LABELSECTOR is a DEV_BSIZE quantity. So multiply by DEV_BSIZE and not
d_secsize when calculating disklabel location.

ok jsing@

Nuke unused variable.

including <ohash.h> requires including <stdint.h> beforehand;
noticed by Svyatoslav Mishyn <juef at openmailbox dot org>

pledge "stdio exec proc" early on, setpriority, then pledge "stdio exec"
from Theo Buehler

free rbio before wbio
ok jsing@

missing deref on char check. from David Binderman

Remove the define NOT, replace it with '!'. No binary change.

"The ^ is used in regular expressions and many versions of fnmatch(3)
accept both ! and ^. However, we are never going to accept ^ instead of
! so I think this makes sense" -millert@

"go for it" -nicm@

A little style(9) for sh.h includes

ok nicm@

Stop supporing "legcay" time formats that OpenSSL supports. Rewrite the
utctime and gentime wrappers accordingly. Along with some other cleanup.
this also removes the need for timegm.
ok bcook@ sthen@ jsing@

Change regress to not believe legacy times are valid

Allow setpriority in "proc" as well, since a few shells have "nice"
builtin.  make a note that setpriority() should be weakened, unless "id"
is also present.
pointed out by Theo Buehler

Move stddef.h include from sh.h to the file that uses it.

ok nicm@

Move string.h include from sh.h to the files that use it.

ok nicm@

fix memory leaks in error paths
ok renato@

Revert transfer submission to r1.85.  Seems to make okan@'s scanner
work properly.

Move limits.h include from sh.h to the files that actually need it. No
binary change.

ok nicm@

More removal of EXTERN.

ok nicm@

Print vnode type for sendfd/recvfd not file type, ok semarie

Stop checking for RTF_UP directly, call rtisvalid(9) instead.

While here add two missing ``rtableid'' checks in in6_selectsrc().

ok bluhm@

Stop checking for RTF_UP directly, call rtisvalid(9) instead.

While here add a missing ``rtableid'' check in in_selectsrc().

ok bluhm@

Sync rtisvalid(9) check for local route entries with r1.257 of
net/ip_input.c

Remove superfluous NULL checks.

ifa are refcounted to ensure that rt_ifa is always valid.

optarg and optind are declared by unistd.h

Add err.h, missing after pledge() introduction.

Fix control_imsg_forward() by changing imsg_compose() to
imsg_compose_event().  This was done by pyr@ in relayd/control.c
-r1.32 (2009/06/05, ok eric@) but somehow didn't slip into other
daemons that imported control.c.

Remove the ikev1 stub - Since I started iked, it has an empty privsep
process for ISAKMP+IKEv1.  I kept it to let somebody either contribute
the old protocol one day, I never intended to implement IKEv1 myself,
or to add a new kind of pipe to isakmpd to hand off IKEv1 messages.
As IKEv2 is widely supported by all major OS and networking vendors
now, I'm happy to scrap the idea of supporting ISAKMP+IKEv1.  It is
still possible to use isakmpd for legacy VPNs.

OK mikeb@

Remove a duplicated '#include <stdio.h>' line.

Fix control_imsg_forward() by changing imsg_compose() to
imsg_compose_event().  This was done by pyr@'s in relayd/control.c
-r1.32 (2009/06/05, ok eric@) but somehow didn't slip into other
daemons that imported control.c.

Print control socket client fd in debug message to differentiate between
control connections.  Helps to debug problems.

Kill whitespace at eol.

Ok gilles@

deduplicate in[6]_pcbbind() port scan loop.

ok mpi@

Avoid a NULL dereference when getgrnam_r() returns NULL for `result'.

Update etc/mtree/BSD.x11.dist (freetype-2.6.1)

Call tzset() before dropping the priviledge to use correct timezone.

Can't assert "module->fd >= 0" in radiusd_stop() since the module may
be closed already when error.

Move bge rxeof and txeof outside the kernel lock.
To make rxeof safe, use a separate ring refill timeout for each ring.
We activate the refill timeout for a ring when it's too empty to receive
packets, which ensures we won't attempt to refill it from interrupt context.

To make txeof safe, remove the list of dma maps and just allocate maps based on
the ring slots occupied by the packet, and use atomic operations to adjust
bge_txcnt.  Rework some parts of the txeof and start loops so that we only
adjust bge_txcnt after exiting the loop, and only take actions such as setting
or clearing OACTIVE based on the final value.

tested on 5703, 5714, 5721 by me, 5753 by semarie@, 5761 by naddy@, and
also in snapshots for a while
ok mpi@, dlg@

Apply style(9) to header includes.

ok nicm@

Need <string.h> for memset()

pledge bgplg(8).
ok deraadt

Finish first round of rework of the rc script.

OK krw@ halex@

Pass current directory as a string rather than a file descriptor because
pledge doesn't let us pass directory file descriptors.

The change of 5.7's sys/arch/i386/i386/bus_space.c and
sys/arch/i386/include/bus.h invokes the kernel crash at boot
when ignored (disabled) channel is detected.

In all ATA controllers, ignored (disabled) channel is still set cp->hwok = 1.
And pciide_mapregs_native() is not called, wdc_cp->cmd_iot is 0.

5.6 and before, cmd_iot = 0 is treated as I386_BUS_SPACE_IO,
so there is no problem to call bus_space_read_1() in wdcintr().

5.7 and after, cmd_iot is used as function pointer.
We have to initialize it with pciide_mapregs_native() or something,
otherwise set cp->hwok = 0 to prevent calling wdcintr().

When ignored (disabled) channel is found, default_chip_map() should set
cp->hwok = 0. So all controllers do same thing.

ok by deraadt@

Instead of fragile CMSG parsing, control pledge "sendfd" and "recvfd"
in unp_internalize and unp_externalize.
ok kettenis guenther

Pull in <float.h> instead of declaring __flt_rounds() locally

ok miod@ jsg@

fix lmtp delivery regressions introduced in previous:

- strip \r\n and add them explicitly to all DATA lines
- fix DATA termination
- add missing QUIT command (and check for reply)
- remove free() and fclose() and use exit(3) instead of _exit(2)
  to handle cleanup

ok sunil gilles

Move more EXTERN-defined globals from sh.h.

ok nicm@

Backport another Broadwell fix from Linux 3.15

Ben Widawsky
drm/i915: Provide PDP updates via MMIO
e178f7057b81c87a7ceaae0ca204487b6f7eedcf

Doesn't make resume work, but at least it prevents the machine from hanging
and/or resetting.

Use "getpw" rather than "flock", per deraadt@'s suggestion.

Avoid integer overflow with very large files.

ok millert

Fix comments.

OK krw@

pledge+=flock, for /var/run/ypbind.lock. ok semarie@

Do not warn for sort -o if we can't chown the output temporary file
to match the owner of the output file.

Add "id" pledge to syslogd privsep process.  Needed for logging to pipe.
OK deraadt@

Make use of pledge(2); initial diff from deraadt@

As Theo says, there's probably room for stricter pledge requests, but
this would involve refactoring.

actually, it uses getaddrinfo

libc DNS functions will now use the new dnssocket() / dnsconnect()
system calls.  These signal to the pledge kernel code that a DNS
transaction is happening.  These special sockets only work well with
port 53 (there are some cute plans...).
Programs calling pledge "inet" will not work! You need pledge "dns",

and of course, you need a fairly fresh kernel.

ok guenther kettenis tedu

Tweak previous: call fatal(), not err(3), for consistency. err.h goes away.

regress pledge: test kill()

since "inet" has PLEDGE_SELF, and now calling kill() to self is permitted with PLEDGE_SELF, try this with "fattr"

regress pledge: remove cmsg

it has no sens to keep it.

regress pledge: cpath test

you need to read the directory before creating something in. add rpath

regress pledge: cmsg is deprecated

regress pledge: tweak a bit the manner to grab hte syscall number

permit debug string be present on the line

Need native-pledge for id.

ld.so no longer needs or uses a bind lock, so stop setting it.  This
eliminates a chunk of complexity from the libpthread init and the fork
wrapper, as it was the bind lock that needed prebinding before use.

Tadpole/Sun Voyager IIi reported to work via dmesg@

move SS_DNS socket check from kern_plegde.c to sys_generic.c

this check has nothing to do with pledge(2). make it lives in sys_ioctl() call.

while here, move the (fp == NULL) check early and remove duplicate check from
pledge_ioctl_check().

ok guenther@ deraadt@

Use offsetof() instead of adding the sizes of the preceeding struct members

ok millert@

Make sure sm_rotate_bak() is only run once.

getting sloppy, lost a }

sorry, sdiff -o interactive mode does another spawn

Add "dns" to the pledges.  Previously these worked because of "inet",
alas "dns" is now a mandatory statement if you want to do dns!

Forcibly delete /var/run/ypbind.lock to prepare for the worst cases.
ok aja

unrelated commit; not ready yet

First casualty of making pledge "dns" mandatory for dns users.
"dns" was missing, and this was relying on "inet" support..

Move your drink further away...  When a program pledged "getpw" fails to
get a response from a YP server, it will open "/dev/tty" and spit out:
    'YP server for domain %s not responding, still trying'
For now allow open of /dev/tty for "getpw".  I hope to re-architect the
libc:YP communication protocol (strategy similar to syslog->sendsyslog,
isatty->fcntl, dnssocket/dnsconnect) and then we can reevaluate this.

after kmem is open and setup, pledge "stdio rpath wpath cpath"
seems to be working.  commiting to get feedback from people who crash.

Collapse some strange programmer style with too much abstraction.

With TIOCSTI supported in pledge "tty proc", csh is good enough to run
with pledge "stdio rpath wpath cpath fattr getpw proc exec tty".  (Note
that ksh "emacs mode" is also a abus^Wconsumer of TIOCSTI, but we had
let that slide for a week since noone uses it...)

A whole buncha unsigned char casts for ctype function arguments.

ok guenther@

Use explicit_bzero() when the memory is freed directly afterward.

ok deraadt@

Use explicit_bzero() when the memory is freed directly afterward.

ok deraadt@

TIOCSTI and TIOCSCTTY; oops got the condition backwards.

better placement for dnssocket/dnsconnect

Describe dnssocket / dnsconnect arguments

Allow read/write access to /dev/tty when using "tty" pledge.

Without this change, you need "rpath" and "wpath" to open /dev/tty.  Some
applications explicitly open /dev/tty, but deraadt@ found the most
common use is indirectly via readpassphrase().

tweak and ok deraadt@
pre-tweak ok millert@, semarie@

create libc stubs for dnssocket() and dnsconnect()

sync

Add two new system calls: dnssocket() and dnsconnect().  This creates a
SS_DNS tagged socket which has limited functionality (for example, you
cannot accept on them...)  The libc resolver will switch to using these,
therefore pledge can identify a DNS transaction better.
ok tedu guenther kettenis beck and others

naddy asks me if __tfork should be allowed by "proc".  yes!
We may need a better semantic later ("thread"?), but this allows
progress, and people can report their experiences.

connect() to an AF_UNIX socket is really read/write, so tell pledge this
is a RPATH|WPATH operation.
Discussed with doug and millert

Allow the nasty ioctl TIOCSTI in "tty", but also require the "proc"
permission.  For now, we'll tighten it down further later.

better wording in a comment

Unify TIOCGPGRP/TIOCGWINSZ/TIOCGWINSZ behaviour regarding ENOTTY return.
(both "tty" and "ioctl" allow these; they should behave the same)

Allow TIOCSCTTY on tty devices, if the pledge says "tty id"
worked out with nicm

whitespace

Rename SYSEXIT() to SYSCALL_END() for consistency with most other archs.
No change in resulting object files

ok millert@

mailaddr_match() allows comparing two struct mailaddr taking into account
catchall and +-tags

ok millert@ and jung@ for util.c

Move the last of the __DBINTERFACE_PRIVATE bits from <db.h> to libc's wrapper
and eliminate the now superfluous -D option

ok kettenis@ millert@

Fix the code that sets up the MCH BAR on systems where the (buggy) BIOS
doesn't do this for us.  The code was poking registers on the wrong PCI
device.  We were just lucky that it worked on most systems.

This should fix machines such as the Asus EeePC 701 and get rid of the

error: [drm:pid0:i915_gem_detect_bit_6_swizzle] *ERROR* Couldn't read from
MC HBAR.  Disabling tiling.

messages on that machine.

Tighten pledge: We only write to stdio and never to any files if
in cat mode (-c, zcat), or in test mode (-t), or if there are no
file arguments and there is no -o outfile.  Due to fts(3) we require
rpath even for compress <in >out.

"seems sound" deraadt@