selinux: early exit in mac_selinux_maybe_reload if not initialized

Binaries might not initialize SELinux, e.g. when they normally do not
create files with the SELinux default context.
If they, via an internal libary function, call a _label() function,
mac_selinux_maybe_reload() gets called. Since the SELinux status page
has not been opened, selinux_status_updated() will fail with EINVAL.

This affects particularly test binaries.

Just exit early and avoid confusing debug logs.

man: fix typo in resolved.conf

Merge pull request #16951 from yuwata/resolve-follow-ups-for-extra-dns-stub-listener

resolve: follow-ups for extra DNS stub listener

Merge pull request #16854 from yuwata/sd-bus-error-set-errnofv

sd-bus: rework sd_bus_error_set_errnofv()

Merge pull request #16957 from poettering/sd-bus-proto-def-move

three unrelated, minor fixes

varlink: properly allocate connection event source

Let's make sure we keep a reference to the event source

(Note that this code is currently not used, which is why this was never
used: in all cases we do not add listener fds after the event is
attached, but before. In that case this code is not called.)

ptyfwd: don't set prio if event source that might not exist

We support read-only ptyfwd options, and on those the input event source
won't be allocated. Deal with that and don't invoke a function on it
that will then instantly fail.

sd-bus: move SD_BUS_MAXIMUM_(SIGNATURE|NAME)_LENGTH to sd-bus-protocol.h

So far we kept all defines directly originating from the spec in
sd-bus-protocol.h, do this for this too.

The precise place doesn't matter much API-wise given that sd-bus.h includes
sd-bus-protocol.h, hence let's just clean this up.

core: add [Enable|Disable]UnitFilesWithFlags DBUS methods

The new methods work as the unflavoured ones, but takes flags as a
single uint64_t DBUS parameters instead of different booleans, so
that it can be extended without breaking backward compatibility.
Add new flag to allow adding/removing symlinks in
[/etc|/run]/systemd/system.attached so that portable services
configuration files can be self-contained in those directories, without
affecting the system services directories.
Use the new methods and flags from portablectl --enable.

Useful in case /etc is read-only, with only the portable services
directories being mounted read-write.

util: constify the second argument of set_get()

resolve: use correct fd for UDP stub listner

resolve: do not check sender and destination for packet received by extra DNS stub listner

resolve: use sd_event_source_set_io_fd_own() for stub listners

resolve: introduce dns_stub_listener_extra_free() and set it as a key destructor

resolve: adjust error messages

resolve: do not set IPv4 specific options on IPv6 socket

resolve: do not set IP_TTL for extra DNS stub listeners

missing: add IPV6_FREEBIND

Merge pull request #16880 from yuwata/network-dhcp4-cleanups

network: DHCPv4 cleanups

util: drop unused socket_addr_port_from_string_auto()

resolve: use in_addr_union to store addresses for extra dns stub listeners

resolve: fix indentation

util: introduce SOCKADDR_LEN() macro

test: add tests for in_addr_port_from_string_auto()

test: move several tests from test-socket-util.c

util: introduce in_addr_port_to_string()

util: make in_addr_ifindex_to_string() an alias of in_addr_port_ifindex_name_to_string()

util: introduce in_addr_port_from_string_auto()

resolve: stop extra stub listners before freeing information about them

resolve: set DNS_STUB_LISTENER_YES if no protocol is specified in DNSStubListenExtra=

resolve: Manager::dns_stub_listener_mode is not relevant to extra stub listeners

resolve: make DnsStubListenerMode bitfield

resolve: rename dns_stub_extra_event_source -> event_source

As the name is too redundant.

man: update DNSStubListenerExtra=

Merge pull request #16881 from yuwata/network-routing-policy-rule-cleanups

network: routing policy rule cleanups

Merge pull request #16952 from yuwata/resolvectl-log-level-follow-ups

resolvectl: update help message

test: add tests for sd_bus_error_set_errnof()

sd-bus: use _cleanup_free_ macro in sd_bus_error_set_errnofv()

No functional change.

network: fixes gateway assignment through DHCPv4

This fixes the following issue:
- If a DHCP lease does not contains router option, then routes with
`Gateway=_dhcp` setting introduce unexpected results.

This also makes several failure paths critical. And adjust warnings when
classless routes are provided.

bash-completion: resolvectl: support 'log-level' command

resolvectl: add 'log-level' to help message

Follow-up for df9578498f3f566409fcb71229d9fc99e4ab0568.

resolved: ttl/hopcount sockopt is not a boolean

These are integer values, hence specify them as integers, not as
booleans.

sd-bus: drop unnecessary free()

As `e->message` here is always NULL.

man: mention that 'networkctl reconfigure' does not reload configs

network: configure DHCP routes after DHCP address is ready

network: dhcp4: reset counter only when the lease address is new

sd-ipv4acd: introduce sd_ipv4acd_get_address()

network: dhcp4: stop IPv4ACD before assigning new address

sd-ipv4acd: do not call callback in sd_ipv4acd_stop() when it is already stopped

network: voidify return value of sd_ipv4acd_stop()

network: logs about unknown key

network: honor already specified family when parsing from= or to= in serialized rule

network: do not reallocate buffer

network: serialize InvertRule= in [RoutingPolicyRule]

network: add whitespace after family= and priority= in serialized routing policy rule

This also makes priority= serialized only when its value is non-zero.

network: downgrade error level when the error is ignored

network: move routing_policy_rule_read_full_file()

Merge pull request #16044 from ssahani/resolved-interface

systemd-resolved: allow configurable bind address

Merge pull request #16945 from poettering/udev-test-selinux

fix udev-test when used with selinux

udev-test: don't mix alloca() and regular C stack allocation in one expression

udev-test: use SYNTHETIC_ERRNO() where useful

udev-test: use mount_verbose() instead of mount(), to make debugging easier

udev-test: make sure we run udev tests with selinux assumed off

This is cleaner that way given that we create our own half-virtualizes
device tree, and really shouldn't pull selinux labelling and access
control into that, we can only lose, in particular as our overmounted
/sys/ actually lacks /sys/fs/selinux.

(This fixes udev test woes introduced by #16821 where suddenly the test
would fail because libselinux assumed selinux was on, but selinuxfs
wasn't actually available)

Merge pull request #16915 from poettering/cryptsetup-dlopen

pid1,repart,growfs: make libcryptsetup a dlopen() style dep

Merge pull request #16821 from cgzones/selinux_status

 selinux: use SELinux status page

Merge pull request #16940 from keszybz/socket-enotconn-cleanup

Cleanup socket enotconn handling

resolve: allow configurable bind address

hwdb: Add Adesso AKB-805MAC keyboard, mfd by Ortek

firstboot: don't create/modify passwd and shadow if not asked

core/socket: use _cleanup_ to close the connection fd

Removing the gotos would lead to a lot of duplicated code, so I left them
as they were.

core/socket: fold socket_instantiate_service() into socket_enter_running()

socket_instantiate_service() was doing unit_ref_set(), and the caller was
immediately doing unit_ref_unset(). After we get rid of this, it doesn't seem
worth it to have two functions.

core/socket: we may get ENOTCONN from socket_instantiate_service()

This means that the connection was aborted before we even got to figure out
what the service name will be. Let's treat this as a non-event and close the
connection fd without any further messages.

Code last changed in 934ef6a5.
Reported-by: Thiago Macieira <thiago.macieira@intel.com>
With the patch:
systemd[1]: foobar.socket: Incoming traffic
systemd[1]: foobar.socket: Got ENOTCONN on incoming socket, assuming aborted connection attempt, ignoring.
...

Also, when we get ENOMEM, don't give the hint about missing unit.

homed: remember the secret even when the for_state is FIXATING_FOR_ACQUIRE

Remember the secret if the for_state is FIXATING_FOR_ACTIVATION or
FIXATING_FOR_ACQUIRE. This fixes login failures when logging in
to an unfixated user.

update TODO

shared: make libcryptsetup dep dlopen

Let's make libcryptsetup a dlopen() style dep for PID 1 (i.e. for
RootImage= and stuff), systemd-growfs and systemd-repart. (But leave to
be a regulra dep in systemd-cryptsetup, systemd-veritysetup and
systemd-homed since for them the libcryptsetup support is not auxiliary
but pretty much at the core of what they do.)

This should be useful for container images that want systemd in the
payload but don't care for the cryptsetup logic since dm-crypt and stuff
isn't available in containers anyway.

Fixes: #8249

shared: rename crypt-util.c → cryptsetup-util.c

"crypt-util.c" is such a generic name, let's avoid that, in particular
as libc's/libcrypt's crypt() function is so generically named too that
one might thing this is about that. Let's hence be more precise, and
make clear that this is about cryptsetup, and nothing else.

We already had cryptsetup-util.[ch] in src/cryptsetup/ doing keyfile
management. To avoid the needless confusion, let's rename that file to
cryptsetup-keyfile.[ch].

selinux/systemctl: create unit file with default context on edit

import: make sure gnu tar complains on tar files with trailing garbage

By default GNU tar will only read the first archive if multiple archives
are concatenated and ignore the rest. If an archive contains trailing
garbage this will hence not be recognized by tar as error, it simply
stops reading when the first archive is done (which might escalate to
SIGPIPE when invoked via a pipe).

Let's add --ignore-zeros to the tar command line when extracting. This
means:

1) if a tar archive was concatenated (i.e. generated with tar -A) we'll
   process it correctly.

2) if a tar archive contains trailing garbage tar will now generate an
   error message about it, instead of just throwing EPIPE, which makes
   things easier to debug as broken files are not silently processed.

I think it's OK for gnu tar to ignore trailing garbage when dealing with
classic tapes drives, i.e. mediums that do not have a size limit
built-in. However, this is not what we are dealing with: we are dealing
with OS images here, that hopefully someone generated with a clean build
system, that were signed and validated and hence should not contain
trailing garbage.  Hence it's better to refuse and complain thant to
silently eat up like for classic tape drives.

Fixes: #16605

nspawn: let's make LinkJournal an extended boolean

Let's accept the usual boolean parameters for LinkJournal. It's
confusing otherwise.

Previously we'd accept "no" but not the other values we typically accept
for "false". We'd not accept any values for "true".

With this change we'll accept all true and false values and will do
something somewhat reasonable: any false value is treated like "no"
previously was reated. And any true value is now treated like "auto".

We don't document the new values, since this logic is mostly redundant,
and it's probably better if people consider this an enum rather than a
bool.

Fixes: #16888

Merge pull request #16882 from weblate/weblate-systemd-master

Translations update from Weblate

Merge pull request #16853 from poettering/udev-current-tag2

udev: make uevents "sticky"

coredump: don't convert s → µs twice

We already append 000000 early on when parsing the cmdline args, let's
not do that a second time.

Fixes: #16919

firstboot: fill empty color if ansi_color unavailable from os-release

shared: Introduce socket_addr_port_from_string_auto

Merge pull request #16925 from cgzones/selinux_create_label

selinux/core: create several file objects with default SELinux context

Merge pull request #16911 from keszybz/userdb-json-invalid-utf8

Deal properly with invalid utf-8 in userdb entries

Merge pull request #16922 from keszybz/ordered-set-ensure-allocated

Ordered set ensure allocated

man: document the new libudev APIs

NEWS: explain the "bind"/"unbind" situation a bit

logind: always check current tag list before using a device

logind: only apply ACLs for device currently tagged with "uaccess"

This is about security, hence let's be particularly careful here: only
devices currenlty tagged with "uaccess" will get ACL management, and
it's not sufficient if they once were (though that is used for
filtering).

core: make sure to recheck current udev tag "systemd" before considering a device ready

Let's ensure that a device once tagged can become active/inactive simply
by toggling the current tag.

Note that this means that a device once tagged with "systemd" will
always have a matching .device unit. However, the active/inactive state
of the unit reflects whether it is currently tagged that way (and
doesn't have SYSTEMD_READY=0 set).

Fixes: #7587

test: add test for new "sticky" tags logic

libudev: also expose API to check for current tags in libudev

udev: make tags "sticky"

This tries to address the "bind"/"unbind" uevent kernel API breakage, by
changing the semantics of device tags.

Previously, tags would be applied on uevents (and the database entries
they result in) only depending on the immediate context. This means that
if one uevent causes the tag to be set and the next to be unset, this
would immediately effect what apps would see and the database entries
would contain each time. This is problematic however, as tags are a
filtering concept, and if tags vanish then clients won't hence notice
when a device stops being relevant to them since not only the tags
disappear but immediately also the uevents for it are filtered including
the one necessary for the app to notice that the device lost its tag and
hence relevance.

With this change tags become "sticky". If a tag is applied is once
applied to a device it will stay in place forever, until the device is
removed. Tags can never be removed again. This means that an app
watching a specific set of devices by filtering for a tag is guaranteed
to not only see the events where the tag is set but also all follow-up
events where the tags might be removed again.

This change of behaviour is unfortunate, but is required due to the
kernel introducing new "bind" and "unbind" uevents that generally have
the effect that tags and properties disappear and apps hence don't
notice when a device looses relevance to it. "bind"/"unbind" events were
introduced in kernel 4.12, and are now used in more and more subsystems.
The introduction broke userspace widely, and this commit is an attempt
to provide a way for apps to deal with it.

While tags are now "sticky" a new automatic device property
CURRENT_TAGS is introduced (matching the existing TAGS property) that
always reflects the precise set of tags applied on the most recent
events. Thus, when subscribing to devices through tags, all devices that
ever had the tag put on them will be be seen, and by CURRENT_TAGS it may
be checked whether the device right at the moment matches the tag
requirements.

See: #7587 #7018 #8221

test-functions: make sure we test our own libudev instead of the host libudev

When invoking "ldd" to find dependency libraries we already set
$LD_LIBRARY_PATH to point to our own build tree, so that our libraries
are checked, not the host libraries. This is not sufficient howeever, as
libudev is built in a subdir. Add that, too.

Merge pull request #16727 from wusto/core-fix-securebits

core: fix securebits setting

socket: New option 'FlushPending' (boolean) to flush socket before entering listening state

Disabled by default. When Enabled, before listening on the socket, flush the content.
Applies when Accept=no only.

TODO: add entry

user-record-nss: check if strings from pwd/spwd/grp/sgrp are valid utf-8

strv_extend_strv_utf8_only() uses a temporary buffer to make the implementation
conscise. Otherwise we'd have to rewrite all of strv_extend_strv() which didn't
seem worth the trouble for this one use outside of a hot path.

If the data is not serializable, we just pretend it doesn't exists.
This fixes #16683 and https://bugs.gentoo.org/735072 in a second way.