tame -> pledge conversion, in libc.  I should crank libc, but am cheating
hoping things go well.  The old symbol is faked via a stupid stub function,
until next major crank when it can be removed.  I am expecting guenther
to scream at me.

Rename tame() to pledge().  This fairly interface has evolved to be more
strict than anticipated.  It allows a programmer to pledge/promise/covenant
that their program will operate within an easily defined subset of the
Unix environment, or it pays the price.

sync

Rename tame() to pledge().  This fairly interface has evolved to be more
strict than anticipated.  It allows a programmer to pledge/promise/covenant
that their program will operate within an easily defined subset of the
Unix environment, or it pays the price.

After replacement alloca() with alloc(), out-of-heap happened when booting
on a large block size (32K) partition.  Increase the HEAP_LIMIT from
0x90000 to 0xA0000.

try this, deraadt

If getaddrinfo() succeeds, then don't try look ups with other flags, even
if the connect()s failed.  In concert with some resolver fixes in libc,
this lets ntpd be tame()ed

problem isolated by theo, who had fun untangling the libc and libtls
behaviors to place blame for not being able to tame ntpd

ok beck@ deraadt@ jsing@

Expose a small set of multicast join operators under the request "mcast".
This will be used by a few daemons.  If they lack this feature, then
they would need to operate without tame.
Discussed with renato

add some tame calls. we may need a bunch of permissions to create files
and manipulate the tty for readpassphrase, but once we've parsed options
and have some idea of what's going to happen next, we can reduce down
quite a bit more. particular use case of "signify | patch" is limited to
feeding garbage to patch.

stop trying to gift history files to the original owner. instead, don't
open history files that don't belong to us. probably much safer.
ok deraadt

Lock the page queues by turning uvm_lock_pageq() and uvm_unlock_pageq() into
mtx_enter() and mtx_leave() operations.  Not 100% this won't blow up but
there is only one way to find out, and we need this to make progress on
further unlocking uvm.

prodded by deraadt@

little cleanup from Michael McConville, mostly related to stale comments.

Refactor fileprefix() and filecopy() to use warn() instead of err()
to display error message, and to return error indications (NULL and
-1 respectively).  Use the error indications in write_efisystem()
to unwind in the face of more error conditions. In other cases just
exit(1) to emulation current behaviour.

ok deraadt@

tame "stdio rpath wpath cpath proc exec".  make is a shell, and appears
to only need these operations.  Take note that "exec" is a 2-day old
tame request, so do get a new kernel before you update or risk getting
trapped.

16 years after E801 memprobe was disabled, probably safe to delete it.
ok deraadt jung kettenis ratchov

Remove the sc_soft_req_cnt field because the number of tx requests is
already tracked in sc_sendq. Replace the sc_flush logic with a simple
Fetch-and-Add store that avoids an unnecessary IOBDMA transaction.

ok uebayasi@

tweak previous;

fix conditionals

ok deraadt@

portmap's main process can be tame "stdio rpath inet proc"; proc is
for the callit interface needing to fork, and parent needing to wait.
that child can drop to "stdio rpath inet".

It is possible some libc/rpc codepath has not yet been figured out, but
commiting it is the best way to get it tested. Tested what I could myself,
but noone answered my call for testing...

Make sure that when trunk_port_ioctl is called to set a new
lladdr the trunk port is already on the list.

OK mpi

Handle case where no hint is passed in.  Found as a crash of fdm by jturner@

setsockopt has a small list of options it can set.  If we find ourselves
only in TAME_UNIX, stop trying after servicing SOL_SOCKET.
discussion with claudio

Only in TAME_ROUTE, allow ioctl SIOCGIFADDR/SIOCGIFFLAGS/SIOCGIFRDOMAIN,
because many routing daemon processes with this attribute need to fetch
that information to work.
discussed with claudio and renato

the -P flag overwrites files, so it needs tame "stdio rpath wpath cpath".
the remaining code paths can use tame "stdio rpath cpath". One again,
the "cpath" request says a path-based system call will be used to
"change" filesystem pathname layout, for instance any of O_CREAT, symlink,
rename, unlink...

Simpify some code by noting that DOSBBSECTOR is 0, so "if (n >
n+DOSBBSSECTOR) ..." is pointless, as is "n = n + DOSBBSECTOR;".

if the mbuf has a valid flowid, use it instead of using siphash24
and a bunch of header fields we have to parse the mbuf for.

siphash24 is about 20% of the cost of sending a udp packet on a
trunk interface with tcpbench on my box. if there's a flowid set
we get all that back.

ok mpi@ mikeb@ sthen@

use the state id to set a flowid on an mbuf.

ok mpi@ mikeb@ sthen@

steal some padding in mbuf pkthdrs to store a flow id.

the flowid roughly identifies a flow or connection that the mbuf
is a part of, and can be used instead of hashing contents of the
packet (like src+dst mac and ip addresses) to decide which path a
packet should take.

ok mpi@ mikeb@ sthen@

Local route entries are always UP now, missed in previous.

Implement set_pages_array_wb() and set_pages_array_wc() for powerpc.  Since
powerpc doesn't actually implement write-combining fall back to uncached
mappings.

ok mpi@, jsg@

Add a per-page flag to indicate that all mappings of that page should be
uncached.  To be used in the drm code.

ok mpi@

allow a test to manage itself the tame(2) call.

Unlock the softnet task.

ok dlg@, kettenis@

fix an fd leak if socket connection fails; from Carlin Bingham
ok reyk@

fix a typo; from Carlin Bingham

Call em_start() when we detect a link state change such that packets start
flowing again even if the send queue is currently full.  Restores the fix
made by makeb@ in rev 1.263 which was lost in making the tx completion path
mpsafe.

ok mikeb@

Use the radix API directly and get rid of the function pointers.  There
is no point in keeping an unused level of abstraction.

ok mikeb@, claudio@

add comment, suggested by reyk

Link the result of each mps_getbulkreq() to the end of the previous list
and not the start of it. Fixes getbulk requests for multiple OIDs.

From Gerhard Roth, ok blambert@

use correct return value for IP-MIB::ipForwarding, tweak/ok uebayasi@

trailing whitespace;

Try again.  Both -R and -p prevent use of tame, but other cases can use it.

sync

Rip the guts out of another gibbering horror of a time comparison function, and
mark it as #ifndef LIBRESSL_INTERNAL at least we don't use this.
ok jsing@

revert previous accidental commit

Spelling in comment

ah, fchflags.  We will come back to this issue later

Add tls_peer_cert_notbefore and tls_peer_cert_notafter to expose peer certificate
validity times for tls connections.
ok jsing@

Allow us to get cipher and version even if there is not a peer certificate.
ok doug@

In theory, bgpd should be happy with tame "stdio unix route recvfd".
Let's hear from people's experiences by commiting it.

use new tame "route" feature when possible

use fatal() instead of err(); from benno

Split out routing sysctl's from tame "inet", and put them into the
new tame "route" request.  Now routing daemons and tools (such as arp),
can narrowly ask for either feature.  One thing remains available in
both cases -- support for getifaddr()'s, since libc and programs often
use that in close association with socket creation.
ok benno sthen beck, some discussion with renato

Use getline(3) rather than fgetln(3).  OK gilles@

one simple free, ok mpi
another not so simple free, repaired by mpi

Add initial support for UEFI/GPT installs to install script. Original
diff from rpe@.

ok deraadt@ yasuoka@

use tame "stdio rpath tty", for ttyname().  from Rob Pierce, who chose to
do this using ktrace step by step.  not the method i recommend, because
it requires 100% coverage via feature tests.  better to read the code and
understand everything being called, then make decisions.

"..." implies optional, so no need for []; from michael reed

from previous commit: "ioctl" is used for grab ttyname(0)

with a function's name like that "tty" should be a better request (more strict)

pointed by and ok deraadt@

Be explicit that the user is responsible for freeing the line buffer
and show this in the example.

enable tame(2) in who(1).

some refactor to grab ttyname(0) early and use it later.
gradually drop tame requests when no more needed.

"ioctl" is used for grab ttyname(0)
"rpath" is for -T and -u flag, that used stat(2) to get terminal status

initial patch from deraadt with help from guenther

ok deraadt@

include PubkeyAcceptedKeyTypes in ssh -G config dump

tame "stdio cpath". The cpath is for rmdir(). Tame bundles all the system
calls that create/destroy filesystem paths in the "cpath" request.

We cannot tame if -R is specified, because mknod and mkfifo may be called.
But in other cases, we can use tame "stdio rpath wpath cpath fattr", including
for the historical -r option.

easy size for free(); ok mpi

easy free sizes; ok mpi

UsePrivilegeSeparation defaults to sandbox now.

ok djm@

tame "stdio rpath wpath cpath" to support use of freopen() with "w"

tame "stdio inet rpath wpath cpath" supports all the functions of tftp.

tame "stdio rpath".  no uid/user resolution happening here.

tame "stdio wpath cpath", since tee creates & writes to a list of files
ok semarie

tame "stdio cpath rpath fattr", unless mkdir -m is passed a mode which
has setuid/setgid/sticky bits.
ok semarie

Oops, not quite ready for tame() here.  People need time to update
their kernels, before it starts using the new "exec" primitive.
HINT: everyone, update your kernels, tame is coming to make really soon.

*** empty log message ***

tame "stdio rpath", for the open with O_RDONLY.
ok semarie

tame "stdio rpath", satisfies the fopen cases
ok semarie

tame "stdio rpath", which covers readlink() and realpath()
ok semarie

tame "stdio"; username information does not use getpw

tame "stdio rpath getpw". getpw is for user_from_uid(), which is a libc
cache on top of the getpw* functions.
ok semarie, who didn't spot the getpw need :)

getaddrinfo_async() shouldn't unconditionally intialize the resolver
via _asr_use_resolver().  If the hint specifies for AI_NUMERICHOST,
create a transient lookup context which won't try to open /etc/reslov.conf
ok eric guenther

getaddrinfo() should not res_init() unconditionally, but allow lower
layers to decide.  The request could be AI_NUMERICHOST.  [And the process
could be tame()-constrained to not open /etc/resolv.conf]
ok eric guenther

include <sys/time.h> for gettimeofday(2)

rn_inithead() offset argument is now specified in byte, missed in previous.

Make rtable_get() private to ensure it won't be used outside of
net/rtable.c.  This will ease the introduction of rtable_put().

Routing tables are mapped to a tuple (idx, af) so the public API
should as much as possible require these two keys.

ok dlg@

Initialize the routing table before domains.

The routing table is not an optional component of the network stack
and initializing it inside the "routing domain" requires some ugly
introspection in the domain interface.

This put the rtable* layer at the same level of the if* level.  These
two subsystem are organized around the two global data structure used
in the network stack:

- the global &ifnet list, to be used in process context only, and
- the routing table which can be read in interrupt context.

This change makes the rtable_* layer domain-aware and extends the
"struct domain" such that INET, INET6 and MPLS can specify the length
of the binary key used in lookups.  This allows us to keep, or move
towards, AF-free route and rtable layers.

While here stop the madness and pass the size of the maximum key length
in *byte* to rn_inithead0().

ok claudio@, mikeb@

Correct handling of enum attributes with g++

gcc and g++ can currently have different ideas on the size of a
packed enum type:

enum __attribute__((packed)) foo { a = 0, b};

gcc: 1
g++: 4

enum foo { a = 0, b} __attribute__((packed));

gcc: 1
g++: 1

The first format is actually the preferred one according to the
documentation.
https://gcc.gnu.org/onlinedocs/gcc-4.2.1/gcc/Type-Attributes.html
g++ will accept the first format and silently not actually choose a
smaller size.

This was responsible for memory corruption with recent versions
of Mesa where c and c++ code share a header with a packed enum type.

The problem was reported in
https://gcc.gnu.org/bugzilla/show_bug.cgi?id=39219
and fixed in gcc >= 4.3.6 in rev 144284.
This was after the switch from gplv2 but it's a trivial one line change.

ok guenther@ deraadt@ kettenis@

In i915_gem_fault(), move the "out" label after the switch state such that we
don't interpret one of the VM_PAGER_XXX return values as an unhandled errno
value and return the intended code instead of VM_PAGER_ERROR.

ok jsg@

Couple of memory leaks in error paths, from Frederik Vanderstraeten.

Move route entry debug helpers where they belong.

Move the reference counting of a newly created route entry inside
rtable_insert().

inputs and ok bluhm@

Do not call bpf_catchpacket() if another CPU detached a file from the
corresponding interface.

bfp_tap() and _bpf_mtap() are mostly run without the KERNEL_LOCK.  The
use of SRPs in these functions gives us the guarantees that manipulated
BPF descriptors are alive but not the associated interface desctiptor!
And indeed they can be cleared by another CPU running bpf_detachd().

Prevent a race reported by Hrvoje Popovski when closing tcpdump(8) with
an IPL_MPSAFE ix(4).

ok mikeb@, dlg@, deraadt@

tame "stdio rpath".  could go crazy and handle the non-filename case,
but i am feeling some fatigue.

tame "stdio rpath" initially.  if no files, go to tame "stdio".

tame "stdio rpath getpw" before getpwuid and opening, then tame "stdio"

tame "stdio rpath wpath cpath tmppath tty".  "tty" is the important part
here, permitting use of readpassphrase()

tame "stdio rpath wpath cpath" covers mkstemp (O_RDONLY|O_CREAT),
mkdtemp(), and unlink()

tame "stdio".  It would take some doing for this to contain a bug, but
just in case -- now it can barely do anything when it goes wrong.

tame "stdio".  I doubt there is a bug in the environment parsing code.
But if there is, and this program is taken control of, it is quite limited
in the system calls it can do.

tame "stdio rpath wpath cpath" handles all the cases of opening files

patch(1) can move to "stdio rpath wpath cpath tmppath fattr proc exec"
(adding proc exec), now that "exec" has arrived in the kernel.  This
permits the dangerous game of feeding ed-style diffs with popen() via
/bin/ed.  Shocked yet?  Your mission, should you choose to accept it,
is to replace this code with an builtin ed-style patcher, maybe cribbing
code from ed itself.

I'm sorry, but we can't fix the entire world all at once.  Noone loves
deprecating standarized features as much as we do, but there are some
lines.  Maybe if people become aware of how crappy the implimentations
of some standard features are, they could help decide the path.

tame "stdio rpath"