse an option for marking
a process as the launcher.

if: always log about unsupported interface types in debug

dhcpcd: Simplify the link handling even more

Move the IS_LINK_UP macro to if_is_link_up function to reduce
binary size.
Rather than DHCPCD_LINK option controlling the carrier state,
use it in if_is_link_up to determine the outcome.

Wireless must be down if unknown.

dhcpcd: Simplify carrier handling more by using IS_LINK_UP macro

Removes the need for the LINK_DOWN_IFFUP state.
While here, remove the check for IFF_RUNNING when LINK_UNKNOWN
because that is OS specific.

Release dhcpcd-9.3.0

privsep: Remove capsicum specific hooks from BPF

We no longer change the filter as it's locked if the OS supports.

Don't log backticks.

privsep: We need getsockopt as well as setsockopt on the link socket

So we can report receive buffer size.
Important for route(4) overflow so we can try and set a bigger buffer.

privsep: allow CAP_SETSOCKOPT for route(4) fd.

If FreeBSD ever implements RO_MISSFILTER it will need special
rights to work over Capsium.

privsep: We now need to carry ifa_data for BSD

BSD: Fix compile for non NetBSD

Add a comment to prior incase I do something dumb like removing it

in the future if I forgot why it was there.

Fix a typo in a comment

privsep: fix crash when interface departs before bpf returns for it

BSD: struct if_data->ifi_link_state is the single source of truth

Vastly improve and simplify link detection on BSD.
dhcpcd either examines the whole system via getifaddrs(3) or
reacts to events via route(4).
In both cases we have struct if_data which has ifi_link_state.

Armed with this knowledge, we no longer need SIOCGIFDATA or
SIOCGIFMEDIA.

To solve the issue of newly attached interfaces having
LINK_STATE_UNKNOWN or some interfaces not even changing it,
we only change the local knowledge of interface flags when
reports them by getifaddrs(3) or route(4) when we change them.
For example, if we set IFF_UP and it succeeds we don't set this
internally until reported by the kernel as above.

This keeps flags and link state in sync with each other.
The hope is that the kernel can set the real link state before
it reports IFF_UP.

As such, we no longer require the poll option or need to enter a
tight loop for old interfaces.

BSD: Ignore vether(4) devices by default.

Clean up some warnings.

FreeBSD: Anticipate SIOCGIFDATA not working in Capsicum

BSD: NetBSD is the odd man out with SIOCGIFDATA

So setup the #defines like so.
On OpenBSD, pledge blocks it and there is no escape.
Luckily we already allow indirect ioctls via privsep so it works fine.

if: Always warn about ignored interfaces.

BSD: Of course DragonFly does SIOCGIFDATA differently..

Add a warning about prior