sync

Put some comments in how nd6_rs_attach() works.
Requested by stsp

pledge "stdio inet route"; ok deraadt@

Remove cron.pid support.  We still want to avoid multiple crons
running so verify that if the cron socket exists nothing is listening
on it.  OK tedu@

Stop writing down a pidfile.

pid files aren't useful on OpenBSD, the rc.d(8) framework doesn't use
them.  In rtadvd, not writing a pid file means that we can set tighter
pledge(2) settings.  Also the pid file handling is pretty basic and the
atexit handler can't remove the pid file since rtadvd did a chroot - beurk.

ok florian@, "perfect" deraadt@ (!)

Fix installboot(8) on i386/amd64 when softraid is on top of GPT.
ok krw deraadt

Fold "malloc" into "stdio" and -- recognizing that no program so far has
used less than "stdio" -- include all the "self" operations.  Instead of
different defines, use regular PLEDGE_* in the "p_pledgenote" variable
(which indicates the operation subtype a system call is performing).  Many
checks before easier to understand.  p_pledgenote can often be passed
directly to ktrace, so that kdump says:
 15565 test     CALL  pledge(0xa9a3f804c51,0)
 15565 test     STRU  pledge request="stdio"
 15565 test     RET   pledge 0
 15565 test     CALL  open(0xa9a3f804c57,0x2<O_RDWR>)
 15565 test     NAMI  "/tmp/testfile"
 15565 test     PLDG  open, "wpath", errno 1 Operation not permitted
with help from semarie, ok guenther

pledge "route" no longer needed for if_indextoname & if_nametoindex

Write error message instead of duplicated file name on error.

ok deraadt

Change test to use length 128 (shortest long-form encoding).

From BoringSSL commit: d13a5e15d4e4eb51513be665306a2beba39869df

pr_bitrange() is unused, nuke it.

remove prototype for removed pingerlen function.

enable asmc(4) on i386

refactor to use a taskq and postpone the long running initial sensor probing,
also avoid excessive tsleep()s for updates within the sensor task,
moreover this should fix some seldom seen 'comm collision' errors

Wrap waitpid() so calls go direct; weaken wait() and wait3().
Strip out unnecessary #includes and use NULL instead of (struct rusage *)0

Rename imsg_compose_parent and imsg_compose_rde to imsg_ctl_parent and
imsg_ctl_rde since these function should only be used by the control
code. Also switch ibuf_rde to ibuf_rde_ctl so that the control imsgs
don't need to queue behind all the incoming bgp UPDATES. This speeds
up 'bgpctl show' from taking minutes to a few seconds. The RDE was doing
this since a very long time but it seems the SE was not adjusted. Yikes

Only run the rib_dump_runner() if there is something pending and the
control socket has not many messages queued.

Cast ctype functions' argument to unsigned char.

ok guenther@

Move the _atfork_list definition to atexit.c so that the fork syscall stub
doesn't get pulled into all static executables

ok millert@ jca@

Hide __atexit and __atexit_register_cleanup()
Wrap __cxa_{atexit,finalize}() so the call from exit() goes direct
Switch regress/lib/libc/atexit/ to be built with -static so that it can
  still access __atexit*

ok millert@ jca@

pledge_sockopt_check is shared between setsockopt/getsockopt.  nicm
found the first case of "get allowed, set not allowed".  Tiny
refactoring of that.

'b0' and 'b1' are no longer supported, so de-document them.

Nuke union of d_packname with un_d_boot0 & un_d_boot1, keeping
d_packname as a simple field. Also nuke the access #defines, and
support for b0 and b1 capabilities in disktab.

ok deraadt@ miod@

I should not have committed this chunk.  Spotted by krw@

Sort the obsolete flags.

Mark SSL_OP_NO_{COMPRESSION,SSLv2,SSLv3} as obsolete.

For backward compatibility, the flags are redefined as 0.

ok jsing@

Remove last vestige of SSL_OP_NO_SSLv3 support.

No part of LibreSSL checks for this flag any longer.

ok jsing@

Simplify ssl23_get_client_hello error handling.

ssl23_get_client_hello sets type=1 on error and continues processing.
It should return an error immediately to simplify things.  This also
allows us to start removing the last of SSL_OP_NO_SSL*.

Added extra paranoia for s->version to make sure it is set properly.

ok jsing@

Decapitalize yyparse tag name here.

okay jmc@

strvis directory names in ps

OK stsp@

Simple sizes for free(9).

ok claudio@

do not expose nd6 randomid's to userland via ioctl.
ok claudio mpi florian

Trivial rt_ifp->if_index -> rt_ifidx conversions.

Sync after recent rtable_insert() change.

Merge rtable_mpath_conflict() into rtable_insert().

ok claudio@

IPV6_NEXTHOP is gone, remove -g option which used this.
kill it mpi@

Remove IPV6_NEXTHOP implementation. Source routing is considered to be
a bad idea these days.
kill it mpi@
general agreement in the network hackers room at u2k15

Kill unused local var, and reorder while here.

Be more consisten with rtmsgs. Always set rtm_index (even in the RTM_GET
case) and always set rtm_pid to the pid of the requestor (even in the
sysctl code path).
OK mpi@

We don't care about lack of source route support for IPv6.

ok sthen@ guenther@ mpi@ millert@

Kill IP Source Route support, unusable since 1998.

ok sthen@ guenther@ mpi@ millert@

Use the "modern" way to check if a route entry correspond to a local
address.

Fix a regression introduced when removing the lo0 hack.

ok florian@

Do not overwrite if_rtrequest() if the driver specified it *before*
calling if_attach().

arp_ifinit() is no longer needed.

arp_ifinit() is no longer needed and almost dead.

zap trailing whitespace;

tweak previous;

arp_ifinit() is no longer needed.

ifa is no longer used.

arp_ifinit() is no longer needed.

Implement ping(8)'s -L option in ping6:
Disable the loopback, so the transmitting host doesn't see the ICMP
requests. For multicast pings.
OK benno@

arp_ifinit() is no longer needed.

arp_ifinit() is no longer required.

Missing initializer; spotted by coverity.

Introduce if_rtrequest() the successor of ifa_rtrequest().

L2 resolution depends on the protocol (encoded in the route entry) and
an ``ifp''.  Not having to care about an ``ifa'' makes our life easier
in our MP effort.  Fewer dependencies between data structures implies
fewer headaches.

Discussed with bluhm@, ok claudio@

backout; many issues remain...

reorder some checks in pledge_namei() in order to properly work.

mainly move read/write whitelisted paths that should be *before* checking if
you have PLEDGE_WPATH.

with and ok deraadt@

the DNS process was not discarding & redirecting stdin/out/err to
/dev/null.  copy the code from the ntp engine.

ps(1) needs sysctl KERN_PROC_CWD exposed as well in the pledge "ps" set.
hit by czarkoff

The only thing that was translated into multiple languages in OpenBSD
are the errno messages and signal names.  Everything else is in
English.  We are not planning to translate more text.  Running a
mixed system with less than 1% of the text in native language makes
no sense.  So remove the NLS support from libc messages.  The
catopen(3) functions stay as they are.
OK stsp@ mpi@

Use 'fdisk -i', instead of 'fdisk -e' with a here document of
'reinit;update;write;quit'. They've done the same thing for some
time now.

Tweaks & test from rpe@.

ok rpe@ deraadt@

Instead of doing the the if_get() dance for rt_missmsg(), change the
function to take an interface index.
discussed with mpi@;  OK claudio@

sync

need "getpw" pledge; spotted by matthieu

route flush cannot pledge before sysctl for NET_RT_DUMP; defer the act.
issue spotted by matthieu

just dump the help on stdout with messing about with a pager.
makes pledge much simpler.
from jan stary

Pass output from jobs through format_expand() so they are expanded again
(this was the previous behaviour).

No need to declare pwd_gensalt; it's unused and gone.
ok tedu@

pledge the main usage patterns similar to arp(8).  Some akkorokamui
prevent doing this better, someone should try to refactor this more
like arp... also figure out what dawn-of-ipv6 options can be removed.
ok benno

Let's see if anyone screams about not being able to specify $TMPDIR
for their tmux sockets.

(Over the years, I have seen $TMPDIR set up worse than /tmp many times,
and don't know how this practice infected other parts of the system.
Nothing uses tmpdir(3), nor a huge-temporary-file program like sort.)
ok nicm

pledge bind(1), dig(1), and nslookup(1).  This modifies the underlying
ISC library to use socket(2) with the SOCK_DNS flag.  As a result, the
port commands are disabled (such practice is rare in the wild these days,
and pretty incompatible with the DNS vs regular socket concept in pledge..)
ok bluhm phessler reyk, etc

Use sigaction() instead of signal() to avoid pulling in unnecessary
wrappers.  To keep uses from crawling back in, mark signal() as
deprecated inside libc.

ok deraadt@

Use dprintf() instead of fprintf() in the signal handler

POSIX says that you can't capture the return value of sigsetjmp().
Fortunately, we don't need it as we only pass siglongjmp() a single value.

ok deraadt@

For SYS_open let the /dev/null special case match if any TMN_RPATH,
TMN_WPATH or both are set in p_pledgenote.  Matches the style used
for /dev/tty special cases (among others).  From deraadt@

Fix some bugs in the detection of when an interface can be enabled.

When converting the real bandwidth to the composite bandwidth, truncate
before applying the scaling factor.

When converting the composite bandwidth to the real bandwidth, apply
the scaling factor before the division and only then truncate.

This is to keep consistent with what Cisco does, the draft is unclear
on this point.

Add a few more overflow protections in the DUAL state
machine.

Allow getsockopt(IP_OPTIONS) (with inet), needed by portmap (for RPC).

ok deraadt

typo

fix keyscan output for multiple hosts/addrs on one line when
host hashing or a non standard port is in use; bz#2479 ok dtucker@

skip "Could not chdir to home directory" message when chrooted

patch from Christian Hesse in bz#2485 ok dtucker@

chlim has been removed from the nd_ifinfo structure.
ok kettenis@

Move removal of "getpw" pledge after all setusercontext() calls, for yp sake.
Noticed by matthieu@

setusercontext() may still need "getpw" pledge rights; unbreaks doas on yp
accounts after 1.43; found the hard way by matthieu@

Cast toupper()'s argument to unsigned char.

ok guenther@

Cast ctype functions' argument to unsigned char.

ok guenther@

Cast ctype functions' argument to unsigned char.

ok guenther@

Cast ctype functions' argument to unsigned char.

ok guenther@

Cast ctype functions' argument to unsigned char.

ok guenther@

Cast ctype functions' argument to unsigned char.

ok guenther@

Cast ctype functions' argument to unsigned char.

ok guenther@

Cast ctype functions' arguments to unsigned char.

ok guenther@

Cast ctype functions' argument to unsigned char.

ok guenther@

Cast ctype functions' arguments to unsigned char.

ok guenther@

Move #includes from private.h to the .c files that need them, getting rid of
several.  Switch from FILENAME_MAX to PATH_MAX (it's for open(), not fopen()).

ok deraadt@ tedu@ krw@

Cast ctype functions' arguments to unsigned char.

ok guenther@

Cast ctype functions' arguments to unsigned char.

ok guenther@

Cast isdigit()'s argument to unsigned char.

ok guenther@

Cast isdigit()'s argument to unsigned char.

ok guenther@