Add __attribute__((__noreturn__)) to a number of usage() like functions.

These were not caught in the -Wsuggest-attribute=noreturn cleanup
because they were already static at that point. There are likely
more such cases but I don't know how to find them systematically.

ed(1): Add three __attribute__((__noreturn__)).

I had missed them in a31274954f5c10e5a80969dcfc719d665f36a26c.

pfctl(8): Fix two wrong conditions.

Caught by gcc80's -Wtautological-compare option.

libthread_xu: Fix issues detected by gcc80.

The changes to <pthread.h> all deal with -Wnonnull-compare warnings,
which are issued when a function has a NULL check for a parameter that
at the same time is marked with __attribute__((nonnull(...))), aka
__nonnull(...).

Such __nonnull() decoration only ever catches those cases where NULL is
passed directly to the function, but not any more indirect ways. What
makes matters worse is that in higher optimization levels (-O >= 2),
GCC will happily optimize out any NULL checks within the function for
these parameters.

This means that __nonnull() is generally inferior to a direct NULL check
in the function itself and if we have both, which newer GCCs warn about
with -Wnonnull-compare (that is part of -Wall), we should remove the
__nonnull().

This commit does that for all parameters which our libthread_xu checks
directly in the function. What remains are __nonnull() for parameters
which are _not_ checked in the functions, to at least catch cases where
NULL is passed directly. We should think about adding real checks for
those parameters too.

While here, add a "/* FALLTHROUGH */" comment in thr_printf.c which
fixes a -Wimplicit-fallthrough warning.

mfiutil(8): Use MAN instead of MAN8.

Revert "bsd.sys.mk: support -Wunused-local-typedef"

This reverts commit 14683bdb9c1d41c0d62dc7d11f3fd535973ad258.

It is no longer needed after 6954d52dca31dc7773729c0bf92e14fb1dab5aae.

gcc50: Move out manpage version handling.

The Makefile.cco should only affect global ones.

gcc47: Move out manpage version handling.

The Makefile.cco should only affect global ones.

corepower - Add kabylake support

* Add kabylake support (just the id needed)

etc/remote: Fix ucom[234].

kernel/evdev: Whitespace correction in input-event-codes.h

kernel/evdev: Update input-event-codes.h

Taken-from: Linux

ipfw: Add icmpcodes support.

kernel - Fix busdma allocation bug

* Fix a bug where kmalloc() could be used to allocate DMA memory
  that the caller intends to be non-cacheable.

  If a non-cacheable tag is specified, bus_dma now uses contigmalloc.

* Use the bus_dmamap_t pointer to differentiate between kmalloc
  and contigmalloc allocated memory, instead of running tag tests.

  This is a bit of a hack, but its the easiest solution.

kernel - xhci cleanup, lock attach

* Lock xhci during attach to avoid spurious interrupts from
  hitting the interrupt routine too early.

* Install interrupt after controller startup, but before
  the main usb code begins querying it.

* Cleanup syntax

kernel - Add a global priority hack for ACPI

* Allows ACPI to fully probe and attach all acpi devices before
  attaching any non-ACPI devices.

* May improve device attach stability.

* Currently only implemented at the top-level of the acpi
  device tree.

kernel - Handle ig4 controller startup errors

* Fail the attach on controller startup errors.  For some reason the
  dell xps 13 says there's I2C controller, but the controller appears
  to be permanente disabled and will refuse to enable.

cpucontrol - Add amd10h support

* Add support for ryzen and later microcodes.

* Adds general support for AMD microcodes in their
  packed format.  No need to unpack AMD microcode any
  more, cpucontrol will parse the distribution file
  from AMD.

Taken-from: FreeBSD

kernel: Add acpi and a number of related drivers to our default config.

These are: gpio_acpi, gpio_intel, smbus and smbacpi. Leave
ichiic (aka ig4) commented out for now because it seems to have
issues with latest generation Intel CPUs.

Adjust the manual page a bit and remove an obsolete comment in LINT64.

In-discussion-with: dillon, ivadasz

sbin/mount_autofs: Change include path from fs/ to vfs/

/usr/include/fs seems to exist as a symlink to vfs/,
but change include path to vfs.

sbin/mount_autofs: Port mount_autofs(8) from NetBSD

Christos added this to NetBSD, so why not for DragonFly.
One will write something simlar to this when porting autofs,
until autofs(5)/automount(8)/automountd(8) become usable enough.

While I try to minimize diff from FreeBSD for autofs userspace
by not making trivial style fixes, new things from NetBSD are
appreciated.

-o getargs support is dropped since unsupported on DragonFly.

kernel/ath_hal: Add missing header to fix build with -Wundef.

kernel/my: Fix -Wundef.

s/NO_MAN/NOMAN/ in various Makefiles.

Simplify some Makefiles.

If there is just one source file that is named ${PROG}.c, SRCS does
not need to be set.

Remove test/dsched*. This doesn't build anymore after 3573cf7bf66147.

Update the pciconf(8) database.

January 14, 2018 snapshot from http://pciids.sourceforge.net/

sys/vfs/autofs: prevent assert on unmount.

Bring in below commit from NetBSD/autofs. This hasn't existed in
FreeBSD and DragonFly. This at least avoids potential panic via
assertion failure on unmount like PR 3062. Note that the assertion
in autofs_node_delete() is good. There might be mkdir related bug.

The GitHub link below may not be a valid URL in the future.

http://cvsweb.netbsd.org/bsdweb.cgi/src/sys/fs/autofs/autofs_vfsops.c.diff?r1=1.2&r2=1.3
(https://github.com/NetBSD/src/commit/59fdd9b6d94c045e89f22f06c9a6f6d6c0fd60f2)

kernel: Fix some -Wundef warnings in oce(4) and mps(4).

__FreeBSD_version is not defined in DragonFly, so make it clearer
which path we take.

syscons - Skip drawing of the border, when switching to a graphics vty.

* When the target vty in a vty switch is in graphics mode, and we have
  a dumb framebuffer (sc->fbi != NULL), we definitely don't need to
  call sc_set_border().

syscons - Use COL and ROW #define constants.

Add __attribute__((__noreturn__)) to various function prototypes in usr.sbin/.

This general cleanup is useful in various ways. It helps the compiler
optimize better and it also helps later GCCs detect better when to give
-Wimplicit-fallthrough warnings and when not.

Found-with: -Wsuggest-attribute=noreturn

ftp-proxy(8): exit_daemon() never returns, do do not pretend it does.

dntpd(8): client_main() never returns, so do not pretend it does.

autofs: main_auto{,un}mountd() never return, so do not pretend they do.

watchdogd(8): Staticize.

traceroute6(8): Staticize and remove unused variables/functions.

traceroute(8): Staticize.

timed(8): slave() never returns, so don't pretend it does.

timed(8): master() never returns, so don't pretend it does.

sensorsd(8): Staticize.

rwhod(8): Staticize.

route6d(8): Staticize and remove unused variables/functions.

While here, use __printflike(), fix a va_end() after exit() case and
print strerror() in fatal() only if errno is actually set (this last
one was taken from FreeBSD).

mld6query(8): Staticize and raise WARNS to 6.

mld6query(8): Rename mld6.c -> mld6query.c

gifconfig(8): Staticize and remove some unused variables.

usr.sbin/autofs: Make automount(8) call chdir("/") before create_directory()

https://bugs.freebsd.org/bugzilla/show_bug.cgi?id=224601

Unlike automountd where the daemon is daemonized or lesser-daemonized,
an automount process isn't necessarily at /, and this results in
creating unneeded directories at the current directory.

In the example below, mounting autofs on /mnt/media fails because the
command mkdirs mnt/media instead of /mnt/media. If /mnt/media already
exists the command can mount autofs on /mnt/media, but it still mkdirs
unneeded directories mnt/media.

Calling chdir("/") before creation and restoring the directory after
creation avoids this.

--
[root@]~# automount -L
/mnt/media                -nosuid               -media               # indirect map referenced at /etc/auto_master:8
[root@]~# ls mnt
ls: mnt: No such file or directory
[root@]~# automount
automount: cannot mount map -media on /mnt/media: No such file or directory
[root@]~# mount | grep autofs
[root@]~# ls mnt
media
[root@]~# tree mnt
mnt
`-- media

bsd-family-tree: Sync yet again with FreeBSD.

sys/vfs/autofs: Cleanup autofs_mount()

Drop unneeded local char[MAXPATHLEN] variable.
Bring in comments I've added to NetBSD/autofs for better readability.

kernel - Implement spectre mitigations part 4 (cleanup)

* Cleanup the detection code a bit.  Do not turn on global
  spectre_*_supported flags unless all cpus agree.

kernel - Implement spectre mitigations part 3 (stabilization)

* Fix a bug in the system call entry code.  The wrong stack pointer
  was being loaded for KMMUENTRY_SYSCALL and KMMUENTRY_SYSCALL was
  using an offset that did not exist in certain situations.

* Load the correct stack pointer, but also change KMMUENTRY_CORE
  to not use stack-relative loads and stores.  Instead it uses
  the trampframe directly via %gs:BLAH

Reported-by: zrj

fdcontrol(8): Staticize and bump WARNS to 6.

clog(8): Staticize.

clog: Use standard MAN variable.

cdcontrol(8): Staticize and remove a wrong prototype.

burncd(8): Staticize.

btconfig(8): Staticize.

kernel/sysv: Fix wrong assignment.

Pointed-by: dillon

kernel - Implement spectre mitigations part 2

* NOTE: The last few commits may have said 'IBPB' but they really
  meant 'IBRS.  The last few commits addde IBRS support, this one
  cleans that up and adds IBPB support.

* Intel says for IBRS always-on mode (mode 2), SPEC_CTRL still has
  to be poked on every user->kernel entry as a barrier, even though
  the value is not being changed.  So make this change.  This actually
  somewhat improves performance a little on Skylake and later verses
  when I just set it globally and left it that way.

* Implement IBPB detection and support on Intel.  At the moment
  we default to turning it off because the performance hit is pretty
  massive.  Currently the work on linux is only using IBPB for
  VMM related operations and not for user->kernel entry.

* Enhance the machdep.spectre_mitigation sysctl to print out
  what the mode matrix is whenever you change it, in human
  readable terms.

  0 IBRS disabled IBPB disabled
  1 IBRS mode 1 (kernel-only) IBPB disabled
  2 IBRS mode 2 (at all times) IBPB disabled

  4 IBRS disabled IBPB enabled
  5 IBRS mode 1 (kernel-only) IBPB enabled
  6 IBRS mode 2 (at all times) IBPB enabled

  Currently we default to (1) instead of (5) when we detect that
  the microcode detects both features.  IBPB is not turned on by default
  (you can see why below).

* Haswell and Skylake performance loss matrix using the following
  test.  This tests a high-concurrency compile, which is approximately
  a 5:1 user:kernel test with high concurrency.

  The haswell box is:  i3-4130 CPU @ 3.40GHz  (2-core/4-thread)
  The skylake box is:  i5-6500 CPU @ 3.20GHz  (4-core/4-thread)

  This does not include MMU isolation losses, which will add another
  3-4% or so in losses.

  (/usr/obj on tmpfs)
  time make -j 8 nativekernel NO_MODULES=TRUE

    PERFORMANCE LOSS MATRIX
       HASWELL                 SKYLAKE
    IBPB=0  IBPB=1          IBPB=0  IBPB=1
    IBRS=0     0%    12%              0%     17%
    IBRS=1   >12%<   21%           >2.4%<    15%
    IBRS=2    58%    60%             23%     32%

  Note that the automatic default when microcode support is detected
  is IBRS=1, IBPB=0 (12% loss on Haswell and 2.4% loss on Skylake
  for this test).  If we add 3-4% or so for MMU isolation, a Haswell
  cpu loses around 16% and a Skylake cpu loses around 6% or so in
  performance.

    PERFORMANCE LOSS MATRIX
      (including 3% MMU isolation losses)
       HASWELL                 SKYLAKE
    IBPB=0  IBPB=1          IBPB=0  IBPB=1
    IBRS=0     3%    15%              3%     20%
    IBRS=1   >15%<   24%           >5.4%<    18%
    IBRS=2    61%    63%             26%     35%

sys/vfs/autofs: Drop AUTOFSDONE101

This ioctl was never needed by DragonFly which was ported in 2016.
The ioctl implementation was kept in kernel side for no reason,
while automountd never used this in DragonFly.

NetBSD also dropped this ioctl when they recently merged autofs
to -current.
https://github.com/NetBSD/src/blob/trunk/sys/fs/autofs/autofs_ioctl.h

kernel - Implement spectre mitigations part 1

* Implement machdep.spectre_mitigation.  This can be set as a tunable
  or sysctl'd later.  The tunable is only applicable if the BIOS has
  the appropriate microcode, otherwise you have to update the microcode
  first and then use sysctl to set the mode.

  This works similarly to Linux's IBRS support.

  mode 0 - Spectre IBPB MSRs disabled

  mode 1 - Sets IBPB MSR on USER->KERN transition and clear it
   on KERN->USER.

  mode 2 - Leave IBPB set globally.  Do not toggle on USER->KERN or
   KERN->USER transitions.

* Retest spectre microcode MSRs on microcode update.

* Spectre mode 1 is enabled by default if the microcode supports it.
  (we might change this to disabled by default, I'm still mulling it
  over).

* General performance effects (not counting the MMU separation mode,
  which is machdep.meltdown_mitigation and adds another 3% in overhead):

  Skylake loses around 5% for mode 1 and 12% for mode 2, verses mode 0.
  Haswell loses around 12% for mode 1 and 53% for mode 2, verses mode 0.

  Add another 3% if MMU separation is also turned on (aka
  machdep.meltdown_mitigation).

* General system call overhead effects on Skylake:

  machdep.meltdown_mitigation=0, machdep.spectre_mitigation=0 103ns
  machdep.meltdown_mitigation=1, machdep.spectre_mitigation=0 360ns
  machdep.meltdown_mitigation=1, machdep.spectre_mitigation=1 848ns
  machdep.meltdown_mitigation=1, machdep.spectre_mitigation=2 404ns

  Note that mode 1 has better overall performance for mixed user+kernel
  workloads despite having a much higher system call overhead, whereas
  mode 2 has lower system call overhead but generally lower overall
  performance because IBPB is enabled in usermode.

kernel - Rename machdep.isolated_user_pmap to meltdown_mitigation

* Rename machdep.isolated_user_pmap to
  machdep.meltdown_mitigation.

kernel - Increase microcode size limit from 32KB to 4MB

* Increase the microcode size limit to 4MB.  Newer microcodes exceed
  the previous 32KB limit.  e.g. the latest Skylake microcode is 97KB.

* Fixes cpucontrol -u operations on newer cpus.

Taken-from: FreeBSD

boot/efi: Include just Uefi.h instead of Uefi{BaseType,Spec}.h

boot/efi: Bring in an additional TianoCore EDK II header.

Taken from the MdePkg of the UDK2017 branch of the
git://github.com/tianocore/edk2 repository.
All I modified was killing CRs using 'tr -d "\015"'.

This is a work in progress.

sys/vfs/autofs: Cleanups

ldconfig(8): clean up manual page

- describe "-s"
- add newlines to sentence ends
- clarify file usage

Reviewed-by: swildner

arp(8): Staticize.

ac(8): Staticize and raise WARNS to 6.

While here, put a CONSOLE_TTY specific prototype in a corresponding
#ifdef.

xtr(1)  clean up

- clean usage of comma operator
- use char instead of int
- add brackets

Reviewed-by: dillon

etc/autofs: Sync with FreeBSD commits

Bring in below from FreeBSD@GitHub in 1 commit.

64382aa4e68 Add /etc/autofs/include_nis, a non-rewriting NIS map.
a5ff2845f3f Rename /etc/autofs/include_nis to /etc/autofs/include_nis_nullfs, to indicate that this script provides nullfs map rewriting for local mounts.
759e1781cc0 Change formatting; no functional changes.

etc/autofs: Cleanup trailing whitespaces

This generates diff between these and FreeBSD scripts.

usr.sbin/fstyp: Remove local MIN() definition

This isn't needed.
Having local MIN() also broke compilation on NetBSD with ZFS support,
due to ZFS headers already included sys/param.h.

kernel - Intel user/kernel separation MMU bug fix part 6 (stabilization)

* Stabilization.  Fix a bug which can crash the machine when the sysctl
  is toggled back and forth on a live system.

* The fork code was inheriting ISOMMU in pcb_flags from the parent
  process, but potentially not getting a pmap with the feature configured
  due to the sysctl being toggled off.

Reported-by: profmakx, zrj, swildner

kernel/lagg: Normalize various #if XXX and #ifdef XXX to #if 0.

Fixes some -Wundef warnings too.

No functional change.

drm/radeon: Fix -Wundef warnings.

Pointed-by: swildner

ipfw: ICMP_MAXTYPE could be any value; don't assume it's < 32

It is 40 as of this commit.

ipfw: Support all possible ICMP types.

ipfw.8: Reset do_pipe and do_table.

Since ipfw_main could be called in a loop, if the rules are loaded
from file.

ipfw: Define instruction size max.

kernel - Intel user/kernel separation MMU bug fix part 5

* Fix iretq fault handling.  As I thought, I messed it up with
  the trampoline patches.  Fixing it involves issuing the correct
  KMMU* macros to ensure that the code is on the correct stack
  and has the correct mmu context.

  Revalidate with a test program that uses a signal handler to
  change the stack segment descriptor to something it shouldn't
  be.

* Get rid of the "kernel trap 9..." console message for the iretq
  fault case.

Add __attribute__((__noreturn__)) to various function prototypes in usr.bin/.

This general cleanup is useful in various ways. It helps the compiler
optimize better and it also helps later GCCs detect better when to give
-Wimplicit-fallthrough warnings and when not.

Found-with: -Wsuggest-attribute=noreturn

xstr(1): Staticize.

whereis(1): Staticize.

usbhidaction(1): Staticize.

uname(1): Staticize.

tcopy(1): Staticize.

symorder(1): Staticize.

stat(1): Staticize.

ruptime(1): Staticize and remove a wrong prototype.

nfsstat(1): Staticize and remove an unused variable.

kernel - Intel user/kernel separation MMU bug fix part 4

* This completes 99% of the meltdown mitigation work, implementing
  a feature which isolates user and kernel page tables.  There
  are currently two remaining TODO's:

  (1) We still map all of kernel text (btext to etext) to avoid
      having to tabulate vector entry and exit points.  No
      kernel data or bss or any other kernel data is mapped,
      beyond trampoline and cpu hw requirements.

  (2) iretq + %gs fault bug needs to be re-tested.

* Automate enablement of machdep.isolated_user_pmap added.
  The bug mitigation will be enabled for all Intel CPUs.

  This will increase system call and interrupt overhead by
  150-250nS.  System-call-heavy or interrupt-heavy workloads
  will be more severely effected (network, database, high speed
  storage, etc), up to 30%.  Nominal workloads such as compiles will
  lose around 5%.

* Cleanup boot messages (zrj).

* Rename sysctl from vm.isolated_user_pmap to
  machdep.isolated_user_pmap (zrj)

kernel - Intel user/kernel separation MMU bug fix part 3/3

* Implement the isolated pmap template, iso_pmap.  The pmap code will
  generate a dummy iso_pmap containing only the kernel mappings required
  for userland to be able to transition into the kernel and vise-versa.

  The mappings needed are:

  (1) The per-cpu trampoline area for our stack (rsp0)
  (2) The global descriptor table (gdt) for all cpus
  (3) The interrupt descriptor table (idt) for all cpus
  (4) The TSS block for all cpus (we store this in the trampoline page)
  (5) Kernel code addresses for the interrupt vector entry and exit

* In this implementation the 'kernel code' addresses are currently just
  btext to etext.  That is, the kernel's primary text area.  Kernel
  data and bss are not part of the isolation map.

  TODO - just put the vector entry and exit points in the map, and
  not the entire kernel.

* System call performance is reduced when isolation is turned on.
  100ns -> 350ns or so.  However, typical workloads should not lose
  more than 5% performance or so.  System-call heavy and interrupt-heavy
  workloads (network, database, high-speed storage, etc) can lose a lot
  more performance.

  We leave the trampoline code in-place whether isolation is turned on
  or not.  The trampoline overhead, without isolation, is only 5nS or so.

* Fix a missing exec-related trampoline initialization.

* Clean-up kernel page table PTEs a bit. PG_M is ignored on non-terminal
  PTEs, so don't set it.  Also don't set PG_U in non-terminal kernel
  page table pages (PG_U is never set on terminal PTEs so this wasn't
  a problem, but we should be correct).

* Fix a bug in fast_syscall's trampoline stack.  The wrong stack
  pointer was being loaded.

* Move mdglobaldata->gd_common_tss to privatespace->common_tss.
  Place common_tss in the same page as the trampoline to reduce
  exposure to globaldata from the isolated MMU context.

* 16-byte align struct trampframe for convenience.

* Fix a bug in POP_FRAME.  Always cli in order to avoid getting
  an interrupt just at the iretq instruction, which might be
  misinterpreted.

kernel - Intel user/kernel separation MMU bug fix part 2/3

* Cleanup pass.  Throw in some documentation.

* Move the gd_pcb_* fields into the trampoline page to allow
  kernel memory to be further restricted in part 3.

kernel - Intel user/kernel separation MMU bug fix part 1/3

* Part 1/3 of the fix for the Intel user/kernel separation MMU bug.
  It appears that it is possible to discern the contents of kernel
  memory with careful timing measurements of instructions due to
  speculative memory reads and speculative instruction execution
  by Intel cpus.  This can happen because Intel will allow both to
  occur even when the memory access is later disallowed due to
  privilege separation in the PTE.

  Even though the execution is always aborted, the speculative
  reads and speculative execution results in timing artifacts which
  can be measured.  A speculative compare/branch can lead to timing
  artifacts that allow the actual contents of kernel memory to be
  discerned.

  While there are multiple speculative attacks possible, the Intel
  bug is particularly bad because it allows a user program to more
  or less effortlessly access kernel memory (and if a DMAP is
  present, all of physical memory).

* Part 1 implements all the logic required to load an 'isolated'
  version of the user process's PML4e into %cr3 on all user
  transitions, and to load the 'normal' U+K version into %cr3 on
  all transitions from user to kernel.

* Part 1 fully allocates, copies, and implements the %cr3 loads for
  the 'isolated' version of the user process PML4e.

* Part 1 does not yet actually adjust the contents of this isolated
  version to replace the kernel map with just a trampoline map in
  kernel space.  It does remove the DMAP as a test, though.  The
  full separation will be done in part 3.

kernel/vmxnet3: Fix wrong check (no functional change).

morse(6): correct email for original author

Obtained-From: FreeBSD

libthread_xu: Fix a typo in a comment.

Clean up a bit for symlinked headers.

<errno.h> as well as <poll.h> are symlinked to their <sys/...>
counterparts, so there is no need to include both.

Also fix a comment that suggests that there is a difference.

kernel/evdev: Expose headers to userland.