I forgot execve would go through the namei codepath, so a program marked
"stdio rpath" this would fail to execve.  pre-indicate exec actions to the
namei checker to allow them through.
ok semarie

must also pledge "getpw", because it will use getpw* and getgr* functions.
discussed with doug and semarie

pledge "stdio rpath route" seems to be working.  route is needed for
pretty printing some addresses.

pledge "stdio rpath wpath cpath". as a curses program, I expected this
to maybe need "tty", but have not found a path which calls those kind
of curses functions.
ok doug

pkill has to get all the getopt, getpwuid, libkvm stuff out of the way
first.  it can pledge to "stdio" (pgrep case) or "stdio proc" (pkill case)
before parsing and matching the expression.
ok doug

fairly obvious pledges.
ok doug

fairly simple pledge to "stdio rpath wpath cpath"

Code points U+10000 to U+fffff are valid, too.
Fixing a regression in wcrtomb(3) found with the mandoc testsuite
that was caused by the last commit.
OK semarie@ bentley@

Decide whether to use_pager as early as possible,
in preparation for pledge(2); no functional change intended.

add (currently failing) test for --exists foo,bar.

spotted by aja@

add location to the fan description

fix wrong brackets in if statement

three conversions of fgetln() to getline()

ok eric sunil

Fix /var/spool/smtpd/offline ownership and mode.

ok gilles@

Make functions that accept multiple iterations via C-u N, honour 0.
Except C-k which has a defined behaviour. In mg, C-t doesn't complete
n iterations if requested, but probably should, hence it has been
included in this diff.

Call onlywind() properly.

Make tcpdump(1) print more information from the HT Capabilities element.
tweak + ok sthen@

Add macros for A-MPDU and MCS data, both found in HT capabilities element.
typo fix + ok sthen@

Unused macros; from Michael McConville.

Move more declarations out of proto.h into better headers, from Michael
McConville. No binary change.

Some of these large so easy to contain, with "stdio rpath".
ok doug

simple program using "stdio rpath"
ok doug

Add pledge support to cmp(1).

This is a simple case of using "stdio rpath" until all files are opened and
then dropping down to "stdio" since it includes "rw" on open fds.

ok deraadt@

pledge to only use "stdio rpath"; ok doug

Add pledge support to getent(1).

This pledges the superset of all requests for the various getent databases
and then drops to the minimum for the chosen database.

ok deraadt@

Make use of pledge(2).

ok deraadt

Move some interface initialization bits from if_init() to eigrp_if_start()
and call if_init() only during the startup of the eigrpe process.

Remove attached neighbors whenever an interface is disabled to speedup
the convergence process.

eigrpctl pledges to use stdio and route.

ok deraadt

Fix detection of interface up/down events.

relayctl pledges to use stdio only
ok reyk@ sure deraadt@

pledge("stdio route") needed here, because ipv6
ok deraadt@

relayd's ca process pledges to only use stdio.
ok deraadt@

ksh can run with pledge "stdio rpath wpath cpath getpw fattr proc exec tty"
if the mknod builtin is disabled.  It looks like a lot of abilities, but
hey, this is a shell.  can't open sockets or do other nasty stuff though.
(we'll leave the mknod builtin enabled on the install media for now; there
is work happening to regain the MAKEDEV performance in a different way)
discussions with otto & millert in particular

Allow kill(self, sig) in pledge SELF also.  the stack protector, abort(),
and readpassphrase() in particular use this.
ok millert tedu semarie

can use pledge "stdio"; ok benno

Remove telnet warnings. Civilization has reached a point where they are no
longer relevant.

OK millert@

The variable errmsg can be static in main.c if code in re.c uses an own
buffer to construct error messages.

with input by and ok millert@

Define functions as static when they are not used outside their own c-files.

ok millert@

Use __progname rather than argv[0]; OK millert@

Replace readpass(3) with readpassphrase(3). This was the only use of
readpass(3) in base...

OK millert@

Lexer states are not needed outside of lex.c.
From mksh via Michael McConville

Mark static globals that are only used in their respective .c files.
Also make stdin unbuffered since that is the same as using a
single-byte buffer.  OK tobias@

remove null check before afree. from Michael McConville

Exit autoinstall in case of an invalid choice.

OK krw@

Keep relayd test certificate names in sync with syslogd.

upon smtpd restart, when scanning the offline queue, unlink 0-sized offline
messages as they are left-overs from an errored enqueue.

ok millert@, ok eric@

Have not come up with a great pattern for flock() yet.  flock() is permitted
by "getpw" because libc getpw*/getgr* use open() of /var/run/ypbind.lock plus
flock() to detect YP running.  The kernel observes this dance to "open up" the
YP door (ugliness should drive us to rewrite this mechanism from SunOS later).

however, flock is also used independently.  Current users are
    htpasswd mail skeyinit tmux authpf pwd_mkdb ldapd smtpd ypbind
    login_token mail.local lockspool
Let's enable flock() for "cpath", and see if that helps these programs,
otherwise we'll try "wpath" next.

With nfs spool (fork + seteuid/setuid balony) support gone, it becomes
possible to pledge "stdio rpath wpath tty proc"
Noone uses this code anymore.  This is a demonstration...

remove NFS spool support; it stands in the way of pledge(2)

Add tests for syslogd TLS accept and receive encrypted messages.

If syslogd is started with -S, it accepts TLS connections to receive
encrypted messages.  The server certificates are taken from /etc/ssl
like relayd does.
OK benno@ beck@ deraadt@

Convert fgetln(3) to getline(3).

Ok eric@ todd@ gilles@

A fork(2) is used in ttymsg() to delay the message to a tty if it
blocks.  Fix the potential syslogd's death, add "proc" to pledge.
OK deraadt@

catch up to tame() -> pledge() rename

pare down the readme so as to not imply we are tracking upstream.
nor do we much care about running this on dec ultrix anymore, etc...
ok deraadt

if an error occurs during offline enqueuing after we've dropped group, then
attempt to ftruncate() the fp back to 0.

suggested and ok millert@, ok eric@

turn our local enqueuer setgid _smtpq and restrict access to offline queue,
the enqueuer will revoke group and regain real gid right after mkstemp.

this would have prevented the symlink/hardlink attacks against offline, and
it will avoid having to deal with new ways users can mess with it.

ok eric@, ok millert@

Remove evil hack.  I've never seen the printf fire, and xenocara no longer
contains any code that can manipulate the affected register directly.

ok jsg@

this cpp operates file using pledge "stdio rpath wpath cpath"

Tame syslogd privsep child with "stdio rpath unix inet recvfd".
With and OK deraadt@

oops, snuck into a syscalls sync; spotted by sthen

regress pledge

add missing $OpenBSD$ header

regress pledge: remove 'regenerate' target

add "tty" regress for pledge

correct Xr; from theo buehler

if enhanced status class is not set, enhanced status code is never dumped
in disk envelope.

All commands seem to work fine with pledge "stdio" after the connect(),
direct source and symbol table inspection suggests it is good.  The same
principle will likely apply to most of our network daemon *ctl programs,
since many are derived from ospfd.  Still, each needs testing.
discussion about network daemons and ctl's has been mostly with renato

another tame(2), spotted by jmc

Fix line number bug when calling onlywind().

hook pledge

follow tame->pledge in regress

do not use weak; plus this dies next week

another stray )

shortcircuit TIOCGETA to directly return ENOTTY for non-ttys.  It could
be called against a non-tty fd, so as to test "is this a tty".  Discovered
by sthen and rob pierce at the same time.

oops, typo spotted in temporary .c file, by semarie

fix a gotcha in the connect refactoring, that could result in dropping
through and trying to bind failed v6 connects.
ok guenther

the ntp engine can run with "stdio inet proc".  For many reasons,
including fork/exec cost, it would be better if constraints were
forked from the master process, which would then tell the ntp
engine.  That would increase accuracy and security.
Lots of conversations with reyk and bcook

Once the constraint engine process is running, it only needs
"stdio inet".  It took weeks to get to this point...

stardate 93370.16: a whitespace appears to have entered our quadrant...

multicast test backwards; noted by renato

sync

Change all tame callers to namechange to pledge(2).

tame -> pledge.

tame -> pledge conversion, in libc.  I should crank libc, but am cheating
hoping things go well.  The old symbol is faked via a stupid stub function,
until next major crank when it can be removed.  I am expecting guenther
to scream at me.

Rename tame() to pledge().  This fairly interface has evolved to be more
strict than anticipated.  It allows a programmer to pledge/promise/covenant
that their program will operate within an easily defined subset of the
Unix environment, or it pays the price.

sync

Rename tame() to pledge().  This fairly interface has evolved to be more
strict than anticipated.  It allows a programmer to pledge/promise/covenant
that their program will operate within an easily defined subset of the
Unix environment, or it pays the price.

After replacement alloca() with alloc(), out-of-heap happened when booting
on a large block size (32K) partition.  Increase the HEAP_LIMIT from
0x90000 to 0xA0000.

try this, deraadt

If getaddrinfo() succeeds, then don't try look ups with other flags, even
if the connect()s failed.  In concert with some resolver fixes in libc,
this lets ntpd be tame()ed

problem isolated by theo, who had fun untangling the libc and libtls
behaviors to place blame for not being able to tame ntpd

ok beck@ deraadt@ jsing@

Expose a small set of multicast join operators under the request "mcast".
This will be used by a few daemons.  If they lack this feature, then
they would need to operate without tame.
Discussed with renato

add some tame calls. we may need a bunch of permissions to create files
and manipulate the tty for readpassphrase, but once we've parsed options
and have some idea of what's going to happen next, we can reduce down
quite a bit more. particular use case of "signify | patch" is limited to
feeding garbage to patch.

stop trying to gift history files to the original owner. instead, don't
open history files that don't belong to us. probably much safer.
ok deraadt

Lock the page queues by turning uvm_lock_pageq() and uvm_unlock_pageq() into
mtx_enter() and mtx_leave() operations.  Not 100% this won't blow up but
there is only one way to find out, and we need this to make progress on
further unlocking uvm.

prodded by deraadt@

little cleanup from Michael McConville, mostly related to stale comments.

Refactor fileprefix() and filecopy() to use warn() instead of err()
to display error message, and to return error indications (NULL and
-1 respectively).  Use the error indications in write_efisystem()
to unwind in the face of more error conditions. In other cases just
exit(1) to emulation current behaviour.

ok deraadt@

tame "stdio rpath wpath cpath proc exec".  make is a shell, and appears
to only need these operations.  Take note that "exec" is a 2-day old
tame request, so do get a new kernel before you update or risk getting
trapped.

16 years after E801 memprobe was disabled, probably safe to delete it.
ok deraadt jung kettenis ratchov

Remove the sc_soft_req_cnt field because the number of tx requests is
already tracked in sc_sendq. Replace the sc_flush logic with a simple
Fetch-and-Add store that avoids an unnecessary IOBDMA transaction.

ok uebayasi@

tweak previous;