Merge a bunch of changes to TCP compressed TIME_WAIT state handling
that was done by myself and ru@ in HEAD:

o Remove a code from in in_pcblookup_local() that can lead to
  million times looping in this function.
o Rewrite the storage of tcptw entries to simple TAILQ. The
  more complex double LIST is not needed anymore since T/TCP
  is removed.
o Add possibility to change net.inet.tcp.maxtcptw via sysctl
  and load time tunable. Do not modify maxtcptw if it was set
  explicitly, if maxsockets is modified.
o Add sysctl that allows to suppress creating time wait states
  for sockets, where both endpoints are local.

Approved by: re (kensmith)

MFC: fix markup

Approved by: re (kensmith)

MFC: etc/defaults/rc.conf 1.288

Update geli_swap_flags, -e is now used to specify the encryption algorithm.

Committed to HEAD by: brueffer
Reminded by: Henrik Brix Andersen <henrik@brixandersen.dk>
Approved by: re (kensmith)

MFC:

Vnode locks are recursive and the NFS client support shared vnode locks.

Approved by: re

MFC: Tweak comment.

Approved by: re (mlaier)
Requestd by: delphij

MFC: Sync the nve(4) driver with HEAD including updating the binary
library to the 1.0-0310 23-Nov-2005 version and adding device IDs for
the nForce 430 chipset.

Requested by: Jared Ring <jring at kingsley dOt vic DOT edu DoT au>
Approved by: re (kensmith)

Merge audit_bsm.c:1.11 from HEAD to RELENG_6:

  Add a BSM conversion switch case for AUE_GETCWD, so that a console
  warning isn't generated when __getcwd() is invoked.

  Obtained from: TrustedBSD Project

Approved by: re (mux)

Merge audit.c:1.19 from HEAD to RELENG_6:

  Small style cleanup.

Approved by: re (mux)

MFC of fix for PR 98858
Properly cast the values of valsize (the size of the value passed in)
in setsockopt so that they can be compared correctly against negative
values.  Passing in a negative value had a rather negative effect
on our socket code, making it impossible to open new sockets.

PR:             98858
Submitted by:   James.Juran@baesystems.com
Approved by:    re

MFC: CSTD support

Approved by: re (kensmith)

MFC: avoid unnecessary use of touch + ${.TARGET} fixes + redirection issues

Approved by: re (kensmith)

MFC: CPUTYPE support for VIA C3

Approved by: re (kensmith)

MFC: "late" flag in fstab + mountlate script + necessary changes to mount(8)

Approved by: re (kensmith)

MFC: Add autologin entries for all speeds.

Approved by: re (kensmith)

MFC: Use net.inet6.ip6.redirect / ip6_sendredirects as part of the decision
to generate icmp6 redirects. Now it is possible to switch redirects off.

Approved by: re (bmah)

MFC: Stop cutting tarball names to eight symbols.

Approved by: re (kensmith)

MFC: Sync sizes of physmap[], phys_avail[], and dump_avail[] and bump up
the sizes to handle systems with very fragmented memory maps.

Approved by: re (kensmith)

MFC: Use sysctl_handle_long() for kern.ipc.maxsockbuf.

Approved by: re (kensmith)

MFC: Use better Korean translation for `trap'.

Approved by: re (bmah)

Mark the beginning of the 6.2-REL release cycle.

Approved by: re (implicit)

MFC the nanobsd(8) manual page.

Approved by: trhodes (mentor)

MFC: Catch up to xchat and samba package changes

MFC, camcontrol reportluns support:
camcontrol.8: rev 1.42
camcontrol.c: rev 1.54
scsi_all.c:   rev 1.49
scsi_all.h:   rev 1.26

Implement 'camcontrol reportluns'.  This allows users to send the SCSI
REPORT LUNS command to a device.

camcontrol.[c8]: Implement reportluns.  This tries to print the LUNs
out in a reasonable format.  Only the periph
addressing method has been tested, since very little
hardware that I know of supports the other methods.

scsi_all.[ch]: Revamp the report luns CDB structure and helper
functions.  This constitutes a little bit of an API
change, but since the old CDB length was 10 bytes,
and the REPORT LUNS CDB length is actually 12 bytes,
it's clear that no one was using this API in the
first place.

MFC:

Remove call to fdfree() for the AIO daemons to prevent kernel panics
with linprocfs. This call is not needed since file descriptor sharing
was removed in v1.125.

MFC: pf_ioctl.c, 1.26
  Fix stateful filtering of loopback IPv6 traffic to an address not
  configured on lo0.  While here fix a comment.

  PR: kern/102647
  Reported by: Frank Steinborn
  Submitted by: suz (earlier version)

Back out previous change from RELENG_6. There is a problem with
synchronization with those changes and I need some time to investigate it.

MFC: Bump document date.

MFC:

- Make the PROBE_KEYBOARD compile-time option of pxeboot(8) better
  resemble the -P option in boot2, i.e., if keyboard isn't present
  then boot with both RB_SERIAL and RB_MULTIPLE set.

- Document BOOT_PXELDR_ALWAYS_SERIAL and BOOT_PXELDR_PROBE_KEYBOARD
  options of pxeboot(8).

Shuffle things around to keep changes to HEAD at an absolute minimum.

MFC: sys/geom/gate/g_gate.c 1.24-1.26
sys/geom/gate/g_gate.h 1.9-1.10

Fix problems with destroy and forcible destroy functionality:
- hold/release device in start/done routines, this will probably slow
  down things a bit, but previous code was racy;
- only release device if g_gate_destroy() failed - if it succeeded device
  is dead and there is nothing to release;
- various other changes which makes forcible destruction reliable.

Use __FBSDID in .c files.

Bump copyright year.

MFC:

- bring alloca(3) manpage up with reality
- stop using alloca(3) in sysctl(8)

MFC:  SA-06:19.openssl, SA-06:20.bind, audit kernel support, OpenBSM
userland, cp(1) -l, freebsd-update(8), pkill(1) moved to /bin,
/etc/rc.d/auditd, BIND 9.3.2-P1, GCC 3.4.6, lukemftpd from NetBSD
20060831, TrustedBSD 1.0 alpha 10.

MFC: rev 1.72: lukemftpd.

MFC: build bits matching LukeM's ftpd 31-Aug-2006 update.

MFC: LukeM's ftpd taken from the NetBSD CVS repo on 31-Aug-2006.

MFC: rev 1.185

Add a new kernel environment variable "boot.netif.mtu" which is used to
set the MTU prior to mounting root via NFS.  This is required if the
server supports a higher than default MTU because the client will not
see the responses otherwise.

MFC: Support Celsius (nn.nC), Fahrenheit (nn.nF) and Kelvin (nnnn) to
specify temperature.

sbin/sysctl/sysctl.c: 1.74
sys/dev/acpica/acpi_thermal.c: 1.63

MFC: Recognise IPv6 PIM packets.

MFC rev. 1.140
Properly lock ifmedia callbacks. This should prevent concurrent access to PHY.
Following issues should be resolved:
- random watchdog timeouts (caused by concurrent phy access)
- some link state issues
- non working TX if media type was set explicitly

PR: kern/98738

MFC: rev 1.8: GCC 3.4.6 gets confused and produces bogus warning.
              Note, it does not happen on AMD64, just i386.

MFC: GCC 3.4.6

Add FreeBSD-SA-06:19.openssl and FreeBSD-SA-06:20.bind to the
Errata.

MFC remaining changes between BIND 9.3.2 and 9.3.2-P1.  The "functional"
changes were part of the FreeBSD-SA-06:20.bind commit.

Requested by: dougb

MFC: Backport ktrace enhancements to make ktrace mostly synchronous again
and use per-process queue's for async requests.  This makes ktrace more
reliable and also fixes a potential deadlock in cv_wait/msleep.

Correct incorrect PKCS#1 v1.5 padding validation in crypto(3). [1]

Correct multiple denial-of-service vulnerabilities in BIND related to
SIG Query Processing and Excessive Recursive Queries. [2]

Security: FreeBSD-SA-06:19.openssl [1]
Security: FreeBSD-SA-06:20.bind [2]

MFC the audit modifications to login so audit context is properly set and
the correct audit records are submitted.

Reviewed by: rwatson
Obtained from: TrustedBSD Project

Hook audit into the OpenSSH build, this results in audit records being
submitted for successful/failed logins, as well as having OpenSSH set
the audit context for a user when they login.

Reviewed by: rwatson
Obtained from: TrustedBSD Project

MFC revision 1.52
  Prevent a call to contigmalloc() that asks for more physical memory than
  the machine has from causing a panic.

MFC: GCC 3.4.6 Objective C support bits (as of 2006/08/25 #116475).

MFC: GCC 3.4.6 F77 runtime support bits (as of 2006/08/25 #116475).

MFC: GCC 3.4.6 C++ support bits (as of 2006/08/25 #116475).

demangle.h was removed in vendor sources sometime between 3.4.2 and 3.4.4.

Remove header that disappeared between 3.4.2 and 3.4.4.

MFC: rev 1.8: update libsupc++ to include missing files

MFC: Fix for a bug that causes the computation of "len" in tcp_output() to
     get messed up, resulting in an inconsistency between the TCP state
     and so_snd.

MFC: Fixes an edge case bug in timewait handling where ticks rolling over causing
     the timewait expiry to be exactly 0 corrupts the timewait queues (and that entry).

MFC: ufs_lookup.c 1.81
    - fixes around whiteout processing bug

MFC rev. 1.25 from if_vge.c

Submitted by: Oleg Bulyzhin

MFC performance improvements when skipping entry bodies.
In particular, this speeds up listing contents or extracting
single files from uncompressed archives read from slow, seekable
media (e.g., slow disk drives).

Thanks to: Benjamin Lutz for doing the heavy lifting,
   critical bugfix from Chris Spiegel

MFC vfs_cache.c revision 1.106

Axe Giant from vn_fullpath(9). The vnode -> pathname lookup should be
filesystem agnostic. We are not touching any file system specific functions
in this code path. Since we have a cache lock, there is really no need to
keep Giant around here.

This eliminates Giant acquisitions for any syscall which is auditing pathnames.

Pseudo-MFC rev 1.58:
Add SIIG 4 port serial card based on the Oxford OX16PCI954.

MFC: 1.33

Do as the USII CPU manual suggests and leave interrupts enabled
for a bit before retrying to resend an IPI in order to avoid
deadlocks if the other CPU is also trying to send one.

MFC: v1.98
spell unlock correctly, this is relatively minor as it's rare someone would
provide a lock method, and want the default unlock, but it is a bug...

MFC: Connect new geli(8) files to the build.

MFC: Synchronize geli(8) with HEAD version.

MFC: Connect new padlock(3) files to the build.

MFC: Synchronize padlock(4) driver with HEAD version.

MFC: Synchronize crypto drivers with the code from the HEAD branch.

MFC: sys/netipsec/key.c
sys/netipsec/xform_ah.c
sys/netipsec/xform_esp.c
sys/netipsec/xform_ipcomp.c

- Allow to use fast_ipsec(4) on debug.mpsafenet=0 and INVARIANTS-enabled
  systems. Without the change it will panic on assertions.
- Update the code after opencrypto changes.

MFC: Synchronize opencrypto framework with HEAD version.

While checking for update of snapshot file in the ffs_copyonwrite,
first filter out metadata update. Otherwise, devfs vnode could be
erronously interpreted as ufs one, causing further check of i_flags
to use random memory.

PR: kern/100365
Debugged and fix described by: tegge
Approved by: pjd (mentor)

MFC: tools/regression/ipsec/ipsec.t 1.1

Add regression tests for IPsec.

MFC: sys/modules/geom/geom_bde/Makefile 1.2

Don't expect that 'device random' will compile in those files into the
kernel for us. If random is compiled as kernel module, geom_bde.ko cannot
be loaded.

Reported by: Michal Suszko <michal@dry.pl>

MFC: sys/ufs/ffs/ffs_vfsops.c 1.318

Declare UFS module version.

MFC: sys/geom/mirror/g_mirror.c 1.86-1.88
sys/geom/raid3/g_raid3.c 1.70-1.72

- Don't use f-word in comments. We are gentlemans.

  Pointed out by: Maciej Sobczak

- Commit the results of the typo hunt by Darren Pilgrim.
  This change affects documentation and comments only,
  no real code involved.

  PR: misc/101245
  Submitted by: Darren Pilgrim <darren pilgrim bitfreak org>
  Tested by: md5(1)
  Commit to HEAD by: yar

- Not only a request from us can be passed to g_{mirror,raid3}_worker()
  function, but also a request to us, in which case checking bio_cflags
  is wrong, because the class above us is controling it, not we.

MFC: sys/geom/label/g_label.c 1.21

Verify if a label doesn't point to the parent directory.

MFC: sys/contrib/dev/acpica/acfreebsd.h 1.31

The strstr() function is in the libkern now.

MFC: sys/conf/files 1.1138
sys/libkern/strstr.c 1.1
sys/sys/libkern.h 1.54

Add strstr() function to the libkern.

MFC: sys/netinet/ip_input.c 1.317,1.318

Set 'fp' variable to NULL after freeing it, so it won't be dereferenced
later.

Found by: Coverity Prevent analysis tool
CID: 993

MFC: sys/netipsec/ipsec_osdep.h 1.3

- Use suser_cred(9) instead of directly comparing cr_uid.
- Compare pointer with NULL.

Reviewed by: rwatson

MFC: sys/netinet6/ipsec.c 1.45

- Use suser_cred(9) instead of directly comparing cr_uid.
- Compare pointer with NULL, instead of 0.

Reviewed by: rwatson

MFC: sys/netinet6/in6_pcb.c 1.71

- Use suser_cred(9) instead of directly checking cr_uid.
- Change the order of conditions to first verify that we actually need
  to check for privileges and then eventually check them.

Reviewed by: rwatson

MFC: sys/netinet/in_pcb.c 1.178

- Use suser_cred(9) instead of directly checking cr_uid.
- Change the order of conditions to first verify that we actually need
  to check for privileges and then eventually check them.

Reviewed by: rwatson

MFC: sys/kern/kern_descrip.c 1.295

Compress direct cr_ruid comparsion and jailed() call to suser_cred(9).

Reviewed by: rwatson

MFC: sys/kern/kern_ktrace.c 1.109

Use suser_cred(9) instead of checking cr_uid directly.

Reviewed by: rwatson

MFC: sys/kern/kern_fork.c 1.259

- Use suser_cred(9) instead of checking cr_ruid directly.
- For privileged processes safe two mutex operations.

We may want to consider if this is good idea to use SUSER_ALLOWJAIL here,
but for now I didn't wanted to change the original behaviour.

Reviewed by: rwatson

MFC: sys/ufs/ffs/ffs_snapshot.c 1.121

- Set bio_done directly to NULL to indicate that we want to wait for the bio.
- Use biowait() instead of copying the code.

MFC: sys/kern/vfs_vnops.c 1.242

vn_start_write() is called only when v_type != VCHR, so corresponding
vn_finished_write() should also be called only then.

MFC: sys/kern/vfs_subr.c 1.680,1.681

Add a bandaid to avoid a deadlock in a situation, when we are trying to suspend
a file system, but need to obtain a vnode. We may not be able to do it, because
all vnodes could be already in use and other processes cannot release them,
because they are waiting in "suspfs" state.

In such situation, we allow to allocate a vnode anyway.

This is a temporary fix - there is no backpressure to free vnodes allocated in
those circumstances.

Reviewed by: tegge

MFC: sys/kern/kern_event.c 1.100-1.102

- Use SLIST_FOREACH_SAFE() macro, because knote_drop() can free an element
  which can be then used to find next element in the list.
- Remove confusing done_noglobal label. The KQ_GLOBAL_UNLOCK() macro know
  how to handle both situations - when kq_global lock is and is not held.
- Don't forget to unlock kq lock in low memory situations.

OK'ed by: jmg

MFC: rev. 1.508

Don't build iwi(4) on amd64, there are problems with the firmware modules.

Approved by: rwatson (mentor)

Merge audit.h:1.9 from HEAD to RELENG_6:

  White space cleanup.

Restore the expected and documented pre rev. 1.36 behavior of
giving preference to pcn(4). Take precedence over le(4) though,
as le(4) isn't meant to supersede lnc(4) in this branch (yet).

MFC: 1.23

/etc/crontab is similar enough to parse as correct if you run
"crontab /etc/crontab", but not the same format due to the who field.
Add some limited anti-foot-shooting support and refuse to load
/etc/crontab as someone's crontab.  Users wishing shoot their foot in
this manner may copy /etc/crontab elsewhere. :)

- Add a deprecation note since this driver was replaced by le(4)
  in HEAD. [1]
- Remove Digital DEPCA from the list of supported hardware; DEPCA
  cards use shared memory for the buffers and descriptors but the
  current ISA front-end of lnc(4) only knows about adapters that
  use DMA instead (lnc(4) did support DEPCA in the past though).

Reviewed by: ru [1]

MFC: sys/geom/geom.h 1.94
sys/geom/geom_io.c 1.70

Add g_duplicate_bio() function which does the same thing what g_clone_bio()
is doing, but g_duplicate_bio() allocates new bio with M_WAITOK flag.

MFC: share/man/man9/Makefile 1.276
share/man/man9/sx.9 1.34

Document sx_xlocked(9).

Submitted by: ssouhlal

MFC: sys/geom/geom.h 1.95

Only check if we're freeing a valid object if we hold the topology lock.
This prevents panic under heavy load with DIAGNOSTIC compiled in.

MFC: sys/sys/sx.h 1.24

Add a sx_xlocked() macro which returns true if the current thread holds an
exclusive lock on the specified sx lock.

Commit to HEAD by: jhb

MFC 1.3:

In rev. 1.2 we have introduced a fallback handler for files with unknown
extensions.  This seems to be unnecessary and prevents less(1) from being
able to detect file changes, so remove the part.

Submitted by: Eric Huss <e-huss netmeridian com>
PR: bin/102624
Discussed with: des