Merge pull request #26392 from bluca/news

Update hwdb and news

dissect-image: unknown/unsupported diskseq is indicated by 0, not by UINT64_MAX

At almost all places if diskseq is not supported we encode this as
diskseq zero. But in two places we got the check for that wrong,
assuming it was UINT64_MAX.

Fix that.

hwdb: update database

NEWS: update contributors list

core: when isolating to a unit, also keep units running that are triggered by units we keep running

Inspired by: #26364

(this might even "fix" #26364, but without debug logs it's hard to make
such claims)

Fixes: #23055

userdb: Use json_dispatch_user_group_name() to parse GetMembership fields

It allows to relax the checks and allow characters like '\', used by
windows to split the domain name and user name.

For reference, discussion in the systemd-devel mailing list:
https://lists.freedesktop.org/archives/systemd-devel/2023-February/048804.html

Signed-off-by: Samuel Cabrero <scabrero@suse.de>

mkosi: Use globs instead of prepare script to install extra packages

This allows us to install everything in the same dnf command instead
of having to use a prepare script to run dnf from within the image.

This is a hack until mkosi supports release specific dropin files.

Merge pull request #26387 from bluca/swapon_util_linux

README/NEWS: note that we now explicitly require util-linux's swapon due to new option

NEWS: note that we require a swapon that supports --fixpgsz

README: explicitly note that util-linux's mount/swap are required

These are the most visible and hard requirements, as we use options that
busybox does not provide, so list them explicitly to avoid surprises

cryptenroll: drop deadcode

Follow-up for b0fc23fae51d244d2c33d70c10003aa5d5840223.

After the commit, 'signature_path' is now always non-NULL, hence the
condition can be dropped.

Fixes CID#1504492.

mkosi: Update to latest

Let's make sure we're testing unprivileged builds properly. Usage
of SourceFileTransfer= and SourceFileTransferFinal= are removed as
they were dropped by mkosi. SourceFileTransfer=mount is now the
default in mkosi so behavior for the build script is unchanged. We
stop copying sources in the final image until mkosi adds support
for virtiofs.

boot: Fix undefined reference to raise() on arm

This is just a workaround. Once we drop gnu-efi, the arm build system
for EFI binaries should be changed to use the arm-none-eabi toolchain,
which should not exhibit this behavior.

various: boldify version output

Follow-up for 4453ebe4db0511d25bed1040930ea6430c1bed91.
With the feature list all dandified, the most important part of the
output, i.e. the project name and version, are less visible.

boot: Make sure we take --root into account everywhere.

Merge pull request #26377 from keszybz/doc-fixups-2

Fix links in man pages

man: fix links to man pages

Done using linkchecker as usual.

man: fix section number

Fixes #26376.

units: change assert to condition to skip running in initrd/os

These units are also present in the initrd, so instead of an assert,
just use a condition so they are skipped where they need to be skipped.

Fixes https://github.com/systemd/systemd/issues/26358

bootctl: Add missing %m

Merge pull request #26366 from yuwata/nss-myhostname

nss-myhostname: two fixlets

nss-myhostname: do not return empty result with NSS_STATUS_SUCCESS

Fixes a bug introduced by db50d326a46beca3cc24b6354b6e1b3591902d45.

Fixes RHBZ#2167468 (https://bugzilla.redhat.com/show_bug.cgi?id=2167468).

nss-myhostname: fix inverted condition in

Fixes a bug introduced by db50d326a46beca3cc24b6354b6e1b3591902d45.

Merge pull request #26354 from bluca/news

NEWS: add future incompatible changes notice

process-util: add missing error check

hwdb: add override for IdeaPad5 insert key

Fixes #25968.

I wrote the rule to assume that all IdeaPad5 thingies are like that.

Merge pull request #26225 from qdeslandes/fix_delegate_cgroup_logs_filtering

Fix delegate cgroup logs filtering

ukify: add explanatory message when import fails

journal: modernize sd_journal_get_realtime_usec() a bit

This does what 404803e6caad2de2d8e74caab0b79ec3f030f801 did for the
monotonic timestamp getter, but for the realtime timestamp.

It also also makes the return value optional, exactly as for the
monotonic timestamp logic.

NEWS: note about future implicit PrivateUsers= in user units

Merge pull request #26350 from keszybz/reload-messages

Improve messages emitted when Reload or Reexec is requested

docs/NETWORK_ONLINE: fix example

Type=oneshot is necessary for systemd to actually wait for the service
to return. With RemainAfterExit=yes it won't be started again.

Fixes #26342.

journald: fix ignored filtering patterns for delegated cgroups

If a service defines Delegate=yes, its subcgroup won't inherit the
LogFilterPatterns= option, because the option is stored on the unit's
cgroup attributes, not on the subcgroup.

Fixed by using the unit's cgroup attributes instead.

core: add cg_path_get_unit_path()

From a given cgroup path, cg_path_get_unit() allows to retrieve the
unit's name. Although, this removes the path to the unit's cgroup,
preventing the result to be used to fetch xattrs.

Introduce cg_path_get_unit_path() which provides the path to the unit's
cgroup. This function behave similarly to cg_path_get_unit() (checking
the validity and escaping the unit's name).

sd-bus: adjust line breaks

manager: improve message about Reload/Reexec requests

If we fail to get the necessary information, let's just not print that
part of the message. 'n/a' looks pretty ugly.

I used a bunch of ternary operators instead of seperate log lines because
with two components that might or might not be there, we need four different
combinations.

Also, the unit name doesn't need to be quoted, it's always printable.

manager: "downgrade" message about command vanishing from the unit file

We would print "Current command vanished from the unit file, execution of
the command list won't be resumed." as a warning, but most of the time there
is nothing to resume, because a unit has just one command. So let's detect
the case where the command that was active is the last command in the sequence
and skip the warning.

I was considering how to store the information that the command is last. An
important consideration is not to use a format that would confuse older versions
of systemd. (It wouldn't be a big problem if older systemd just refused the
new serialization, since we require systemd to be newer, but we should avoid
the case where the deserialization is "successful", but actually incorrect.)
Similarly, the deserialization from the old systemd must not confuse new systemd.
For this command, we have a list of arguments at the end, so just adding a
new field either in the middle or at the end is problematic because it's hard
to ensure that we don't mix up the positional and variable arguments.

We actually need to store just one bit of information, so '+' is prefixed on
the index of the last command and used by new systemd to skip the warning.
When deserializing from older systemd, '+' is not present, so we detect all
commands as "not last", and still emit the warning, so we err on the side of
caution. If the user were to deserialize from newer to older systemd, nothing
untoward would happen, because the '+' is ignored. (Users shouldn't do this,
but we know that this occasionally happens with initrds or exitrds and package
downgrades.)

NEWS: copy future incompatible changes notice from 252

These are in the future, so it's good to re-emphasize on every release until they
actually happen

ci: Add names to steps in labeler workflow

This makes it easier to see what step failed/was skipped in the GitHub
Actions UI. It also makes future debugging easier.

hwdb: Add HP Envy x360 Convertible 15-cn0xxx to existing entry

test-parse-util: add tests with explicit plus character

I expected this to work, but our tests did not cover this
explicitly.

core/service: constify ExecCommand* in two functions

core: imply DeviceAllow=/dev/tpmrm0 with LoadCredentialEncrypted

If the device access policy is restricted, add implicitly access to the TPM
if at least one encrypted credential needs to be loaded.

Fixes https://github.com/systemd/systemd/issues/26042

cryptenroll: do not implicitly verify with default tpm policy signature

If it was not requested to use a tpm2 signature file when enrolling, do
not fallback to the default /run/systemd/tpm2-pcr-signature.json as it
likely will be unrelated if it exists.

Fixes https://github.com/systemd/systemd/issues/25435

unit: always return 1 in log_kill

This ensures that cg_kill_items returns the correct value to let the
manager know that a process was killed.

Merge pull request #26328 from yuwata/udev-worker-set-process-name

udev: set worker process name

journal: minor modernizations

Merge pull request #26337 from poettering/journal-display-ts

logs-show: rename "ts" paramater/variable to "display_ts"

Merge pull request #26336 from poettering/journal-etoomanyrefs

journal: print nicer log message when limit of open journal files during display is hit

Merge pull request #26335 from keszybz/dns-not-found

resolve: adjust message for NXDOMAIN lookup result

Fix Positivo-vaio VJPW12F11X key toggle touchpad

Merge pull request #26338 from jamacku/fix-labeling

ci: Fix automatic removing of labels when PR is closed

ci: remove `if: github.event.issue.pull_request` from `labeler.yml`

`github.event.issue.pull_request` is an object, not a boolean.
This is the root cause of why the step that is supposed to remove labels
is always skipped. Having this condition in place is not necessary since
the workflow is run on the `pull_request_target` event.

logs-show: rename "ts" paramater/variable to "display_ts"

When displaying log data we deal with two kind of timestamps: the one we
use for display (typically the source timestamp if available), and the
one we use internally (typically the reception timestamp of journald).

The user-facing output modes generally use the display timestamp, the
ones intended for further processing (i.e. json + export outputs) do
not, and directly query the timestamps of the entry, ignoring the
source. This gets a bit confusing, since it's not always clear why we
use which timestamp where. Let's address that by renaming the generic
"ts" parameter/variable to "display_ts" to emphasize that the stored
timestamp are "corrected" timestamps for display only.

No real code change, just some renaming.

ci: fix missing quotes in `labeler.yml`

update TODO

journal: print a useful error message if we hit the journal file open limit

See: #20921

resolve: adjust message for NXDOMAIN lookup result

Previously, we reported:
  nx.example.org: resolve call failed: 'nx.example.org' not found
But the call did succeed, and in fact all communication with the upstream
servers was successful, and we got an authoritative negative answer.
So instead of saying that the call fail, just say that the host doesn't exist:
  nx.example.org: Name 'nx.example.org' not found

I wanted to keep the prefix of "<name>: ", to keep the output uniform. But
it'd look a bit strange to say "<name>: <name> not found", so I added "Name "
to make the output more readable. (Another option would be to not display
the error string received from resolved, but that seems risky: even if right
now resolved uses just one message format, it could start doing something else
in the future, so it's better to display the error as received.)

Fixes #26233.

resolve: define normal macros for BUS_ERROR_DNS error codes

This result is identical after cpp is done, so we don't save anything
by not having the usual macros. And with the usual macros it's easier to
grep and code-crossreferencing works better.

tree-wide: set FORK_RLIMIT_NOFILE_SAFE flag

No functional changes, just refactoring.

udevd: configure a child process name for worker processes

This effectively reverts commit ff86c92e3043f71fc801cf687600a480ee8f6778,
and re-apply 49f3ee7e74c714f55aab395c080b1099fc17f7fd.

The change was dropped due to the process name was not correctly logged,
but the issue was fixed by dd15e4cb57129b915e01495e113696bfe0b70214.
Let's set the child process name again.

Merge pull request #26324 from yuwata/argv-util-update-short-name

argv-util: also update short invocation name

Merge pull request #26322 from keszybz/log-errno-fix

Log errno fix

Merge pull request #26321 from keszybz/flex-arrays

Enable new compiler diagnostics for invalid array accesses

Merge pull request #26320 from keszybz/operator-whitespace

Drop whitespace after shell redirection operators

NEWS: fix typo

update TODO

argv-util: also update program_invocation_short_name

Our logging uses program_invocation_short_name. Without this patch,
logs from forked client may become broken; spuriously truncated or
the short invocation name is not completely shown in the log.

test: use notice log level to make easily filter out logs from PID1

meson: enable -Wzero-length-bounds

This will warn if fake flexible arrays are re-introduced. I'm not using
-Werror=… because we may still get warnings when compiling against old kernel
headers. We can crank this up to error later.

meson: enable -Warray-bounds and -fstrict-flex-arrays

-fstrict-flex-arrays means that the compiler doesn't have to assume that any
trailing array is a flex array. I.e. unless the array is declared without a
specified size, only indices in the declared range are valid.

-Warray-bounds turns on the warnings about out-of-bounds array accesses.
-Warray-bounds=2 does some more warnings, with higher false positive rate. But
it doesn't seem to yield any false positives in our codebase, so enable it.

clang supports -Warray-bounds, but not -Warray-bounds=2.
gcc supports both.
gcc-13 supports -fstrict-flex-arrays.

See https://people.kernel.org/kees/bounded-flexible-arrays-in-c for a long
discussion of use in the kernel.

shared/json: avoid use of fake flex array

sd-journal: avoid use of fake flex arrays

I tried to use DECLARE_FLEX_ARRAY like the kernel does, but it does not work
for anonymous structs (they cannot be declared inline), so an open-coded
version is used.

repart: silence bogus gcc warning

[2/3] Compiling C object systemd-repart.p/src_partition_repart.c.o
../src/partition/repart.c: In function ‘context_open_copy_block_paths’:
../src/partition/repart.c:5194:41: warning: ‘devno’ may be used uninitialized [-Wmaybe-uninitialized]
 5194 |                         source_fd = r = device_open_from_devnum(S_IFBLK, devno, O_RDONLY|O_CLOEXEC|O_NONBLOCK, &opened);
      |                                         ^~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
../src/partition/repart.c:5188:31: note: ‘devno’ was declared here
 5188 |                         dev_t devno;
      |                               ^~~~~

This is with gcc-13.0.1-0.2.fc38.x86_64, -O2. I'm pretty sure the code
is correct. I also tried adding some asserts where errno is used for the return
value, but that didn't help. I think resolve_copy_blocks_auto() is just too long
for gcc to understand.

repart: fix invalid errno in log

shared/linux: fix fake flexible array in struct autofs_dev_ioctl

The kernel still hasn't fixed this in kernel-headers-6.2.0-0.rc6.git0.1.fc38.x86_64.

sd-network: stop using fake flexible array

shared/linux: update kernel headers

The kernel was updated to not use fake flex arrays with zero size.
Updating should allow -fstrict-flex-arrays to be used.

Headers pulled from kernel-headers-6.2.0-0.rc6.git0.1.fc38.x86_64.

Note that this is not a straighforward copy: our files have local modifications
(listed in README) that need to be preserved.

docs/CODING_STYLE: add sentence about redirection operators

tools: replace multi-line echo by <<EOF

test: drop whitespace after shell redirection operators

(The one case that is left unchanged is '< <(subcommand)'.)

This way, the style with no gap was already dominant. This way, the reader
immediately knows that ' < ' is a comparison operator and ' << ' is a shift.

In a few cases, replace custom EOF replacement by just EOF. There is no point
in using someting like "_EOL" unless "EOF" appears in the text.

NEWS: adjust commas, avoid double negative

Also adjust text wrapping in a few spots.

Add hwdb sensor entry for Lenovo IdeaPad Duet 3 10IGL5 (82AT).

hwdb: ieee1394-unit-function: add MOTU 896 mk3 Hybrid

This commit adds hwdb entry for MOTU 896 mk3 Hybrid.

Reference: https://lore.kernel.org/alsa-devel/63DF98FE.2060604@gmx.de/

ci: Fix Development Freeze Automation

Due to the limitation of `GITHUB_TOKEN` when running workflows from forks,
it's required to split the `development_freeze` workflow in two.

* First workflow will run on the `pull_request` trigger and save the PR
number in the artifact. This workflow is running with read-only permissions
on `GITHUB_TOKEN`.
* Second workflow will get triggered on `workflow_run`. It will be run
directly in the `systemd/systemd` context and can get permission to be
able to create comments on PR.

GITHUB_TOKEN limitations:

* https://docs.github.com/en/actions/security-guides/automatic-token-authentication#permissions-for-the-github_token

GitHub Security Labs Article - How to correctly and safely overcome GITHUB_TOKEN limitations:

* https://securitylab.github.com/research/github-actions-preventing-pwn-requests/

man: correct path for systemd-pcrphase

NEWS: fix typo

update NEWS

Merge pull request #26302 from bluca/rc2

Update hwdb for rc2

NEWS: fix typo

NEWS: various fixes

NEWS: update date

NEWS: update contributors list

hwdb: update autosuspend db

hwdb: update

NEWS: update for v253-rc2

NEWS: fix typo

Merge pull request #26292 from yuwata/locale-fix-enoent-handling

locale: fix ENOENT handling for vconsole.conf or xorg.conf

test-time-util: skip test for TIMESTAMP_DATE if the timestamp is too old

Follow-up for 64f3419ec1f56a93b6dd48137ca40c945fc06c59.

If the input timestamp is too old (say, 1min since 1970-01-01), then
parse_timestamp() may fail on a timezone with positive shift e.g.
JST (UTC+9). Moreover, even if parse_timestamp() succeeds, its result
'y' and 'usec_sub_unsigned(x, 2 * USEC_PER_DAY)' are both zero, and
the assertion will be triggered.

Fixes #26172.

udev: make get_virtfn_info() provide physical PCI device

Fixes a bug introduced by 78463c6c4fdcb703bc0dc694c3ea77df3c5624e0.

Fixes #25545.