Put the ldscript parts into a single file instead of storing it as head
and tail and cat(1) it together.  It was maybe needed when ports needed
different contents, but now it's just a headache.

ok deraadt@

Shorter, more accurate explanation of NoHostAuthenticationForLocalhost
without the confusing example. Prompted by Christoph Anton Mitterer
via github and bz#2293.

sync

Add TLS session support to ftp(1).

If a session file is specified via the `-S session=...', ftp(1) will
attempt to resume TLS sessions based on the session data contained within
this file. Upon completion of a successful TLS handshake the session file
will be updated with new session data, if available.

Discussed with deraadt@ and beck@.

Requested by and input from espie@.

Disable RemoteCommand and RequestTTY in the ssh session started by
scp. sftp is already doing this. From Camden Narzt via github;
ok dtucker

Be more specific about when the session file will be updated.

mbufs and mbuf clusters are now backed by large pools. Because of this
we can relax the oversubscribe limit of socketbuffers a fair bit.
Instead of maxing out as sb_max * 1.125 or 2 * sb_hiwat the maximum is
increased to 8 * sb_hiwat -- which seems to be a good compromise between
memory waste and better socket buffer usage.
OK deraadt@

installer bits for RFC 7217 support

OK rpe, tb, naddy, sthen

RFC 7217 support for slaacd

OK naddy, sthen

Load RFC 7217 key material and generate if it does not already exist.

Add soii.key to changelist (pointed out by semarie) and mtree/special
(suggest by Craig Skinner).

OK naddy, sthen, rpe, tb

ifconfig can be used to to set interface flag to not do RFC 7217.

OK naddy, sthen
man page bits input & OK jmc

Follow rfc8277 more closely and make make sure bgpd is encoding VPNv4
withdraws they way other systems are doing it. Interop problem discovered
by Andrew Thrift. Tested by Andrew and job@.

add support for binary sysctl payloads by handling them as hex
strings.

this was part of a demo showing how to implement the kernel side of
sysctl(3) for setting Semantically Opaque Interface Identifier key
material (for RFC 7217), but it seems to be the most straightforward
path toward integrating soiikey handling and rc.

Originally written by dlg, who commited it some time ago on my request.
I then backed it out again, now it's time to put it back in.

ok florian@ sthen@ naddy@ tb@

Man page bits tweaked & OK jmc

Implement RFC 7217: "A Method for Generating Semantically Opaque
Interface Identifiers with IPv6 Stateless Address Autoconfiguration."

"An IPv6 address configured using this method is stable within each
subnet, but the corresponding Interface Identifier changes when the
host moves from one network to another. This method is meant to be an
alternative to generating Interface Identifiers based on hardware
addresses."

OK naddy, sthen

Refuse to create a certificate with an unusable number of principals;
Prompted by gdestuynder via github

fatal if we're unable to write all the public key; previously we
would silently ignore errors writing the comment and terminating
newline. Prompted by github PR from WillerZ; ok dtucker

Similar to the IPv6 case create 127.0.0.1/8 on lo(4) interfaces which act
as loopback interfaces for each rdomain (including lo0). This is done when
the interface is brought up. This is now also done by default (either on
attach of lo0 or when creating the rdomain).
OK mpi@

Syncronize filesystems to disk when suspending.  Each mountpoint's vnodes
are pushed to disk.  Dangling vnodes (unlinked files still in use) and
vnodes undergoing change by long-running syscalls are identified -- and
such filesystems are marked dirty on-disk while we are suspended (in case
power is lost, a fsck will be required).  Filesystems without dangling or
busy vnodes are marked clean, resulting in faster boots following
"battery died" circumstances.
Tested by numerous developers, thanks for the feedback.

fix build with SDHC_DEBUG defined, no binary change otherwise

Add a mapping from grandparent driver name to hibernate io function to reduce
the number of ->dv_parent->dv_parent chains and make this more readable.

ok deraadt@ phessler@

Bump TLS API version since we've added more functionality.

Move the keypair pubkey hash handling code to during config.

The keypair pubkey hash was being generated and set in the keypair when the
TLS context was being configured. This code should not be messing around
with the keypair contents, since it is part of the config (and not the
context).

Instead, generate the pubkey hash and store it in the keypair when the
certificate is configured. This means that we are guaranteed to have the
pubkey hash and as a side benefit, we identify bad certificate content
when it is provided, instead of during the context configuration.

ok beck@

Tidy/standardise some code.

Remove NULL check from tls_conninfo_cert_pem() - all of the other conninfo
functions require the conninfo passed in to be non-NULL.

Document functions for client-side TLS session support.

Add support to libtls for client-side TLS session resumption.

A libtls client can specify a session file descriptor (a regular file
with appropriate ownership and permissions) and libtls will manage reading
and writing of session data across TLS handshakes.

Discussed at length with deraadt@ and tedu@.

Rides previous minor bump.

ok beck@

Bump lib{crypto,ssl,tls} minors due to symbol addition.

Expose X509_VERIFY_PARAM_* functions that appeared in the OpenSSL 1.0.2
API and are now in use by various libraries and applications.

claudio noted that this is an else case because we have either a
prefix or a prefix-set.

Use sched_pause(yield) to decide when to yield when filling randomdata.

ok deraadt@

Add prefix-sets, lists of prefixes which can be used in place of a
prefix in a filter rule. Initial idea hashed out with job@ in Toronto.
This is WIP, i'm commiting it now so we can work on it in the tree.
ok florian@ claudio@

Use return instead of exit from main.

If there is no link after link_timeout seconds don't forget
to go_daemon() while waiting for the RTM_IFINFO message.

Problem spotted by Holger Mikolon.

Schedule alarm for start of minute if departure time is absolute.

e.g., "leave 1530" goes off closer to 15:30:00.

Timezone-related bug caught by tb@ in review.

ok tb@ tedu@

Style tweaks

ok remi@ benno@

Use a static chacha instance to fill randomdata sections. Avoids looping
over a syscall for randomdata sections larger than 256B.

ok djm@ deraadt@ kettenis@

Improve documentation of protected domains.

Required by and ok otto@, ok jmc@

use in_addr and in6_addr instead of uint32_ts

oh carp - i didnt mean to commit these

use struct in_addr to represent an address.

isolate calls to the rfc2822 parser and handling of "." in smtp_dataline()

ok gilles@

add support for setting the ttl on the tunnel traffic.

Call socreate() before falloc() in sys_socket().

This is similar to what we do in sys_socketpair() and will allow us
to grab the KERNEL_LOCK() only after having created a socket.

ok tedu@

a little more adjustment, after discussing with henning;

use ether_tryprint, which looks inside the ether packet.

ether_print just prints the ether header.

rework etherip to make it more consistent and reduce code duplication.

ok claudio@

Check for the existence of /bsd before trying to back it up to /obsd.
Fixes 'make install' when /bsd is not present for some reason.

ok rob florian, "fine with me" deraadt

Clear the dr and bdr fields of a neighbor when it goes down.
Same is done in ospfd for quite a while.

Skip sftp-chroot test when SUDO not set instead of fatal().

Replace fatal with exit in the case that we do not have $SUDO set.
Prevents test failures when neither sudo nor doas are configured.

Situation occur where bootloader cannot supply kernel with early
random data. But a new source of entropy arrived a few months ago
-- KARL generates highly disturbed images for some kernels (well,
not for bsd.rd)
This assumes the tail of text (just before etext[]) is readable.
We are trying to use a portable symbol name, and also avoid reading
a locore0 which has been unmapped...
ok mortimer

Remove unused sKerberosTgtPassing from enum.  From calestyo via github
pull req #11, ok djm@

Extend the mbuf queue API with an accessor that checks whether
or not the mbuf queue is full.

ok dlg@

Implement the bwfm(4) SDIO bus logic.  This is the bus layer that
converts the logic of the upper layers (sending control messages,
sending data messages, receiving event or data messages) into the
corresponding work that has to be done on the lowest layer.  SDIO
is not the fastest bus for exchanging network packets, but maybe
there is room for tuning.  Actual TX/RX is being done in a worker
task that serializes access to the hardware.  This is good enough
to attach to WiFi networks and do network transfers.  Developed
and tested on a Cubox-i.

Simplify logic a bit by moving a block. nbr_stop_itimer() does not use
the dr or bdr fields so clear them first.

timeout_add -> timeout_add_sec

ok patrick@

it turns out the wccp header is optional

peek inside the payload to see if the first nibble looks like ipv4.
if it isnt ipv4 assume it is the wccp header.

bring back the wccp shizz.

implement support for tunnelttl copy.

if the ttl is set to copy, gre will copy the ttl in and out of the
encapsulated packet. it's probably a good idea to set this the same
on both ends of a tunnel.

egre doesn't support tunnelttl copy.

have a go at decoding cisco wccp gre packets, and let them fall into IP.

sync

Make the routing socket more MP save by using a SRPL list for the pcb list.
Still needs the big kernel lock but this is another step in the right direction.
With and OK mpi@

ttl 0 is not valid on the wire, so dont accept it.

implement ethernet over gre encapsulation with a thing egre(4) driver.

there's three main chunks in this: transmit, receive, and factoring out
common gre code.

ethernet over gre unfortunately doesnt pad ethernet frames, so their
payload on rx and their headers on tx will be misaligned. egre copes
with this in the rx path by copying the payload with m_dup_pkt if
it detects misalignment. in the tx path, it unconditionally allocates
a new mbuf for the headers, that can be aligned separately to the
existing payload.

most of the common gre code is in the ioctl paths, so this diff
adds gre_tunnel_ioctl, which is in the spirit of ether_ioctl.

ok claudio@

handle SIOCGLIFPHYTTL and say that the ttl is always "copied"

when using tunnelttl, let -1 mean "copy the ttl from the inner traffic".

tunnelttl now accepts "copy" as an argument, and prints "copy" when
it sees -1.

ok claudio@

ospf6d mostly only cares about AF_INET6 routes
found while investigating routing socket desync with claudio.
ok remi jca claudio

Kill ber.c support for direct fd read/writes

This mechanism is already unused and annotated with lots of XXX's, no
need to keep it around.  ok claudio@

tweak previous;

tweak previous; ok henning

Test that next-hop L2 caches are cloned using the correct MPATH route.

ok jmatthew@, claudio@, dlg@

When multiple RTF_CLONING routes for the same subnet are present, use
the correct one to clone the gateway.

Fix wired vs wireless on the same subnet issue as well as a more
complicated setup reported by dlg@.

ok jmatthew@, claudio@, dlg@

Make pool order on size actually order on size instead of size*inuse.

Prompted by and OK otto@

Add a new '-protected' option for bridge members.

Bridge members that are part of the same protected domain, refered by
a number between 1 and 31, cannot talk to each others.  This is useful
to isolate VMs or untrusted networks at layer 2.

Members can be part of multiple protected domain making it possible to
create complex protected setups.

ok ccardenas@, claudio@, dlg@, henning@

Remove CSRG copyright, there isn't any code left from Berkeley here.

In 2016 natano@ removed the last two functions remaining from the CSRG
time: lockinit() and lockstatus().  At that time they were already wrappers
around recursive rwlocks functions from thib@ that tedu@ committed in 2013.

ok deraadt@

Update regress to use tlsext_serverhello_parse().

Complete the TLS extension rewrite on the client-side.

The RI logic gets pulled up into ssl3_get_server_hello() and
ssl_parse_serverhello_tlsext() gets replaced by tlsext_client_parse(),
which allows a CBS to be passed all the way down.

This also deduplicates the tlsext_client_build() and tlsext_server_build()
code.

ok beck@

Convert option handling for openssl(1) genpkey.

ok beck@ inoguchi@

Update regress to match change to tls_keypair_pubkey_hash().

Have tls_keypair_pubkey_hash() call tls_keypair_load_cert() instead of
rolling its own certificate loading. This also means we get better error
reporting on failure.

Add a regress test that covers libtls keypairs.

Tweak compiler flags to include -DLIBRESSL_INTERNAL and make more warnings
fatal.

Ensure that tls_keypair_clear() clears the OCSP staple and pubkey hash.

Do not bother NULLing pointers in a struct that is about to be freed.

Do not hardcode key length. Pointed out by jsing@

ok deraadt@

After flushing disks, try again to release all memory.  We don't need to
save dirty memory to the hibernate space.

Toss all releaseable memory, because fragmentation can get in the way
of allocating the hibernate playpen.

Use a temporary chacha instance to fill large randomdata sections. Avoids
grabbing the rnglock repeatedly.

ok deraadt@ djm@

make the watermarks/thresholds for entering and leaving syncookie mode when
syncookies are set to adaptive tunable, ok claudio benno

give jmc another chance to "fix previous" - document syncookies
(thanks jmc!)

recognise gre proto 0 as a "keep alive" packet

some helpers to check verbose/quiet mode

Don't update first_sending in state_selecting() and thus
fix the accounting for the interval since we started the
process of getting a lease.

Fixes the 'no lease ... got lease' messaging at a minimum.

Move tls_keypair_pubkey_hash() to the keypair file.

Avoid a memory leak that results when the same tls_config is reused.

Reported by and fix from Nate Bessette <openbsd at nate dot sh> - thanks.

Assert tedu's copyright since some of the code moved here is his.

Add the order keyword to systat global command interpreter.
This command shows the available orderings for the current view, which
ordering is active, their shortcuts, and if they're in reverse order.

manpage nits jmc@
OK tedu@

sr_quiesce() is a new approach for ensuring that softraid drains
output to the disks.

This is part of a larger suspend/resume filesystem-safety diff, which
has been worked on for a couple of months already.  Tests by job, krw,
beck, benno, and others.  Sometimes even by snapshot users...

Split keypair handling out into its own file - it had already appeared
in multiple locations.

ok beck@

Move bwfm(4) from ifq begin/commit/rollback semantics to the newer
ifq dequeue semantics.  This basically means we need to check for
available space before dequeuing a packet.  As soon as we dequeue
a packet we commit to it.  On the PCIe backend this check can not
be done easily since the flowring depends on the packet contents and
we cannot take a peek.  When there is no flowring we cache the mbuf
and send it out as soon as the flowring opened up.  Then the ifq can
be restarted and traffic can flow.  Typically we usually run out of
packet ids, which can be checked without consulting the packet.  The
flowring probably never becomes full as the bwfm(4) firmware takes
the packets off the ring without actually sending them out.

Discussed with dlg@