ci: point the Fossies badge to main

Another follow-up to https://github.com/systemd/systemd/issues/16834

ci: change the Semaphore CI badge branch to 'main'

Follow-up to #16834

GH Actions: switch to main

It's just a follow-up to https://github.com/systemd/systemd/issues/16834

hwdb: add Medion Akoya E2228T MD61900 (#18317)

Add a model-specific entry for Medion Akoya E2228T MD61900 accelerometer to 60-sensor.hwdb so the orientation is detected correctly.

Merge pull request #18327 from benzea/benzea/libfprint-autosuspend-hwdb

Pull libfprint autosuspend hwdb

Merge pull request #18329 from poettering/notify-chroot

chroot/sd_notify() fixes

varlink: make 'userdata' pointer inheritance from varlink server to connection optional

@keszybz's right on
https://github.com/systemd/systemd/pull/18248#issuecomment-760798473:
swapping out the userdata pointer of a live varlink connection is iffy.

Let's fix this by making the userdata inheritance from VarlinkServer
object to the Varlink connection object optional: we want it for most
cases, but not all, i.e. all those cases where the calls implemented as
varlink methods are stateless and can be answered synchronously. For the
other cases (i.e. where we want per-connection objects that wrap the
asynchronous operation as it goes on) let's not do such inheritance but
initialize the userdata pointer only once we have it. THis means the
original manager object must be manually retrieved from the
VarlinkServer object, which in turn needs to be requested from the
Varlink connection object.

The userdata inheritance is now controlled by the
VARLINK_INHERIT_USERDATA flag passed at VarlinkServer construction.

Alternative-to: #18248

Merge pull request #18311 from poettering/sysext-fixups

sysext: post-merge fixups

portabled: update profiles to current semantics

MountAPIVFS= implicitly mounts /run as tmpfs now, no need to do this
explicitly.

The notification socket is now implicitly mounted too, if NotifyAccess=
and RootImage=/RootDirectory= are used together.

man: document how get logging to work in a RootDirectory=/RootImage= environment

Fixes: #18051

core: make NotifyAccess= in combination with RootDirectory=/RootImage= work

Previously if people enabled RootDirectory=/RootImage= and NotifyAccess=
together, things wouldn't work, they'd have to explicitly add
BindReadOnlyPaths=/run/systemd/notify too.

Let's make this implicit. Since both options are opt-in, if people use
them together it would be pointless not also defining the
BindReadOnlyPaths= entry, in which case we can just do it automatically.

See: #18051

hwdb: Pull autosuspend rules from upstream libfprint

libfprint includes a list of known fingerprint readers that can be
autosuspended. Upstream libfprint generates this file from the USB IDs
registered to drivers and a list of well-known readers that are
currently unsupported.

Closes: #17663

Merge pull request #18325 from ssahani/more-cleanup

Tree wide various cleanup

udev/cdrom_id: re-enable logging related functions

The logging related functions are mistakenly located in main() by
a084b3878955bc1b93adcaa7a41acb83b18eff9b, and dropped by
23afa884d4f3bcd97160a893816f9ba170f62ad4.

man: document recent systemd-sysext interface changes

sysext: add --force swich for forcibly ignoring version incompatibilities

sysext: rework command line interface to be verb-based

As suggested by @yuwata:

https://github.com/systemd/systemd/pull/18181#pullrequestreview-570826113

sysext: split version validation logic into function of its own

Just some simple refactoring to simplify the logic.

sysext: use log_setup_cli()

path-util: simplify check_x_access()

Follow-up for ece852c84592220c3d6bb5a055fd8b84ea097290.

This addresses the following comments by the Lennart:
---
hmm, so this now does two access() calls for the case where the fd is
not requested, and opens things up for races (theoretically, …). now,
the access() code path was in place for optimization, but if an optimization
is less sexy than the original (and i think it is less sexy, since more
than one syscall, and non-atomic), i think we shouldn't do the optimization.

maybe we should just always use open(O_PATH) now, and then fstat() it to
check if regular file, and then access_fd() it for checking if its executable.

sysext: install in rootbindir, remove template from unit

This reverts commit 71ad75f30641b90f9ca0088869f164d9d085430f.

btrfs-util: tighten variable scope used in loop

analyze: tighten variable scope used in loop

sd-event: Use hashmap_ensure_put

sd-event: Use hashmap_ensure_put

sd-device: Use TAKE_PTR

sd-device: Use hashmap_ensure_put

udev-rules: use ordered_hashmap_ensure_put

network: networkd-network use TAKE_PTR

network: Use hashmap_ensure_put

network: ndisc - Use ordered_set_ensure_put

machine: Use hashmap_ensure_put

logind: Use hashmap_ensure_put

journal: Use cleanup_free

Journal: Use hashmap_ensure_put

udev: use DEFINE_MAIN_FUNCTION in cdrom_id

This was failing s390x ubuntu ci due to an old version of binutils;
the binutils package in use for ubuntu ci tests has been updated and
the build no longer fails, so this can use the macro again.

Fixes: #18165

tree-wide: ignore messages with too long control data

Apparently SELinux inserts control data into AF_UNIX datagrams where we
don't expect it, thus miscalculating the control data. This looks like
something to fix in SELinux, but we still should handle this gracefully
and just drop the offending datagram and continue.

recvmsg_safe() actually already drops the datagram, it's just a matter
of actually ignoring EXFULL (which it generates if control data is too
large) in the right places.

This does this wherever an AF_UNIX/SOCK_DGRAM socket is used with
recvmsg_safe() that is not just internal communication.

Fixes: #17795
Follow-up for: 3691bcf3c5eebdcca5b4f1c51c745441c57a6cd1

Revert "test-functions: make sure we test our own libudev instead of the host libudev"

This reverts commit 73484ecff90f2cc235d827c0e955999bffe64dd0.

3976f372ae91e1cbe5ff9873aadfc2c43400452e moved libudev.so to be built in the
main directory, so this addition to $LD_LIBRARY_PATH is now obsolete.

After that commit, we build the following shared libraries:

build/libnss_myhostname.so.2
build/libnss_mymachines.so.2
build/libnss_resolve.so.2
build/libnss_systemd.so.2
build/libsystemd.so.0.30.0
build/libudev.so.1.7.0
build/pam_systemd.so
build/pam_systemd_home.so
build/src/boot/efi/stub.so
build/src/boot/efi/systemd_boot.so
build/src/shared/libsystemd-shared-247.so

EFI stubs don't matter, and libsystemd-shared-nnn.so is loaded through rpath,
and is doesn't need to and shouldn't be in $LD_LIBRARY_PATH. In effect, we only
ever need to add the main build directory to the search path.

markdown: fix comment

Follow-up for 2d816c9804c1d565797faff85c0fdbfb15f1e9d5

markdown: suggest backticks around uname -a output

Fixes: #18238

execute: for processes where creds logic is turned off, don't pass creds path to namespace logic

Otherwise, the namespace logic will try to mount a dir that doesn't
actually exist.

Fixes: #18116

Merge pull request #18307 from poettering/import-verity-download

importd: when downloading raw image, also download .roothash.p7s and .verity along with it

import: refactor how we do gpg validation

Let's split out the actual gpg logic into a helper function, so that we
can add alternative validations later on.

import: optionally pull .verity + .roothash.p7s data when downloading

We already had support for downlading a .nspawn and a .roothash file,
let's make the set complete, and also download .verity + roothash.p7s if
it exists, as nspawn consumes that.

Since there are now four kinds of additional resources to acquire, let's
introduce a PullFlags flags value for this instead of separate 'bool'
variables, it's just too many to always pass those around on the
function parameter list.

import: ignore non-successful HTTP codes for collecing image metadata

Previously we'd collect the data from redirects too, which wasn't
particularly terrible, since these typically don't carry the data we
were interested in, but it's still incorrect to do so.

import: turn on HTTP logging in debug mode

import: small memory management simplification

import: reset PullJob properly

Properly reset all fields that have to do with the current GET job when
we restart things. Previously we freed/reset only some stuff, leaking
some memory even.

import: rework how verification works

Previously the PullJob object took internal care of rerequested the
SHA256SUMS file, if requesting <image>.sha256 didn't work. This was a
weird a non-abstraction only used when actually getting the checksum
files.

Let's move this out of the PullJob, so that it is generic again, and
does roughly the same stuff for all resources it is used for: let's
define a generic .on_not_found() handler that can be set on a PullJob
object, and is called whenever with see HTTP 404, and may be used to
provide a new URL to try if the first didn't work.

This is also preparation for later work to support PKCS#7 signatures
instead of gpg signatures, where a similar logic is needed, and we thus
should have a generic infrastructure place.

This gets rid of the VerificationStyle field in the PullJob object:
instead of storing this non-generic field we just derive the same
information from the URL itself, which is safe, since we generated it
ourselves earlier.

import: use TAKE_PTR() where available

import: make scope of variable smaller

import: comment indent fix

fs-util/rm-rf: improve remove+free destructors to take and return NULL

Let#s make these helpers useful even without _cleanup_ logic, to destory
arbitary fields: make them OK wiht a NULL pointer as input, and always
return one as output.

network: add support to RoutingPolicyRule lookup table name

Merge pull request #18181 from poettering/sysext

systemd-sysext as a method of merging simple OS extensions into /usr and /opt

Merge pull request #18129 from keszybz/envvars

Allow control characters in environment variable values

tools: Pass source directory to autosuspend-update.sh

This makes sense so that we can extend the script to also update other
files.

homed: fix build without p11kit

homectl-pkcs11.c: In function 'identity_add_pkcs11_key_data':
homectl-pkcs11.c:155:13: error: implicit declaration of function 'pkcs11_acquire_certificate' [-Werror=implicit-function-declaration]

Restores the P11KIT compile-time test that was removed in 2289a78473282902db1108168df6414ae7d91b2f
("homed: move pkcs11 LUKS glue into shared code").

systemctl: warn when importing environment variables with control characters

I don't think it is useful to warn about about environemnt variables where the user
explicitly configured some value. If they went through the effort of escaping the cc
to include it in the setting (e.g. Environment="VAR=\efoo"), and we pass this through,
there isn't anything to warn about. This also applies to 'systemctl set-environment',
where the variable name and value are passed as arguments.

The only case where the warning *might* be useful is where the user might be
surprised by the value. This occurs when importing variables from the inherited
environment, i.e. in 'systemctl import-environment'. In not convinced that this is
useful, since the user better control their shell environment anyway.

$ systemctl import-environment
Calling import-environment without a list of variable names is deprecated.
Environment variable $LESS_TERMCAP_mb contains control characters, importing anyway.
Environment variable $LESS_TERMCAP_md contains control characters, importing anyway.
Environment variable $LESS_TERMCAP_me contains control characters, importing anyway.
Environment variable $LESS_TERMCAP_se contains control characters, importing anyway.
Environment variable $LESS_TERMCAP_so contains control characters, importing anyway.
Environment variable $LESS_TERMCAP_ue contains control characters, importing anyway.
Environment variable $LESS_TERMCAP_us contains control characters, importing anyway.
Environment variable $ZZZ contains control characters, importing anyway.

Allow control characters in environment variable values

So far, we would allow certain control characters (NL since
b4346b9a77bc6129dd3e, TAB since 6294aa76d818e831de45), but not others. Having
other control characters in environment variable *value* is expected and widely
used, for various prompts like $LESS, $LESS_TERMCAP_*, and other similar
variables. The typical environment exported by bash already contains a dozen or
so such variables, so programs need to handle them.

We handle then correctly too, for example in 'systemctl show-environment',
since 804ee07c1370d49aa9a. But we would still disallow setting such variables
by the user, in unit file Environment= and in set-environment/import-environment
operations. This is unexpected and confusing and doesn't help with anything
because such variables are present in the environment through other means.

When printing such variables, 'show-environment' escapes all special
characters, so variables with control characters are plainly visible.
In other uses, e.g. 'cat -v' can be used in similar fashion. This would already
need to be done to suppress color codes starting with \[.

Note that we still forbid invalid utf-8 with this patch. (Control characters
are valid, since they are valid 7-bit ascii.) I'm not sure if we should do
that, but since people haven't been actually asking for invalid utf-8, and only
for control characters, and invalid utf-8 causes other issues, I think it's OK
to leave this unchanged.

Fixes #4446, https://gitlab.gnome.org/GNOME/gnome-session/-/issues/45.

systemctl: print a warning when trying to import a nonexistent variable

I was quite confused what is happening:
$ XXX=xxx
$ systemctl --user import-environment XXX
$ systemctl --user show-environment | grep XXX
(nothing)

Obviously, 'export XXX' was missing. Without any indication why the
export is not happening, this can be hard to figure out.

Another option would be to error out. But so far we didn't, and doing
that could break some script which optimistically tries to export some
variables, if present.

sysext: install in /usr/lib/systemd/ for now

This is a brand new binary, and the CI packaging doesn't pick it up,
causing the upstream testrun to fail (sysext is pulled in by the unit).

meson: bindir is the default install_dir, no need to mention it

test: improve a log message while building test images

update TODO

man: mention SYSEXT_LEVEL in os-release(5)

sysext: use parse_extension_release and reject extension if not found

os-release: add support for /usr/lib/extension-release.d/

Add helpers to look for extension-release.$NAME files in
/usr/lib/extension-release.d/ following the same pattern as os-release.

sysext: add verity boilerplate

machine-image: properly support searching for images below some --root= path

systemd-sysext supports --root= for everything but the image discovery.
Fix that.

man: add man page for systemd-sysext

units: add systemd-sysext.service unit for auto-activating extensions at boot

We'll leave this as opt-in (i.e. a unit that must be enabled
explicitly), since this is supposed to be a debug/developer feature
primarily, and thus no be around in regular production systems.

sysext: new tool for managing "system extensions" for /usr/ + /opt/

Merge pull request #18294 from ssahani/net-2

tree wide use ensure_put

Merge pull request #18300 from yuwata/analyze-verify-18252

analyze: resolve executable path if it is relative

udev: Use TAKE_PTR

udev-rules: Use ordered_hashmap_ensure_put

sysusers: use ordered_hashmap_ensure_put

Merge pull request #18303 from yuwata/verity-cleanup

veritysetup-generator: drop unused struct and variable

Merge pull request #18038 from yuwata/meson-split

meson: various cleanups

Merge pull request #18267 from lucaswerkmeister/truncate

Two StandardOutput=truncate:file improvements

Merge pull request #18299 from ssahani/ensure-put

More use of hashmap_ensure_put and ordered_hashmap_ensure_put

TODO: fix typo

veritysetup-generator: drop unused struct and variable

Follow-ups for 08b04ec7e72b7327b4803809732b1b8fce8dd069.

This also drops unnecessary inclusion.

Fixes CID#1443889.

meson: move several definitions related libsystemd to src/libsystemd/meson.build

meson: use static_libsystemd_pic

meson: add missing license header

meson: move test or fuzzer definitions to relevant meson.build in subdirectories

meson: drop unused variable

meson: drop unnecessary files from test definitions

meson: drop unnecessary libraries from journal related tests

meson: slightly disentangle code dependencies

But, still sd-id128 is used in src/basic.

meson: sort inclusion of meson.build files in subdirectories

meson: move libjournal_core definition to src/journal/meson.build

meson: move libudev related definitions to src/libudev/meson.build

Also, this makes libudev.so built in build directory.

meson: move and gather find_program()

meson: drop redundant source files in executable()

meson: move source file list for systemd-xdg-autostart-generator and its tests

meson: move source file list for busctl

meson: move source file list for systemd-cryptenroll