Release dhcpcd-9.1.2

DHCP6: Use sla setting when calculating delegated prefix length

This is fine as we have a limited list of interfaces we're
delegating to so we know all the numbers.
This fixes an issue where an interface index could exceed 8 bits.

While here change sla_set to a boolean.

privsep: don't abort if setrlimit fails

Just log the error.
This allows valgrind to be used still as it uses big fd numbers in
the client.

DHCP6: Add requested addresses after freeing all state addresses

Otherwise we don't request the correct prefix delegation length
for example....

BSD: Mark routes as static only from static config

Rather than if genered by an address.
This allows RA prefix routes without an address to be non static,
so you could derive whether a route came from something autoconf
or not.

BSD: Mark address AUTOCONF if no kernel RA

Warn if the OS lacks support to lock down BPF or equivalent

udev: disable for non Linux systems

On FreeBSD udev, the function udev_device_new_from_subsystem_sysname
exists but is not implemented.
As such it breaks our device initialisation detection.

Disabled by default, but can be enabled with ./configure --with-udev

IPv4LL: free the arp state once announced for RFC 5227 kernels

Otherwise the BPF process will hang around

privsep: Fix a shutdown race

Only test a successful stop IPC command.
By the time we shutdown the socket to be extra nice, the
process we sent stop to could have already exited, therefore
we can discard any error.

privsep: fix size of rdm

Fix some logic

dhcpcd: Ensure dump is terminated

logerr: Remove setvbuf diagnostic - it's not critical

minor cleanup

Try and guard against impossibly large data.

privsep: RLIMIT_FSIZE works fine on pledge and capsicum

If you don't use the dhcpcd logfile option.
Duh.

DHCP6: Apply delegations to interface on carrier up

Even with DHCP6 turned off for the interface.
As long as it was activated by another interface this is fine.

Linux: Fix compile for systems without route preference

Linux: fix compile on old ones

privsep: Disable RLIMIT_FSIZE when using the logfile option

We cannot offload it to the root process either because not all
sandboxes have access to that.....
Really need to fix syslog so that it starts before dhcpcd.

privsep: Fix compile on alpine linux

privsep: Apply resource limits to OpenBSD as well where we can

After all, pledge or capsicum could have bugs.

privsep: Apply what resource limits we can to capsicum

privsep: Fix prior for capsicum

privsep: control proxy is no longer optional

It's required for pledge.
It *could* be optional for capsicum but I'd like to try and
keep the sandboxing the same for now.

privsep: For Linux and Solaris, set RLIMIT_NOFILES to nevents

Because poll(2) returns EINVAL if nfds is higher.
This really blows chunks, but it is what it is.
An attacker could close a fd and open something else, but it's
the best we can do.

privsep: Fix bogus warnings without inet.

privsep: limit psr_datalen to SSIZE_MAX

privsep: Implement a resource limited sandbox

For systems without Capsicum or Pledge we can create a resource
limited sandbox provided that either ppoll(2) or works with
RLIMIT_NOFILES set to zero.

As far as dhcpcd is concerned, that means Linux and Solaris
won't work with this, but NetBSD and DragonFlyBSD will.

To achieve this, a special control proxy process will be spawned
just to accept new connections over the control socket because
this *cannot* be limited by RLIMIT_NOFILES.

This hook no longer exists

logerr: buffer stderr as we now have many processes

eloop: Fix making the initial event listener

eloop: Don't remove existing callbacks when adding events

While here, add some debug when dealing with many sockets.

eloop: if we take a free event, add it to the main queue

Otherwise it goes into the ether....

RA: Abort if no state

We might have received data for an interface before
its been initialised.

privsep: Limit rights generically rather than Capsicum specifc

You never know when another sandbox tech comes around.
While here, add limits for every socket in the unpriviledged
processes. Some were absent before.

Also, note that RLIMIT_NOFILE breaks our control socket so
temporary disable that.

ARP: gc stale function arp_cancel

BSD: In privsep with no GIFALIAS support? getifaddrs over privsep

This makes the heavy weight call even more heavy weight :(

Linux: more freeifaddrs

privsep: Only use freeifaddrs if not using privsep

Linux: make resource limits work by using getifaddrs over privsep

Linux: resource limits don't easily work here either....

FreeBSD: Fix prior for capsicum as well.

OpenBSD: disable setting resource limits as we have pledge.

privsep: Set resource limits when dropping privs

Disables forking, new files, sockets and writing large files.

if: Keep the PF_LINK socket open throughout

Saves opening it and closing it each time we discover interfaces.

privsep: Remove pledges inet and dns from the master process

Achieved by adding IPC to ignore interfaces names based on
the interface group.

This means every process just pledges stdio for IPC which the
exception of the master process which also pledges route so it
can access the routing table.

Fix installing the embedded config as a file.

Release dhcpcd-9.1.1

privsep: Remove this error masking as well.

privsep: Log ECONNRESET errors again

Now that we've improved the robustness of the IPC this is important.

privsep: Set buffer sizes before setting rights.

privsep: Don't wait for the process to finish when stopping it

Instead, wait on receipt of SIGCHLD so we're not blocked.

Fix warning for prior on Linux

privsep: Fix returning indirect ioctl data

eloop: Just use ppoll(2)

epoll and kqueue are really too heavy weight.
With privsep, we now favour more processes for BPF and per address sockets.
As such, the number of fds to monitor will always be quite small.

All modern OS now have ppoll(2) (NetBSD has pollts, which is the same)
which works perfectly for us.
If neither are present, the a wrapper around pselect(2) is provided,
which can be found on all POSIX systems.

This makes the code a lot smaller and easier to follow.
The reduced binary size and memory usage is a nice win here.

auth: Fix warning for non privsep builds

privsep: Access the RDM monotic file via IPC

As we can't get at it in the chroot.
While here, harden the file.

BSD: Ignore fwip(4)

privsep: harden process handling

If eloop is exited, only allow explicit re-entry.
Only exit on read/write error if a forked process and not root.
If the root process fails to read/write to a sub-process,
stop the sub-process.

ifaces could be NULL here

ARP: call arp_announced when cancelling it

This signals that the announcement has finished and any BPF process
can then be closed off.

auth: Only accept RECONFIGURE messages from LL hosts

This has to be authentiated, and there is a chance we cannot know
the token if IP address sharing.
The initial messages are send via LL anyway, so the peer address
the server should record is the LL.

While here, drop the lease at exit if we accepted a reconfigure token.
The token may not be in all the replies from the server and we
always save the last reply.

XXX Save the token in another file?

privsep: Only open raw sockets for the needed protocols.

Just warn about any errors rather than forcing an early exit as well.
While here, fix startup if DHCPv6 disabled globally but enabled per if.

Fix compile without DHCP or DHCP6

privsep: Double the size of the send buffer.

And ensure the buffer size is not reduced.

privsep: Ensure socketpair IPC buffers are large enough.

For at least one fully sized message.

privsep: Don't carry ifa_next

While harmless, it's also meaningless.

Restore dumping a lease from stdin

Release dhcpcd-9.1.0

Fix compile with inet or inet6 disabled

Linux: File compile without plugins

route: improve overflow logging

logerr: Preserve errno

privsep: Drain the link socket as we can't re-open it.

Add debug per 100 messages.

Fix some Coverity isues

Fix some clang analyzer issues

Solaris: IP_RECVIF is busted on DilOS at least

Luckily Solaris supports IP_PKTINFO as well so lets fall back
to that for the time being.

Solaris: Fix sending RS probes

Solaris: driver names have numbers

So we can't use the BSD/Linux methodology

Solaris: Fix compile

But if_init is failing? Odd as this has not changed.

DHCP6: Revert part of prior - only allow vendorclassid to disable

Not set.
dhcpcd owns the IANA_PEN defined.
Either use it as is, or get your own.
This restores the prior behaviour but still allows the option
as a whole to be disabled by vendorclassid being disabled.

dhcpcd.conf: harden default options

Don't send the current hostname.
Don't send the default vendorclassid.
Slight re-org while here.

DHCP6: Use interface vendorclassid rather than context

This allows the vendor class to be turned off as well.

Appease older compilers

For systems without open_memstream(3) warn that /tmp needs to exit

Inside the privsep users home directory.

Check AF_PACKET is defined

dhcpcd: Fix a memory error dumping leases.

privsep: root and inet don't need arc4random

Saves a fd or two.

privsep: Avoid the /proc/../ escape

dhcpcd: Fix releasing addresses

privsep: Init the arc4random seed before chrooting

/dev/urandom isn't available in the chroot.
So keep a fd open to it.

Fix some memory issues with prior

Fix prior for BSD

privsep: Fix compile for prior without dev plugins

privsep: Pass BPF flags via ps_flags

privsep: Allow dev plugins to work

For udev at least, it requires a /var/run to be available in the chroot
which is poor. As such, give it a full IPC.

privsep: No need for a CHROOT reason now

privsep: Allow Linux to work without needing any mounts