indent the builtin text a little, for naddy;

two leftovers string missed in tame->pledge conversion

ok jsg@

Unify link state change notification.

ok mikeb@

dont need to do suser checks in ioctl paths cos if.c does them for us.

ok mikeb@ mpi@

protect SIOCSLIFPHYTTL, SIOCSVNETID so only root can call them, and
return EPNOTSUPP for SIOCGLIFPHYTTL and SIOCGVNETID. all so drivers
dont have to do these checks themselves.

ok mikeb@ mpi@

fix case of PACkAGE_REPOSITORY; remco at dpub nl
               ^

Introduce bridge_ifinput() to handle some repeated logic before
if_input() and to have a counterpart for bridge_ifenqueue() that helps
to understand the traffic/code flow in bridge better.  The bridge
currently only puts a single packet on the input mbuf list, and
changing will need to undo part of this commit, but it still makes
sense to have a well-defined call for the ports receive path.
No functional change.

OK mpi@

Always initialise the index into iwm's tx queue array, fixing a
potential crash. This must have somehow been working by magic.
Fruther cleanup of QoS support in this driver is very much needed.
ok mpi@

Revert the pledge() call on pax/ar_io.c for now.

A pledged program is not allowed to change user/group for others.

"I think that makes the most sense" @sthen

do not umask() [with the wrong umask] around mkstemp() calls, no matter
how broken other systems are.
ok guenther gilles

Correctly mark-up some recent additions. ok jmc@

pledge "stdio" after opening files, code is very similar to mkuboot

Move execution of the constraints from the ntp to the parent process.
This helps the ntp process to a) give a better pledge(2) and to b)
keep the promise of "saving the world again... on time" by removing
the delays that have been introduced by expensive constraint forks.
The new design offers better privsep but introduces a few more imsgs
and runs a little bit more code in the privileged parent.  The
privileged code is minimal, carefully checked, and does not attempt to
"parse" any contents; the forked constraints instantly drop all
privileges and pledge to "stdio inet".

OK beck@ deraadt@

Gahamas -> Bahamas;
from pgoyette (netbsd -r1.26)

pledge "stdio" after opening up the input & output files.
ok jsg

unifdef EVP_CHECK_DES_KEY: Ben Kaduk noticed it has a syntax error; that
error was present in the original 2004 commit, so it hasn't been used in
over 11 years, thus exceeding our deprecation requirements by over a decade.
OpenSSL has chosen to *fix it*; we'll gladly watch it burn

ok jsing@

same thing as biff, pledge "stdio rpath fattr tty"

biff pledges to only do "stdio rpath fattr tty".  (very small program..
the actual order of use is tty, rpath, stdio or fattr)

fstat() of opened fd, rather than stat(), to avoid TOCTOU
ok jsg

preservation modes can adjust setugid bits, so no pledge is possible.
Otherwise, lay the groundwork for whether a gzip program may be run or not.
After such a gzip program is started, pledge the program will not exec
again.  Took a few iterations to get this going... it is looking good.
with guenther.

does not need ioctl.h

with the RPATH enforcement, acpidump(1) don't work anymore...

it needs rpath for reading /dev/mem (at least):
  kvm_openfiles(NULL, NULL, NULL, O_RDONLY, NULL)

ok doug@
fix the regression deraadt@

pledge to only use "stdio rpath"; rpath is for readig the wtmp files.
ok doug

tunefs can pledge to only use "stdio", after it has opened the device.
ok doug

pledge "stdio" right after opening the device.  The remainder is
is just read, write, fsync, and close.
ok doug

pledge() "stdio" includes trusting open&read of the root-owned timezone
databases located at system paths (a reasonable bar had to be chosen; in
the future we can replace the interfaces, since this effort is identifying
them and placing their paths in a visble place), so this program only
needs "stdio"
ok doug

make description of ERRORS more complete;
diff from Benny Lofgren <bl dash lists at lofgren dot biz>;
ok nicm@

remove useless quoting from .Fo arguments; forgotten diff found in my tree

Clear dform and dsec when exiting a first-level directory in treescan().
Fixes a segfault reported by bentley@.
While here, do some style cleanup in the same function.

Fix an obvious bug found during the /* FALLTHROUGH */ cleanup:
ASCII_NBRSP has to be rendered as "&nbsp;", not "-".

To make the code more readable, delete 283 /* FALLTHROUGH */ comments
that were right between two adjacent case statement.  Keep only
those 24 where the first case actually executes some code before
falling through to the next case.

Pass unsigned char to isdigit(3).
From Michael McConville; OK guenther@

fix regression: ttyname() failure not handled right

pledge_ioctl_check() will do the killing if neccessary; if it returns,
that is an errno to pass up to the calling system call instead. test
case is "who < /dev/null", via ttyname().

now that tsort has a clean structure, do more specific pledge() calls.
okay deraadt@

Drop tags containing a blank character:
They don't work, they break other tags in weird ways, and even
if they could be made to work, they would be mostly useless.
Issue reported by naddy@, thanks.

Do not insert whitespace into syntax displays, it's just confusing,
except at the one place where it is indeed helpful.
Add some missing .Cm macros.
Remove some useless escaping, one needless .Xo, and an empty .No.
Triggered by a much smaller patch from guenther@.
OK jmc@ guenther@

Fix empty .No macros, use .Pf to prefix delimiters to macros.
Based on a patch from guenther@, tweaked by me.
OK jmc@ guenther@

-version options on commands like this make no sense; the version number
makes no promises about compatibility nor the lack of compatibility.
suggestion & diff from micheal reed

Finally use __progname, err(3) and warn(3).
That's more readable and less error-prone than fumbling around
with argv[0], fprintf(3), strerror(3), perror(3), and exit(3).
It also shortens the code by 50 lines.

It's a bad idea to boycott good interfaces merely because standards
committees ignore them.  Instead, it's the job of the portable
distribution to provide compatibility modules for archaic systems
(like commercial Solaris) that still don't have them.  Actually,
the compat code for the portable distribution already exists and
will be committed right after this.

Userspace doesn't need to use SUN_LEN(): connect() and bind() must accept
sizeof(struct sockaddr_un), so do the simple, portable thing.
Also convert some strncpy() to strlcpy()

ok deraadt@

Don't return errno from main()

ok beck@ doug@ deraadt@ tedu@

Handle the blackhole well-known community in bgpctl as well (print it
symbolically, and don't deny its use in 'bgpctl sh rib comm 65535:6666').
ok phessler@

standardize a community that has been independently created by nearly
every single AS on the planet: the blackhole

OK benno@, claudio@, sthen@

some peers are following an expired draft RFC and are sending "unknown"
error codes to OPEN messages.  make them "known", and show them.

OK benno@, claudio@, sthen@

add "best" as an alias for "selected"
Helps finger memory for people used to Junipers

OK benno@, claudio@

Pledge that ncheck_ffs only uses "stdio" after opening the device.

ok deraadt@

Mention that the first argument of .Pf does not need escaping.
While here, make the first sentence regarding .Pf more concise.
OK jmc@

with the RPATH enforcement, csplit(1) don't work anymore on stdin...

the newfile() function used for create files open files in "w+"
(O_RDWR), and may occasionally do reading on the file (function
toomuch()).

ok deraadt@

reorg code to have an array with all the files used apparent.
okay millert@

add a missed check for PLEDGE_RPATH when reading a file.

ok deraadt@

sigaltstack is directly used by setjmp on some architectures. it only
refers to the process itself.  pledge should allow it.

put TIOCSWINSZ in the right block "tty", not in "ioctl".  this happened
because the "route' tests were placed between the two, creating
confusion.  fix that while here.

needs at least some include love; choosing <stdlib.h>

pledge "stdio tty" works once the kernel allows TIOCGWINSZ.  Do the pledge
after TIOCGETD, which the kernel is unlikely to support (does not feel like
a good idea for a program to switch line disc, and therefor not worth allowing
the program to ask either)

In pledge "tty", allow TIOCSWINSZ.  stty(1) is the obvious silly use.
The more important use will be tmux(1) and other active window size
controlling programs. There seems little risk in exposing this small
tty setting alongside the tcsetattr() family.
ok millert

Convert some fgetln to getline.

Ok gilles@, giovanni@, millert@

Convert some fgetln to getline.

Suggestion and ok millert@, ok gilles@, eric@

handle comma separated list of arguments, i.e. pkg-config --exists gcr-3,gcr-base-3

add variation on existing --exists tests; separated by spaces

Add a symbolic name for the special '-1' value of iwm's sc_wantresp.
ok phessler

Document that execve(2) resets SIGCHLD to SIG_DFL

wordsmithing and ok jmc@

Prefer .Fa over .Em for struct members

ok jmc@

Simplify and lock down priv_open():
 * kill the 'mode' argument
 * fail if passed any flags other than O_ACCMODE OR O_NONBLOCK
 * paranoia: mask O_CREAT when calling open() with only two arguments
 * instead of using ioctl(FIONBIO) after the fact, pass O_NONBLOCK to
   priv_open()

"good start" deraadt@
ok yasuoka@

Document that bind(2) and connect(2) ignore the incoming sa_len

suggest by and ok deraadt@
wordsmithing jmc@

YYSTYPE.number is int64_t, so format with <inttypes.h>'s PRId64

ok yasuoka@

After the filesystem is opened, pledge "stdio"
ok doug

If only displaying the disklabel (the normal thing to do against potentially
unknown disks...), after opening & reading the disklabel, pledge "stdio"
ok doug

After the disk is opened, this can pledge "stdio".
ok doug

The <ctype.h> is*() interfaces expect EOF or an unsigned char; cast to
(unsigned char) as required

found by Michael McConville (mmcconv1 (at) sccs.swarthmore.edu) w/Coccinelle

Don't allow "rm -rf /"

Patch from Theo Buehler who was inspired by watching Bryan Cantrill
in BSD Now 103.

Minor tweak from me to turn the complained variables into flags instead
of counters.

"i think it's ok" tedu@
"this isn't 1980 anymore" deraadt@
ok millert@

fix a regression spotted by chris@.  the -f and -I arguments fetch process
arguments using kvm_getargs, after the pledge() has been made.  someone
brave should refactor this, hoisting the argument fetching to between
kvm_getprocs() and pledge() - storing the argument data as neccessary.
the current situation is also a race -- it fetches the data twice.

__get_tcb() is needed for errno access in threaded programs on some archs.
Make it always available.

ok deraadt@

Always set the timeout at least one tick in the future for EVFILT_TIMER
to avoid looping in softclock()

based on diff by sthen@
ok sthen@

Userspace doesn't need to use SUN_LEN(): connect() and bind() must accept
sizeof(struct sockaddr_un), so do the simple, portable thing

ok beck@ deraadt@

Prefer dprintf() over snprintf()+write()

ok beck@ deraadt@

Use correct terminology

Document support for CPU power states

Convert FIONBIO to SOCK_NONBLOCK

ok dlg@

Pledge that ln only needs "stdio rpath cpath".

ok deraadt@

pflogd contained the same "privsep error" as tcpdump -- assuming that
it can ioctl()'s against a bpf device node.  Privsep that operation
via a message to the parent process.  Unfortunately "rpath wpath cpath"
is still needed due to SIGHUP handling, but I have asked canacar the
expert to look into this.

Pledge that arithmetic only takes "stdio".

Initial support for pledges in openssl(1) commands.

openssl(1) has two mechanisms for operating: either a single execution
of one command (looking at argv[0] or argv[1]) or as an interactive
session than may execute any number of commands.

We already have a top level pledge that should cover all commands
and that's what interactive mode must continue using.  However, we can
tighten up the pledges when only executing one command.

This is an initial stab at support and may contain regressions.  Most
commands only need "stdio rpath wpath cpath".  The pledges could be
further restricted by evaluating the situation after parsing options.

deraadt@ and beck@ are roughly fine with this approach.

pledge "stdio rpath wpath cpath fattr inet" after chroot and such
appears to be good enough for the main loop processing.

pledge "stdio route"; untested.  this has the if_nametoindex() problem as
other *ctl programs using their daemon's log.c, and thus requires "route"
for now.  we hope to solve that issue soon.

Add a define for the invalid state, from mksh via Michael McConville.

ok millert

another pledge argument reorder for sake of re-audit

Fix YP user and group support in getent(1).

These should have been "stdio getpw" before, but they worked for non-YP
environments.  With YP, it won't work without "getpw".

Reported by semarie@ and confirmed as a problem by miod@.

ok deraadt@

pledge "stdio rpath wpath cpath"
ok doug

env(1) is obviously a program falling into pledge "stdio exec".  It
does stdio, and it does a raw execve().  It is so obvious.  It gets
only _exit(2), kbind(2), and 46 system calls -- over half of which
are deeply gutted in their functionality to only serve narrow libc
needs for "stdio (includes malloc)".  the other 161 system calls kill it.

Kill pledges to only use "stdio proc".

deraadt@ notes that kill now works because of improved kernel semantics.
For full kill(1) functionality, you need the new kern_sig functionality.
Make sure you have an updated kernel.

ok deraadt@

pledge "stdio inet rpath" seems to be enough for a YP environment.
rpath is to access /etc/rpc, and inet to talk to portmap & local world.
ok beck

pledge "stdio rpath wpath cpath proc exec"; this spawns cpp.
ok doug

Added missing curly bracket into LIST_EMPTY example.

ok deraadt@, otto@

normalize a few more tame request orderings, to help review

normalize the ordering of tame requests (particularily, "rpath wpath cpath",
which i have put in that order). this is not important, but helps look
for outliers which might be strange.  it hints that "ioctl" should be
reassessed in a few places, to see if "tty" is better; that "unix" may
be used in some places where "route" could now work.

pledge "dns rw" is not a reliable pattern.  This means malloc() and other
types of functions (perhaps required by 'stdio' or 'libevent' will not
become available unless DNS suceeds.  Replace it with "stdio dns".

Add pledge support in awk and make awk -safe actually safe.

awk -safe was introduced back in 1997 to stop awk from doing file output,
execute commands or access the environment.  The lexer rejected programs
when it saw awk commands that would write, exec or env.  Beyond that,
it wasn't safe from write/exec/env during program execution.

With pledge "stdio rpath", the kernel is now enforcing the awk -safe
mode restrictions at runtime (other than env).

Based on a diff by deraadt@

ok deraadt@ beck@

Rather than invoking fork/execve of dc(1) on a pipe, compile in the dc(1)
code directly and use it as a subfunction.  This refactoring allows use of
pledge "stdio rpath proc tty" in the main bc(1) process before fork, pledge
"stdio rpath tty" after fork, and fully reduced to "stdio" in the dc(1)
child.

This requires two recent to the kernel code (allowing sigsuspend(),
and kill() self as pid 0).
ok otto

since kdump may getprotobynumber() late, do not drop "rpath".  We could
potentially modify pledge() to permit /etc/protocols (/etc/rpc?
/etc/services? etc) without requiring a rpath attribute.. but where would
we draw the line for what /etc files libc functions need?  At present, we
draw that line closer to the minimum.
issue found by theo@math.ethz.ch