Merge branch 'pkg-artifacts' into 'master'

.gitlab-ci: expose packages from pkgtest as artifacts

See merge request knot/knot-resolver!1573

.gitlab-ci: pkg: add Fedora 40, remove Fedora 38

.gitlab-ci: expose packages from pkgtest as artifacts

Merge branch 'launchpad-fix' into 'master'

distro/pkg/deb: use $(shell pwd) to fix LaunchPad fails

See merge request knot/knot-resolver!1575

distro/pkg/deb: use $(shell pwd) to fix LaunchPad fails

Merge branch 'release-6.0.8' into 'master'

Release 6.0.8

See merge request knot/knot-resolver!1572

manager/tests/packaging: better kdig check

Merge: mitigate TCP flooding DoS opportunity

distro/pkg/arch: update deps and maintainers

release 6.0.8

release 6.0.8

NEWS changes:
 - collect missing items
 - reduce newlines; we'd need to change the layout around
 - improve a link
 - add packaging information
 - move some things around a bit

doc+NEWS for the buffering changes

daemon/tls: proper clean up of queued protolayer contexts

daemon/session2: use kr_strerror for logging error states

daemon/session2: add special event for OS buffer depletion

For the future, when we need to account for this for e.g. QUIC, which
will need to handle this in the UDP case.

daemon: proper connection closures on queue overflow

daemon/lua: bind `the_network` into lua

Because why not.  It's easy and it might become useful one day.

> (require 'ffi').C.the_network.tcp.user_timeout
1000

daemon: set options on sockets towards clients (optionally)

daemon: drop user-space buffering for sockets

Merge !1562: lib/rules: fix a bug in subnet computations

lib/rules subnet_encode(): improve doc-comments

lib/rules nit: missing `static` for a function

lib/rules: fix a bug in subnet computations

The problem mainly affected subnets not aligned on whole bytes,
but maybe also others.  Reported:
https://lists.nic.cz/hyperkitty/list/knot-resolver-users@lists.nic.cz/message/6P2JPK72WMVLP45TDV42DTACEA2N5NW2/

I'm really sorry about this; no idea why I thought that the simple
multiplication would suffice.

Merge branch 'kresctl-convert-policy-loader' into 'master'

kresctl: add generation of policy-loader Lua script

See merge request knot/knot-resolver!1569

kresctl: add generation of policy-loader Lua script

Merge branch 'manager-ci-pkg-fix' into 'master'

manager: utils: timeout fix for unix-socket http request

See merge request knot/knot-resolver!1568

manager/utils/request.py: use self.timeout in UnixHTTPConnection

Merge !1566: treewide nit: avoid NULL arithmetics

treewide nit: avoid NULL arithmetics

(u)intptr_t casts seem the best in terms of compliance:
https://stackoverflow.com/q/45220134/587396

Otherwise with clang 18 we can get warnings like
 ../$path:$line:$col: runtime error: applying non-zero offset $num to null pointer
 SUMMARY: UndefinedBehaviorSanitizer: undefined-behavior ../$path:$line:$col

Merge branch 'drop-libknot-3.2' into 'master'

drop libknot <=3.2.x support

See merge request knot/knot-resolver!1565

drop libknot <=3.2.x support

.gitlab-ci: use newer Knot for make-archive

Dockerfile: upgrade to Debian 12 and newest Knot DNS

drop libknot 3.0.x support

- Upstream last maintained 3.0.x in summer 2022.
- Our packaging shouldn't be affected, neither the new one, nor OBS.
- If someone updates resolver, it shouldn't be too hard
  to update libknot as well.
- Maintenance on resolver side still needed effort for kres-gen-30.lua

Merge branch 'manager-instability-handling' into 'master'

manager: recovery from 'policy-loader' failure during reload

See merge request knot/knot-resolver!1563

manager: config_store: renew with old config

manager: 'policy-loader' removed from  watched subprocesses

manager: run policy-loader with old config when instability detected

Merge !1564: master-5 branch into master

Merge remote-tracking branch 'origin/master-5' into master

Merge branch 'separate-policy-kresd' into 'master'

manager: policy-loader: new process for loading policy rules separately

See merge request knot/knot-resolver!1540

manager: fixed error message for 'max-workers' change denial

manager: reset the workers policy rules only when necessary

Basically, the reset is necessary when only the policy rules have changed and there is no need to update the workers config.

manager: loading policy rules is now done in the verifier callback

The main reason for this is to load the policies before the canary worker starts, making it a prerequisite for starting the workers.

manager: load policy rules on any configuration change

manager: config_store: only_on_real_changes renamed to only_on_real_changes_update

manager: start canary process only on real changes

manager: config_store: only on real changes decorator for verifiers

manager: controller: sd_notify: handle 'STOPPING=1' notification

manager: wait for 'policy-loader' to finish on the resolver startup

When starting the resolver, we wait for policy-loader until policy rules are successfully loaded into the cache where the rules are shared between kred workers. After that, other processes are started. Otherwise, the workers might start without the configured rules in the cache while they are already resolving DNS traffic.

manager: controller: getting SubprocessStatus from particular Subprocess

datamodel: types: IPNetwork: __eq__ added

lib/rules: tweak how the read-only transactions work

Let's avoid reloading the RO transaction unless necessary.
For example, when normal config reload happens (one kresd at a time),
we most likely do *not* want to reload the rule DB prematurely.

doc/dev: architecture update and improvements

doc: architecture schemas improvements

NEWS: update about policy-loader

manager: controller: SubprocessStatus.EXITED added

manager: apply policy config separately

manager: controller: policy-loader program added

manager: controller: new SubprocessType for loading policy added

datamodel: templates: don't clear policy DB in kresd workers

lib/rules kr_rules_init(): allow not overwriting the DB

datamodel: check for unused tags during config validation

datamodel: templates: policy config moved out of the kresd worker config

Merge branch 'tls-client-error-log' into 'master-5'

daemon/tls: print IP when failing certificate check

See merge request knot/knot-resolver!1560

Merge branch 'protolayer-constructors' into 'master'

daemon: use __attribute__((constructor)) for protolayer_globals

See merge request knot/knot-resolver!1559

daemon/tls: print IP when failing certificate check

daemon: use __attribute__((constructor)) for protolayer_globals

The `protolayer_globals` array can basically be treated as a constant by
most of the program and its initialization only uses compile-time-known
values.  We basically only initialize parts of the array in different
files throughout the codebase to maintain separation of concerns, so
that each piece of Knot Resolver initializes the part that pertains to
it.  Therefore, I believe that it is more ergonomic to just use
`__attribute__((constructor))` for these functions, so as not to pollute
`daemon/main.c` with these calls.

Merge branch 'manager-dir-cleaning' into 'master'

manager: directory cleaning

See merge request knot/knot-resolver!1557

doc: slight reorganization and consistency adjustments

manager/README.md: dev info moved to doc

doc/dev: development guides chapter created

Added information about the development environment and code structure.

manager: tests: unused integration tests removed

manager: scripts: unused and non-functional scripts removed

manager/pyproject.toml: unused and non-functional tasks removed

Merge branch 'pkg-v6-cleanup' into 'master'

Debian packaging cleanup

See merge request knot/knot-resolver!1555

Merge branch 'ksk-2024' into 'master-5'

etc/: add the fresh DNSSEC root key "KSK-2024" already

See merge request knot/knot-resolver!1556

distro/pkg/deb: remove undefined shlib:Depends

This addresses dpkg-gencontrol warnings:

    dpkg-gencontrol: warning: Depends field of package knot-resolver6-module-http: substitution variable ${shlibs:Depends} used, but is not defined
    dpkg-gencontrol: warning: Depends field of package knot-resolver6-dev: substitution variable ${shlibs:Depends} used, but is not defined

distro/pkg/deb: run `wrap-and-sort -bast` for git friendlier formatting

distro/pkg/deb: add README.md to docs

distro/pkg/deb: harmonize file paths in debhelper files

distro/pkg/deb: add Rules-Requires-Root: no

distro/pkg/deb: remove obsolete -dbg package

-dbgsym packages are now generated automatically.

distro/pkg/deb: improve HTTP module deps

fixes lintian warning: not-binnmuable-all-depends-any

distro/pkg/deb: add missing Standards-Version to d/control

distro/pkg/deb: silence irrelevant lintian warnings

distro/pkg/deb: update debian/copyright entries

distro/pkg/deb: fix incorrect formatting

etc/: add the fresh DNSSEC root key "KSK-2024" already

The key still won't be used for some time, two years maybe,
but I think it's better to preemptively trust it already.
(outdated machines, etc.)

Some evidence that it's not just a hash of *my* private key:
https://www.iana.org/dnssec/ceremonies/53-2
https://data.iana.org/ksk-ceremony/53-2/kskm-keymaster-20240426-173035-995.log
https://www.youtube.com/live/gw4PFhtnVpk?si=C8zevM3nG9O0XAJr&t=12726

Merge branch 'manager-ci-image' into 'master'

manager: use image from 'knot-resolver-ci'

See merge request knot/knot-resolver!1554

manager/pyproject.toml: update Poetry

manager: use image from 'knot-resolver-ci'

This was forgotten during the CI overhaul.

Merge branch 'remove-libedit' into 'master'

Remove unused dependency and Dockerfile

See merge request knot/knot-resolver!1553

ci/images/debian-12: remove

Remnant of the past. This has been since replaced by images from
the `knot-resolver-ci` repo.

distro/pkg: remove dependency on libedit

The library was used by the old experimental `kresc` client, which has
been removed in favour of Manager's `kresctl`.

Merge branch 'nits-warnings' into 'master-5'

reduce build-time warnings

See merge request knot/knot-resolver!1552

**/meson.build: avoid deprecations in meson >= 1.4

The code isn't pretty, but probably better than watching
the fat red lines on every build.

meson.build: avoid a gcc 14 warning

Picked from master commit 68688fac013a4c16a476acc15c366a8ce07ed46e

Merge branch 'nits' into 'master'

Protocol layers and other parts refactoring (+ nits)

See merge request knot/knot-resolver!1546

daemon/session2.h: clarify `struct session2` docs

As pointed out by @lukas.ondracek, the wording could be confusing when
mentioning *bottommost* and *topmost* layers. The original wording was
meant to reference the way the arrays in `daemon/session2.c` are laid
out, but never explicitly mentioned that, so one could be implicitly
think it was in reference to the widely known ISO/OSI or TCP/IP models,
which could be interpreted incorrectly (the layers are traditionally
laid out the other way around there).