remove unused flags and obsolete comments

ok gilles@

test the correct configuration option name

Make callers of VOP_CREATE(9) and VOP_MKNOD(9) responsible for
unlocking the directory vnode.

OK mpi@, helg@

add some EXIT STATUS sections; from matthew martin

use RELAY_* flags where appropriate

ok gilles@

tweak previous;

Attach bwfm(4) to the Broadcom 4356 found in the GPD Pocket.

Tested by mlarkin@

Some PCIe-based bwfm(4) chips also require that we supply an NVRAM
binary.  In case we have an (optional) NVRAM binary, copy it to the
end of the chip's memory.

Tested by mlarkin@ on his GPD Pocket.

tweak previous;

put ".Re" in the right place;

some permitlisten fixes from markus@ that I missed in my insomnia-fueled
commits last night

The global zero addresses must not change, mark them constant.
OK tb@ visa@

simplify the codepath for backup relay setup

ok gilles@

Mention enabling PIE by default is turned off by using "-pg".

Pass -nopie to the linker when -pg is specified to make the
profiler(gprof) work properly.

ok mpi

permitlisten/PermitListen unit test from Markus

fix regression caused by recent permitlisten option commit:
authorized_keys lines that contained permitopen/permitlisten were
being treated as invalid.

Apply the retpoline transformation to indirect jumps in the raw ASM

ok mlarkin@ mortimer@ deraadt@

Treat XSAVEOPT and other XSAVE extensions like other cpu flags

oddness noted by kettenis
ok mlarkin@ deraadt@

Remove unused variable.

Spotted by Nan Xiao.

RFC 8106 obsolteted RFC 6106.
From brad@, OK jmc

code cleanup

ok gilles@ semarie@

The function dounmount() traverses the mnt_list in forward direction
to call vfs_busy() for all nested mount points.  vfs_stall() called
vfs_busy() in reverser order for all mount points.  Change the
direction of the latter to resolve the lock order conflict.
OK visa@

switch config file parsing to getline(3) as this avoids static limits
noted by gerhard@; ok dtucker@, djm@

regress test for PermitOpen

man bits for permitlisten authorized_keys option

man bits for PermitListen

permitlisten option for authorized_keys; ok markus@

Add a PermitListen directive to control which server-side addresses
may be listened on when the client requests remote forwarding (ssh -R).

This is the converse of the existing PermitOpen directive and this
includes some refactoring to share much of its implementation.

feedback and ok markus@

sync

After pledge the frontend process is only accepting from
an AF_UNIX socket (the control socket) so replace inet with
unix pledge.

Make sure cr17 matches curcpu() on non-MULTIPROCESSOR kernels.

This fixes that luna88k non-MULTIPROCESSOR kernel with option
DIAGNOSTIC (i.e. GENERIC) will hang silently at boot.

That problem had been caused after the addition of a
MUTEX_ASSERT_UNLOCKED check in kprintf() in sys/kern/subr_prf.c
1.95.

The diff is suggested from Miod Vallat, tested it on
non-MULTIPROCESSOR and MULTIPROCESSOR kernels by me.

remove fields that are found in struct dispatcher from struct relayhost

ok gilles@

add non-regression tests for bad user list files

if the parser can't find a starting line in user db, it won't look
at any line, so it won't error out.
Add logic to make it error out.

Prefix fields of pfkey & routing PCBs, part 2, no functionnal change.

ok tb@

Prefix fields of pfkey & routing PCBs, no functionnal change.

ok visa@, tb@

Pass the socket to sounlock(), this prepare the terrain for per-socket
locking.

ok visa@, bluhm@

Asseert that a pfkey or routing socket is referenced by a `fp' instead
of calling sofree(), when its PCB is detached.

This is different from TCP which does not always detach `inpcb's from
sockets.  In the pfkey & routing case caling sofree() there is a noop
whereas for TCP it's needed to free closed connections.

Having fewer sofree() makes it easier to understand the code and move
the locks down.

ok visa@

document missing database filters

ok stsp@ claudio@ jca@

print metric for Intra-Area-Prefix LSAs

ok stsp@ claudio@ jca@

pluart(4) is mi now

Add RETGUARD to clang for amd64. This security mechanism uses per-function
random cookies to protect access to function return instructions, with the
effect that the integrity of the return address is protected, and function
return instructions are harder to use in ROP gadgets.

On function entry the return address is combined with a per-function random
cookie and stored in the stack frame. The integrity of this value is verified
before function return, and if this check fails, the program aborts. In this way
RETGUARD is an improved stack protector, since the cookies are per-function. The
verification routine is constructed such that the binary space immediately
before each ret instruction is padded with int03 instructions, which makes these
return instructions difficult to use in ROP gadgets. In the kernel, this has the
effect of removing approximately 50% of total ROP gadgets, and 15% of unique
ROP gadgets compared to the 6.3 release kernel. Function epilogues are
essentially gadget free, leaving only the polymorphic gadgets that result from
jumping into the instruction stream partway through other instructions. Work to
remove these gadgets will continue through other mechanisms.

Remaining work includes adding this mechanism to assembly routines, which must
be done by hand. Many thanks to all those who helped test and provide feedback,
especially deaadt, tb, espie and naddy.

ok deraadt@

Move pluart(4) to dev/fdt.

ok jsg@

Unify arm64 and armv7 pluart(4) implementations.

ok jsg@

Add missing csi_dh_params_dup() calls.

Use proper markup for ioctl arguments instead of documenting them using
free-form text.

ok jmc@

remove struct relayhost from struct envelope.

ok gilles@

Recognise Cortex A76.  Only adding to arm64 as it only supports aarch32
for EL0/userland.  MIDR value from ATF.

ok kettenis@

Revert introduction of fdinsert(), a sanitify check triggers when
closing a LARVAL file.

Found the hardway by sthen@.

Switch from lazy FPU switching to semi-eager FPU switching: track whether
curproc's xstate ("extended state") is loaded in the CPU or not.
 - context switch, sendsig(), vmm, and doing CPU crypto in the kernel all
   check the flag and, if set, save the old thread's state to the PCB,
   clear the flag, and then load the _blank_ state
 - when returning to userspace, if the flag is clear then set it and restore
   the thread's state

This simpler tracking also fixes the restoring of FPU state after nested
signal handlers.

With this, %cr0's TS flag is never set, the FPU #DNA trap can no
longer happen, and IPIs are no longer necessary for flushing or
syncing FPU state; on the other hand, restoring xstate while returning
to userspace means we have to handle xrstor faulting if we could
be loading an altered state.  If that happens, reset the state,
fake a #GP fault (SIGBUS), and recheck for ASTs.

While here, regularize fxsave/fxrstor vs xsave/xrstor handling, by
using codepatching to switch to xsave/xrstor when present in the
CPU.  In addition, code patch in use of xsaveopt in most places
when the CPU supports that.  Use the 64bit-wide variants of the
instructions in all cases so that x87 instruction fault IPs are
reported correctly.

This change has three motivations:
1) with modern clang, SSE registers are used even in rcrt0.o, making
   lazy FPU switching a smaller benefit vs trap costs
2) the Intel SDM warns that lazy FPU switching may increase power costs
3) post-Spectre rumors suggest that the %cr0 TS flag might not block
   speculation, permitting leaking of information about FPU state
   (AES keys?) across protection boundaries.

tested by many in snaps; prodding from deraadt@

Turn all instances of Fn into proper cross references. While here, remove
redundant references to termios and favor Po/Pc for parenthesis enclosing.

ok jmc@ schwarze@

document "match tag"; ok gilles

Split "return to userspace via iretq" from intr_fast_exit into intr_user_exit.
Move AST handling from the bottom of alltraps and Xdoreti to the
 top of the new routine.
syscall-return-via-iretq and the FPU #DNA trap jump into intr_user_exit after
 the AST check (already performed for the former, skipped for the latter)
Delete a couple debugging hooks mlarkin@ and I used during Meltdown work

tested by many in snaps; thanks to brynet@ for spurious interrrupt testing
earlier reviews and comments kettenis@ mlarkin@; prodding from deraadt@

Remove the cpu_reset_needs_v4_MMU_disable flag; it's always true for hardware
that OpenBSD runs on.

ok patrick@

Use process-private futexes.  This avoids the overhead of calling into uvm
to look up the mapping for the futex address.

ok visa@, mpi@

honor SIZE extension when advertised by peer

ok millert@

for "match", document that envelopes that do not match anything are rejected,
and that rules are evaluated sequentially, first match wins;

ok gilles

remove "from local" (the default) from one of the match rules: the line
immediately above also uses this notation, it's shorter, and it keeps
two examples in the man page which claim to be the same as the default config
(but with exceptions) in sync;

ok gilles

Sync VFS documentation with reality

Missed during the "Namecache revamp" in 2009.

Reported by Georg Bege <georg at bege dot email>, thanks.

OK visa jmc mpi jca

Allow specifying binary via ROUTE

OK bluhm jca

Zap unused mifi_t.

OK bluhm mpi jca

Zap unused sockaddr.

OK bluhm deraadt jca

drop BUMPTIME

unused since v1.76, ca 5.3

ok kettenis@ deraadt@

Fix file descriptor leak.

Patch submitted by Nan Xiao, ok tb@ sthen@ millert@ deraadt@ jca@

tweak previous;

add support for mda wrappers allowing postmaster to define command wrappers
that will be executed (with recipient privileges) before calling the users'
mail delivery agent

ok eric@

in non-DIAGNOSTIC kernels, rw_assert_wrlock becomes a nop which leaves the
local variable dangling, so calculate the lock address by hand at invocation
ok kettenis

4-bit bus width is mandatory for SDIO cards that support High Speed
mode, so switch from 1-bit to 4-bit bus width if the host controller
supports it.

ok kettenis@

Remove the extra pager code when compiled without the BACKWARDS flag.
Most terminals have scrollback options, or can be achieved via tmux, so
it's not needed.

OK millert@

Definitively choose the existing semantics for the scroll and null command.
POSIX states: "An empty command list shall be equivalent to the p command",
so changing the behaviour of a null-command in any other case is a
violation of POSIX.

OK millert@

The function pf_create_state() calls pf_set_protostate() before
pf_state_insert(), so the state key has not been set.  When inlining,
the compiler recognized the NULL pointer dereference in
s->key[PF_SK_STACK]->proto and optimized it away.  But if pf.c was
compiled with -fno-inline, the system crashed during boot.  Add a
NULL check in pf_set_protostate() to handle the situation when the
function is called.
OK sashan@ henning@

tweak the text of the relaying example: make it clear that the example
allows delivery as well as relaying (for authenticated users), and that
passing to an external mda is possible, but not required;

ok gilles

Cleanup IPsec output error handling with consistent goto drop.
from markus@; OK mpi@

"match auth" matches transactions that *have been* authenticated;
ok gilles

Switch to SDIO High Speed mode if the host controller supports it.

ok kettenis@

imxesdhc(4) also supports High Speed mode for SD.

ok kettenis@

Remove unused/commented out includes.

Remove unused include.

Remove unused include.

Nuke unused variable.

ok deraadt@

Add VB_DUPOK to suppress witness(4) warning of concurrent mount locks.
Use that in three places:
 - vfs_stall()
 - sys_mount()
 - dounmount()'s MNT_FORCE-does-recursive-unmounts case

ok deraadt@ visa@

...and correct the count at which warning normally occurs

Xr witness 4

Add RW_DUPOK for suppressing witness checks for specific rw_enter() calls

ok deraadt@ visa@

Use variable names for rtable and rdomain consistently in the in_pcb
functions.
discussed with and OK mpi@ visa@

Add ret protctor options as no-ops.

Rename the incpb table field inpt_hash to inpt_mask as it contains
the hashmask.  For the resize calculations it is clearer to use the
field inpt_size.
OK visa@ mpi@

Fix previous by restoring inadvertantly deleted check for
get_recorded_lease() returning NULL.

Should fix segmentation fault reported by Klemens Nanni on bugs@.

Consistently call the inpcb table parameter "table" in in6_pcbnotify().
OK visa@ mpi@

Remove #ifdef __XSCALE__ bits.  No binary change.

ok deraadt@

SIOCSIFNETMASK takes a 'struct ifreq', so use 'ifr' for it and drop the
now unused 'ifra' from in_ioctl().

Discussed with mpi and visa

on i386, libm does sysctl to discover is the system has SSE.  Whitelist
that sysctl in pledge.  Discovered by Stuart Cassoff

Change the set_parent() interface to pass the full parent specification
(including the phandle).

ok patrick@

Better version of the refactoring attempted in  r1.154.  Move SIOCSIFADDR
to its own function and merge the two switches in in_ioctl_change_ifaddr().
Finally: each ioctl has its own case and privilege check.

ok visa

As an aside, an audit of the ports tree has shown that we should continue
to support the legacy ioctls SIOCSIF{,BRD,DST}ADDR, SIOCSIFNETMASK despite
the fact that they have been deprecated for the better part of two decades
and FreeBSD dropped support 7 years ago. Too many ports still rely on them.
Thanks to sthen and visa for their help with that.

Make DMA work on Samsung Exynos.  The crucial bit that makes it work is
setting the FIFO thresholds apropriately.  The code now also makes an
attempt to recover from failed DMA transfers.

On amd64, arm64, armv7, i386 and sparc64 /usr/bin/{cc,c++,clang++,clang-cpp}
and /usr/libexec/cpp are supposed to be hardlinks of /usr/bin/clang. The move
of /usr/bin/cc to the base set to allow kernel relinking resulted in it being
a copy and not a hardlink. Move the other files to the base set too to ensure
all are hardlinks.

Noticed by Anthony Coulter
OK deraadt

Allocate a dedicated buffer for use when deriving a shared key during
client KEX DHE processing, rather than reusing the buffer that is used
to send/receive handshake messages.

ok beck@ inoguchi@

Check the return value from DH_size() in ssl3_send_client_kex_dhe().

ok beck@ inoguchi@

Implement process-shared futexes.  These are now the default implementation.
Introduce process-private futexs.  These will bypass the uvm mapping lookup
and should be slightly more efficient.

ok visa@, mpi@