ci: added systemd to devenv container, enabled docker image build job

CI: container with pydbus dependencies + small README update

systemd integration using pydbus

dependencies: removed dbus-python, because it breaks CI and it's not final that we will use it

CI: configure poetry to use pyenv

CI container: fixed poetry

CI: fixed base container config

CI containers: README and naming

basic foundation of inner APIs

removed dbus-next dependency

This library is not packaged anywhere so we will have to use something more traditional and build async interface on top of it if needed.

updated README.md

ci: docker image setup

ci: increased timeout

updated README.md with minimal setup, configured CI for linting

pyenv: multiple versions configured at the same time does not work, leaving 3.6.12 only

README.md: updated note about running code checks

dependencies: added strictyaml that we will need

README.md: correction of claims about type checkers

tox: added python 3.9.1 to the list of tested versions

tox config, README update, listening on Unix socket, added black for code formatting

project skeleton using Poetry and PoeThePoet

Initial commit

Merge !1283: ci: fix ambiguous tag-sets

ci: fix ambiguous tag-sets

In a few places the tag-set specification for jobs could match
either amd64 or arm64 runners.  That non-determinism is bad,
especially when passing platform-specific artifacts around.

This is just a stop-gap measure.  Later we'll need to rethink our CI
in terms of the two platforms.

I didn't touch tag-sets with `condor`, as that will probably always be
just a single machine (which coordinates scheduling on others).

Merge !1282: ci/pkgtest: fix issues with sphinx

ci/pkgtest: fix issues with sphinx

The apkg installation through pip3 was pulling too new jinja2 version,
breaking subsequent usage of sphinx to build docs (in `apkg build`).

Merge !1276: xdp: make it work also with libknot 3.1

Fixes #735

xdp nit: utilize freeing API added in libknot 3.1

It's probably a bit more efficient, but this part of code should be
rarely used even on a resolver serving all in XDP.

xdp: make it work also with libknot 3.1

Somehow I did this wrong when porting to libknot 3.1.

Merge !1281: pkg: update changelogs

pkg: update changelogs

* set myself as package maintainer
* use {{ now }} instead of hardcoded datetime
  * bump apkg compat to 2

rpm: sync from Fedora

This is a no-op as GPG_CHECK is disabled for upstream package but it
keeps the .spec files in sync.

Merge !1271: ci/images: add docs

ci/images: add debian-11-coverity description

ci/images: add image description

ci/images: ensure base image is updated

Merge !1275: modules/dns64: fix incorrect packet writes for cached packets

Fixes #727

modules/dns64: fix incorrect packet writes for cached packets

Also change the return type of kr_pkt_has_dnssec() and lua's :dobit()

Merge branch 'release-5-5-0' into 'master'

release 5.5.0

See merge request knot/knot-resolver!1272

AUTHORS: duplicate alias removed

release 5.5.0

Merge !1273: Documentation nits (policy, predict)

predict docs: be more explicit about recommended use

We're still run into people who thought that the example config
is a suitable default.  Example where it caused practical issues:
https://lists.nic.cz/hyperkitty/list/knot-resolver-users@lists.nic.cz/thread/WQDJJ3LLEIZ5U3VVSCITW6DZPICW4L7U/

policy docs: explain non-ASCII names

Merge branch 'selection' into 'master'

lib/selection: fix interaction of timeouts with reboots

Closes #722

See merge request knot/knot-resolver!1269

Revert "daemon/worker: add task timeouts for upstream TCP connections"

This reverts commit 0c9ea1332e1c4475043eab571f60915b90985999 (!1226).

CI rp:fwd-tls6.udp-asan now repeatedly shows use-after-free.
That could be a serious issue, and this commit's feature
seems less important than the risk.  Let's revert until the issue
gets deeper investigation.

lib/selection: fix interaction of timeouts with reboots

We use "monotonic" time-stamps for the dead_since field;
that breaks on system reboots, in which case we reset the stats.
(if the server was categorized as dead)

If the server times out afterwards, we'd fail the condition
`cur_state.consecutive_timeouts == old_state.consecutive_timeouts`
so its stats would not update.  Therefore we'd get stuck forever
in a state where the unusable server has high priority (no_rtt_info).

This commit changes a bit more than was necessary to fix this,
including precision of the stats (in some cases).

lib/selection: improve randomness of ties

The approach was dubious: random shuffle, qsort() and choose the first.
The main functional problem was that qsort() isn't a stable sort,
so the effect of pre-shuffling is not reliable, even though I don't have
any evidence of this causing issues in practice.

The new code should also be a bit more efficient in terms of CPU and
consumed randomness, but that probably won't be noticeable.
The arrays passed into select_transport() are now const (no sorting),
which could make the code easier to "understand".

Merge branch 'ci-remove-arm' into 'master'

ci: remove experimental arm builds

See merge request knot/knot-resolver!1270

ci: remove experimental arm builds

These are running on a hardware setup which is hard to maintain. In the
near future, ARM64 should be covered by a dedicated runner.

Merge branch 'keyblock-update' into 'master'

pgp: remove tkrizek, add amrazek

See merge request knot/knot-resolver!1268

pgp: remove tkrizek, add amrazek

Merge branch 'distrotests-rocky8' into 'master'

distro/tests: use rocky8 instead of centos8

See merge request knot/knot-resolver!1267

distro/tests: add Rocky support

.gitlabci: add some doc comments for distotest job

distro/tests: use rocky8 instead of centos8

Merge !1266: Coverity Scan false positives clarifications

Coverity Scan false positives clarifications

Merge branch 'cache-nit-ttl' into 'master'

cache nit: reduce cache.max_ttl limit a bit

See merge request knot/knot-resolver!1265

cache nit: reduce cache.max_ttl limit a bit

The new limit is over 68 years, so still completely meaningless.

Merge !1264: Fix defects detected by Coverity Scan

Fix defects detected by Coverity Scan

Targeted CIDs: 155456, 155962, 346121, 346123, 346124, 346125,
  346126, 346127, 346130, 346131, 346132, 346134, 346135, 346138,
  346140, 346145, 346146, 346149, 346152, 346154, 346156, 346157

lib/dnssec/nsec3.c change:
  apparently cleaning fallout from my (= vcunat's) commit b5cf61325ae

Merge !1256: modules/dnstap: improve UX for common errors

modules/dnstap: improve UX for common errors

The main thing is the "failed to open socket" message.
But let's also elevate other fatal one-off logs to ERROR level.

modules/dnstap: don't do anything on loading the module

Usually in configuration the module is loaded in a separate command
from passing configuration to it.  For dnstap this loading would
immediately lead to opening the default socket path, even if the
configuration actually specifies (a different) path later.

Users can still force using the default by passing an empty table:
`dnstap.config({})` or `modules = { dnstap = {}}`
(though I doubt the utility of the default /tmp/dnstap.sock anyway)

Merge !1257: lib/resolve, modules: NO_ANSWER for not responding to clients

Implements #432

lib/resolve, modules: NO_ANSWER for not responding to clients

Merge !1238: Support for PROXYv2 protocol

daemon, lib: document API changes made due to PROXYv2

daemon: add PROXYv2 SSL TLV handling + minor refactoring

daemon: correct PROXYv2 handling for TCP sessions

daemon/bindings doc: PROXYv2 clarifications

daemon: use flags from proxy header + refactor comm data

daemon: allow setting zero netmasks for net.proxy_allowed()

tests/config: net.proxy_allowed() support

daemon/proxyv2.test: deckard test for PROXYv2

daemon/bindings: add net.proxy_allowed() + docs

daemon: PROXYv2 header processing

Merge !1259: .gitlab-ci: Coverity scan

Implements #450

.gitlab-ci: Coverity scan

Merge branch 'fix-tls-client-resumption' into 'master'

daemon/tls: fix TLS client resumption

Closes #542

See merge request knot/knot-resolver!1261

daemon/tls: fix TLS client resumption

Merge !1254: lib/resolve: EDNS padding for outgoing TLS queries

Fixes #303

lib/resolve: EDNS padding for outgoing TLS queries

Merge !1251: lib/dnssec: conditionally ignore SHA1 DS, as SHOULD by RFC4509

lib/dnssec: conditionally ignore SHA1 DS, as SHOULD by RFC4509

We're a bit late with this ad-hoc rule; I think it was most useful
when SHA256 support in DS algorithms wasn't wide-spread yet.
(Note that DNSKEY algos have standardized no similar rule.)

Usage of SHA1 as DS algorithm is highly discouraged, but even at this
point it does *not* seem unsafe, in the sense of anyone publishing an
attack that would come anywhere close to breaking *this* usage of SHA1.

Merge !1226: daemon/worker: add task timeouts for upstream TCP connections

daemon/worker: add task timeouts for upstream TCP connections

Merge !1253: daemon/bindings/net: add interface name to link-local IPv6 addresses

Fixes #80

daemon/bindings/net: add interface name to link-local IPv6 addresses

Merge branch 'update-tests' into 'master'

ci: various test updates

See merge request knot/knot-resolver!1243

tests/README: merge with docs

pytests: migrate to LXC runner

Due to missing support on some of the regular runners, let's migrate
these tests to our special LXC runners. This should hopefully make the
results more reliable and stable.

The downside is that we have to keep an additional image (and recipe)
for LXC, since it' slightly different. However, it's probably worth it,
since we'll likely migrate some other tests there in the future (for
better stability).

ci: omit extra dependencies for arm

gitignore: pytests junit xml files

ci/images: automate build&push of images

meson: update dependencies for deckard

tests: bring README up to date

meson: minor cleanup

Merge branch 'docs-forwarding-filters' into 'master'

policy docs: warn about filters and forwarding

See merge request knot/knot-resolver!1241