distro/rpm: remove F27 migration

ci/fedora: add correct obs repo to F29 container

doc/daemon: trust_anchors.keyfile_default

distro/kresd.no_ta.conf - mention how to turn off DNSSEC validation

distro/tests: use faster mirrorlist for Arch

README: remove unused coverity status icon

distro/arch: use dnssec-anchors

distro/arch: add armv7h to supported archs

Merge branch 'config-examples' into 'master'

etc/config.*: tweak the config examples

See merge request knot/knot-resolver!729

etc/config.*: tweak the config examples

The main impulse was to have 'hints > iterate', as people usually expect
hints to take precendence before cache.

Merge !727: lib/resolve: drop a piece cycle-avoidance code

lib/resolve: drop a piece cycle-avoidance code

- It was too aggressive.  Example I ran into: we have glue address
  in qry->ns but we want to find authoritative record by asking the NS.
- The anti-cycling measures are probably not perfect yet,
  but they seem to be fine enough and this commit seems
  very unlikely to make anything worse in practice.

Merge branch 'tls-failed-rehandshake' into 'master'

daemon: proper processing of unsuccessful TLS rehandshake

See merge request knot/knot-resolver!728

daemon: proper processing of unsuccessful TLS rehandshake

Merge branch 'stub-timneouting' into 'master'

daemon: addition to fd54dd5a, handle STUB in the same way as FORWARDING;

See merge request knot/knot-resolver!723

NEWS: update after recent merges

lib/nsrep _sort(): reduce code repetition

daemon: addition to fd54dd5a, handle STUB in the same way as FORWARDING;

also improvement in NS election algorytm when using FORWARDING & STUB.

Merge !678: view: change to a more natural semantics

view doc: better explain rule order

view: test new semantics

tests: move view tests from Deckard repo to kresd repo

This is an attempt to separate kresd-specific tests from generic DNS
resolver tests.

modules/{policy,view}: do not act if FAIL or DONE

Not all actions are destructive, but it seems generally expected that if
an earlier module or other code already transitioned the request into
a FAIL or DONE state, we don't want to apply rules anymore.
In particular, later rule actions would "overwrite" what previous
actions did.

view: allow multiple :tsig rules with the same key

It's perhaps still confusing that there are three distinct rule chains:
policy, view:tsig and view:addr.

view: change :addr to a more natural semantics

Continue executing :addr rules until a non-chain action is executed.
Before this, the only the first match in view:addr rules got a chance,
even though the inner policy rule might not trigger in that case
or be a chain action.

view doc: warn against split-horizon DNS

Merge branch 'doc_graft' into 'master'

policy: improve example for grafting subtrees

See merge request knot/knot-resolver!726

policy: improve example for grafting subtrees

Merge branch 'ci-pytests-fix-connflood' into 'master'

ci: run pytests with ASAN + fix con_flood

See merge request knot/knot-resolver!725

ci: run small respdiff with ASAN build

pytests/conn_flood: select number of connections dynamically

ci/gitlab-ci.yaml: use ASAN build for pytests

Merge branch 'alexforster/so-attach-bpf' into 'master'

daemon: support Linux eBPF socket filters with new net.bpf_set(fd) and net.bpf_clear() bindings

See merge request knot/knot-resolver!719

daemon/bindings: eBPF socket filter support, fix broken RHEL/CentOS build; fix callbacks for map_walk()

daemon/bindings: eBPF socket filters bindings, avoid usage of lua 5.3 macro; fix clang warnings

daemon: support Linux eBPF socket filters with new net.bpf_set(fd) and net.bpf_clear() bindings

Merge branch 'tcp-timeout-trigger-fix' into 'master'

daemon/io: additional integrity check

See merge request knot/knot-resolver!724

daemon/io: additional integrity check

Merge !629: new statistics

Closes #186.

add NEWS entries for this branch

stats nitpick: refactor to simpler code

These if-guards seemed unnecessarily complicated.

bogus_log: document new function frequent()

stats: document new counters

stats: fix crash when stats.get/set is called with invalid parameters

Closes: #186

bogus_log: integration tests for bogus_log.frequent()

stats: integration tests

fixup! added stats for all dns header flags

Flag counting was incorrect.

fix content type

added tests for new web apis
added new global bogus_log

expose bogus_log.frequent as web api

bogus_log: add list of most frequent bogus queries

all stats are now named with prefix answer_
stats with query_ prefix are deprecated
added stats for all dns header flags

expose stats.upstreams as web api /upstreams

Merge !721: daemon/worker, session: correctly process...

... connected upstreams list when closing outgoing connection

daemon/worker, session: correctly process connected...

... upstreams list when closing outgoing connection

Merge !673: use randomness from gnutls instead of internal ISAAC

kr_random_coin: do not crash on invalid values

remove kr_rand_bytes_nonstatic()

It seems simpler, now that we have kr_rnd_buffered().

buffer randomness from gnutls

gnutls_rnd() is more heavy-weight than I originally anticipated,
and in simple profiling it would take roughly 1% of CPU.
With this simple buffering the usage dropped well under 0.1%.

add kr_random_coin() to make some code more readable

use randomness from gnutls instead of internal ISAAC

Merge !722: small command input fixes

worker interactive mode: check stdin type

In particular, redirection from a file was leading to abort(),
so we provide an error message instead.

worker shutdown: close the leaking uv handle

Merge branch 'fwd-upstream-ranking' into 'master'

fix some inconsistencies in tcp connection error handling; forwarding - avoid attempts to communicate with timeouted upstream.

See merge request knot/knot-resolver!716

lib/nsrep: lower default value for the time interval after which timeouted NS will be reprobed

daemon/io: improved log

daemon/session: session_close() alwayes delete peers addresses from the list of estblished TCP connections even if underlying transport is UDP; fixed

daemon/worker: additional check for expired tasks

daemon: increase udp timeouts when forwarding

daemon, lib/nsrep: tuning of upstreams timeouting algorithm

daemon, resolve, nsrep: improve transport failures handling when forwarding

bugfixes in tcp connection error handling

fixup! daemon: forwarding - attempt to handle timeouted upstream

Reduce copy&paste.

daemon: forwarding - attempt to handle timeouted upstream

Merge branch 'tls_server_docs' into 'master'

docs: TLS server config clarification

See merge request knot/knot-resolver!718

docs: TLS server config clarification

Merge branch 'cflare-tls-auth' into 'master'

Experimental DNS-over-TLS to auth module

See merge request knot/knot-resolver!711

experimental_dot_auth: remove bundled basexx library

experimental_dot_auth: polish docs

rename experimental dot module to experimental_dot_auth

do not enable experimental dot module by default

modules/dot, daemon/tls: fix lint warnings

daemon/worker: minor adaptation of fa677610 after cherrypicking from older branch

dot module in lua

This modules allows knot-resolver to discover authoritative servers SPKI
digest by leveraging magic NS target names ala DNSCurve.

daemon: allow opportunistic DNS over TLS to origins

This commit allows opportunistic DNS over TLS to origins configured
as supporting DoT on port 853. It also adds interface for clearing
configured TLS clients to allow runtime reconfiguration.

The general mode of operation is as follows:

1. Produce a new outgoing query
2. Check if the selected upstream address has configured TLS support on port 853
 2a. If it does: upgrade to DNS over TLS, it cannot be downgraded from this point
 2b. If not: continue with preferred protocol

This allows further automatic discovery as in [1], but right now it has to be configured
manually.

[1]: https://tools.ietf.org/id/draft-bortzmeyer-dprive-resolver-to-auth-00.html

(cherrypicked from cloudflare branch, need to be adapted)

Merge branch 'ci-transport-tests' into 'master'

transport tests

See merge request knot/knot-resolver!707

pytests/kresd: add option to wait for port if taken by system

pytests/test_rehandshake: fix test

pytests: remove test_tls_cert_expired

pytests/test_pipelining: fix issue with net.ipv6=true

pytests: reserve kresd ports using files in tmpdir

pytests: nitpicks

pytests: update kresd.conf

pytests/tests: fix typos in README

pytests: rehandshake - search log

pytests: add rehandshake test

pytests: add hints and forward options to Kresd

pytests: fix prefix tests

ci/debian-stable: add dependencies for executing pytests