Revert "find-esp: Relax filesystem root directory check"

This reverts commit d91a5f6481d35e28148fe46bc490bb4f34656947.

This is the wrong approach as we don't detect the UUID and devid
of valid ESP/XBOOTLDR partitions.

hwdb: remove fuzz and deadzone for Simucube wheel bases.

For these devices the axes are setup via a special
configuration tool. udev should not apply additional
fuzz or deadzone.

Reference for the product IDs:
https://granitedevices.com/wiki/Simucube_product_USB_interface_documentation
This also indicates that there are a total of 8 axes.

Merge pull request #25486 from keszybz/kernel-install-header

Add "File created by …" header to BLS entries

TODO: add item about mnt_fstype_is_netfs()

kernel-install: add header to generate entry files

I was looking at a bug in bugzilla about some boot loader issue, and it was
hard to say if the boot entry files were generated by our plugin or something
else. Add a header to make this clear.

kernel-install invokes the plugins via absolute path always, so $0 gives as
the full path the location where the plugin is installed. This is what we want:

  title      Fedora Linux 37 (Workstation Edition)
  # Boot Loader Specification type#1 entry
  # File created by /usr/lib/kernel/install.d/90-loaderentry.install (systemd 252-409-g5028904^)

find-esp: Relax filesystem root directory check

When relaxed checks are requested, let's not require the efi/xbootldr
directory to be the root of the filesystem. When building images, image
builders might install all efi/xbootldr files to a regular directory
first before packing them up into a partition. To allow bootctl to be
used in such scenarios to install systemd-boot, we need to relax the
fsroot check.

repart: respect --discard=no also for block devices

It's only used to avoid BLKDISCARD on individual partitions at the moment.
It can take a lot of time to run on very slow devices, so avoid it for
them too.

Update changelog with latest sd-boot, sd-stub, and bootctl changes

stub: handle random seed like sd-boot does

sd-stub has an opportunity to handle the seed the same way sd-boot does,
which would have benefits for UKIs when sd-boot is not in use. This
commit wires that up.

It refactors the XBOOTLDR partition discovery to also find the ESP
partition, so that it access the random seed there.

sd-event: reenable epoll_pwait2()

This reenables epoll_pwait2() use, i.e. undoes the effect of
39f756d3ae4765b8bf017567a12b8a4b358eaaf5.

Instead of just reverting that, this PR will change things so that we
strictly rely on glibc's new epoll_pwait2() wrapper (which was added
earlier this year), and drop our own manual fallback syscall wrapper.
That should nicely side-step any issues with correct syscall wrapping
definitions (which on some arch seem not to be easy, given the sigset_t
size final argument), by making this a glibc problem, not ours.

Given that the only benefit this delivers are time-outs more granular
than msec, it shouldn't really matter that we'll miss out on support
for this on systems with older glibcs.

Merge pull request #25485 from DaanDeMeyer/gpt-fix

gpt: Specify designator array sizes explicitly

kernel-install: make 90-loadentry.install templated

It's a bit annoying that this causes so much churn, but I don't see a different
way to do this.

gpt: Drop PARTITION_LINUX_GENERIC and PARTITION_USER_HOME

These don't have an inherent purpose, and aren't used throughout
the codebase, so let's simplify things and remove these.

See https://github.com/systemd/systemd/pull/24803#discussion_r1028190421
for more information.

gpt: Specify designator array sizes explicitly

Avoid users accidentally accessing uninitialized memory by always
making sure the array size covers all possible enum values.

Merge pull request #25477 from yuwata/network-wifi-reconfigure-on-connect

network: wifi: try to reconfigure when connected

man/journalctl: mention systemd-cat, make the description more direct

We said "query the journal". This is true but also very generic. Let's say
"print log entries from the journal" instead, so that users who are looking for
"logging" are more likely to figure out that the journalctl is the tool for
them.

Also, mention systemd-journal-remote.service which can write the journal too.
And give some hints how to figure out how to write *to* the journal.

man: update docs for MemoryZSwapMax=

resolved: Fix OpenSSL error messages

network: wifi: try to reconfigure when connected

Sometimes, RTM_NEWLINK message with carrier is received earlier than
NL80211_CMD_CONNECT. To make SSID= or other WiFi related settings in
[Match] section work, let's try to reconfigure the interface.

Fixes a bug introduced by 96f5f9ef9a1ba5146d3357c1548fb675d3bd5b68.

Fixes #25384.

network: drop unnecessary prototype

Follow-up for a39a9ac8065c29330207838b70fe388bde2bc254.

Merge pull request #25470 from keszybz/strv-extendf-format

Improve check for strv_extendf() format string

systemctl: edit: write override files as text files

Instead of stripping the newline off the final would-be line;
continue to reduce an empty-line-only file to an empty file, though

Closes #25303

bootctl: use grey-and-slash prefix for source in list too

Follow-up for 7851732262ec94f50598c4a289589a6ddb97ebfd. The source
field also shows a path relative to $BOOT, so it should be displayed
in the same fashion.

udev: make sure auto-root logic also works in UKIs booted from XBOOTLDR

If no root= switch is specified on the kernel command line we'll use the
root disk on which the partition the LoaderDevicePartUUID efi var is
located – as long as that partition is an ESP. Let's slightly liberalize
that and also allow it if that partition is an XBOOTLDR partition. This
ensures that UKIs spawned directly from XBOOTLDR work the same as those
from the ESP.

(Note that this makes no difference if sd-boot is in the mix, as in that
case LoaderDevicePartUUID is always set to the ESP, as that's where
sd-boot is located, and sd-boot will set the var first, sd-stub will
only set it later if it#s not set yet.)

tree-wide: make constant ratelimit compound actually const

The compiler should recognize that these are constant expressions, but
let's better make this explicit, so that the linker can safely share the
initializations all over the place.

boot: remove random-seed-mode

Now that the random seed is used on virtualized systems, there's no
point in having a random-seed-mode toggle switch. Let's just always
require it now, with the existing logic already being there to allow not
having it if EFI itself has an RNG. In other words, the logic for this
can now be automatic.

Merge pull request #25379 from keszybz/update-doc-links

Update doc links

basic/strv: check printf arguments to strv_extendf()

The second argument to _printf_() specifies where the arguments start. We need to
use 0 in two cases: when the args in a va_list and can't be checked, and with journald
logging functions which accept multiple format strings with multiple argument sets,
which the _printf_ checker does not understand. But strv_extendf() can be checked.

manager: fix format strings for trigger metadata

Fixup for c8bc7519c888a99134f88f8c82353246d3c0cc5d.

Merge pull request #25395 from poettering/tpm2-dlsym-assert

dlfcn-util: add static asserts ensuring our sym_xyz() func ptrs match …

mkosi: pull in libbpf1 instead of legacy libbpf0 on debian

dlfcn-util: add static asserts ensuring our sym_xyz() func ptrs match the types from the official headers

Make sure that the sym_xyz function pointers have the types that the
functions we'll assign them have.

And of course, this found a number of incompatibilities right-away, in
particular in the bpf hookup.

(Doing this will trigger deprecation warnings from libbpf. I simply
turned them off locally now, since we are well aware of what we are
doing in that regard.)

There's one return type fix (bool → int), that actually matters I think,
as it might have created an incompatibility on some archs.

update TODO

bootctl: install system token on virtualized systems

Removing the virtualization check might not be the worst thing in the
world, and would potentially get many, many more systems properly seeded
rather than not seeded. There are a few reasons to consider this:

- In most QEMU setups and most guides on how to setup QEMU, a separate
  pflash file is used for nvram variables, and this generally isn't
  copied around.

- We're now hashing in a timestamp, which should provide some level of
  differentiation, given that EFI_TIME has a nanoseconds field.

- The kernel itself will additionally hash in: a high resolution time
  stamp, a cycle counter, RDRAND output, the VMGENID uniquely
  identifying the virtual machine, any other seeds from the hypervisor
  (like from FDT or setup_data).

- During early boot, the RNG is reseeded quite frequently to account for
  the importance of early differentiation.

So maybe the mitigating factors make the actual feared problem
significantly less likely and therefore the pros of having file-based
seeding might outweigh the cons of weird misconfigured setups having a
hypothetical problem on first boot.

Merge pull request #25461 from DaanDeMeyer/repart-followups

repart followups

docs/BOOT_LOADER_INTERFACE: reword sentence to apply to both entry types

tree-wide: BLS and DPS are now on uapi-group website

repart: Rework PartitionTarget initialization

repart: Use fd based operations in partition_populate_directory()

man/sd_bus_default: Refer to man-pages project (man7.org) for ssh(1)

Merge pull request #25409 from medhefgo/boot-fixes

boot: Several fixes

repart: Remove redundant parentheses in partition_populate_directory()

mkfs-util: Use FORK_CLOSE_ALL_FDS

mkfs-util: Prefer fd based stat() where possible

mkfs-util: Use GID_FMT

repart: Use ASSERT_PTR() in partition_encrypt()

repart: Use ftruncate() instead of posix_allocate()

repart: Fix parse_filter_partitions() log messages

repart: Fix FilterPartitionsType enum name

repart: Rework unused partition number algorithm

repart: Use IN_SET() in one more place

po: Translated using Weblate (Dutch)

Currently translated at 100.0% (193 of 193 strings)

Co-authored-by: Richard E. van der Luit <fedoraproject@veneax.nl>
Translate-URL: https://translate.fedoraproject.org/projects/systemd/master/nl/
Translation: systemd/main

boot: Replace firmware security hooks directly

For some firmware, replacing their own security arch instance with our
override using ReinstallProtocolInterface() is not enough as they will
not use it. This commit goes back to how this was done before by
directly modifying the security protocols.

Fixes: #25336

boot: Rework security arch override

This simplifies the caller interface for security arch overrides by only
having to pass a validator and an optional context.

boot: Manually convert filepaths if needed

The conversion of a filepath device path to text is needed for the stub
loader to find credential files.

boot: Do not require a loaded image path

If the device path to text protocol is not available (looking angrily at
Apple) we would fail to boot because we cannot get the loaded image
path. As this is only used for cosmetic purposes, we can just silently
continue.

Fixes: #25363

boot: Fix memory leak

remove obsolete translate in zh_CN.po

Merge pull request #25438 from poettering/localhost-ifindex-tweak

resolved: fix ifindex for contacting per-interface DNS server if it is 127.0.0.1

Merge pull request #25423 from yuwata/network-tc-cake-rtt-and-ack-filter

network: tc-cake: support controlling RTT and ACK filter

dbus-manager: add comments about booleans in function calls

Update to match the new coding style
See also: https://github.com/systemd/systemd/pull/25437#discussion_r1026934242

test-network: add tests for RTT and ACK filter for CAKE

network: tc-cake: add support to specify ACK filter

Merge pull request #25389 from fbuihuu/update-test-for-opensuse

Update test/ for openSUSE

bootctl: rework how we handle referenced but absent EFI boot entries

Follow-up for #25368.

Let's consider ENOENT an expected error, and just debug log about it
(though, let's suffix it with `, ignoring.`). All other errors will log
loudly, as they are unexpected errors.

resolved: when configuring 127.0.0.1 as per-interface DNS server, contact it via "lo" always

ussually if you specify a DNS server on some interface then we'll use
that interface to talk to it. Let's override this for localhost
addresses, as they only really make sense on "lo".

Fixes: #25397

resolved: use right conditionalization when setting unicast ifindex on UDP sockets

nspawn: allow sched_rr_get_interval_time64 through seccomp filter

We only allow a selected subset of syscalls from nspawn containers
and don't list any time64 variants (needed for 32-bit arches when
built using TIME_BITS=64, which is relatively new).

We allow sched_rr_get_interval which cpython's test suite makes
use of, but we don't allow sched_rr_get_interval_time64.

The test failures when run in an arm32 nspawn container on an arm64 host
were as follows:
```
======================================================================
ERROR: test_sched_rr_get_interval (test.test_posix.PosixTester.test_sched_rr_get_interval)
----------------------------------------------------------------------
Traceback (most recent call last):
  File "/var/tmp/portage/dev-lang/python-3.11.0_p1/work/Python-3.11.0/Lib/test/test_posix.py", line 1180, in test_sched_rr_get_interval
    interval = posix.sched_rr_get_interval(0)
               ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
PermissionError: [Errno 1] Operation not permitted
```

Then strace showed:
```
sched_rr_get_interval_time64(0, 0xffbbd4a0) = -1 EPERM (Operation not permitted)
```

This appears to be the only time64 syscall that isn't already included one of
the sets listed in nspawn-seccomp.c that has a non-time64 variant. Checked
over each of the time64 syscalls known to systemd and verified that none
of the others had a non-time64-variant whitelisted in nspawn other than
sched_rr_get_interval.

Bug: https://bugs.gentoo.org/880131

sysupdate: Support volatile-root for finding the root partition

The existing logic can't find the root device in scenarios where
the root has been replaced with an overlay. We support looking
at "/run/systemd/volatile-root" to find the original root, similar
to what systemd-repart and gpt-auto-generator do.

update TODO

Merge pull request #25410 from DaanDeMeyer/mkfs-xfs-fixes

Followups for #25400

boot/measure: fix oom check

test: fix the default timeout values described in README.testsuite

Unlike it was described, the default is 30 min.

meson: install test-kernel-install only when -Dkernel-install=true

This patch fixes the following build failure:

  meson.build:3853:8: ERROR: Unknown variable "test_kernel_install_sh".

Fixes #25432.

tests: update install_suse_systemd()

- Use inst_recursive() and image_install() helpers where appropriate

- Update comments to explain why we need to install the test data manually in
  $initdir

- Install manual/ in $initdir as TEST-35-LOGIN relies on
  manual/test-session-properties

fuzz: fuzz-compress: fix copy-and-paste error: buf -> buf2 (#25431)

Merge pull request #25414 from zx2c4-forks/krngseed

EFI random seed post #25319 review fixups

kmod-setup: Make sure the tpm module is available early

Required for early boot services such as systemd-pcrphase-sysinit
which need early access to the tpm.

Update NEWS and TODO with sd-boot random seed developments

Merge pull request #25333 from yuwata/find-esp-part-entry-scheme

find-esp: downgrade and ignore error on retrieving PART_ENTRY_SCHEME

signal-util: add common implementation for propagating a signal

i.e. let's add a common logic to be called from a signal handler to
raise the passed signal again.

Follow-up for: #25399

hwdb: fix Compaq N14KP6 key toggle touchpad (#25404)

log: Remove log_ratelimit_debug() macros

These don't make sense anymore since we disable log ratelimiting
when logging at debug level.

repart: Write temporary LUKS header to /var/tmp instead of /tmp

This is a relatively large file so let's not create it in memory.

Followups for aa6aa81c1e2fa0d35f91545d440ce5a31e1a43df

tmpfile-util: Introduce fopen_temporary_child()

Instead of having fopen_temporary() create the file either next
to an existing file or in tmp/, let's split this up clearly into
two different functions, one for creating temporary files next to
existing files, and one for creating a temporary file in a directory.

network: tc-cake: add support to specify RTT

boot: only use __builtin_object_size with -O>0

__builtin_object_size() returns -1 with -O0, so disable this and warn
about it instead.

boot: do not truncate random seed file

There are concerns about the FAT file system driver exploding if we try
to do this, so just leave the bytes zeroed out instead.

random-seed: handle post-merge review nits

These are various misc things that came up after merging.

Handle MACHINE_ID=uninitialized

systemd supports /etc/machine-id to be set to: uninitialized
In this case the expectation is that systemd creates a new
machine ID and replaces the value 'uninitialized' with the
effective machine id. In the scope of kernel-install we
should also enforce the creation of a new machine id in this
condition

pcrphase: add $SYSTEMD_PCRPHASE_STUB_VERIFY env var for overriding stub check

shared/tpm2-util: Fix "Error: Esys invalid ESAPI handle (40000001)" warning

systemd-cryptenroll complains (but succeeds!) upon binding to a signed PCR
policy:

$ systemd-cryptenroll --unlock-key-file=/tmp/passphrase --tpm2-device=auto
  --tpm2-public-key=... --tpm2-signature=..." /tmp/tmp.img

ERROR:esys:src/tss2-esys/esys_iutil.c:394:iesys_handle_to_tpm_handle() Error: Esys invalid ESAPI handle (40000001).
WARNING:esys:src/tss2-esys/esys_iutil.c:415:iesys_is_platform_handle() Convert handle from TPM2_RH to ESYS_TR, got: 0x40000001
ERROR:esys:src/tss2-esys/esys_iutil.c:394:iesys_handle_to_tpm_handle() Error: Esys invalid ESAPI handle (40000001).
WARNING:esys:src/tss2-esys/esys_iutil.c:415:iesys_is_platform_handle() Convert handle from TPM2_RH to ESYS_TR, got: 0x4000000
New TPM2 token enrolled as key slot 1.

The problem seems to be that Esys_LoadExternal() function from tpm2-tss
expects a 'ESYS_TR_RH*' constant specifying the requested hierarchy and not
a 'TPM2_RH_*' one (see Esys_LoadExternal() -> Esys_LoadExternal_Async() ->
iesys_handle_to_tpm_handle() call chain).

It all works because Esys_LoadExternal_Async() falls back to using the
supplied values when iesys_handle_to_tpm_handle() fails:

    r = iesys_handle_to_tpm_handle(hierarchy, &tpm_hierarchy);
    if (r != TSS2_RC_SUCCESS) {
        ...
        tpm_hierarchy = hierarchy;
    }

Note, TPM2_RH_OWNER was used on purpose to support older tpm2-tss versions
(pre https://github.com/tpm2-software/tpm2-tss/pull/1531), use meson magic
to preserve compatibility.

Signed-off-by: Vitaly Kuznetsov <vkuznets@redhat.com>

Merge pull request #25399 from DaanDeMeyer/siginfo-crash

crash-handler: Make sure we propagate the original siginfo

Merge pull request #25096 from DaanDeMeyer/journald-log-fixes

journal: Ratelimit more journald log messages

crash-handler: Make sure we propagate the original siginfo

If we call raise(), we lose the information from the original signal.
If we use rt_sigqueueinfo(), the original siginfo gets reused which
is helpful when debugging crashes.

sigbus: Add fallback in case rt_tgsiqqueueinfo() fails

mkfs-util: Add support for rootless xfs population

We use mkfs.xfs's protofile (-p) support to achieve this. The
protofile is a description of the files that should be copied into
the filesystem. The format is described in the manpage of mkfs.xfs.

Merge pull request #25319 from zx2c4-forks/krngseed

boot: implement kernel EFI RNG seed protocol with proper hashing

sigbus: Make sure the signal is delivered to the same thread