netdev: bond - add support for peer_notif_delay

 Specify the delay, in milliseconds, between each peer
notification (gratuitous ARP and unsolicited IPv6
Neighbor Advertisement) when they are issued after
a failover event. This delay should be a multiple of
the MII link monitor interval (miimon).

 The valid range is 0 - 300s. The default value is 0,
which means to match the value of the MII link monitor interval.

network/ndisc: drop redundant sd_ndisc_router_get_icmp6_ratelimit()

This effectively reverts 9175002864d8876f375e0df089d142d239282528.

The retrans time field in RA message is for neighbor solicitation,
and the commit d4c8de21a07d015f2f2c787e0735be5e4d02fb3c makes the value
assigned to the correct sysctl property.

Let's deprecate the option, and drop the redundant functions.

nspawn: minor coding style tweaks to nspawn-register.c

Merge pull request #31511 from jamacku/prepare-for-diff-shellcheck

Prepare for new version of Differential ShellCheck & scanning of shell completion scripts

cgroup-setup: clarify '<=' is evaluated earlier

Follow-up for 31323f21bb0ae7c712f43500c42997c91a6d20bf.

The code is correct, but let's silence Coverity.

Closes CID#1534787.

TODO: fix typo

Follow-up for 666a348d1c98873c55115924751e6f2d3bdb7435.

test-network: fix typo

Follow-up for a663ddc04e43a9234e00e47aed98bf2bbeb1573a.

Merge pull request #31515 from keszybz/small-cleanups-after-review-of-stable-batch

Small cleanups after review of stable batch

Merge pull request #31442 from YHNdnzj/towards-cgroup-v1-deprecation

core: refuse cgroupv1 unless SYSTEMD_CGROUP_ENABLE_LEGACY_FORCE

tmpfiles.d: avoid deprecated, undocumented syntax (s/F/f+/)

Fixes: eccebf4b0dcb ("systemd-tmpfiles: deprecate F for f+")

core: remove duplicate serialization of `cpu_sched_reset_on_fork`

`c->cpu_sched_reset_on_fork` is serialized using
`exec-context-cpu-sched-reset-on-fork` and
`exec-context-cpu-scheduling-reset-on-fork`. Let's keep only the second one, to
serialize the value only if `cpu_sched_set` is true.

test: drop route from test-functions

I do not see `route` being exercised anywhere else, everything seems
to be on `ip route` already.

shared/pam-util: fix awkward tense in log message

virt: wrap comment, add missing punctuation

man/sd_bus_service_reconnect.c: normalize whitespace

For man pages, we generally indent with 2 spaces and wrap to ~80 columns.

man, shell-completion: fix a few typos/language issues

bootspec: don't complain about valid loader.conf settings

Let's not complain about various valid loader.conf settings we more
recently added. At the same time let's remove the half-assed userspace
parsers for the fields we actually do support but don't actually really
care about in userspace. There's really no point in storing strings away
that we are not using at all, hence just don#t.

Fixes: #31487

ci(labeler): add rule for `shell-completion` label

test: use socat in unidirectional mode

By default socat open a separate r/w channel for each specified address,
and terminates the connection after .5s from receiving EOF on _either_
side. And since one side of that connection is an empty stdin, we reach
that EOF pretty quickly. Let's avoid this by using socat in
"reversed unidirectional" mode, where the first address is used only for
writing, and the second one is used only for reading.

Addresses:
  - https://github.com/systemd/systemd/issues/31500
  - https://github.com/systemd/systemd/issues/31493

Follow-up for 3456c89ac26.

NEWS: announce cgroup v1 deprecation

meson: drop default-hierarchy= option, always use unified

core: refuse cgroupv1 unless SYSTEMD_CGROUP_ENABLE_LEGACY_FORCE

Also, add a 30s sleep even if cgroup v1 is forced.

Closes #30852

shared/cgroup-setup: introduce cg_is_legacy_force_enabled

shared/mount-setup: split out mount_cgroup_legacy_controllers

shared/mount-setup: minor modernization

core/cgroup: remove obsolete TODO

core: mark JoinControllers= as DISABLED_LEGACY rather than _CONFIGURATION

Follow-up for 143fadf369a18449464956206226761e49be1928

ci(lint): temporarily disable ShellCheck for bash-completion

This commit should be reverted once bash completion is in better shape when it comes to ShellCheck.

fix(SC2148): add ShellCheck directive to bash completion scripts

ci(lint): exclude zsh completion from ShellCheck

zsh is not supported by ShellCheck

zsh/_journalctl: complete -g, --case-sensitive, 'help' (pseudo-)facility

update TODO

sysext: fix typo

Merge pull request #31000 from flatcar-hub/krnowak/mutable-overlays

systemd-sysext: Implement optional mutability for extensions

Merge pull request #31458 from poettering/vmspawn-ptyfwd

vmspawn: implement TTY logic via ptyfwd

Merge pull request #31480 from rpigott/dnssec-maxwork

resolved: limit the number of signature validations in a transaction

network: fix use-after-free in {address,route}_remove_and_cancel()

Fixes #31485.

nspawn: hide ^] hint unless we are interactive mode

The hotkey only works in interactive mode hence don't mislead users
about it.

vmspawn: use our own ptyfwd code for the console of a VM

Let's make systemd-nspawn use our own ptyfwd logic to handle the TTY by
default.

This adds a new setting --console=, inspired by nspawn's setting of the
same name. If --console=interactive= is used, then we'll do the TTY
dance on our own via ptyfwd, and thus get tinting, our usual hotkey
handling and similar.

Since qemu's own console is useful too, let's keep it around via
--console=native.

FInally, replace the --qemu-gui switch by --console=gui.

pretty-print: make tinting a bit less aggressive

run: use sd_event_set_signal_exit() at one more place

network/ndisc: rename Network.ipv6_accept_ra -> Network.ndisc

These settings are leated to sd-ndisc and Neighbor Discovery protocol.
Let's use more suitable name.

Fix: Chuwi UBook X (CWI535) screen rotation matrix

ukify: Use VERSION_TAG instead of GIT_VERSION

GIT_VERSION isn't actually available so use VERSION_TAG instead which
is available.

resolved: reduce the maximum nsec3 iterations to 100

According to RFC9267, the 2500 value is not helpful, and in fact it can
be harmful to permit a large number of iterations. Combined with limits
on the number of signature validations, I expect this will mitigate the
impact of maliciously crafted domains designed to cause excessive
cryptographic work.

resolved: limit the number of signature validations in a transaction

It has been demonstrated that tolerating an unbounded number of dnssec
signature validations is a bad idea. It is easy for a maliciously
crafted DNS reply to contain as many keytag collisions as desired,
causing us to iterate every dnskey and signature combination in vain.

The solution is to impose a maximum number of validations we will
tolerate. While collisions are not hard to craft, I still expect they
are unlikely in the wild so it should be safe to pick fairly small
values.

Here two limits are imposed: one on the maximum number of invalid
signatures encountered per rrset, and another on the total number of
validations performed per transaction.

Merge pull request #31490 from yuwata/network-varlink-cleanups

network/varlink: several trivial cleanups

varlink/network: reindent methods

network/varlink: downgrade log level about failure in getting netns ID

format-table: replace "(size_t) -1" with SIZE_MAX

Merge pull request #31440 from yuwata/sd-ndisc-sd-radv-cleanups

sd-ndisc,sd-radv: several trivial cleanups

in-addr-util: introduce in{4,6}_addr_is_multicast()

icmp6-util: make icmp6_receive() refuse packets without IPv6 sender address

Previously, the function supports packets without IPv6 sender address
for unit tests. However, now unit tests use their own version of
icmp6_receive(). Hence, let's make the check more strict.

sd-ndisc: make callback takes arbitrary type of message

No functional change. Preparation for supporting Neighbor Advertisement
message.

network/ndisc: drop all configurations without lifetime on stop

As we call ndisc_drop_outdated() with USEC_INFINITY on stop.

docs: update link for Arch Linux bugtracker

Merge pull request #31472 from YHNdnzj/systemctl-pidref

systemctl: generalize GetUnitByPIDFD handling

network: use FOREACH_STRING()

docs/CODING_STYLE: fix typo (CLONE_VORK -> VFORK)

systemctl-show: use lookup_unit_by_pidref too

Follow-up for e0e7bc8223c3f28fcb48db9f0f003d9f03ca46d7

This allows us to pin the process locally when GetUnitByPIDFD
is not available, just like what we have been doing for
'systemctl whoami'. Also, fix looking up remote pid.
We can't use pidfd for those.

systemctl: generalize GetUnitByPIDFD handling

systemctl-util: use strv_free_and_replace at one more place

Fallback from pidfd_open on permission errors too

Skip using pidfds if we get a permission denied error.
This can happen with an old policy and a new kernel that uses the
new pidfs filesystem to back pidfds, instead of anonymous inodes,
as the existing policy denies access.

This is already the case for most uses of pidfd_open, like pidref,
but not on these two. Fix them.

test: split out {dump,verify}_ra_message()

Then, let's not modify the global object.

sd-radv: several cleanups

- split out radv_setup_recv_event(),
- slightly update log messages,
- use DIV_ROUND_UP(),
- use structured initializer more.

No functional change, just preparation for later commits.

sd-ndisc: several trivial cleanups

- update several log messages,
- use event_reset_time_relative(),
- split out ndisc_setup_recv_event() and ndisc_setup_timer().

No functional change, just refactoring and preparation for later commits.

icmp6-util: merge icmp6_bind_router_{solicitation,advertisement}() into icmp6_bind()

No functional change, just refactoring.

hwdb: Add support for Elgato Stream Deck Plus

Add support for the following device:

 - ID 0fd9:0084 Elgato Systems GmbH Stream Deck Plus

docs: fix typo

efi: de-inline xmalloc to fix build failure with gcc 12.2 and -O2

With meson build --werror --buildtype=plain -Dc_args=" -O2" the build fails:

../src/boot/efi/stub.c: In function ‘load_addons.constprop’:03:06
../src/boot/efi/stub.c:475:40: error: using a dangling pointer to ‘p’ [-Werror=dangling-pointer=]03:06
  475 |                         dt_bases[n_dt] = xmemdup((uint8_t*)loaded_addon->ImageBase + addrs[UNIFIED_SECTION_DTB],03:06
      |                         ~~~~~~~~~~~~~~~^~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~03:06
  476 |                                                  dt_sizes[n_dt]);03:06
      |                                                  ~~~~~~~~~~~~~~~03:06
In file included from ../src/boot/efi/stub.c:20:03:06
../src/boot/efi/util.h:33:15: note: ‘p’ declared here03:06
   33 |         void *p;03:06
      |               ^

De-inline the function and initialize p to make gcc happy.

Merge pull request #31464 from poettering/vmspawn-limit-bank

vmspawn: disable all TPM PCR banks, except for SHA256

ptyfwd: optionally prefix window title with colored dot

in uid0/systemd-run/nspawn we already set a window title with a colorful
unicode dot indicating the changed privileges/execution context. This typically
gets overriden by the shell inside the environment however.

Let's tweak this a bit: when we see the window title OSC ANSI sequence
passing through, let's patch in the unicode dot as a prefix to the
title.

This is super pretty, since it makes sure root sessions via 0ad are
really easily recognizable as such, because the window title carries an
🔴 red dot as prefix then.

Merge pull request #31465 from xypron/detect-virt

Detect virtualization on RISC-V

man/systemd-sysext.xml: document mutable extensions

Signed-off-by: Thilo Fromm <thilofromm@microsoft.com>

signal-util: imply sentinel -1 in sigprocmask_many() + sigset_add_many() args list

signal-util: use RET_NERRNO() + RET_GATHER() more

detect-virt: allow detection via SMBIOS on RISC-V

SMBIOS support in QEMU for RISC-V is merged upstream.

Signed-off-by: Heinrich Schuchardt <heinrich.schuchardt@canonical.com>

update TODO

vmspawn: disable all PCR banks but SHA256

By default swtpm runs with four banks: SHA1, SHA256, SHA384, SHA512.
This means all data that is part of the boot will be hashed four times,
which slows everything down.

Let's restrict things to SHA256 only, which is the one that really
matters. SHA1 is no up to today's standards anyway, and noone really
consumes the other two, hence no point in enabling this.

To disable the banks we need to call swtpm_setup with --pcr-banks. Do
so.

vmspawn: drop "const" from string we free

I am a bit surprised this compiled at all...

detect-virt: allow detection via device-tree on RISC-V

Signed-off-by: Heinrich Schuchardt <heinrich.schuchardt@canonical.com>

Merge pull request #31455 from keszybz/restore-docs-urls

Restore docs urls

Merge pull request #31456 from poettering/tpm1.2-no-more

sd-stub: drop any support for TPM 1.2

ssh-generator: add mention of ssh.authorized_keys.root to man page

update TODO

Merge pull request #31411 from poettering/build-path

userdbd,homed,importd,sysupdate,pid1: make it easier to run daemons that have callouts from build dir

update TODO

update TODO

Merge pull request #31352 from DaanDeMeyer/versioning

Rework meson-vcs-tag.sh

sd-stub: drop any support for TPM 1.2

TPM 1.2 is obsolete, and doesn't really provide much security guarantees
given it's build around SHA1 which is not up to today's standards.

The rest of systemd's TPM codebase never supported TPM 1.2 hence let's
drop this partial support in sd-stub too. It has created problems after
all (sd-stub reported the measuements and userspace assumed these were
for TPM2), without bringing any benefits (given that the measurements we
make are not consumed by us anyway, unlike those for TPM 2.0)

let's cut off this old support.

sd-dhcp,sd-ndisc: drop mistakenly set copyright

Follow-ups for
  6efa51f8621cf6a44c5d8472aa50142e19452c7f (sd-dhcp-client-id.h),
  97c3506dcd6e16fd285ce383f8fea992e923aa17 (sd-dhcp-duid.h),
  461dbb2fa97b5c03b19462bf0f462c9f96a59f1b (sd-dhcp-option.h),
  dd8ab4a2060ed1dd0ccf1044f221750bd193cd85 (sd-dhcp-server-lease.h),
  ca34b434812f30989aa7d181e7e433815cb70dda (sd-ndisc-protocol.h and sd-ndisc-router.h).

docs: drop .md suffixes again

Revert "docs: use collections to structure the data"

This reverts commit 5e8ff010a1436d33bbf3c108335af6e0b4ff7a2a.

This broke all the URLs, we can't have that. (And actually, we probably don't
_want_ to make the change either. It's nicer to have all the pages in one
directory, so one doesn't have to figure out to which collection the page
belongs.)

ci(freezer): use GitHub Markdown magic for messages

It should make messages easier to notice.

GitHub docs: https://docs.github.com/en/get-started/writing-on-github/getting-started-with-writing-and-formatting-on-github/basic-writing-and-formatting-syntax#alerts

udev: Add /dev/media/by-path symlinks for media controllers

Add persistent symlinks for media controller ("mediaX") devices, based
on their ID_PATH udev properties.

For example, if the uvcvideo driver creates /dev/media0, a persistent
name may be:
/dev/media/by-path/pci-0000:04:00.3-usb-0:1:1.0-media-controller

Persistent links are a handy tool to make scripts self-documenting
during development or in tests, as well as less error prone in case of
devices changing enumeration order. For media controllers, one can
alternatively scan through all of them and look for a matching bus_info
in their struct media_device_info, but the links are much handier when
drafting something by hand.

A similar pattern already exists for Video4Linux /dev/videoX devices,
see 60-persistent-v4l.rules for those.

network: introduce per-interface IP forwarding settings

This deprecates IPForward= setting, which unconditionally controled
the global setting, even though it is a setting in .network file.

Instead, this introduces new IPv4Forwarding= and IPv6Forwarding=
settings both in .network and networkd.conf.
If these settings are specified in a .network file, then the
per-interface forwarding setting will be configured.
If specified in networkd.conf, then the global IP forwarding setting will
be configured.

Closes #30648.

README: mention fq_codel

In 2014, systemd started choosing fq_codel as the default_qdisc in order to fight internet bufferbloat.

https://github.com/systemd/systemd/commit/e6c253e363dee77ef7e5c5f44c4ca55cded3fd47
https://github.com/systemd/systemd/commit/fa98c99ea7f7c5bec3962fa52f4d3496a9777024

While the subsequent change made this change no longer trigger warnings if fq_codel wasn't present, it is still recommended to have this enabled.  Add the necessary kernel configuration to the documentation.

Merge pull request #31441 from yuwata/sd-ndisc-fix-timer

sd-ndisc: disable timer event source only when a valid RA received

test: Extend systemd-sysext tests to cover the mutability feature

sysext: Add --mutable mode flag

The flag takes "auto" or "import" or a boolean value.

"auto" causes systemd-sysext to make a decision about mutability of the merged
hierarchy based on existence of the upper directory in
`/var/lib/extensions.mutable/${hierarchy}`.

"import" causes the existing upper dir to be actually used as another lower
dir, which results in read-only merged hierarchy.

True value makes systemd-sysext to create the upper dir if it's missing and to
make the merged hierarchy mutable.

False value makes systemd-sysext to ignore upper dir completely, and create a
read-only merged hierarchy.

The default is false value.