TEST-46-HOMED: Disable auth rate-limiting

Rate limiting authentication attempts in the test can cause somewhat
sporadic test failures: adding a test case might suddenly cause future
test cases to fail because of too many authentication attempts too
quickly

We're not trying to test the rate-limiting, we're trying to test the
functionality of homed. So we effectively disable rate-limiting on all
the home areas we create

update TODO

homework: Implement offline updates

This makes it possible to update a home record (and blob directory) of a
home area that's either completely absent (i.e. on a USB stick that's
unplugged) or just inaccessible due to lack of authentication

homework: Accept volume key from keyring

This bypasses authentication (i.e. user_record_authenticate) if the
volume key was loaded from the keyring and no secret section is
provided.

This also changes Update() and Resize() to always try and load the
volume key from the keyring. This makes the secret section optional for
these methods while still letting them function (as long as the home
area is active)

homework: Always upload volume key to keyring

This commit makes homework always upload the LUKS volume key into the
kernel keyring. This is different from previous behavior in three
notable ways:

- Previously, we'd only upload if auto-resize was on. In preparation for
upcoming changes, now we always upload

- Previously, we'd upload the user's actual password (or a password
obtained from a FIDO key or similar). Now, we upload the LUKS volume key
itself, to remove a layer of unnecessary indirection.

- Previously, Lock() wouldn't remove the key from the kernel keyring.
This, of course, defeats the purpose of Lock(), so now it removes the
key

This commit also allows the LUKS volume to be unlocked using the volume
key we obtained from the keyring.

homed: Ensure closed FD is handled before bus req

Before this fix, the following sequence of events was possible:
1. A client holding a Ref() FD closes their FD
2. kernel sends notification that all clients closed their FDs
3. Another client obtains its own Ref() FD from homed
4. homed handles the notification that all clients have closed their
   Ref() FDs. Thus it loses track of the fact that the session is
   actually still being held open by the client from step 3

This change makes sure that homed won't respond to bus messages (and
thus won't open more Ref() FDs) until it has handled all notifications
about the existing FDs being closed.

logind has had a very similar fix applied to it in
e11544a8305ab9dea097c74bb16e296150c9cc10

Fixes https://github.com/systemd/systemd/issues/31518

Merge pull request #31670 from CodethinkLabs/vmspawn/generate_ssh_keys

vmspawn: generate ssh keys

Merge pull request #31908 from DaanDeMeyer/mkosi

Various mkosi fixes

mkosi: Switch to Arch Linux packaging sources main branch

https://gitlab.archlinux.org/archlinux/packaging/packages/systemd/-/merge_requests/8
was merged so let's switch branches to the main branch.

mkosi: Disable debug package generation on Arch Linux

This is extremely slow since the latest pacman release, and since
we don't strip binaries, not really needed either.

mkosi: Enable log context

mkosi: Make sure man and man-db are installed everywhere

test: Install test journals

Let's package these just like we package other test data.

Merge pull request #31839 from DaanDeMeyer/log

log: Add per target log levels

Added more ASSERT macro and also make some test file to use them

Merge pull request #31902 from YHNdnzj/swap-followup

core: some follow-ups

log: Add per target log levels

For CI in mkosi, I want to configure systemd to log at debug level
to the journal, but not to the console. While we already have max
level settings for journald's forwarding settings, not every log line
goes to the journal, specifically during early boot and when units
are connected directly to the console (think systemd-firstboot), so
let's extend the log level options we already have to allow specifying
a comma separated list of values and lets allow prefixing values with
the log target they apply to to make this possible.

Merge pull request #31900 from DaanDeMeyer/dissect

nspawn logging fix

core/mount: use ASSERT_PTR in mount_setup_new_unit

core/swap: fix memory management in swap_setup_unit

Follow-up for e9fa1bf704ad2f0a7e257e29889315118b0df459

nspawn: Use dissect_image_mount_and_warn()

dissect-image: Improve error messages

Merge pull request #31868 from bluca/test_cleanup

test: delete private images on clean-again

Merge pull request #31892 from YHNdnzj/machinectl-minor-cleanup

machinectl: minor modernization, use FOREACH_ARRAY

sd-boot: add support for support enrolling dbx

usage:
  (1) get latest revocation list for your architecture
      from https://uefi.org/revocationlistfile
  (2) copy the file to $ESP/loader/keys/$name/dbx.auth

docs: Add one more git submodule setting to configure

cgroup-util: use path_find_first_component where appropriate

Prompted by 8922a728f732a716ecd17dd67cd39bc1a0fc4aa5

Merge pull request #31890 from YHNdnzj/ASSERT_PTR

core: use ASSERT_PTR and RET_GATHER more

dbus-exporter: Set explicit mode on output directory

Otherwise the created directory might have the sticky bit or the setgid
bit set as these are inherited from the parent directory.

machinectl: minor modernization, use FOREACH_ARRAY

Prompted by 237bbec1173b41c0e0f2eaf9c30e19ab82073b8d

nulstr-util: minor cleanup

core: use RET_GATHER more

core: use ASSERT_PTR(CAST(u)) everywhere

Merge pull request #31880 from yuwata/network-varlink-trivial-cleanups

network: trivial varlink cleanups

build(deps): bump pkg/fedora from `2822a03` to `2e32a33`

Bumps pkg/fedora from `2822a03` to `2e32a33`.

---
updated-dependencies:
- dependency-name: pkg/fedora
  dependency-type: direct:production
...

Signed-off-by: dependabot[bot] <support@github.com>

build(deps): bump pkg/debian from `86cd356` to `3b47281`

Bumps pkg/debian from `86cd356` to `3b47281`.

---
updated-dependencies:
- dependency-name: pkg/debian
  dependency-type: direct:production
...

Signed-off-by: dependabot[bot] <support@github.com>

test: run clean-again between tests, not at the end

So that we free up space for the next run, as we are seeing disk space
issues on Ubuntu CI due to the many images built and left around

test: delete private images on clean-again

Private images are not reused, they are unique to tests, so delete them
as they take a lot of disk space, and we are starting to run in /var/tmp
space issues on the Ubuntu CI

varlink: use varlink_server_description()

network: set varlink description

networkctl: use varlink_flush_close_unrefp()

Merge pull request #31861 from yuwata/journalctl-fix-until

journalctl: make --until work again with --after-cursor and --lines

CI: revert the mmap_rnd_bits kludge

This reverts commit 2e0c2fb8fb15faeedf213930a4c2a3a6d584101f and commit
b7c7498de814b1e9825b43c28e307a7f0af8ffd2 now that
https://github.com/actions/runner-images/issues/9491 is closed.

Update USB ids of hwdb

Merge pull request #31862 from keszybz/add-strdup_to-helper

Add strdup_to() helper

Merge pull request #31875 from ml-/docs-fix-socket-section

docs: fix keys in wrong section and minor issues in man pages

man: fix minor issues

docs: fix keys in wrong section

test: add test case for issue #31776

journalctl: make --until work again with --after-cursor and --lines

Fixes a regression introduced by 81fb5375b3b3bfc22d023d7908ad9eee4b3c1ffb.

If one of the cursor option is specified, we first seek to the cursor position.
So, the current position may be out of the time range specified by --until,
and we need to verify the timestamp of the current position.

Fixes #31776.

Co-authored-by: Reid Wahl <nrwahl@protonmail.com>

test: fix typo

Follow-up for 66444455867f5f6313151a480d2651d7ac90dcac.

resolve: fix typo

Follow-up for ce5b9d5b3c2466dd35691be0a662c4e3353a2bbf.

resolve: fix typo

Follow-up for 47690634f157150e7b69c832d1f2d64d18b3f124.

Follow up with the PR #31819

Merge pull request #31844 from keszybz/missing-extra-checks

Add static asserts to verify that our missing_*.h headers defines are actually correct

Revert "test: temporarily adjust the default mount rate limit"

This reverts commit 3f4b00a34a425566ca8494846b0e74ca8c7693d3.

The issue #30573 seems to be fixed somehow. Let's revert the workaround.

man: fix a few issues in manpage

fix: #31482

Signed-off-by: cunshunxia <cunshunxia@tencent.com>

shared/password-quality: inline iterator variable

core: use strdup_to()

Those are all pretty straightforward.

oomd: use strdup_to() and RET_GATHER()

basic/unit-name: use strdup_to() in slice_build_parent_slice()

The handling of the buffer is not obvious, so add a comment.

logind: use strdup_to()

shared/dissect-image: use strdup_to_full() in one more place

machinectl: use strdup_to() and move cleanup out of the loop

It doesn't matter much, but it seems nicer to call va_end() just
once.

basic/time-util: use strdup_to() and reformat a bit

sd-journal/catalog: use strdup_to(), rename output param

sd-device: use strdup_to() and rename output param

device_open_from_devnum() returns two things: the devname via
an output param, and the fd via the return value. Rename the param
to signal that it's not the only return channel.

shared: use strdup_to() in specifier functions

Replace strdup_or_null() by strdup_to()

I didn't know that this helper existed… It is very similar to strdup_to_full(),
but all callers can actually be replaced by strdup_to(), which has more fitting
semantics.

basic/string-util: use strdup_to() in string_extract_line()

basic/socket-util: use strdup_to() in sockaddr_pretty()

The function was written to support ret==NULL, but the only caller always
passes ret, and sockaddr_pretty() also requires ret to be set, so that
half-implemented code wasn't very useful.

coredump: use free_and_strdup_warn() more

systemd-analyze: use strdup_to()

basic/fileio: use strdup_to_full() in read_stripped_line()

The return value of read_stripped_line() is changed. Before we'd return the
number of characters read, but that number was not meaningful after we called
strstrip(). So just return 0 if nothing was read (EOF), and 1 if something was
read (not EOF). All the callers were only checking for <0 or ==0.

various: also use strdup_to() in cases where we don't return immediately

various: use strdup_to() after getenv()

various: use strdup_to() in various obvious cases

strdup_to() returns 0 on success and here we convert obvious blocks
which either return -ENOMEM or 0.

test-cgroup-util: reduce scope of iterator variables

basic/cgroup-util: use strdup_to() and strdup_to_full() as appropriate

hostnamed: use strdup_to_full()

src/basic: add yet another strdup helper

It's a bit ugly to have both strdup_to() and strdup_to_full(). I initially
started with one variant, but then in some functions we want the additional
info, while in many other places, having 1 instead of 0 causes the return
value of whole chains of functions to be changed. It *probably* wouldn't cause
any difference, but there is at least of bunch of tests that would need to be
updated, so in the end it seems to have the two variants.

The output param is first to match free_and_strdup() and other similar
functions.

Merge pull request #31827 from rpigott/resolved-faster-dnssec

Reduce superfluous dnssec transactions

Merge pull request #31867 from jamacku/update-freezer

Update development freeze GitHub Action; now milestones are taken into account

ci(freezer): update `devel-freezer` GHA to `v1.1.0`

The new version of `devel-freezer` GitHub Action adds support for milestones, labels, and more. Now, when the `rc` tag is published, it won't post a development freeze comment on PRs included in the next milestone.

This commit also sets a delay of the 20s for PR validation to give some time for updating labels and milestones on submitted PRs.

basic/missing_audit: add explanatory comment

It seems we need to check for the header file because it's not available in
some fuzzer builds.

basic/missing_*.h: indentation tweaks

basic/missing_*.h: add asserts that the values are as expected

It's great that we provide fallback values, but if we got one of those wrong,
it could be a long time before anyone noticed. So let's add asserts that the
our internal defines actually match the official ones, when the latter are
available.

I did not add '#include "macro.h"' to missing_{audit,capability}, because
those are processed by an awk script that would need additional include
directories and could be confused by the additional lines. We don't include
those headers standalone anyway, so this is not necessary anyway.

basic/missing_ioprio: include the proper header file

IOPRIO_* is defined in linux/ioprio.h, so we were always using our fallback
definitions.

The header list in meson.build is sorted. I'm not sure why it wasn't.

sd-boot: add support for custom mode.

Custom mode allows to write updates to db, dbx, KEK and PK without
signature.  See the comment block for a more detailed description.

In case the PK update has no signature try to enable custom mode.

ci(freezer): update metadata and development_freeze workflow

use custom action to gather PR metadata and download artifact rather then inline script

ci(metadata): remove `fetch-depth: 0` it's not needed anymore

log: Make warning messages more consistent

Use our usual pattern of ", ignoring.".

kernel-install: fix uki-copy deinstall

For "kernel-install remove ..." only the kernel version is passed, not
the kernel image.  So auto-detecting KERNEL_INSTALL_IMAGE_TYPE and
setting KERNEL_INSTALL_LAYOUT does not work for uninstall.

The 90-uki-copy.install plugin must consider this and *not* exit early
for the "remove" command, otherwise $BOOT_ROOT will be filled with stale
kernel images.

Signed-off-by: Gerd Hoffmann <kraxel@redhat.com>

TODO: drop entry about renaming

NamespaceId is inconsistent with our general spelling rules which say that
capitalization of acronyms should not be changed when they are concatenated in
CapitalizedCamelCase strings. But NamespaceId was added in
f2ef8b28a5266a0070b0cb8b6375e418a5300975, before v249, so it's too late to
change it. OTOH, NamespaceNSID cannot really be spelled in any other way.
"NamespaceNsid" would be quite bad. So let's just ignore the inconsistency in
naming, this seems to be the least bad option.

dnssd: don't advertise subtype PTRs to the browsing domain

The RFC6763 § 9 recommendation is to advertise only the two-label
service names.

Fixes: 88123aa21c26 ("dnssd: support service subtypes")

mkosi: Update debian to latest

Fixes mkosi builds

terminal-util: fix underlying with SYSTEMD_COLORS=no

Fixes #31857.

build(deps): bump pkg/arch from `733045c` to `b33762d`

Bumps pkg/arch from `733045c` to `b33762d`.

---
updated-dependencies:
- dependency-name: pkg/arch
  dependency-type: direct:production
...

Signed-off-by: dependabot[bot] <support@github.com>

Rename uid0 to run0

Naming is always a matter of preference, and the old name would certainly work,
but I think the new one has the following advantages:
- A verb is better than a noun.
- The name more similar to "the competition", i.e. 'sudo', 'pkexec', 'runas',
  'doas', which generally include an action verb.
- The connection between 'systemd-run' and 'run0' is more obvious.

There has been no release yet with the old name, so we can rename without
caring for backwards compatibility.

units: add one more equivalency of '-' in '_' on kernel cmdline

c0aeff4b999318d4da48328fff0ea93c8c457ace added this in one unit file, but the
same problem occurs here. (There are no other files where this would apply.)
I think we should solve this systematically somehow, but it's not clear how to
do that, so until we have that better solution, let's apply the manual solution
so that our units work as expected.