core: Add halt and kexec emergency actions

Let's complete the picture by adding the missing halt and kexec
emergency actions.

Merge pull request #27863 from DaanDeMeyer/copy-lock

Add helpers to lock a directory before copying into it

update TODO

btrfs-util: Add BTRFS_SNAPSHOT_LOCK_BSD

When making ephemeral snapshots of subvolumes whose cleanup depends on
whether they're locked or not, it's necessary to have the lock from the
very beginning, so let's support that with a new BTRFS_SNAPSHOT_LOCK_BSD
flag.

gpt-auto: expand the loader partition UUID check to include XBOOTLDR

Before this commit, we only accept the case when LoaderDevicePartUUID
points to the ESP, while XBOOTLDR is mounted unconditionally.

After this commit, we check if LoaderDevicePartUUID points to either
ESP or XBOOTLDR. If it does, mount both, else nothing gets mounted.

Fix quoting

Merge pull request #27941 from cvlc12/early_cpio

Define 'microcode' file type for the kernel-install staging area.

Revert "core/service: when resetting PID also reset known flag"

This reverts commit ff32060f2ed37b68dc26256b05e2e69013b0ecfe.

This change is incorrect as we don't want to mark the PID as invalid but
only mark it as dead.

The change in question also breaks user level socket activation for
`podman.service` as the termination of the main `podman system service`
process is not properly handled, causing any application accessing the
socket to hang.

This is because the user-level `podman.service` unit also hosts two
non-main processes: `rootlessport` and `rootlessport-child` which causes
the `cgroup_good` check to still succeed.

The original submitter of this commit is recommended to find another
more correct way to fix the cgroupsv1 issue on CentOS 8.

Add docs, improve log comments.

Merge pull request #28078 from keszybz/trivial-syntax-and-wording-fixes

Trivial syntax and wording fixes

Merge pull request #28056 from dtardon/polkit-cleanup

Some bus-polkit cleanup

man: place options in a some limited form of subsections

Let's visually separate the options associated with cpu, io, memory, …
in subsections

This patch tries to be minimal. It just adds the section titles, and
does minimal reordering to make sure the options on the same kind of
resource are placed close to each other.

machinectl: fix message

bus_wait_for_jobs_new() can fail for various reasons.

shared: improve messages about switch root operations

"change" is not clear without context.

man/systemd-nspawn: fix indentation and parenthesis location

docs/CREDENTIALS: fix confusion of i.e. and e.g.

man: missing/misplaced periods

Resource control manpage fixup (#28046)

The order of the description of each item should match the order that they are declared. Un-document effect of deprecated non-unified CGroup hierarchy on
DefaultCPUAccounting=. Mention that the default value for DefaultCPUAccouting= is
affected by the kernel version.

Merge pull request #28074 from mrc0mmand/journal-gatewayd-followups

A couple of follow-ups for systemd-journal-gatewayd tests

bus-polkit: put function params to a single line

bus-polkit: drop unnecessary else

bus-polkit: merge variable declarations

bus-polkit: decrease indentation

bus-polkit: extract creation of polkit call to a function

bus-polkit: move verification to a separate function

homework: resize to maximum disk space if disk size is not specified

If the backing storage is LUKS2 on a block device, auto resize mode
is enabled, and disk size is not specified, resize the partition to
the maximum expandable size.

Fixes: #22255, #23967

update TODO

mkosi: Update to latest

We now run repart before starting systemd-nspawn to make sure that
the root partition is also generated when we boot the image in a
container instead of a VM.

To make sure we start from scratch for both the container boot and
the VM boot, we also enable Ephemeral to make sure all changes to
the image are ephemeral.

test: wrap curl when running with ASan

Necessary (unfortunately) for curl on C8S.

journal-gatewayd: handle SIGTERM

To allow gatewayd to exit cleanly.

core/dbus-manager: also show DefaultIOAccounting and DefaultIPAccounting

fix: https://github.com/systemd/systemd/issues/28045

test: extend the DynamicUser=yes coverage workaround to a couple more services

Define 'microcode' type of initrd for the kernel-install staging area.

This allows microcode to be referenced first for UKIs and loader entries.

Merge pull request #28069 from medhefgo/boot-dp

boot: device_path_to_str improvements

journal: avoid infinite recursion when closing bad journal FD

When trying to log, if we fail we try to close the journal FD. If
it is bad, safe_close() will fail and assert, which will try to log,
which will fail, which will try to close the journal FD...
Infinite recursion looks very pretty live in gdb, but let's avoid
that by immediately invalidating the journal FD before closing it.

boot: Improve device_path_to_str_internal()

The UEFI spec has a generic `Path` node representation that can be used
for device path nodes that are unknown. So we can use that instead of
giving up when we see a node other than FilePath.

This also simplifies the FilePath case by just using xasprintf(). The
code is really just a fallback for silly firmware that does not
implement EFI_DEVICE_PATH_TO_TEXT_PROTOCOL (looking at you, Apple).

The correctness of this was tested by round-tripping it through
EFI_DEVICE_PATH_FROM_TEXT_PROTOCOL, which yielded an identical device
compared to our input path.

boot: Split log_hexdump()

boot: Move custom device path string creating into its own function

Merge pull request #28060 from mrc0mmand/remote-journal-tests

test: add a couple of tests for systemd-journal-gatewayd

Merge pull request #28063 from bluca/test_oomd_fixlets

Readability fixes for TEST-55-OOMD

TEST-55-OOMD: improve ephemeral configuration readability

TEST-55-OOMD: use /run/ for configuration instead of /etc/

Make sure configuration is ephemeral if the image is reused

socket-activate: make a copy of the command name and arguments

When we call safe_fork() with the first argument set (process name), we
call rename_process() that zeroes out saved argv (that was saved by
save_argc_argv() in the main func defined by DEFINE_MAIN_FUNC()). In this
case this means that with --accept both the target executable name and
its arguments will be empty strings:

```
$ systemd-socket-activate --accept --listen 1111 cat &
Listening on [::]:1111 as 3.
$ curl localhost:1111
Communication attempt on fd 3.
Connection from 127.0.0.1:52948 to [::ffff:127.0.0.1]:1111
Spawned cat (cat) as PID 10576.
Execing  ()
Failed to execp  (): No such file or directory
Child 10576 died with code 1
curl: (56) Recv failure: Connection reset by peer
```

Let's make a copy of the necessary arguments beforehand and use it
instead to fix this.

test: add a couple of tests for systemd-journal-gatewayd

resolved: Initialize until_valid while storing negative/NXDOMAIN  response in the cache

Initialize until_valid is properly for negative response, the cached negative responses can be used to answer the queries before contacting upstream server.

Merge pull request #28049 from bluca/portablectl_flags

portable: fix silly typo in D-Bus interface name, use only new(er) methods from portablectl

journal-gatewayd: make MHD_OPTION_EXTERNAL_LOGGER the first option

To get rid of the warning on gatewayd startup:
    microhttpd: MHD_OPTION_EXTERNAL_LOGGER is not the first option
    specified for the daemon. Some messages may be printed by the
    standard MHD logger.

portablectl: fix using --force when no --extension is passed

The 'force' flag applies whether or not extensions are present

portable: fix silly typo in D-Bus interface name

D'oh. Nobody noticed in 3 years, I guess nobody calls these directly
and instead the manager's methods are used. Still we'll have to keep
this around, so just hide it.

resolved: added serve stale feature implementation of RFC 8767

serve stale feature to keep the DNS resource records beyond TTL to return them as stale records in case of upstream server is not reachable or returns negative response.
SD_RESOLVED_NO_STALE flag has been added to disable serving stale records via dbus.
added serve stale test cases to TEST-75-RESOLVED
Fixes: #21815

Merge pull request #23391 from yuwata/meson-bump-required-version

meson: bump required version

bus-polkit: return NULL from _free function

bus-polkit: add an assert

test: clean up the new test case a bit

Follow-up to 61cecfa0d8.

Merge pull request #27927 from Geass-LL/main

core/unit: increase the GetNameOwner timeout to 90s

journalctl: add --truncate-newline option

networkd-test.py: disable global DNS= setting

Otherwise, queries may be passed to unexpected DNS servers.

networkd-test.py: do not query IPv6 address

From changelog of dnsmasq v2.87:
====
Note in manpage the change in behaviour of -address. This behaviour
actually changed in v2.86, but was undocumented there. From 2.86 on,
(eg) --address=/example.com/1.2.3.4 ONLY applies to A queries. All other
types of query will be sent upstream. Pre 2.86, that would catch the
whole example.com domain and queries for other types would get
a local NODATA answer. The pre-2.86 behaviour is still available,
by configuring --address=/example.com/1.2.3.4 --local=/example.com/
====

networkd-test.py: replace deprecated option IPv6AcceptRouterAdvertisements=

Also, use 'yes' or 'no' for boolean options.

networkd-test.py: show more debugging logs on failure

ci: drop the "find" kludge

meson no longer complains about install_tag

meson: bump required version to 0.60.0

To suppress warning about install_tag argument.

meson: bump required version to 0.59.0

fs.stemp() and fs.name() can take File object since 0.59.0.

ci: bump debian release bullseye -> bookworm

Preparation for bumping meson requirement higher than 0.56.2.

mkosi: install HyperScale repository for CentOS 8

Preparation for bumping meson requirement higher than 0.56.2.

meson: drop non-existent test directories

meson: drop redundant spaces

core/unit: increase the NameOwnerChanged/GetNameOwner timeout to the unit's start timeout

When dbus is overloaded, these messages are easily timedout,
systemd may kill dbus-type service by mistake. This PR
mitigates this problem by increasing the timeout to the
unit's start timeout.

core/unit: add get_timeout_start_usec in UnitVTable and define it for service

Merge pull request #28053 from mrc0mmand/assorted-fixes

A bunch of typo fixes and code cleanups

find-esp: fix XBOOTLDR stx_dev_major=0 and not btrfs fix

The original commit is fully correct in its analysis, description, and
mechanics, but the patch changes an identical condition around line 500
(find_esp_and_warn()), instead of line 800 (find_xbootldr_and_warn()).

The internal patch I distributed to testers was correct (L800), and
neither the reviewers, nor me, caught that I wrote the wrong line for
upstream submission. I've re-checked that this patch applied to
systemd 252.11-1 fixes the issue.

Keep the -ENOTTY condition for find_esp_and_warn(), since the conditions
are clearly supposed to be the same and similar semantics apply.

Fixes: commit ed89819f8fd7bfe99cd652082076e85e1417e4e9 ("find-esp: don't
 silently error bootctl install if presumed XBOOTLDR part is
 stx_dev_major=0 but not btrfs")

core: fix post-fork memory leak

Doesn't matter really, but it is caught by ASAN when things fail
and there's no execve, so fix it.

https://jenkins-systemd.apps.ocp.cloud.ci.centos.org/job/upstream-vagrant-archlinux-sanitizers/3245/console

udev: use timestamp_is_set() in one more place

audit-util,varlink: use IOVEC_MAKE() in a couple more places

tree-wide: fix a couple of typos

As reported by Fossies.org.

Update badge on README to refer new scorecard viewer (#28050)

* Update scorecard badge on README.md

Signed-off-by: Joyce <joycebrum@google.com>

copy: Add COPY_LOCK_BSD

When making ephemeral copies of files/directories whose cleanup
depends on whether they're locked or not, it's necessary to have the
lock from the very beginning, so let's support that with a new
COPY_LOCK_BSD flag.

lock-util: Add LOCK_NONE

test: set $PATH to something predictable in the ASan wrapper

This is still necessary when running with clang's ASan, as it uses an
external binary to symbolize the stack traces.

Follow-up to ba79e8c2ccd.

systemctl: let's emphasize a bit that halt/poweroff/reboot/shutdown are compat commands

Let's try to make clear that these calls really should not be extended
anymore, but remain as the compat glue they are but not more.

Anything new should really be added to systemctl poweroff/halt/reboot,
which is actually defined and owned by us.

This is added in light of a9c3cc8db02dc36d41b17d0bbf1e02500046e4ce which
really shouldn't have been added I am sure.

This adds two things: a note to the --help text that people use the
relevant systemctl commands instead (as they are a lot more powerful,
for example give you inhibitor and boot loader control, kexec, and so
on). And a note to developers that they stop adding new stuff to the
compat interfaces.

update TODO

execute: fix the condition of private mounts for user namespacing

Follow-up for: 6ef721cbc7dadee4ae878ecf0076d87e57233908

sd-bus: make bus_add_match_full accept timeout

kernel-install: skip to read /etc/machine-info in test

We do not provide any way to override /etc/machine-info.
As the file is deprecated in kernel-install, let's skip to read it when
we test kernel-install.

Fixes #28011.

network: make degraded-carrier bond/bridge as routable (#27776)

This makes a bond or bridge interface in the degraded-carrier state but has a routable address
handled as routable operational state.

If the carrier is degraded but the address state is routable then the operational state should be
seen as routable and not degraded because that may be the case for bonds if some of the links are down,
but when that happens the bond as whole is still routable.

This also makes operational state to degraded if address state is degraded even if the link state is
degraded-carrier.

Fixes #22713.

Merge pull request #28038 from mrc0mmand/cleanups

A couple of cleanups

Squashed commit of the following:

commit ef2fc83647f69c172c11e0dea318bf6ecf79a4aa
Author: Joyce <joycebrum@google.com>
Date:   Wed Jun 14 12:18:23 2023 -0300

    Update scorecards.yml

Signed-off-by: Joyce <joycebrum@google.com>
commit c59c05c6ab156b20249e8056d8cbaafbe0c495f8
Merge: 7431a54568 f66d040d95
Author: Joyce <joycebrum@google.com>
Date:   Wed Jun 14 10:22:28 2023 -0300

    Merge branch 'main' into fix/disable-code-scanning-alerts

commit 7431a54568746a2fa4db1b23e1359984335df41e
Author: Joyce <joycebrum@google.com>
Date:   Tue Jun 13 18:15:21 2023 -0300

    Remove code scanning alerts scorecards.yml

Signed-off-by: Joyce <joycebrum@google.com>
Signed-off-by: Joyce Brum <joycebrum@google.com>

Merge pull request #28036 from medhefgo/meson

meson: Minor improvements

activate: rename to socket-activate

To make the naming consistent with the rest of the utils, i.e. binary
name minus the systemd- prefix.

test: split TEST-04 into smaller chunks

test: exit on first failing subtest

Let's take a step back and revert back to the original behavior where we
exit on a first failing subtest. The current behavior makes fishing out the
failing test details quite unpleasant, and in certain situations the
journal may even be rotated away so we end up with no actionable logs.

mkfs-util: Hide /proc/self/mounts before running mkfs

mkfs.btrfs refuses to operate on a block device with mounted
partitions, even if doing so is perfectly safe. An example when
this happens is when using systemd-repart with it's --image switch
to add a root partition to a /usr only image. As a workaround until
the issue is fixed, let's hide the information on mounted filesystems
from mkfs.btrfs so it doesn't fail and formats the new filesystem as
expected.

resolvectl: fix double free issue

Follow-up for: #28012

Addresses these: https://github.com/systemd/systemd/pull/28012#issuecomment-1590889386

bootctl: warn if the ESP random seed is stored on a world-readable dir

This takes heavy inspiration from @zx2c4 (Jason A. Donenfeld)'s
PR #25531 but changes it considerably, but always going by fd instead of
paths, and only warning about the side file itself and the ESP mount
point, nothing else. This shuld be more than enough and should not be
brittle against concurrent path modifications.

Replaces: #25531

Merge pull request #27946 from keszybz/ukify-genkey-verb

Add 'genkey' verb to ukify

coverage: fix build with g++

Guard the coverage-related shenanigans from g++ when building the one
C++ unit test we have, so we don't have to make it C++ compatible:

[1573/2109] Compiling C++ object test-bus-vtable-cc.p/src_libsystemd_sd-bus_test-bus-vtable-cc.cc.o
FAILED: test-bus-vtable-cc.p/src_libsystemd_sd-bus_test-bus-vtable-cc.cc.o
ccache c++ -Itest-bus-vtable-cc. ... -c ../src/libsystemd/sd-bus/test-bus-vtable-cc.cc
In file included from <command-line>:
../src/basic/coverage.h:17:15: error: ‘_Noreturn’ does not name a type
   17 | static inline _Noreturn void _coverage__exit(int status) {
      |               ^~~~~~~~~
../src/basic/coverage.h:46:29: error: conflicting declaration of ‘int _coverage_execveat(int, const char*, char* const*, char* const*, int)’ with ‘C’ linkage
   46 | #define execveat(d,p,a,e,f) _coverage_execveat(d, p, a, e, f)
      |                             ^~~~~~~~~~~~~~~~~~
../src/basic/coverage.h:34:19: note: previous declaration with ‘C++’ linkage
   34 | static inline int _coverage_execveat(
      |                   ^~~~~~~~~~~~~~~~~~
../src/basic/coverage.h:46:29: error: declaration of ‘int _coverage_execveat(int, const char*, char* const*, char* const*, int) noexcept’ has a different exception specifier
   46 | #define execveat(d,p,a,e,f) _coverage_execveat(d, p, a, e, f)
      |                             ^~~~~~~~~~~~~~~~~~
../src/basic/coverage.h:34:19: note: from previous declaration ‘int _coverage_execveat(int, const char*, char* const*, char* const*, int)’
   34 | static inline int _coverage_execveat(
      |                   ^~~~~~~~~~~~~~~~~~
../src/basic/coverage.h:58:24: error: conflicting declaration of ‘int _coverage_execvpe(const char*, char* const*, char* const*)’ with ‘C’ linkage
   58 | #define execvpe(f,a,e) _coverage_execvpe(f, a, e)
      |                        ^~~~~~~~~~~~~~~~~
../src/basic/coverage.h:48:19: note: previous declaration with ‘C++’ linkage
   48 | static inline int _coverage_execvpe(
      |                   ^~~~~~~~~~~~~~~~~
../src/basic/coverage.h:58:24: error: declaration of ‘int _coverage_execvpe(const char*, char* const*, char* const*) noexcept’ has a different exception specifier
   58 | #define execvpe(f,a,e) _coverage_execvpe(f, a, e)
      |                        ^~~~~~~~~~~~~~~~~
../src/basic/coverage.h:48:19: note: from previous declaration ‘int _coverage_execvpe(const char*, char* const*, char* const*)’
   48 | static inline int _coverage_execvpe(
      |                   ^~~~~~~~~~~~~~~~~
[1582/2109] Compiling C object test-event.p/src_libsystemd_sd-event_test-event.c.o
ninja: build stopped: subcommand failed.

meson: Use build_tgt.name()

meson: Use fs module in more places

sleep-config: add comment about security

Adds information about attacks that might become possible when the hibernate
location is automatically determined.

Merge pull request #28032 from poettering/mumumµ

deal with µ unicode ambiguities