enable PerSourcePenalties by default.

ok markus

NB. if you run a sshd that accepts connections from behind large NAT
blocks, proxies or anything else that aggregates many possible users
behind few IP addresses, then this change may cause legitimate traffic
to be denied.

Please read the PerSourcePenalties, PerSourcePenaltyExemptList and
PerSourceNetBlockSize options in sshd_config(5) for how to tune your
sshd(8) for your specific circumstances.

mention that PerSourcePenalties don't affect concurrent in-progress
connections.

disable stderr redirection before closing fds

regress test for PerSourcePenalties

make sure logs are saved from sshd run via start_sshd

simplify

prepare for PerSourcePenalties being enabled by default in future

Add a facility to sshd(8) to penalise particular problematic client
behaviours, controlled by two new sshd_config(5) options:
PerSourcePenalties and PerSourcePenaltyExemptList.

When PerSourcePenalties are enabled, sshd(8) will monitor the exit
status of its child pre-auth session processes. Through the exit
status, it can observe situations where the session did not
authenticate as expected. These conditions include when the client
repeatedly attempted authentication unsucessfully (possibly indicating
an attack against one or more accounts, e.g. password guessing), or
when client behaviour caused sshd to crash (possibly indicating
attempts to exploit sshd).

When such a condition is observed, sshd will record a penalty of some
duration (e.g. 30 seconds) against the client's address. If this time
is above a minimum threshold specified by the PerSourcePenalties, then
connections from the client address will be refused (along with any
others in the same PerSourceNetBlockSize CIDR range).

Repeated offenses by the same client address will accrue greater
penalties, up to a configurable maximum. A PerSourcePenaltyExemptList
option allows certain address ranges to be exempt from all penalties.

We hope these options will make it significantly more difficult for
attackers to find accounts with weak/guessable passwords or exploit
bugs in sshd(8) itself.

PerSourcePenalties is off by default, but we expect to enable it
automatically in the near future.

much feedback markus@ and others, ok markus@

ssl_tlsext: fix uninitialized variable warning with gcc

This is a false positive but as is well-known, gcc is terrible at
understanding conditionally initialized variables and it is tedious
to explain this to downstream maintainers who look at warnings.

ok miod

sync

hook dhcp6leasectl to the built

dhcp6leasectl

hand PD_IAs to dhcp6leasectl

Correct plural form usage.

Tell my future self why I don't want to change this check

Fix call instruction disassembler in ddb.

Disassembling the amd64 call instruction in ddb produced wrong
output.  The operand of e8 is only 4 bytes long, not 8.  The shown
address was off by 4 bytes.  Following instructions were interpreted
incorrectly.

OK guenther@

Check that TA certs are correctly signed

We know the pubkey from the TAL, so check that the signature is right
as required by RFC 6487, section 7, additional condition 1, applied to
self-issued certs. Make the error check weird since OpenSSL 3 broke yet
another API (thanks claudio for making me go look).

ok claudio job

rpki-client: fix RFC section references in ta_parse()

ok claudio

rpki-client: fix a crash in filemode

For an expired TA, cert is freed and zeroed in file mode and cert_print()
crashes. For such TAs (and otherwise invalid ones) expired and notafter
become dangling pointers. Invalidate them and set them only for valid TA
certs.

with/ok claudio

Accept more compact forms of prefix delegation requests.

For example, these are now valid, too:

request prefix delegation on vio1 for vether4/64
request prefix delegation on vio1 for { vether5 vether6/64 }

Reminded by Tim Kuijsten

ip_resources_print(): zap extra blank line

rpki-client: simplify ta_parse()

Since this is always called after cert_parse_pre(), notBefore and notAfter
are available in struct cert, so we can use time_t comparison.

ok claudio

Clear DF flag after kcopy faulted.

A memory corruption in the kernel happend that was caused by memset
in the wrong direction.  After that DF bit was set in ddb rflags.

Only kcopy and memmove use std to set DF bit.  kcopy has the special
property that it can fault.  In this case DF is set in the trap
frame.  kpageflttrap() changes the return address to copy_fault via
pcb_onfault.  When alltraps_kern returns, it restores the rflags
with DF set and jumps into copy_fault.  From there a function return
goes back into regular kernel execution.  Now DF is set, but kernel
memset and memcpy expect that it is cleared.

After copy fault, also reset the DF bit with cld in copy_fault.
The crash happend on OpenBSD 7.4 amd64.  As i386 code looks similar,
also insert cld there.

OK guenther@ miod@

disable -fret-clean in the kernel until the returns_twice situation is handled

Revert __bounded__ hack in chacha-merged.c

Thanks to Viktor Szakats for figuring out that stdint.h was missing
in the portable tarballs.

Pass cpu_fork() function to the new process through caller-saved registers
in the pcb rather than on the stack. This makes the code simpler and faster
and gets rid of one short timeframe where the stack pointer is only aligned
to an 8 byte boundary instead of a 16 byte boundary.

Implement lease files.

Use a loop to add request options.

This makes it easier to extend in the future.

unused function

implement removing of addresses from interfaces

Only complain about empty list of revoked certs if verbosity > 1

Given that 15% of CRLs is affected, this is a noisy warning. Krill is
dormant and it will take forever until a fixed version iss deployed.
Until then I'd like to avoid being annoyed wiht this stupid noise.

ok claudio

No need to call d_open/d_close for every hibernate resume i/o.

Speeds up resuming from hibernate.

Testing florian@ stsp@

ok mlarkin@ stsp@

Do not try to configure an interface with prefix length 0.

Do not request a prefix with length zero.

If we got a prefix delegation for some IA but not others use the
prefix lenght from the configuration for the ones we did not get a
prefix delegation.

add support for VLAN tag offloading to dwqe(4)

Tested:
RK3568: kettenis@, jmatthew@; RK3568 can do Rx VLAN tag stripping only
Intel Elkhart Lake: stsp@; EHL additionally supports VLAN tagging on Tx

tweaks + ok jmatthew@

Now that our hibernation sub-system supports 4096 byte sectors, add
hibernation support for ufshci(4).

Input from kettenis@, krw@, deraadt@, mlarkin@.

ok mlarkin@, deraadt@

make test struct const

Bump versions of boot media now capable of un-hibernating from non-DEV_BSIZE
sectored media.

Bump to common version (3.67) to indicate new MI capability.

Reminded by deraadt@

Enable hibernate/resume to nvme(4) disks with 4096 byte sectors.

testing by florian@ mglocker@ mlarkin@

ok deraadt@ mglocker@ mlarkin@

services: add matrix-fed tcp port 8448

registered at IANA since last august for Matrix Federation Protocol
https://www.iana.org/assignments/service-names-port-numbers/service-names-port-numbers.xhtml?search=8448

ok djm@ solene@

Allow sbld allocation to fail when PMAP_CANFAIL.

pool_get in powerpc64's pmap might fail when uvm_km_pages.free == 0.
This might cause KASSERT(slbd) to panic 'kernel diagnostic assertion
"sbld" failed'.  Remove this KASSERT and add a check for PMAP_CANFAIL.
pmap_enter calls without PMAP_CANFAIL might still panic.

ok mpi@ jca@

IAIDs can start at 0.

I was under the impression that an IAID of 0 is special, but that's
not true. Letting IAID start at zero makes array indexing easier and
avoids an out of bounds access pointed out by dhill.

While here, do not trust IAID received via imsg but do our own
accounting.

enable -fret-clean on amd64, for libc libcrypto ld.so kernel, and all the
ssh tools.  The dynamic objects are entirely ret-clean, static binaries
will contain a blend of cleaning and non-cleaning callers.

Avoid unnecessary string traversals in u8_isutf() and substr().

For u8_isutf() the conditionals already ensure that a NUL byte won't
match.  For substr() we can use the byte offset of 'm' to avoid
re-scanning the initial part of the string.  From Jonas Bechtel.

rpki-client: rework AIA, SIA, and CRL handling

Assert that the out parameter is NULL rather than blindly NULL-ing it,
and follow the approach in sbgp_sia() more closely: use a local variable
and warn on any ignored accessMethod/distributionPoint in verbose mode.
AIA is slightly different because there's only a single accessMethod.

Drop the now useless (and previously wrong) warning on *out != NULL in
x509_location(). Instead, assert that the out parameter is NULL. This
way things are a bit less clever, but more explicit, more correct, more
robust, and the code grew only very slightly.

ok claudio

rpki-client: reject certs with unexpected SIA accessMethods

RFC 6487, section 4.8.8.1 only lists caRepository and rpkiManifest, and
RFC 8182 added rpkiNotify for RRDP. All other access methods (which would
be children of id-ad), are not allowed and do not really make sense here.

ok claudio

rpki-client: only allow a single rpkiNotify SIA accessMethod

RFC 8182, section 3.2 is not super explicit about it, but there should
only be one rpkiNotify accessMethod, and it should contain a location
with a URI of type https. Check this and reject certs that contain more
than one.

ok claudio

vio(4): remove useless casts and fix spacing

ok sf@

In dequeue_randomness() use an atomic instruction to increase the
rnd_event_cons. This way even concurrent calls to dequeue_randomness()
will use some different events.
OK deraadt@ djm@

now that we have dired-up-directory, use it in dired-jump too

it's handy to be able to do C-x C-j (dired-jump) repeatedly to
navigate upwards starting from a buffer, and follows GNU Emacs
behaviour too.

add dired-up-directory bound to ^ to go up on directory in dired buffers

diff from Dante Catalfamo (date [at] lambda [dot] cx) with some minor
style nits and the manpage bits from me.

ok florian@

rpki-client: remove proto argument from x509_location()

After recent changes, the rpkiNotify access description became the last
user of it, so this is now a pointless complication.

ok claudio

Lock and unlock EPT pmaps before page table entry modification.

ok mlarkin@

add .mjs -> text/javascript. ok florian@

gc v4 struct

more sleepy florian knf issues

OpenBSD intentionally does not print a flavor for -r.

confirmed by & OK deraadt

more whitespace and knf

knf; pointed out by deraadt

correcly -> correctly

httpd: render "emojis" as text in directory listing

The "up and down" character used in the directory listing is
technically an emoji and can, depending on the browser configuration,
be rendered in colors and whatnot.  set `font-variant-emoji' to ask
the browser to render it as text.  This property, as of now, needs
to be enabled manually in some browsers, but since it's part of the
"CSS Fonts Module Level 4" spec, support for it is expected to be
implemented and turned on "soon" in major browsers.

While here, remove the italic for directories.

Diff from Paul W. Rankin (hello (at) paulwrankin dot com)
ok claudio@

Remove lock_class_sched_lock from lock_classes since the corresponding
entry in enum lock_class_index was removed in sys/_lock.h
You get fireworks if the lock_classes array and enum lock_class_index
get out of sync.

sort

Rework SIA handling to be less incorrect

Currently we would only accept rsync URIs in caRepository and rpkiManifest.
This is wrong. The specification requires at least one rsync URI to be
resent, but allows for other URI types, ordered by descending CA preference.
With this diff we will still only respect the first rsync address, but we
will no longer reject certificates listing other URIs. Make the warning
conditional on verbose mode.

Also make it clearer that sbgp_sia() (which is poorly named) is for CA
certs while x509_get_sia() is for EE certs.

input/ok claudio

Remove the now unsued s argument to SCHED_LOCK and SCHED_UNLOCK.

The SPL level is not tacked by the mutex and we no longer need to track
this in the callers.
OK miod@ mlarkin@ tb@ jca@

There is no more LO_CLASS_SCHED_LOCK lock class.
OK miod@ mlarkin@ tb@ jca@

Remove superfluous pmap_extract() call in the hibernation path.

ok jsg@

implement rapid commit

sync

Track changes to dhcp6leased.conf

looks correct to deraadt

etc bits for dhcp6leased

looks correct to deraadt

hook dhcp6leased to the build
OK deraadt

Fix input handling wrt redrawing. The new version of curses does
not like shortcutting switching windows, especially if you're also
using libc for i/o. Reported by Don Wilburn; ok jsg@

Pledge violation messages are no longer accessible through dmesg since
the switch to uprintf. Attach a pseudo terminal in pledge regress in order to
observe the syscall number that caused the pledge violation, shrug.

Passing a NULL digest to SHA routines from libcrypto is no longer
supported.

ok tb@

avoid shadowing a local variable in a lower scope

Spelling fixes and removal of unneeded prototypes and extern.
From jsg@ via upstream.

Build with WARNINGS=Yes and fix resulting warnings.

remove prototypes with no matching function
leave prototypes with functions in OpenSMTPD-extras
ok op@

sencond -> second; ok florian@

ugh, another typo; spotted by naddy

oops typo

prev_plen is only accessed on the 2nd round through the loop.

Static analysers don't understand this. So give it a value
to shut them up.
Reported by jsg

Fix indent; pointed out by miod

Make sure we find a link-local address and rdomain

pointed out by jsg & miod

gc unused variable

pointed out by jsg

Grow amd64 install*.{iso,img} because -fret-clean *.tgz sets are a tiny
bit bigger.

Due to growth, crunchgen must also try to block -fret-clean, so also use
COPTS+=-fno-ret-clean

Due to growth we can't allow -fret-clean behaviour in distrib/special,
so use COPTS+=-fno-ret-clean

oops, we need to hold on to ifap for a bit longer

add -fret-clean option (amd64 and i386 only at first), defaulting to off.
This causes the caller to cleans the return address off the stack after
a callq completes.  The option is best used in low-level libraries (such as
libc), because libc contains low-level system call stubs.  The option
reduces hints (found on the stale parts of the stack) about libc.so's mapping
location, and together with random-relinking, relro got/pic, and xonly
makes some exploit methods more difficult.
ok mortimer, mlarkin, much discussion with kettenis, in snaps for 2 weeks.

add -fret-clean option (amd64 and i386 only at first), defaulting to off.
This causes the caller to cleans the return address off the stack after
a callq completes.  The option is best used in low-level libraries (such as
libc), because libc contains low-level system call stubs.  The option
reduces hints (found on the stale parts of the stack) about libc.so's mapping
location, and together with random-relinking, relro got/pic, and xonly
makes some exploit methods more difficult.
ok mortimer, mlarkin, much discussion with kettenis, in snaps for 2 weeks.

pledge, MAP_STACK, and pinsyscall failures have been providing failure
visibility with kernel printf(9) (thus, onto console and into dmesg) since
the start of development.  I want to reduce the dmesg spam, and bring
this more into the attention of the user who ran the command, so let's
try using uprintf(9) which puts it onto the active foreground tty (yes,
there maybe cases where there is no tty, but that's ok.  I'll admit
I've considered deleting the logging messages entirely)
tested in snaps for a week

fix leaks

Unlike DHCPv4 we will only send multicast messages.

Initialize destination address once and fold udp_send_packet()
into send_packet().
While here improve debugging output a bit.

we do not poke around in udp headers

DHCPv6 is not concerned with link layer addresses.
pointed out by martijn

Implement renew & rebind.

Missed in previous.

Switch to rebinding at the rebinding time not when one timeout past.

Spotted while hacking on dhcp6leased(8)

sync