Fix an obvious bug found during the /* FALLTHROUGH */ cleanup:
ASCII_NBRSP has to be rendered as " ", not "-".

To make the code more readable, delete 283 /* FALLTHROUGH */ comments
that were right between two adjacent case statement.  Keep only
those 24 where the first case actually executes some code before
falling through to the next case.

Pass unsigned char to isdigit(3).
From Michael McConville; OK guenther@

fix regression: ttyname() failure not handled right

pledge_ioctl_check() will do the killing if neccessary; if it returns,
that is an errno to pass up to the calling system call instead. test
case is "who < /dev/null", via ttyname().

now that tsort has a clean structure, do more specific pledge() calls.
okay deraadt@

Drop tags containing a blank character:
They don't work, they break other tags in weird ways, and even
if they could be made to work, they would be mostly useless.
Issue reported by naddy@, thanks.

Do not insert whitespace into syntax displays, it's just confusing,
except at the one place where it is indeed helpful.
Add some missing .Cm macros.
Remove some useless escaping, one needless .Xo, and an empty .No.
Triggered by a much smaller patch from guenther@.
OK jmc@ guenther@

Fix empty .No macros, use .Pf to prefix delimiters to macros.
Based on a patch from guenther@, tweaked by me.
OK jmc@ guenther@

-version options on commands like this make no sense; the version number
makes no promises about compatibility nor the lack of compatibility.
suggestion & diff from micheal reed

Finally use __progname, err(3) and warn(3).
That's more readable and less error-prone than fumbling around
with argv[0], fprintf(3), strerror(3), perror(3), and exit(3).
It also shortens the code by 50 lines.

It's a bad idea to boycott good interfaces merely because standards
committees ignore them.  Instead, it's the job of the portable
distribution to provide compatibility modules for archaic systems
(like commercial Solaris) that still don't have them.  Actually,
the compat code for the portable distribution already exists and
will be committed right after this.

Userspace doesn't need to use SUN_LEN(): connect() and bind() must accept
sizeof(struct sockaddr_un), so do the simple, portable thing.
Also convert some strncpy() to strlcpy()

ok deraadt@

Don't return errno from main()

ok beck@ doug@ deraadt@ tedu@

Handle the blackhole well-known community in bgpctl as well (print it
symbolically, and don't deny its use in 'bgpctl sh rib comm 65535:6666').
ok phessler@

standardize a community that has been independently created by nearly
every single AS on the planet: the blackhole

OK benno@, claudio@, sthen@

some peers are following an expired draft RFC and are sending "unknown"
error codes to OPEN messages.  make them "known", and show them.

OK benno@, claudio@, sthen@

add "best" as an alias for "selected"
Helps finger memory for people used to Junipers

OK benno@, claudio@

Pledge that ncheck_ffs only uses "stdio" after opening the device.

ok deraadt@

Mention that the first argument of .Pf does not need escaping.
While here, make the first sentence regarding .Pf more concise.
OK jmc@

with the RPATH enforcement, csplit(1) don't work anymore on stdin...

the newfile() function used for create files open files in "w+"
(O_RDWR), and may occasionally do reading on the file (function
toomuch()).

ok deraadt@

reorg code to have an array with all the files used apparent.
okay millert@

add a missed check for PLEDGE_RPATH when reading a file.

ok deraadt@

sigaltstack is directly used by setjmp on some architectures. it only
refers to the process itself.  pledge should allow it.

put TIOCSWINSZ in the right block "tty", not in "ioctl".  this happened
because the "route' tests were placed between the two, creating
confusion.  fix that while here.

needs at least some include love; choosing <stdlib.h>

pledge "stdio tty" works once the kernel allows TIOCGWINSZ.  Do the pledge
after TIOCGETD, which the kernel is unlikely to support (does not feel like
a good idea for a program to switch line disc, and therefor not worth allowing
the program to ask either)

In pledge "tty", allow TIOCSWINSZ.  stty(1) is the obvious silly use.
The more important use will be tmux(1) and other active window size
controlling programs. There seems little risk in exposing this small
tty setting alongside the tcsetattr() family.
ok millert

Convert some fgetln to getline.

Ok gilles@, giovanni@, millert@

Convert some fgetln to getline.

Suggestion and ok millert@, ok gilles@, eric@

handle comma separated list of arguments, i.e. pkg-config --exists gcr-3,gcr-base-3

add variation on existing --exists tests; separated by spaces

Add a symbolic name for the special '-1' value of iwm's sc_wantresp.
ok phessler

Document that execve(2) resets SIGCHLD to SIG_DFL

wordsmithing and ok jmc@

Prefer .Fa over .Em for struct members

ok jmc@

Simplify and lock down priv_open():
 * kill the 'mode' argument
 * fail if passed any flags other than O_ACCMODE OR O_NONBLOCK
 * paranoia: mask O_CREAT when calling open() with only two arguments
 * instead of using ioctl(FIONBIO) after the fact, pass O_NONBLOCK to
   priv_open()

"good start" deraadt@
ok yasuoka@

Document that bind(2) and connect(2) ignore the incoming sa_len

suggest by and ok deraadt@
wordsmithing jmc@

YYSTYPE.number is int64_t, so format with <inttypes.h>'s PRId64

ok yasuoka@

After the filesystem is opened, pledge "stdio"
ok doug

If only displaying the disklabel (the normal thing to do against potentially
unknown disks...), after opening & reading the disklabel, pledge "stdio"
ok doug

After the disk is opened, this can pledge "stdio".
ok doug

The <ctype.h> is*() interfaces expect EOF or an unsigned char; cast to
(unsigned char) as required

found by Michael McConville (mmcconv1 (at) sccs.swarthmore.edu) w/Coccinelle

Don't allow "rm -rf /"

Patch from Theo Buehler who was inspired by watching Bryan Cantrill
in BSD Now 103.

Minor tweak from me to turn the complained variables into flags instead
of counters.

"i think it's ok" tedu@
"this isn't 1980 anymore" deraadt@
ok millert@

fix a regression spotted by chris@.  the -f and -I arguments fetch process
arguments using kvm_getargs, after the pledge() has been made.  someone
brave should refactor this, hoisting the argument fetching to between
kvm_getprocs() and pledge() - storing the argument data as neccessary.
the current situation is also a race -- it fetches the data twice.

__get_tcb() is needed for errno access in threaded programs on some archs.
Make it always available.

ok deraadt@

Always set the timeout at least one tick in the future for EVFILT_TIMER
to avoid looping in softclock()

based on diff by sthen@
ok sthen@

Userspace doesn't need to use SUN_LEN(): connect() and bind() must accept
sizeof(struct sockaddr_un), so do the simple, portable thing

ok beck@ deraadt@

Prefer dprintf() over snprintf()+write()

ok beck@ deraadt@

Use correct terminology

Document support for CPU power states

Convert FIONBIO to SOCK_NONBLOCK

ok dlg@

Pledge that ln only needs "stdio rpath cpath".

ok deraadt@

pflogd contained the same "privsep error" as tcpdump -- assuming that
it can ioctl()'s against a bpf device node.  Privsep that operation
via a message to the parent process.  Unfortunately "rpath wpath cpath"
is still needed due to SIGHUP handling, but I have asked canacar the
expert to look into this.

Pledge that arithmetic only takes "stdio".

Initial support for pledges in openssl(1) commands.

openssl(1) has two mechanisms for operating: either a single execution
of one command (looking at argv[0] or argv[1]) or as an interactive
session than may execute any number of commands.

We already have a top level pledge that should cover all commands
and that's what interactive mode must continue using.  However, we can
tighten up the pledges when only executing one command.

This is an initial stab at support and may contain regressions.  Most
commands only need "stdio rpath wpath cpath".  The pledges could be
further restricted by evaluating the situation after parsing options.

deraadt@ and beck@ are roughly fine with this approach.

pledge "stdio rpath wpath cpath fattr inet" after chroot and such
appears to be good enough for the main loop processing.

pledge "stdio route"; untested.  this has the if_nametoindex() problem as
other *ctl programs using their daemon's log.c, and thus requires "route"
for now.  we hope to solve that issue soon.

Add a define for the invalid state, from mksh via Michael McConville.

ok millert

another pledge argument reorder for sake of re-audit

Fix YP user and group support in getent(1).

These should have been "stdio getpw" before, but they worked for non-YP
environments.  With YP, it won't work without "getpw".

Reported by semarie@ and confirmed as a problem by miod@.

ok deraadt@

pledge "stdio rpath wpath cpath"
ok doug

env(1) is obviously a program falling into pledge "stdio exec".  It
does stdio, and it does a raw execve().  It is so obvious.  It gets
only _exit(2), kbind(2), and 46 system calls -- over half of which
are deeply gutted in their functionality to only serve narrow libc
needs for "stdio (includes malloc)".  the other 161 system calls kill it.

Kill pledges to only use "stdio proc".

deraadt@ notes that kill now works because of improved kernel semantics.
For full kill(1) functionality, you need the new kern_sig functionality.
Make sure you have an updated kernel.

ok deraadt@

pledge "stdio inet rpath" seems to be enough for a YP environment.
rpath is to access /etc/rpc, and inet to talk to portmap & local world.
ok beck

pledge "stdio rpath wpath cpath proc exec"; this spawns cpp.
ok doug

Added missing curly bracket into LIST_EMPTY example.

ok deraadt@, otto@

normalize a few more tame request orderings, to help review

normalize the ordering of tame requests (particularily, "rpath wpath cpath",
which i have put in that order). this is not important, but helps look
for outliers which might be strange.  it hints that "ioctl" should be
reassessed in a few places, to see if "tty" is better; that "unix" may
be used in some places where "route" could now work.

pledge "dns rw" is not a reliable pattern.  This means malloc() and other
types of functions (perhaps required by 'stdio' or 'libevent' will not
become available unless DNS suceeds.  Replace it with "stdio dns".

Add pledge support in awk and make awk -safe actually safe.

awk -safe was introduced back in 1997 to stop awk from doing file output,
execute commands or access the environment.  The lexer rejected programs
when it saw awk commands that would write, exec or env.  Beyond that,
it wasn't safe from write/exec/env during program execution.

With pledge "stdio rpath", the kernel is now enforcing the awk -safe
mode restrictions at runtime (other than env).

Based on a diff by deraadt@

ok deraadt@ beck@

Rather than invoking fork/execve of dc(1) on a pipe, compile in the dc(1)
code directly and use it as a subfunction.  This refactoring allows use of
pledge "stdio rpath proc tty" in the main bc(1) process before fork, pledge
"stdio rpath tty" after fork, and fully reduced to "stdio" in the dc(1)
child.

This requires two recent to the kernel code (allowing sigsuspend(),
and kill() self as pid 0).
ok otto

since kdump may getprotobynumber() late, do not drop "rpath".  We could
potentially modify pledge() to permit /etc/protocols (/etc/rpc?
/etc/services? etc) without requiring a rpath attribute.. but where would
we draw the line for what /etc files libc functions need?  At present, we
draw that line closer to the minimum.
issue found by theo@math.ethz.ch

For pledge, sigsuspend() should is affecting the behaviour a process itself,
so we should allow it for 'self'.
ok djm

pid 0 also implies self, so allow that for the pledge case.  Found in
a refactoring being done for the bc/dc relationship with otto.

pledge "stdio rpath wpath cpath"
ok doug

pledge "stdio getpw rpath wpath cpath tmppath proc exec". doug pointed out
the need for getpw.  Not sure if I see ways to improve this program.
ok doug

In iwm(4), set mbuf pointers to NULL after freeing mbufs.
ok phessler mpi zhuk

pledge "stdio rpath wpath cpath proc exec". there is some potential
for dropping some path attributes in between, but i will let someone
else do that.
ok doug

pledge "stdio rpath"
ok beck doug

pledge "stdio getpw rpath wpath cpath fattr".  doug pointed out getpw*
use, and fattr for chmod.
doug

encrypt(1) also needs to pledge "wpath" for getpass().

getpass() opens /dev/tty RW so it can write the prompt.

ok deraadt@

pledge "stdio rpath tty".  rpath for the configuration reading done by
login* subsystem, tty for readpassphase()
ok beck

pledge "stdio proc exec" works.
ok doug

shuffle #ifdef TIOCSTI block to avoid a future /*FALLTHROUGH*/ mistake.

plege "stdio rpath tty".  "tty" is for the curses code lurking in the
background.
ok doug

pledge "stdio rpath proc exec".  proc & exec because obviously it
spawns subprocesses.  rpath is only needed for the -o (open /dev/tty)
or no -o (open /dev/null) choice.
ok beck

basic pledge "stdio rpath"
ok doug

Replace calls to x_emacs_putbuf() with x_do_ins() since all
x_emacs_putbuf() does is call x_do_ins().
From mksh via Michael McConville

pledge "stdio rpath" seems to work; ok doug

pledge "stdio proc exec".  relies on two recent kernel fixes.

allow sysctl of kern.clockrate

I forgot execve would go through the namei codepath, so a program marked
"stdio rpath" this would fail to execve.  pre-indicate exec actions to the
namei checker to allow them through.
ok semarie

must also pledge "getpw", because it will use getpw* and getgr* functions.
discussed with doug and semarie

pledge "stdio rpath route" seems to be working.  route is needed for
pretty printing some addresses.

pledge "stdio rpath wpath cpath". as a curses program, I expected this
to maybe need "tty", but have not found a path which calls those kind
of curses functions.
ok doug

pkill has to get all the getopt, getpwuid, libkvm stuff out of the way
first.  it can pledge to "stdio" (pgrep case) or "stdio proc" (pkill case)
before parsing and matching the expression.
ok doug

fairly obvious pledges.
ok doug

fairly simple pledge to "stdio rpath wpath cpath"

Code points U+10000 to U+fffff are valid, too.
Fixing a regression in wcrtomb(3) found with the mandoc testsuite
that was caused by the last commit.
OK semarie@ bentley@

Decide whether to use_pager as early as possible,
in preparation for pledge(2); no functional change intended.

add (currently failing) test for --exists foo,bar.

spotted by aja@