Merge pull request #5738 from rgacogne/rec-servfail-on-direct-rrsig-nsec3

rec: Do not allow direct queries for RRSIG or NSEC3

Merge pull request #5750 from ahupowerdns/dnsbulktest-no-www

add --www feature to dnsbulktest to make it (not) add www. to everything too

add --www feature to dnsbulktest to make it (not) add www. to everything too

Merge pull request #5716 from rgacogne/rec-cut-ds

rec: Detect zone cuts by asking for DS instead of NS

Merge pull request #5699 from ahupowerdns/rec-dyn-cache-entries

implement dynamic cache sizeing for recursor

Merge pull request #5734 from rgacogne/auth-botan-pk-crash

auth: Fix a crash when getting a public GOST key if the private one is not set

Merge pull request #5739 from rgacogne/rec-policy-pass-truncate

rec: Remove pdns.PASS and pdns.TRUNCATE

Merge pull request #5576 from rgacogne/dnsdist-sharded-mmsg

dnsdist: Cache sharding, recvmmsg and CPU pinning support

rec: Remove pdns.PASS and pdns.TRUNCATE

Those values are not documented in a recursor context, and does not
work as expected since `pdns.PASS` resulted in an immediate `ServFail`
and `pdns.TRUNCATE` in a strange status code being sent (showing
up as `RESERVED13` in `dig`).

rec: Do not allow direct queries for RRSIG or NSEC3

Merge pull request #5723 from rgacogne/auth-bindbackend_dof

auth: Use a unique pointer for bind backend's `d_of`

Merge pull request #5732 from aerique/bugfix/5690-add-note-ldap-schema-update

Add note on updating LDAP schema.

Merge pull request #5715 from rgacogne/rec-direct-nsec

rec: Handle direct NSEC queries

Merge pull request #5722 from pieterlexis/issue-5721-publish-inactive-CDS-CDNSKEY

Auth: Publish inactive KSK/CSK as CDNSKEY/CDS

Add note on updating LDAP schema.

Merge pull request #5727 from rgacogne/dnsdist-doc-typo-qnamerule

dnsdist: Fix typo in the documentation QnameRule -> QNameRule

Merge pull request #5730 from aerique/bugfix/4703-handle-afsdb-record-separately

Unit test for AFSDB fix (PR #5667)

Add AFSDB record to unit.test. zone.

Merge pull request #5729 from aerique/bugfix/5719-pdnsutil-exports-ds-records

Remove printing of DS records from export-zone-dnskey.

Remove printing of DS records from export-zone-dnskey.

dnsdist: Fix typo in the documentation QnameRule -> QNameRule

Merge pull request #5725 from PowerDNS/rgacogne-dnsdist-nmg-doc

dnsdist: Fix NetmaskGroup NGM -> NMG typo in the doc

dnsdist: Fix NetmaskGroup NGM -> NMG typo in the doc

Merge pull request #5718 from pieterlexis/print-log-after-fail

Print test suite log on failure when building packages

Merge pull request #5704 from pieterlexis/api-cryptokey-use-defaults

Auth DNSSEC: Make default options singular and use defaults in Cryptokey API-endpoint

auth: Fix a crash when getting a public GOST key if the private one is not set

auth: Use a unique pointer for bind backend's `d_of`

Auth: Publish inactive KSK/CSK as CDNSKEY/CDS

Closes #5721

rec: NS-consistency check is only when we expect an insecure delegation

Merge pull request #5702 from cmouse/update-fixes

bindbackend: Fix transaction to return false on failure

rec: Correctly handle a CNAME answer when looking for a DS

rec: Handle direct NSEC queries

Merge pull request #5710 from Habbie/secpoll-unquote

remove "" around secpoll result. Fixes #5692

rec: Skip looking for cuts once we are Insecure or Bogus, just (N)TA

rec: Detect zone cuts by asking for DS instead of NS

Merge pull request #5711 from ahupowerdns/dnsdist-proba

add ProbaRule to dnsdist: match with given probability

add ProbaRule to dnsdist: match with given probability

This adds a ProbaRule, ProbaRule(1.0) means 'match always', 0.1 '10%'. Useful for TeeAction.

Fix doc and message nits

rec: Separate the actual code checking if a cut exists for refactoring

remove "" around secpoll result. Fixes #5692

Merge pull request #5700 from Habbie/seperate

doc nit: s/seperate/separate/

Merge pull request #5706 from Habbie/man-virtualenv-fail

actually abort when virtualenv is missing. Fixes #5701

actually abort when virtualenv is missing. Fixes #5701

auth API: use default options for cryptokeys

auth: Warn on startup if default key size is req'd

auth: make default-{k,z}sk-algorithms singular

bindbackend: Add missing safeGetBBDomainInfo return value checks

bindbackend: Move throw to correct place in startTransaction

The cleanup code wasn't being executed due to premature throw

bindbackend: Return false if domain_id is negative

It should return false, because it has effectively failed.
Returning true can cause several problems later on as
various functions assume they have valid file handle pointer
and valid domain ID to look up, which they don't.

add dynamic cache size metrics & documentation

bindbackend: Return false if startTransaction fails

doc nit: s/seperate/separate/

so I had to fill out "did you compile and test this code" and I nearly lied. So I tried it and it sucked. Better now.

implement dynamic cache sizeing for recursor

With this commit, the number of (packet)cache entries can be changed at runtime, although the effect may not be immediate in case of shrinking the cache.

Merge pull request #5696 from wojas/auth-api-patch-serial

auth api: return new serial in header after PATCH

pkgs: print test suite log on failure

auth api: also return old serial from PATCH

This adds the old serial as X-PDNS-Old-Serial and renames the header of
the new one to match.

The old serial is useful to verify that no other PATCH happened in the
meantime.

auth api: return new serial in header after PATCH

For zone PATCH requests, this adds a new `X-PDNS-Zone-Serial` response
header with the new zone serial.

Ideally this would be returned in a response JSON object, but this API
currently return 204 No Content and I did not want to break any clients
that might rely on this.

Merge pull request #5691 from pieterlexis/boost.m4-gcc-7.2

boost.m4: detect gcc 7.2

Merge pull request #5597 from pieterlexis/dnsdist-signed-unsigned-arm

dnsdist: Fix several signed/unsigned comparison warnings on ARM

Merge pull request #5659 from Habbie/gettag-docs

gettag doc nits

boost.m4: detect gcc 7.2

Merge pull request #5689 from Habbie/check-parts

verify parts.size(). Fixes #5688

explicitly warn when no hostname can be gathered

verify parts.size(). Fixes #5688

Merge pull request #5584 from eehakkin/ldapbackend/new-record-types

ldapbackend: Add support for new record types

Merge pull request #5678 from rgacogne/auth-requestor-payload

auth: Treat requestor's payload size lower than 512 as equal to 512

Merge pull request #5684 from Habbie/5673

be more specific about trailing dot handling, fixes #5673

Merge pull request #5666 from pieterlexis/doc-nits

Fix some doc nits

Merge pull request #5665 from pieterlexis/auth-enable-pkcs11

Enable PKCS#11 in authoritative packages

Merge pull request #5670 from rgacogne/rec-5648-root-denial

rec: Fix erroneous check for section 4.1 of rfc6840

Fix Zone object rendering

rec: Add unit tests for rfc6840 section 4.1

rec: Fix erroneous check for section 4.1 of rfc6840

rec: Go Bogus if the name exists but retrieving the DS results in NXD

Add missing recursor 4.0.6 changelog

Merge pull request #5671 from rgacogne/rec-nsec-wrap-around

rec: Handle NSEC wrap-around

Fix link

Add upgrades notes on new LDAP record types

for #5584

ALso, fix layout

Mention the need for krb5.h

Closes #5674

Add removed recursion opts to upgrade guide

Fix some refs

Fix render error (no more bold text)

Link to the stats from StatisticsItem

Fix a nit in the dnsdist docs

Fix some doc nits

Merge pull request #5672 from rgacogne/rec-nxtrust-denial-nsec

rec: Add NSEC records on nx-trust cache hits

make sure we actually have parts

fix double dot on PTR & co

be more specific about trailing dot handling, fixes #5673

auth: Treat requestor's payload size lower than 512 as equal to 512

Merge pull request #5679 from rgacogne/auth-empty-java-options

auth: Unset _JAVA_OPTIONS before using jdnssec

auth: Unset _JAVA_OPTIONS before using jdnssec

Travis now [1] defaults to _JAVA_OPTIONS="-Xmx2048m -Xms512m". We wouldn't
care much, except that every Java command now outputs the following line
to stderr, breaking our jdnssec diffs:

"Picked up _JAVA_OPTIONS: -Xmx2048m -Xms512m"

[1]: https://docs.travis-ci.com/user/build-environment-updates/2017-09-06/

rec: Add unit tests for NSEC authenticated denial of existence

rec: An exact NSEC{,3} match can't deny the domain

Restructure fix and conform to convention

Handle AFSDB record separately due to record structure.

Closes #4703.

AFSDB records has two elements, <subtype> <hostname>,
as per RFC1183, and needs special treatment when parsing.

dnsdist: Add console completion and docs for the new additions:

* CPU pinning
* Cache sharding / deferred locking
* `recvmmsg()` use

dnsdist: Use `accept4()` to set the socket non-blocking, when available

dnsdist: Don't generate a fresh UUID until we really need it