This commit was generated by cvs2svn to compensate for changes in r89750,
which included commits to RCS files with non-trunk default branches.

import top_3_5beta12

Add entry for EVFILT_NETDEV, which was inadverdently omitted back in Sept.

Change the order in which pam_sm_open_session() updates the logs.  This
doesn't really make any difference, except it matches wtmp(5) better.

Don't do anything in pam_sm_close_session(); init(8) will take care of
utmp and wtmp when the tty is released.  Clearing them here would make it
possible to create a ghost session by logging in, running 'login -f $USER'
and exiting the subshell.

Sponsored by: DARPA, NAI Labs (but the bugs are all mine)

Style.

Approved by: ken

Don't set PAM_RHOST, this is a local login.

Sponsored by: DARPA, NAI Labs

Correctly interpret PAM_RHOST being unset as an indicator of a local
login.

Sponsored by: DARPA, NAI Labs

Correctly interpret PAM_RHOST being unset as an indicator of a local
login.

Style nits.

Sponsored by: DARPA, NAI Labs

get __time_load_locale() prototype from include file, rather than declare
own

This commit disables chain caching.

Chain caching is a feature of Linux-PAM, where pam_authenticate() and
pam_open_session() "freeze" the chain so that their companion
primitive (pam_setcred() and pam_close_session() respectively) will
call the exact same modules, skipping those that failed in the
previous call.

There are several reasons not to do this, the most prominent of which
is that it makes it impossible to call pam_setcred() without first
calling pam_authenticate() - which is perfectly valid according to
DCE/RFC 86.0 and XSSO, and is necessary to make 'login -f' work.

Instead of chain caching, implement something similar to the way
Solaris' libpam behaves: pam_setcred treats "sufficient" modules as if
they were "required", i.e. does not break the chain when they succeed.

PAM modules whose pam_sm_setcred() should not be called unless their
pam_sm_authenticate() succeeded can simply set a state variable using
pam_set_data() in pam_sm_authenticate(), and use pam_get_data() to
check it in pam_sm_setcred().

Sponsored by: DARPA, NAI Labs

1) Fix a debug statement by filling in its data before the printf in
stead of after
2) Honour NO_TEST_UNIT_READY quirk for atapi devices as well
3) Actually support FujiFilm FinePix 6800 camera's. Will very likely also
work for other FinePix models.

Based on a debug session about half a year ago with Nik Hibma.
MFC after: 2 weeks

* style(9)'fy
* declare prototype for __time_load_locale() in timelocal.h

Fix problem where with PicoBSD the shell coredumps if it does not find an
entry for its terminal type in /etc/termcap.

Submitted by: bde

Document the even_root option.

Sponsored by: DARPA, NAI Labs

Don't let root through unless the "even_root" option was specified.

Sponsored by: DARPA, NAI Labs

Change brk's prototype from char *brk(const char *) to int brk(const void *)
and sbrk's prototype from char *sbrk(int) to void *sbrk(intptr_t).

This makes us more consistant with NetBSD and standards which include
these functions. Bruce pointed out that ptrdiff_t would probably
have been better than intptr_t, but this doesn't match other
implimentations.

Also remove local declarations of sbrk and unnecessary casting.

PR: 32296
Tested by: Harti Brandt <brandt@fokus.gmd.de>
MFC after: 1 month

Providing long filename support on the Macintosh requires over 30
megabytes of additional space on the install CD.  Given our premium
for space, I don't think this is a wise use of 30MB.  HFS support was
not provided on the FreeBSD 4.4 CDs and I received a grand total of 0
complaints.

Add a PAM module that records sessions in utmp/wtmp/lastlog.

Sponsored by: DARPA, NAI Labs

Fix some pastos.  Rather shoddy of me...

Sponsored by: DARPA, NAI Labs

Add libfetch.so.2 from a 10-Dec-2001 releng4 build.

MFen (1.265 --> 1.266).

Detect if a udp socket on STDIN_FILENO is connected by calling
getpeername() and don't set PASSIVE mode if it's is.

Regenerated file from previous commit to syscalls.master

Linux/alpha uses the same BSDish return mechanism we do for
getpid, getuid, getgid and pipe, since they bootstrapped from
OSF/1 and never cleaned up.  Switch to the native syscalls
on alpha so that the above functions work

MFC after: 7 days

Cross reference the NETWORK ADDRESS TRANSLATION section when describing
the -nat flag.

Requested by: eivind

New release note:  smmsp/mailnull users.

Reviewed by: gshapiro

Add a PAM module that provides an account management component for checking
either PAM_RHOST or PAM_TTY against /etc/login.access.o

This uncovers a problem with PAM_RHOST, in that if we always set it, there
is no way to distinguish between a user logging in locally and a user
logging in using 'ssh localhost'.  This will be fixed by first making sure
that all PAM modules can handle PAM_RHOST being unset (which is currently
not the case), and then modifying su(1) and login(1) to not set it for
local logins.

Sponsored by: DARPA, NAI Labs

Add an AUTHORS section crediting ThinkSec, DARPA and NAI Labs.

Sponsored by: DARPA, NAI Labs

Add pam_ssh support to the static PAM library, libpam.a:

- Spam /usr/lib some more by making libssh a standard library.
- Tweak ${LIBPAM} and ${MINUSLPAM}.
- Garbage collect unused libssh_pic.a.
- Add fake -lz dependency to secure/ makefiles needed for
  dynamic linkage with -lssh.

Reviewed by: des, markm
Approved by: markm

Base the comparison on UIDs, not on user names.

Sponsored by: DARPA, NAI Labs

Make libssh.so useable (undefined reference to IPv4or6).

Reviewed by: des, markm
Approved by: markm

dhclient-script.conf lives in /etc and not /sbin.

PR: docs/32008
Submitted by: John E Hein <jhein@timing.com>
Approved by: obrien

Add local/share/java/classes, local/share/sgml, local/share/xml

Approved by: ru, silence on -ports
MFC after: 1 week

The sixth argument to the NET_RT_IFLIST sysctl is actually 0 for
all interfaces, and ifnet.if_index value for a single interface.

CG hard sentence breaks.

Submitted by: ru

in fget() return EINVAL when the descriptor requested is negative.

Remove holdfp() prototype now that the function no longer exists

forced commit, Previous revision also removed the holdfp() function
from the kernel.

make pread use fget_read instead of holdfp.

Roll to latest production level firmware.

MFC after: 1 day

improve sndstat output of feederchains so it can be understood without
reading the feeder sourcecode

print warnings if a pcm*.buffersize hint is out of range or a non-power-of-2

fix some comments accidentally hit by search/replace several revisions ago

set the speeds the right way round for recording using the rate feeder

add more error checking in chn_init() and chn_reset()

make the feederchain builder work for recording.  this has not been tested
extensively as none of my testboxes have speakers or an audio source at
present, but the chains built look correct and reading /dev/audio (ulaw,
translated from signed 16 bit little-endian) gives values within the
expected range for silence.

don't bother checking if an unsigned parameter is less than 0 in a KASSERT

add more error checking to open of /dev/dsp* and /dev/audio* - if the
default format for the chosen subdevice cannot be obtained return an error
instead of returning success with an indeteterminate format selected.

note that this should never happen once the feederchain builder works for
recording.

don't allow mmap beyond the end of the buffer

Submitted by: Philippe Anel <philippe.anel@noos.fr> (partially)

remove modules no longer built

consolidate bits that don't need to be seperate modules into the modules
that want them

Add a stub for softdep_request_cleanup() so that compilation without
SOFTUPDATES option works properly.

Submitted by: Benno Rice <benno@jeamland.net>

Add missing destroy_dev().

Submitted by: Maxime Henrion <mux@sneakerz.org>
Reviewed by: msmith@
MFC after: 3 weeks

MFen (1.264 --> 1.265).
Refine translation (by y-koga@jp).

Undo the work-around for the sendfile bug where nbytes needed the hdr/trl
size added to it in order for it to work properly when nbytes != 0.

Reviewed by: alfred
MFC after: 3 days

The mode of files created by ctm_rmail was always 0600, even if the
umask was less restrictive. This was caused by the use of mkstemp()
which internally passes a mode of 0600 to open(). Fix this by
explicitly chmod'ing the files to (0666 & ~umask).

PR: bin/16119
Submitted by: Sascha Blank <blank@uni-trier.de>

Add ngctl "write" command.

MFC after: 1 week

Remove bogus _POSIX_ACL_PATH_MAX definition.

Fix a typo and fix indenting for struct sockaddr to match other structs.
No content changes.
MFC after: 3 weeks

Don't use `you'.

Submitted by: ru

Restore C99 standard conformance information, isblank() _is_ in final
standard document

Pointed by: "Jacques A. Vidrine" <n@nectar.cc>

Show arguments of command line options
Reviewed by: ru

The ENDPTS_EQ macro was comparing the one of the fports to itself.  Fix.

Submitted by: emy@boostworks.com

Initialize the sysctl_ctx list early, which avoids a panic in case other
allocatiosn fail and fxp_release() is called.

Null commit -  the previous log message should have read:

  Fixed bug in calculation of amount of file sent when nbytes !=0 and
  headers or trailers are supplied. Reported by Vladislav Shabanov
  <vs@rambler-co.ru>.

Use the proper type (gid_t) for (group)->gr_gid to be orthogonal
with uid_t usage and (user)->pw_uid.

PR: 3242

Fixed bug in calculation of amount of file to send when nbytes !=0 and
headers or trailers are supplied. Reported by Vladislav Shabanov
<vs@rambler-co.ru>.

PR: 33771
Submitted by: Maxim Konovalov <maxim@macomnet.ru>
MFC after: 3 days

Do not taint ::/124 for localhost reverse table.

Reincarnate SETUID code in man(1), not compiled in by default.

The code will be fixed for all known security vulnerabilities,
and a make.conf(5) knob (ENABLE_SUID_MAN) will be provided for
those who still want it installed setuid for whatever reasons.

Revert revision 1.57 -- ache@ axed /var/spool/uucp in BSD.var.dist,v 1.55.

Fix the description of the O_NONBLOCK flag to match reality.

Prodded by: Maxim Konovalov <maxim@macomnet.ru>
Obtained from: BSD/OS

Fix a typo I made in revision 1.5.

Submitted by: trevor

In certain cases sbuf_printf() and sbuf_vprintf() could mistakely
make extendable sbufs as overflowed.

Approved by: des

Mention that a minimal version of camcontrol(8) is now available in the
installation environment (currently only for i386 releases).

Tiny style change.  Whitespace only change.
Use tab after #define ENOTSUP.

Reviewed by: mike

Finish cleanup in chroot.c CSRG revision 5.6 by Keith Bostic
(never installed setuid, so don't need to reset the uid).

PR: bin/34159

Finish cleanup in kvm.c revisions 1.10 and 1.11 -- mark sf (swapfile)
argument to kvm_open() and kvm_openfiles() as unused.

BSD didn't read swap since kvm.c CSRG revision 5.21 (u-area is pageable
under new VM.  no need to read from swap.)

The old !NEWVM code was removed in CSRG revision 5.23 (~ten years ago).

This patch fixes a long standing complaint with soft updates in
which small and/or nearly full filesystems would fail with `file
system full' messages when trying to replace a number of existing
files (for example during a system installation). When the allocation
routines are about to fail with a file system full condition, they
make a call to softdep_request_cleanup() which attempts to accelerate
the flushing of pending deletion requests in an effort to free up
space. In the face of filesystem I/O requests that exceed the
available disk transfer capacity, the cleanup request could take
an unbounded amount of time. Thus, the softdep_request_cleanup()
routine will only try for tickdelay seconds (default 2 seconds)
before giving up and returning a filesystem full error. Under typical
conditions, the softdep_request_cleanup() routine is able to free
up space in under fifty milliseconds.

MFen (1.263 --> 1.264).
Fix typo.

hw.physmem is more properly a loader tunable, not an environment
variable (which is ambiguous).

Submitted by: dwhite

o Remove the -V [version number] option, since our version of at(1) no
  longer resembles the original.
o Remove references to `you' in the manual.

Submitted by: Joe Halpin <joe.halpin@attbi.com>

Don't read the sigcontext pointer directly from userspace.  If the process
is swapped out, this can cause a system panic.  Copy it in, instead

tested by: Bernd Walter <ticso@cicely8.cicely.de>

List bit 18 (reserved, apparently present on thunderbird cpus)
and bit 19 (athlon XP/MP rev 0x662 and later) for amd_features.

Submitted by:  dwcjr

The idea of mapping non-existen characters to space (0x20) was nice alone,
but those maps also used as backward maps for Paste, so space becomes mapped
to last non-existen character on Paste as result.

Fix it by mapping non-existen characters to another non-existen one, i.e. to
0x00, so unused 0x00 can be backward-mapped to some junk without real harm.

Pointed by: Alexander Kabaev <ak03@gte.com>

Gah! last commit botched indentation, fix indentation and some other
white-space nits while at it.

Restructure slightly, eliminating some repetitive source lines and
making GEOM patches simpler and more readable at the same time.

Link pam_opieaccess, pam_self and pam_ssh into the static library.

Sponsored by: DARPA, NAI Labs

Add the necessary dependencies and linker flags for linking with a
static PAM library that includes pam_ssh.

Sponsored by: DARPA, NAI Labs

Correct typos and macro usage.

PR: 33179, 33181, 33295
Submitted by: Norihiro Kumagai <kumagai@attbi.com>
Reviewed by: sheldonh (MAINTAINER)
MFC after: 2 days

- Check the address family of the destination cached in a PCB.
- Clear the cached destination before getting another cached route.
  Otherwise, garbage in the padding space (which might be filled in if it was
  used for IPv4) could annoy rtalloc.

Obtained from: KAME

- Check the address family of a cached destination, in case of
  sharing the cache with IPv4.
- Check if the cached route is up in in6_selectsrc().

Obtained from: KAME

Remove my workaround fallback since PAM now do it properly.

On second thought, getpwnam() failure should be treated just as if the user
existed, but had no OPIE key, i.e. PAM_IGNORE.

Pointed out by: ache
Sponsored by: DARPA, NAI Labs

Return PAM_SERVICE_ERR rather than PAM_USER_UNKNOWN if getpwnam() fails, as
PAM_USER_UNKNOWN will break the chain, revealing to an attacker that the
user does not exist.

Sponsored by: DARPA, NAI Labs

Enable OPIE by default, using the no_fake_prompts option to hide it from
users who don't wish to use it.  If the admin is worried about leaking
information about which users exist and which have OPIE enabled, the
no_fake_prompts option can simply be removed.

Also insert the appropriate pam_opieaccess lines after pam_opie to break
the chain in case the user is logging in from an untrusted host, or has a
.opiealways file.  The entire opieaccess / opiealways concept is slightly
unpammish, but admins familiar with OPIE will expect it to work.

Reviewed by: ache, markm
Sponsored by: DARPA, NAI Labs

Further changes to allow enabling pam_opie(8) by default:

 - Ignore the {try,use}_first_pass options by clearing PAM_AUTHTOK before
   challenging the user.  These options are meaningless for pam_opie(8)
   since the user can't possibly know the right response before she sees
   the challenge.

 - Introduce the no_fake_prompts option.  If this option is set, pam_opie(8)
   will fail - rather than present a bogus challenge - if the target user
   does not have an OPIE key.  With this option, users who haven't set up
   OPIE won't have to wonder what that "weird otp-md5 s**t" means :)

Reviewed by: ache, markm
Sponsored by: DARPA, NAI Labs

When running on a local terminal, set PAM_RHOST to the local hostname.

Sponsored by: DARPA, NAI Labs

RFC1122 requires that addresses of the form { 127, <any> } MUST NOT
appear outside a host.

PR: 30792, 33996
Obtained from: ip_input.c
MFC after: 1 week

Add a new module, pam_opieaccess(8), which is responsible for checking
/etc/opieaccess and ~/.opiealways so we can decide what to do after
pam_opie(8) fails.

Sponsored by: DARPA, NAI Labs
Reviewed by: ache, markm