update convertrservtoatheme

dist/atheme.conf.example: add forgotten documentation for new module

Make login failure notices opt-in and add password-based login throttling functionality (#884)

* Make login failure notices opt-in

This introduces a new account flag which determines whether notices
about failed password-based login attempts are generated or not.

* Hook: user_can_login: Indicate login method

This allows hooks to permit or deny logins based upon the type
of credential being used.

This requires some rework of how SASLServ behaves. Specifically,
mechanism modules now indicate their login type at the point
where the hook is called, not when the mechanism is registered.

At the moment, there are four types of login credential:

- Certificate Fingerprints
  - User introduction (not logged in, but has a certfp)
  - SASL EXTERNAL

- Passwords
  - NickServ IDENTIFY
  - SASL PLAIN
  - SASL SCRAM

- Public-key Challenges
  - SASL ECDSA-NIST256P-CHALLENGE
  - SASL ECDH-X25519-CHALLENGE

- Tokens
  - SASL AUTHCOOKIE

* Add a password-based login throttling module

Co-authored-by: jesopo <redacted>

proxyscan/dnsbl: add IPv6 support (#878)

This does make the codebase now depend upon inet_pton(3), which is
pretty much universally available.

allow config sopers who are specified by EID to drop their account (#887)

modules/saslserv/main.c: sasl_handle_login(): fix overzealous message

This can be triggered simply by a client beginning a pre-registration
SASL login, and then completing registration before completing the
login (for example, a timeout waiting for the server to respond to our
AUTHENTICATE command which then results in a CAP END).

As such, the log level and text of this message is wrong.

libathemecore/svsignore.c: svsignore_delete(): fix memory leaks

The OperServ IGNORE module (when CLEARing all ignores and reporting
them as it does so) frees these 2 pointers (which is correct), but
libathemecore did not on a per-ignore basis.

In other words, manually removing one ignore would leak memory, but
removing all of them at once would not.

modules/operserv/ignore.c: remove redefinition of svs_ignore_list

This symbol already exists in libathemecore, with an extern declaration.

Reported-By: @Unit193

add hooks for adding and removing a certificate fingerprint (#822)

this is to support a module that will warn users when they add
a certificate fingerprint that doesn't look like what we're
expecting

Merge pull request #816 from jesopo/cs-list-unknown-criteria

don't just ignore invalid CS LIST criteria/parameters

give solanum its own protocol headers, add CMODE_MODREG for regmsg (#883)

XMLRPC: Allow zero-length authcookie and account name

The existing code requires you to provide both, and then treats
a 1-character authcookie as though none were provided, while
also then ignoring the account given.

Just allow both to be zero-length instead of having to supply a
1-character cookie and an account that it's going to ignore.

Merge pull request #870 from atheme/jess/badmail-reason

print badmail reason in badmail hit log line

enum return type

include badmail mask in badmail hit log

RNG: glibc 2.36 supports a secure arc4random(3)

modules/chanserv/close: check correct flags variable for log target

A user reported that the ChanServ CLOSE command was not working for
their channel, saying that the channel could not be closed.

MC_HOLD and CHAN_LOG both have the same value (1), but the former is
for flags in `struct mychan`, and the latter is for `struct channel`.

This lead me to believe that the channel was defined as a log target,
when in reality it was checking the wrong flags field and deducing
that the channel was a log target because it was held.

Check the correct flags field.

Reported-by: @hello-smile6

chanserv: allow hiding AKICK entries from FLAGS (#876)

Merge pull request #874 from dwfreed/patch-4

hostserv/request: fix minimum interval check

hostserv/request: fix minimum interval check

print badmail reason in badmail hit log line

Merge pull request #837 from progval/patch-3

doc/FAQ: Reformat like INSTALL

Merge pull request #868 from atheme/jess/mark-account-name

log account name, rather than provided target, in multimark

Merge pull request #867 from dwfreed/ircd-seven-to-solanum

protocol/ircd-seven: rename to solanum

Merge pull request #863 from examknow/doc-loginnolimit

Add help and config file entry for `nickserv/loginnolimit`

log account name, rather than provided target, in multimark

protocol/ircd-seven: rename to solanum

Merge pull request #824 from jesopo/soper-entity-id

allow config file sopers to be specified by ?UID

allow config file sopers to be specified by ?EID

po/: make update-po

Fix some typos in the set_guard.c

Merge pull request #864 from atheme/jess/fnc-regain

NS REGAIN should be using FNC_REGAIN

Merge pull request #865 from dwfreed/patch-3

help/cservice/akick: correct flag for exempt

help/cservice/akick: correct flag for exempt

+e was added in 7.2 to exempt users from akick.

NS REGAIN should be using FNC_REGAIN

add `nickserv/loginnolimit` to example config

add help for `nickserv/loginnolimit`

configure: --enable-warnings: check for -Wno-declaration-after-statement

Clang trunk is issuing dozens of these diagnostics for every single
compilation unit, warning that declaring variables after a statement
is not supported in versions of C before C99.

However, this is a C99 codebase, and we're using AC_PROG_CC_C99.
Disable this diagnostic.

libmowgli-2/: bump to latest HEAD

m4/atheme-featuretest-warnings.m4: check for -Wno-reserved-identifier

Clang 14 with --enable-warnings is emitting several of these
diagnostics for every single compilation unit, due to how
libmowgli names its variables. This is pointlessly annoying.

modules/backend/corestorage: respect general::db_save_blocking

We're not just called from the periodic commit timer, but also
on rehash, which includes some modreloads too (when reloading a
module that has configuration options).

We should always use a blocking save regardless of what caused
the save to happen, rather than just test in the periodic commit
timer callback.

This makes running under Valgrind much more amenable.

Fixes: b427d04059d4d4f7b396

libathemecore/logger: silence false positive memory leak diagnostic

modules/nickserv/verify: redefine messages as macros

This was (correctly) triggering -Wformat-security diagnostics because
they were not string literals.

Fixes: b40775a303c7bbcb027e

SECURITY.md: update for 7.2.12 release

SECURITY.md: update PGP key for ilbelkyr

Don't save last seen times for logged-in nicks

Last seen times are currently updated by, amongst other things, the
expiry check, which has the effect of updating every logged in nick and
user's line in the database every hour. This makes life much harder for
incremental backup systems -- by my very rough measurement, if a DB save
without an expiry check costs 1MB, a save that includes one will cost
10. Atheme databases aren't huge to begin with, but I think a tenfold
reduction is still worth chasing.

Edited by @aaronmdjones: Add NEWS entry and script to migrate back to
the v7.2 database format, should people wish to downgrade.

Closes #856

modules/alis: refuse unprivileged searches for oper-only cmodes

modules/alis: move all mode arg parsing into its own function

include/atheme/privs.h: tidy up

Align macro values, clean up some comments, alphabetise privileges
within each block, shift some flags around.

libathemecore/ptasks.c: stats c: show uplink host

This is already gated behind PRIV_SERVER_AUSPEX, which OperServ
SPECS describes as "view concealed information about servers".

Also, you can already obtain this information from `stats f`
(shows all active file descriptors associated with connections,
which includes endpoint IP addresses), which is gated behind the
same privilege.

libathemecore/ptasks.c: handle_stats(): use consistent case labels

Some of the case labels were uppercase followed by lowercase,
some of them were the other way around. Use a consistent scheme.

modules/contrib/: bump to latest HEAD

Allow hooks to force account expire

Edited and committed by @aaronmdjones: Other general code cleanup;
clarify that if a hook forces account expiry, the destructor for
the myuser object will take care of logging them out (if they are
logged in). Also account for the fact that they may be logged in
by having the log message include their login count. Finally, don't
let a hook prevent the expiry of an unverified account.

Closes #847

tell anything logged in to an account when it has been (F)VERIFYed  (#841)

* tell anything logged in to an account when it has been (F)VERIFYed

* don't thank on fverify

Merge pull request #854 from skizzerz/chm_nonotice

Support +T (CMODE_NONOTICE) in ircd-seven

Support +T (CMODE_NONOTICE)

This was already defined in the charybdis.h file, so just need to make
the rest of atheme recognize the mode.

modules/operserv/modmanager: fix relatively harmless memory leak

If passed a list consisting entirely of non-reloadable modules, we would
leak approximately up to 24 bytes of memory each time. Discovered manually
during reading the function.

Fixes: e2fd6f2a8959fb89acb2

increase importance of vhost-related user_identified hooks (#820)

use account name (with correct casing) for NS FREEZE logs (#836)

* use account name (with correct casing) for NS FREEZE logs

* action and reason can be const too

Merge pull request #819 from jesopo/last-seen-hidden

simplify NS INFO timestamp logic, indicate auspex being used

totally rewrite last/user seen code, express when a timestamp is hidden

Implement certfp list length max check (#848)

Implement certfp list length max check

Merge pull request #826 from examknow/honor-no-login-limit

services.c/enforce.c: honor no login limit flag

services.c/enforce.c: honor no login limit flag

Merge pull request #845 from jesopo/return-log-oldmail

show oldmail in NS RETURN logs

show oldmail in NS RETURN logs

doc/FAQ: Reformat like INSTALL

And drop numbers, so sections can be inserted in the middle without renumbering

Merge pull request #833 from edk0/sasl-pending

Avoid login desyncs when SASL is aborted or interrupted pre-registration

saslserv/main: Preserve pending login on abort

The previous patch made SaslServ aware of pending logins (i.e. SASL
sessions which have succeeded and generated a SVSLOGIN). This one
ensures that aborting a SASL authentication attempt does not destroy
that information: if you successfully authenticate as user A, then begin
and abort another authentication attempt as user B, you will log in as
user A.

This is only relevant in the pre-registration case, when SASL logins
cannot be actioned immediately. It's also necessary to avoid a desync in
this case: if we have already sent a SVSLOGIN for a login, the user is
going to be informed that they've logged in, and the ircd is going treat
them as though they're logged in. Other solutions are possible, but I
think the cleanest one is to action the last SVSLOGIN we sent, mirroring
their effect ircd-side.

saslserv/main: Track EID we're pending login to

The existing model does not remember that we've sent a SVSLOGIN for a
given SASL session, and simply assumes that if a client is introduced
with a SASL session open, that session must have succeeded. The security
of this approach requires ircd to implicitly abort SASL sessions on
client registration.

This also means that if a client successfully authenticates and then
does something else its pending login is forgotten about, even though a
SVSLOGIN has been sent for it, and the ircd is going to think it's
logged in.

This change removes the dependency on ircd's state machine by keeping
explicit track of the pending login, i.e. the one we've most recently
sent a SVSLOGIN for. The next commit will ensure that a client abort
(even an implicit one) doesn't blow that information away.

'return 0' conflicts with OPTERR_UNKNOWN_OPT

chanserv CLONE/CLEAR AKICKS/CLEAR FLAGS: use CMDLOG_SET

These commands would log at CMDLOG_DO, yet replicating their
functionality via a number of separate FLAGS/AKICK commands would log at
CMDLOG_SET.

Changes to services registrations normally use CMDLOG_SET, so for
consistency, make all of these commands log at that level.

nickserv/cert CLEAR: use CMDLOG_SET (not _GET)

This appears to be an oversight: the CLEAR command effects a change.
CMGLOG_SET matches the loglevel of ADD/DEL.

Merge PR #828

don't do ircd_on_login in myuser_rename if we're MU_WAITAUTH

Merge PR #767 (rehashable general::commit_interval)

visually warn when oper auspex causes you to see last seen time

atheme_main: rehash if necessary after DB load

Avoids an issue where a DB module dependency loads a service which then
doesn't get configured properly.

libathemecore/email: sendemail: don't leak pipe fds on fork failure

libathemecore/: move e-mail functions to their own compilation unit

use enum values for process_parvarray() returns, to clarify meaning

use 'true'/'false' for `bool found` values

reset `found` for every opt

short -> int

don't just ignore invalid CS LIST criteria/parameters

libathemecore/connection: remove obsolete connection_close_all_fds()

libathemecore/connection: connection_add(): make fd non-inheritable

Grumble; Windows compatibility stuff, ew, etc. I just copied the
function below it. Windows compatibility is liable to get ripped
out of services entirely due to WSL being A Thing now, but for
now just follow the convention.

This means we now don't need to call connection_close_all_fds()
when forking to send e-mail.

libathemecore/random_fe_internal: don't leak urandom(4) fd to children

Merge pull request #814 from swantzter/patch-1

Bolden oper name in fungroup wallop

Bolden oper name in fungroup wallop

this brings consistency with the wallop from FDROP per modules/nickserv/drop.c L157

Merge pull request #813 from ProgVal/insp3

Document Insp 3 support

Document Insp 3 support

libathemecore/atheme.c: abort if uplink name clashes with ours

libathemecore/conf.c: ignore invalid uplink blocks

libathemecore/uplink.c: increase severity of duplicate log message

libathemecore/uplink.c: ensure uplink list is zero-initialised

modules/saslserv/main: simplify impersonation logic

Now that there's only one condition to check for, and the target
function checks the same condition anyway, just remove the
redundant check.

modules/saslserv/main: authxid_can_login: check for freeze early

Freezing an account should prevent a login attempt entirely, rather
than allowing the mechanism to succeed first, only for the login
itself to then fail.

nickserv/register, contrib/ns_{fregister,forbid}: check name validity

Reported-By: @dwfreed

libathemecore/phandler.c: is_valid_nick: check nickname length too

Also document more thoroughly why nicknames cannot begin with a digit
or a hyphen.