u_short -> unsigned int for rtableid.

Do not call uvm_swap_finicrypt_all() a second time in dumpsys().

ok tedu@, deraadt@, miod@

Remove Diffie-Hellman moduli entries below 2048.

OpenSSH requires a 2048 minimum for DH in the client and server.

input and ok sthen@
ok dtucker@, djm@

Add support for route summarization.

Working great but need more testing, especially with ipv6. For now
we don't validate if one configured summary is inside another or the
presence of duplicates. Will address these issues in a future commit.

Minor fixes and code cleanup.

Compare pointers to NULL rather than 0.

ok djm@

tweak previous;

Use client pointer not file descriptor in logging.

add a new getsockopt option IP_IPDEFTTL to retrieve the default ttl.
this can be used as an alternative to sysctl net.inet.ip.ttl, in
programs that use pledge().
ok reyk@, "Like this" deraadt@

Fix write to other user's tty.  The device has to be opened with
O_WRONLY, but without O_CREAT.  So freopen(3) has to be replaced
with open(2) and dup2(2).
from deraadt@

believe this will work with "stdio rpath wpath cpath inet" now that
SO_RCVBUF is permitted.  It may even be possible to lose the "inet" a
bit later in the code.  Anyone want to test?

Document SOCK_DNS flag
ok guenther tedu semarie

At guenther's suggestion replace dnssocket() with a SOCK_DNS flag on
socket().  Without pledge, all other socket behaviours become permitted,
except this one case: connect/send* only works to *:53.  In pledge mode,
a very few are further restricted.  Some backwards compatibility for
the dnssocket/dnsconnect calls will remain in the tree temporarily so
that people can build through the transition.
ok tedu guenther semarie

Add SIOCGIFGMEMB to "route" (returns a list of all interfaces who are
member of the given group).  This is used by some parse.y.

OK deraadt@

Fix 802.1p VLAN priority code points for VLAN_HWTAGGING.
Our in-kernel ether-vtag has a different layout to the vr TXSTAT register.

ok sthen@

... but keep the previous logic for sparc, which is the other user of this
Makefile, until it switches to MI installboot, too.

Missing commit of vax switch to MI installboot(8), forgotten when it went in.

Lob a style(9) grenade in here.

add "proc" to pledge for script(1)

it needs to "forward" SIGWINCH to subprocesses.

ok deraadt@

The table could change when retrying so don't save it at start of
server_client_handle_key.

After pledge "dns" has been refactored and setsockopt(SO_RCVBUF)
has been added to it, the syslogd privsep parent does not need
pledge "inet" anymore.
discussed with deraadt@

Add an explicit check for a malformed AS segment with (segment length 0),
avoiding division by zero when deciding whether it contains 2- or 4-byte ASNs.
Refactor TCHECK calls to ensure proper coverage.

From Kevin Reay, ok canacar with wording tweak (I used "malformed" rather
than canacar's suggested "invalid size" or Kevin's original "empty").

fix a use after free found by clang using an approach suggested by renato
ok renato@

On xmalloc failure, stop trying to determine the total amount of allocated
memory up to this point by using sbrk(2).  This is of course wildly incorrect
for any mmap-based malloc(3).

This also makes it possible to bring pledge(2) to gnu/.

comments kettenis@, ok miod@

update regress for pledge after whitelisted-path view inclusion

Fix ocsp by adding a missing TAILQ_INIT().

Confirmed by markus@ with an identical diff

clear whitelisted-paths view in pledge.

the following diff adds a clear view of whitelisted-paths in pledge.

before, whitelisting "/usr/local/bin" path would make only "/usr/local/bin"
VNODE was present and let "/usr/local", "/usr", and "/" been ENOENT. It was a
somehow odd filesystem hierarchy, and it breaks realpath(3).

with this diff, the directories that are one of the parents of a
whitelisted-directory become visible to stat(2) related syscalls, but only
with restricted permissions: stat(2) will lie a bit, and saying they owned by
root:wheel and mode is --x--x--x. Note that only stat(2) is affected by this
"view", and the owner/mode aren't effectively changed: it is just a "lie".

while here, refactor a bit pledge_namei() in order to avoid multiple for-loop
on whitelisted-path array.

ok deraadt@

allow SO_ERROR all the time

sync

Replace a function-local allocation with stack memory.

ok djm@

In order to become able to generate syntax tree nodes on the roff(7)
level, validation must be separated from parsing and rewinding.
This first big step moves calling of the mdoc(7) post_*() functions
out of the parser loop into their own mdoc_validate() pass, while
using a new mdoc_state() module to make syntax tree state handling
available to both the parser loop and the validation pass.

Always allow the setsockopt & getsockopt system calls... however, in the
default case only allows SOL_SOCKET SO_RCVBUF which is very common in
network-facing daemons.  Many of them manage this on a socket after
dropping abilities which can get them _new_ sockets.. syslogd, bgpd,
relayd, etc etc.  Other sockopts still require specific pledges.
Tested by bluhm.

Remove old tame() stub

Add pledge(2) for radiusctl(8) and radiusd(8).
- radiusd: "stdio inet"
- radiusd_radius: "stdio inet"
- radiusd_bsdauth:
  - "stdio proc" for the non-priviledged process
  - "stdio getpw rpath proc exec" for the priviledged process
- radiusctl: "stdio dns inet"

"go ahead" deraadt

break long lines in examples; ok jmc@

Test syslogd logging to a tty which belongs to a user.  This is
done with a utmp entry for a pty fake login.  All messages are read
from the pty and written into a log file.

style cleanup, no functional change

Enable some code that does power management magic.

Simplify, no functional change:
Delete the outmdoc, outman, and outfree function pointers.

Properly restore the prefetchable memory window upon resume.

ok deraadt@

Add parenthesis gcc wants and remove defined but unused label gcc
complains about.

ok deraadt@ on parethesis

Delete the empty example file "ftpchroot"; no example is needed.
Move the one useful bit of information contained in the file ("one
user name per line") to the ftpd(8) manual page where it belongs.
OK deraadt@ sthen@

LABELSECTOR is a DEV_BSIZE quantity. So multiply by DEV_BSIZE and not
d_secsize when calculating disklabel location.

ok jsing@

Nuke unused variable.

including <ohash.h> requires including <stdint.h> beforehand;
noticed by Svyatoslav Mishyn <juef at openmailbox dot org>

pledge "stdio exec proc" early on, setpriority, then pledge "stdio exec"
from Theo Buehler

free rbio before wbio
ok jsing@

missing deref on char check. from David Binderman

Remove the define NOT, replace it with '!'. No binary change.

"The ^ is used in regular expressions and many versions of fnmatch(3)
accept both ! and ^. However, we are never going to accept ^ instead of
! so I think this makes sense" -millert@

"go for it" -nicm@

A little style(9) for sh.h includes

ok nicm@

Stop supporing "legcay" time formats that OpenSSL supports. Rewrite the
utctime and gentime wrappers accordingly. Along with some other cleanup.
this also removes the need for timegm.
ok bcook@ sthen@ jsing@

Change regress to not believe legacy times are valid

Allow setpriority in "proc" as well, since a few shells have "nice"
builtin.  make a note that setpriority() should be weakened, unless "id"
is also present.
pointed out by Theo Buehler

Move stddef.h include from sh.h to the file that uses it.

ok nicm@

Move string.h include from sh.h to the files that use it.

ok nicm@

fix memory leaks in error paths
ok renato@

Revert transfer submission to r1.85.  Seems to make okan@'s scanner
work properly.

Move limits.h include from sh.h to the files that actually need it. No
binary change.

ok nicm@

More removal of EXTERN.

ok nicm@

Print vnode type for sendfd/recvfd not file type, ok semarie

Stop checking for RTF_UP directly, call rtisvalid(9) instead.

While here add two missing ``rtableid'' checks in in6_selectsrc().

ok bluhm@

Stop checking for RTF_UP directly, call rtisvalid(9) instead.

While here add a missing ``rtableid'' check in in_selectsrc().

ok bluhm@

Sync rtisvalid(9) check for local route entries with r1.257 of
net/ip_input.c

Remove superfluous NULL checks.

ifa are refcounted to ensure that rt_ifa is always valid.

optarg and optind are declared by unistd.h

Add err.h, missing after pledge() introduction.

Fix control_imsg_forward() by changing imsg_compose() to
imsg_compose_event().  This was done by pyr@ in relayd/control.c
-r1.32 (2009/06/05, ok eric@) but somehow didn't slip into other
daemons that imported control.c.

Remove the ikev1 stub - Since I started iked, it has an empty privsep
process for ISAKMP+IKEv1.  I kept it to let somebody either contribute
the old protocol one day, I never intended to implement IKEv1 myself,
or to add a new kind of pipe to isakmpd to hand off IKEv1 messages.
As IKEv2 is widely supported by all major OS and networking vendors
now, I'm happy to scrap the idea of supporting ISAKMP+IKEv1.  It is
still possible to use isakmpd for legacy VPNs.

OK mikeb@

Remove a duplicated '#include <stdio.h>' line.

Fix control_imsg_forward() by changing imsg_compose() to
imsg_compose_event().  This was done by pyr@'s in relayd/control.c
-r1.32 (2009/06/05, ok eric@) but somehow didn't slip into other
daemons that imported control.c.

Print control socket client fd in debug message to differentiate between
control connections.  Helps to debug problems.

Kill whitespace at eol.

Ok gilles@

deduplicate in[6]_pcbbind() port scan loop.

ok mpi@

Avoid a NULL dereference when getgrnam_r() returns NULL for `result'.

Update etc/mtree/BSD.x11.dist (freetype-2.6.1)

Call tzset() before dropping the priviledge to use correct timezone.

Can't assert "module->fd >= 0" in radiusd_stop() since the module may
be closed already when error.

Move bge rxeof and txeof outside the kernel lock.
To make rxeof safe, use a separate ring refill timeout for each ring.
We activate the refill timeout for a ring when it's too empty to receive
packets, which ensures we won't attempt to refill it from interrupt context.

To make txeof safe, remove the list of dma maps and just allocate maps based on
the ring slots occupied by the packet, and use atomic operations to adjust
bge_txcnt.  Rework some parts of the txeof and start loops so that we only
adjust bge_txcnt after exiting the loop, and only take actions such as setting
or clearing OACTIVE based on the final value.

tested on 5703, 5714, 5721 by me, 5753 by semarie@, 5761 by naddy@, and
also in snapshots for a while
ok mpi@, dlg@

Apply style(9) to header includes.

ok nicm@

Need <string.h> for memset()

pledge bgplg(8).
ok deraadt

Finish first round of rework of the rc script.

OK krw@ halex@

Pass current directory as a string rather than a file descriptor because
pledge doesn't let us pass directory file descriptors.

The change of 5.7's sys/arch/i386/i386/bus_space.c and
sys/arch/i386/include/bus.h invokes the kernel crash at boot
when ignored (disabled) channel is detected.

In all ATA controllers, ignored (disabled) channel is still set cp->hwok = 1.
And pciide_mapregs_native() is not called, wdc_cp->cmd_iot is 0.

5.6 and before, cmd_iot = 0 is treated as I386_BUS_SPACE_IO,
so there is no problem to call bus_space_read_1() in wdcintr().

5.7 and after, cmd_iot is used as function pointer.
We have to initialize it with pciide_mapregs_native() or something,
otherwise set cp->hwok = 0 to prevent calling wdcintr().

When ignored (disabled) channel is found, default_chip_map() should set
cp->hwok = 0. So all controllers do same thing.

ok by deraadt@

Instead of fragile CMSG parsing, control pledge "sendfd" and "recvfd"
in unp_internalize and unp_externalize.
ok kettenis guenther

Pull in <float.h> instead of declaring __flt_rounds() locally

ok miod@ jsg@

fix lmtp delivery regressions introduced in previous:

- strip \r\n and add them explicitly to all DATA lines
- fix DATA termination
- add missing QUIT command (and check for reply)
- remove free() and fclose() and use exit(3) instead of _exit(2)
  to handle cleanup

ok sunil gilles

Move more EXTERN-defined globals from sh.h.

ok nicm@

Backport another Broadwell fix from Linux 3.15

Ben Widawsky
drm/i915: Provide PDP updates via MMIO
e178f7057b81c87a7ceaae0ca204487b6f7eedcf

Doesn't make resume work, but at least it prevents the machine from hanging
and/or resetting.

Use "getpw" rather than "flock", per deraadt@'s suggestion.

Avoid integer overflow with very large files.

ok millert

Fix comments.

OK krw@

pledge+=flock, for /var/run/ypbind.lock. ok semarie@

Do not warn for sort -o if we can't chown the output temporary file
to match the owner of the output file.

Add "id" pledge to syslogd privsep process.  Needed for logging to pipe.
OK deraadt@

Make use of pledge(2); initial diff from deraadt@

As Theo says, there's probably room for stricter pledge requests, but
this would involve refactoring.

actually, it uses getaddrinfo

libc DNS functions will now use the new dnssocket() / dnsconnect()
system calls.  These signal to the pledge kernel code that a DNS
transaction is happening.  These special sockets only work well with
port 53 (there are some cute plans...).
Programs calling pledge "inet" will not work! You need pledge "dns",

and of course, you need a fairly fresh kernel.

ok guenther kettenis tedu

Tweak previous: call fatal(), not err(3), for consistency. err.h goes away.

regress pledge: test kill()

since "inet" has PLEDGE_SELF, and now calling kill() to self is permitted with PLEDGE_SELF, try this with "fattr"