Merge pull request #8395 from rgacogne/ddist-doh-concurrent-connections

dnsdist: Count the number of concurrent connections for DoH as well

Merge pull request #8388 from rgacogne/dnsdist-doh-rotation-key-clear

dnsdist: Clear the DoH Session Ticket Encryption Key in the ctor

dnsdist: Count the number of concurrent connections for DoH as well

Merge pull request #7719 from Habbie/dnspython-assertequal

better assertEqual for dnspython

recursor-dnssec: use eqdnsmessage

ixfrdist: eqdnsmessage

(uselessly) add eqdnsmessage to auth testing

move assert helper out of dnsdist tests

better assertEqual for dnspython

before:
AssertionError: <DNS message, ID 38993> != <DNS message, ID 38993>

after:
AssertionError: <DNS message, ID 46818> != <DNS message, ID 46818>:
--- first
+++ second
@@ -1,10 +1,10 @@
 id 46818
-opcode 6
-rcode NOTAUTH
-flags AD CD
+opcode QUERY
+rcode NOERROR
+flags RD
 ;QUESTION
 xpf.tests.powerdns.com. IN A
 ;ANSWER
 ;AUTHORITY
 ;ADDITIONAL
-. 0 IN TYPE65422 \# 14 04117f0000017f000001f8bc14dc
+xpf.tests.powerdns.com. 60 IN TYPE65422 \# 14 04117f0000017f00000100000000

Merge pull request #8351 from Habbie/no-move-mutex

auth statbag: move to std::mutex, avoid copies

Merge pull request #8382 from rgacogne/ddist-ciphers-order

dnsdist: Add a 'preferServerCiphers' option for DoH and DoT

Merge pull request #8381 from rgacogne/ddist-prometheus-thread-number

dnsdist: Add a prometheus 'thread' label to distinguish identical frontends

Merge pull request #8375 from rgacogne/ddist-python-dns-options-print

Implement python's to_text() for Cookies and Client Subnet options

dnsdist: Clear the DoH Session Ticket Encryption Key in the ctor

And declare assignment operator deleted

Merge pull request #8385 from omoerbeek/more-strict-flags

More strict flags

While there is no shadowing going on for global functions, improve
consistency by calling a lua_state lua_state.

Add copy-ct, gcc C++ lib <= 4.8 seems to need it.

Some more shadowing going on

Use -Wextra -Wshadow.

This cause plenty of signed-compare warnings from clang in the unit-tests. So
fix those plus a few cases of -Wshadow.

dnsdist: Add a 'preferServerCiphers' option for DoH and DoT

It used to be that the servers had a much better configuration than
the clients, but nowadays we better rely on the clients, as they
know whether they have hardware support for a specific algorithm
which might save battery life or improve latency by a large margin.

dnsdist: Add a prometheus 'thread' label to distinguish identical frontends

Merge pull request #8377 from rgacogne/ddist-more-warnings

dnsdist: Compile with -Wall -Wextra -Wshadow by default

Merge pull request #8378 from rgacogne/ddist-prometheus-senderrors-typo

dnsdist: Fix a typo in the prometheus description of 'senderrors'

dnsdist: Fix a typo in the prometheus description of 'senderrors'

dnsdist: Compile with -Wall -Wextra -Wshadow by default

And -Werror=vla -Werror=shadow -Wformat=2 -Werror=format-security
in CircleCI.

Fix 'this statement may fall through' warnings

dnsdist: Fix shadowed variables

Fix implicitly-declared 'YaHTTP::CookieJar& YaHTTP::CookieJar::operator='

Merge pull request #8342 from chbruyand/pipebackend-unused-warning

pipebackend: remove unused variable

Implement python's to_text() for Cookies and Client Subnet options

Merge pull request #8371 from omoerbeek/rec-fix-debian-pkg-build

Fix chmod paths in rules files

Fix chmod paths in rules files

Merge pull request #8369 from omoerbeek/auth-pthread_t-isnotanint

Printing a pthread_t on platforms having a non-int pthread_id requires a cast to uintptr_t.

Merge pull request #8368 from rgacogne/ddist-prometheus-third

dnsdist: More prometheus fixes

Merge pull request #8365 from rgacogne/ddist-lowercase-custom-header-names

dnsdist: Lowercase custom DoH header names

Merge pull request #8344 from franklouwers/rec-signalhandling

Add signal handling for SIGTERM and SIGINT in pdns_recursor, if we are PID1

Merge pull request #8366 from omoerbeek/rec-enable-nod

rec: Build Newly Observerd Domain (NOD) support by default.

Printing a pthread_t on platforms having a non-int pthread_id
requires a cast to uintptr_t.

dnsdist: Also lowercase custom DoH header names for early responses

dnsdist: Deduplicate DoH frontend names in prometheus

dnsdist: Add missing prometheus descriptions for  dnsdist_pool_servers and dnsdist_pool_active_servers

dnsdist: Fix a typo in 'tcpdownstreamtimeouts' prometheus description

dnsdist: Fix handling of latency-sum and latency-count in prometheus

dnsdist: Add per-frontend and per-server response counters

Typo. Thanks @phonedph1

Auto, conditional on availability of boot-filesystem lib

Merge pull request #8364 from rgacogne/ddist-webserver-checkconfig

dnsdist: Check the address supplied to 'webserver' in check-config

Merge pull request #8363 from omoerbeek/lgtm-coverity-1

LGTM/coverity spotted issues: copy constructors and = operators

Build Newly Observerd Domain (NOD) support by default.

Still disabled by default config.

Merge pull request #8360 from omoerbeek/rec-systemd-config-perms

rec: chmod/own recursor.conf for the systemd case

dnsdist: Lowercase custom DoH header names

Merge pull request #8361 from rgacogne/ddist-doh-prometheus-bis

dnsdist: Refactor DoH prometheus metrics again

Merge pull request #8359 from rgacogne/dnsdist-setrules-creationorder

dnsdist: Fix the creation order of rules when inserted via SetRules()

dnsdist: Check the address supplied to 'webserver' in check-config

Cleanup copy constructor/assignment op "rule-of-2" violations.

dnsdist: Refactor DoH prometheus metrics again

chmod/own recursor.conf for the systemd case

dnsdist: Fix the creation order of rules when inserted via SetRules()

Merge pull request #8356 from rgacogne/ddist-140-rc3-changelog-secpoll

dnsdist: ChangeLog and secpoll update for 1.4.0-rc3

dnsdist: add DNS over HTTPS and DNS over TLS tags to the conf

dnsdist: ChangeLog and secpoll update for 1.4.0-rc3

Merge pull request #8318 from rgacogne/ddist-prometheus-labels

dnsdist: Better use of labels in our DoH prometheus export

Merge pull request #8349 from rgacogne/ddist-doh-tickets

dnsdist: Implement TLS Session Ticket Keys management for DoH

auth statbag: move to std::mutex, avoid copies

Problem found by coverity.

dnsdist: Remove references to GnuTLS for DoH

dnsdist: Exclude TLS session resumption tests from Travis (no DoH, old libssl)

dnsdist: Document DoH TLS Session Ticket keys management. Add tests.

Merge pull request #8343 from omoerbeek/lgtm-low-hanging-fruit

Lgtm low hanging fruit

Merge pull request #8350 from omoerbeek/fix-bind-mutex-leak

bind backend: pthread_mutex_t should be inited and destroyed and not be copied

bind backend: pthread_mutex_t should be inited and destroyed and not be copied

To make our live easier, use a native C++ mutex.
Fixes #8161

dnsdist: Skip TCP metrics for UDP frontends over prometheus

dnsdist: Implement TLS Session Ticket Keys management for DoH

Merge pull request #8348 from rgacogne/auth-unit-hardening

auth: Add NoNewPrivileges, PrivateDevices and PrivateTmp back

auth: Add NoNewPrivileges, PrivateDevices and PrivateTmp back

Add comments on why we need this

Only register our handler when we're pid 1, and change to doExit()

Merge pull request #8208 from rgacogne/no-naked-pointers

auth: Get rid of most remaining naked pointers

auth: Mark getFreshAXFRPacket() as static

auth: Use shared pointers for the DNSPacket Lua bindings

Add signal handling for SIGTERM and SIGINT in pdns_recursor

The Linux kernel handles signals for PID 1 processes differently. It
doesn't implement a default handler for some signals such as
SIGTERM/SIGINT.

When running pdns_recursor as a container, this causes a few annoyances.
You can work around those by running your containers with --init or by
installing `tini` inside the container. Or you can handle the signals in
the application itself.

This commit adds signal() handlers for SIGTERM and SIGINT for
pdns_recursor.

Merge pull request #8339 from omoerbeek/clang-format-file

clang-format file proposal

Merge pull request #8340 from omoerbeek/rec-rpz-load-zz

Fix #8338: Issue with "zz" abbreviation for IPv6 RPZ triggers

auth: Get rid of most remaining naked pointers

Add lgtm annotations and #error directives if we're configured wrongly.

Already showing its worth: a few ac checks were missing.

Missed one case of localtime()

Some low-hanging LGTM fruit

Incorporate suggestions from rgacogne

pipebackend: remove unused variable

Merge pull request #8328 from mind04/pdns-mysql-ssl

auth: gmysql backend, add an option to send the SSL capability flag t…

Merge pull request #8326 from rgacogne/security-policy

Add a security policy in our repo, remove outdated statement about versions

Merge pull request #8336 from Habbie/auth-no-version-in-manpage

auth: remove version number from man page footers

dnsdist: Update metrics based on the non-encrypted rcode over DNSCrypt

dnsdist: Update frontend* stats over TCP as well

dnsdist: Better use of labels in our DoH prometheus export

Also add stats about TLS session resumption.

auth: gmysql backend, add an option to send the SSL capability flag to the server

Fix #8338: Issue with "zz" abbreviation for IPv6 RPZ triggers

While there, add unittest for translating rpz names into netmasks

clang-format file proposal

Run with clang-format [-i] -style=file in the tree.
-i does an in-place edit, without it result is written to stdout.

auth: remove version number from man page footers