systemd-coredump: Add conflict with shutdown.target

Otherwise a coredump started at the inconvinient moment can stop
shutdown.target leaving the system in a halfway-down state:

Pulling in shutdown.target/start from systemd-poweroff.service/start
Added job shutdown.target/start to transaction.
...
Keeping job shutdown.target/start because of systemd-poweroff.service/start
...
[  OK  ] Stopped target Remote File Systems.
shutdown.target: starting held back, waiting for: systemd-networkd.socket
sysinit.target: stopping held back, waiting for: remount_tmp.service
systemd-coredump.socket: Incoming traffic
...
systemd-coredump@0-243-0.service: Trying to enqueue job systemd-coredump@0-243-0.service/start/replace
Added job systemd-coredump@0-243-0.service/start to transaction.
Pulling in systemd-journald.socket/start from systemd-coredump@0-243-0.service/start
Added job systemd-journald.socket/start to transaction.
Pulling in system.slice/start from systemd-journald.socket/start
Added job system.slice/start to transaction.
Pulling in -.slice/start from system.slice/start
Added job -.slice/start to transaction.
Pulling in system-systemd\x2dcoredump.slice/start from systemd-coredump@0-243-0.service/start
Added job system-systemd\x2dcoredump.slice/start to transaction.
Pulling in system.slice/start from system-systemd\x2dcoredump.slice/start
Pulling in shutdown.target/stop from system-systemd\x2dcoredump.slice/start
Added job shutdown.target/stop to transaction.
...
Keeping job systemd-poweroff.service/stop because of umount.target/stop
Keeping job shutdown.target/stop because of systemd-coredump@0-243-0.service/start

Merge pull request #19458 from yuwata/network-route-remove

network: fix route removal logic a bit

udev: allow onboard index up to 65535

The maximum allowed value of the sysfs device index entry was limited to
16383 (2^14-1) to avoid the generation of unreasonable onboard interface
names.
For s390 the index can assume a value of up to 65535 (2^16-1) which is
now allowed depending on the new naming flag NAMING_16BIT_INDEX.
Larger index values are considered unreasonable and remain to be
ignored.

Merge pull request #19451 from poettering/hostnamed-json

hostnamed: add JSON output to hostnamectl

man: document new dbus method

hostnamectl: add --json= switch for JSON output

This wraps the new Describe() bus call of hostnamed.

hostnamed: add Describe() call to hostnamed, returning all props a JSON

hostnamed: drop unused enums

hostnamed: split out how we determine the hostname a bit

No changes in code, just some splitting out of code we want to use
elsewhere soon.

hostnamed: refactor vendor/model querying a bit, reuse function

hostnamed: use byte array when we need a byte array

it's more corect this way, but shouldn#t change a thing binary-wise

hostnamed: retrieve product UUID after authentication, not before

id128-util: use common implementation of helper to get/validate product ID

network: do not set nexthop ID, gateway, and multipath routes simultaneously

See kernel's rtm_to_fib_config() in net/ipv4/fib_frontend.c and
rtm_to_fib6_config() in net/ipv6/route.c.

Note that if both gateway and multipath routes are specified, then
kernel ignores gateway. So, strictly speaking, setting both gateway and
multipath routes is allowed by kernel. But such situation is mostly
user's misconfiguration. Let's refuse it.

Note that the conditions newly added in route_configure() are redundant,
as all static configurations are already verified in
route_section_verify(), and dynamic configurations do not set
nexthop_id or multipath routes. Just for safety.

set boot time from monotonic time (#19444)

utmp: calculate boot timestamp from monotonic timestamp instead of realtime timestamp

network: do not remove reject type routes more than once

Usually, removing non-existing addresses, routes, and etc, are safe.
However, when multiple interfaces lost their carriers simultaneously,
then manager_drop_routes() and manager_drop_nexthop() are called multiple
times. If a route with a blackhole nexthop is removed in that process,
the later removal requests of the route fail with -EINVAL, rathar
than -ESRCH, as the corresponding nexthop does not exist anymore.

So, let's not remove routes which managed by Manager more than once.

network: do not set route type on specific route removal

network: unify log_link_message_full_errno() and log_message_warning_errno()

This also introduces log_message_error_errno() or friends.

network: dhcp4: downgrade log level when interface is removed

network: drop meaningless bitfield specifiers

Merge pull request #19449 from yuwata/network-downgrade-log-level

network: downgrade log level and fix typo

network: ndisc: fix ipv6 route preference for routes with Gateway=_ipv6ra

Merge pull request #19374 from yuwata/network-dhcp-routes-to-ntp

network: dhcp4: introduce RoutesToNTP= boolean setting

Merge pull request #19441 from keszybz/riscv-syscall-lists

Add syscall list for riscv

network: neighbor: downgrade log level

As commented in the code, kernel sends messages about neighbors after
a link is removed.

network: link: downgrade log level

The error is harmless, and will be ignored. Let's downgrade log level.

network: dhcp4: downgrade log level

It is not necessary to log such information on higher level.

systemctl: fix build failure

Follow-up for 255b1fc8a3055a7d59946a0fc483ee3885740398.

bus-print-property: introduce BusPrintPropertyFlags

Follow-ups for 1ceaad69378272c64da4ecaab0d59ebb7a92ca0a.

docs: document that one shouldn't pass the audit caps to containers

Apparently this is not well know, so let' document this.

basic/missing-syscall: add regen instructions

missing: add syscall wrappers for new mount API

basic/missing-syscall: sort syscalls alphabetically and add numbers for mount_setattr, move_mount, open_tree

basic/missing-syscall: add numbers for riscv (64-bit)

basic/missing-syscalls: only emit one warning about missing numbers

The ifdef pattern is the same for all syscalls, so most of the time, if one is
not defined, all others will too. So let's reduce the noise a bit and emit one
warning in case the support for the architecture is fully missing. (Current
template was copied over from before when we added numbers for each syscall by
hand and stopped making sense when we started generating the header from a
table that is expected to have all syscall numbers.)

Merge pull request #19316 from keszybz/mkosi-f34

Bump mkosi config for F34

Merge pull request #19446 from poettering/logind-trigger-new

logind/dissect: use sd_device_trigger() more

hwdb: 60-keyboard:: Update Dell Privacy Local Mic Mute Hotkey (#19261)

This patch fix scancode 0x120001 mapping to key code F20 micmute
The previous scancode is not correct, it will cause the micmute
hotkey no function when testing the mic mute

mkosi: do not pull in perl dependencies

It was added in e2c5e698c0, but nobody remembers why exactly.

hwdb-test: pass an explit path to systemd-hwdb

https://github.com/systemd/systemd/pull/19316 failed with:
[1065/1670] Linking target systemd-hwdb
--- command ---
14:28:29 /root/src/test/hwdb-test.sh
--- stdout ---
./systemd-hwdb does not exist, please build first

I'm not sure what is going on here… In principle meson says that tests may be
called from any directory, but in practice is was always the build directory.
So far we were relying on systemd-hwdb being present in '.', and this worked.
Either way, it's nicer to pass the exact path, so let's do that.

mkosi,man: bump fedora version

F34 was just released and should be fine for systemd builds.

Cloud-1.2 is the latest version.

Add support for conditions on the machines firmware

This allows to limit units to machines that run on a certain firmware
type. For device tree defined machines checking against the machine's
compatible is also possible.

dissect-image: use sd_device_trigger() API

Let's use the new API here too.

logind: use new sd_device_trigger() API

This is a follow-up for 21012e20a4f0b939d449ad31d9bcbeafdfb8b931 and
related commits, i.e. one more occasion we can use the
sd_device_trigger() API.

network: neighbor: Always add neighbors with replace

We were duplicating setting flags for the message and a combination of
NLM_F_APPEND and NLM_F_CREATE which does not make sense. We should have
been using NLM_F_REPLACE and NLM_F_CREATE since the kernel can
dynamically create neighbors prior to us adding an entry. Otherwise, we
can end up with cases where the message will time out after ~25s even
though the neighbor still gets added. This delays the rest of the setup
of the interface even though the error is ultimately ignored.

system-conf: drop reference to ShutdownWatchdogUsec=

Commit 65224c1d0e50667a87c2c4f840c49d4918718f80 renamed ShutdownWatchdogUsec
into RebootWatchdogUsec but left a reference of ShutdownWatchdogUsec in
system.conf.

Merge pull request #17655 from wat-ze-hex/bpf-build-rule

Introduce SocketBind{Allow|Deny}= properties powered by source compiled BPF

systemctl: hide some empty properties without --all

Fixes: #19423

fuzz: add SocketBind{Allow|Deny}= directive

readme: update README with requirements for bpf

man: add SocketBind{Allow|Deny}= documentation

systemctl: show SocketBind{Allow|Deny} properties

dbus: add dbus-cgroup for SocketBind{Allow|Deny}=

tests: add test program for SocketBind{Allow|Deny}=

Verify that service exited correctly if valid ports are passed to
SocketBind{Allow|Deny}=
Use `ncat` program starting a listening service binding to a specified
port, e.g.
"timeout --preserve-status -sSIGTERM 1s /bin/nc -l -p ${port} -vv"

shared, bpf: add bpf link serialization

core: serialize socket_bind bpf links

core: add SocketBind{Allow|Deny} fragment parser

core: add socket-bind cgroup mask harness

Standard cgroup harness for bpf feature.

core, bpf: add socket-bind feature to unit

Add supported and install unit interface for socket-bind feature.

supported verifies that
- unified cgroup hierarchy (cgroup v2) is used
- BPF_FRAMEWORK (libbpf + clang + llvm + bpftool) was available in
compile time
- kernel supports BPF_PROG_TYPE_CGROUP_SOCK_ADDR
- bpf programs can be loaded into kernel
- bpf link can be used

install:
- load bpf_object from bpf skeleton
- resize rules map to fit socket_bind_allow and socket_bind deny rules
from cgroup context
- populate cgroup-bpf maps with rules
- get bpf programs from bpf skeleton
- attach programs to unit cgroup using bpf link
- save bpf link in the unit

cgroup: add socket-bind to cgroup context

shared, bpf: add bpf link helpers

add can_link_bpf_program and bpf_link_free helpers.

meson, bpf: add build rule for socket-bind program

meson, bpf: add HAVE_LIBBPF, BPF_FRAMEWORK options

* Add `bpf-framework` feature gate with 'auto', 'true' and 'false' choices
* Add libbpf [0] dependency
* Search for clang llvm-strip and bpftool binaries in compile time to
generate bpf skeleton.

For libbpf [0], make 0.2.0 [1] the minimum required version.
If libbpf is satisfied, set HAVE_LIBBPF config option to 1.

If `bpf-framework` feature gate is set to 'auto', means that whether
bpf feature is enabled or now is defined by the presence of all of
libbpf, clang, llvm and bpftool in build
environment.
With 'auto' all dependencies are optional.
If the gate is set to `true`, make all of the libbpf, clang and llvm
dependencies mandatory.
If it's set to `false`, set `BPF_FRAMEWORK` to false and make libbpf
dependency optional.

libbpf dependency is dynamic followed by the common pattern in systemd.

meson, bpf: add build rule for socket_bind program

bpf: add build script for bpf programs

Add a build script to compile bpf source code. A program in restricted
C is compiled into an object file. Object file is converted to BPF
skeleton [0] header file.
If build with custom meson build rule, the target header will reside in
build/ directory (not in source tree), e.g the path for socket_bind:
`build/src/core/bpf/socket_bind/socket-bind.skel.h`

Script runs the phases:
* clang to generate *.o from restricted C
* llvm-strip to remove useless DWARF info
* bpf skeleton generation with bpftool
These phases are logged to stderr for debug purposes.

To include BTF debug information, -g option is passed to clang.

[0] https://lwn.net/Articles/806911/

bpf: add socket-bind BPF program code sources

Introduce BPF program compiled from BPF source code in
restricted C - socket-bind.
It addresses feature request [0].

The goal is to allow systemd services to bind(2) only to a predefined set
of ports. This prevents assigning socket address with unallowed port
to a socket and creating servers listening on that port.

This compliments firewalling feature presenting in systemd:
whereas cgroup/{egress|ingress} hooks act on packets, this doesn't
protect from untrusted service or payload hijacking an important port.

While ports in 0-1023 range are restricted to root only, 1024-65535
range is not protected by any mean.

Performance is another aspect of socket_bind feature since per-packet
cost can be eliminated for some port-based filtering policies.

The feature is implemented with cgroup/bind{4|6} hooks [1].
In contrast to the present systemd approach using raw bpf instructions,
this program is compiled from sources. Stretch goal is to
make bpf ecosystem in systemd more friendly for developer and to clear
path for more BPF programs.

[0] https://github.com/systemd/systemd/pull/13496#issuecomment-570573085
[1] https://www.spinics.net/lists/netdev/msg489054.html

Merge pull request #19416 from mrc0mmand/test-id-detection

test: "detect" the test number automagically

test: reorganize the TEST-52 a bit

test: add a couple of hooks for the check_result_*() functions

So we don't have to duplicate the whole functions if we need to inject
some test-specific checks.

test: "detect" the test number automagically

Specifying the test number manually is tedious and prone to errors (as
recently proven). Since we have all the necessary data to work out the
test number, let's do it automagically.

Merge pull request #19383 from keszybz/test58-fixes

Fixes for TEST-58-REPART and ExecStart deserialization logic

test-network: add tests for RoutesToNTP=

network: dhcp4: introduce RoutesToNTP= boolean setting

network: dhcp4: split and rename link_set_dns_routes()

network: dhcp4: enable RoutesToDNS= by default

test-unit-serialize: add a very basic test that command deserialization works

We should test both serialization and deserialization works properly.
But the serialization/deserialization code is deeply entwined with the
manager state, and I think quite a bit of refactoring will be required before
this is possible. But let's at least add this simple test for now.

Merge pull request #19286 from yuwata/network-dhcp-routes-to-dns-19077

network: dhcp4: set gateway for route to dns server if it is not in the same network

network: update comment and log message

After 4b30f2e135ee84041bb597edca7225858f4ef4fb, reading stable_secret
sysctl property fails with -ENOMEM, instead of -EIO.
This is due to read_full_virtual_file() uses read() as the backend while
read_one_line_file() uses fgetc(). And each functions return different
error on fails.

Anyway, the failure is harmless here. So, the log message and comment is
updated.

Closes one of the issues in #19410.

Merge pull request #19421 from yuwata/fix-typo

core, network: Fix typo

network: add missing sections

Follow-up for 4e26a5baa0045c8bbb899f0c72f07ac630692bd3.

Fixes one of issues in #19410.

core/service: fix typo

Follow-up for bbe19f68846bb3cd5fcf3e4f612268064df53b53.

network: fix typo

Follow-up for 4b409e855b18c263b0526c826fdca16215a4cf2e.

Merge pull request #19411 from poettering/homectl-fixes

homectl password caching fixes

homectl: pick up cached/credential store/env var passwords *before* issuing first request

Previously, we'd generally attempt the operation first, without any
passwords, and only query for a password if that operation then fails
and asks for one. This is done to improve compatibility with
password-less authentication schemes, such as security tokens and
similar.

This patch modifies this slightly: if a password can be acquired cheaply
via the keyring password cache, the $CREDENTIALS_PATH credential store,
or the $PASSWORD/$PIN environment variables, acquire it *before* issuing
the first requested.

This should save us a pointless roundtrip, and should never hurt.

homectl: don't use password cache if we operate on other user

homectl: don't use cached passwords when re-requesting password because wrong

Asking repeatedly for a password is pointless if we always use the same
cached one. Let's thus disable cache use whenever we failed already
once.

test: use systemd-run -P instead of -t in TEST-50

We want to use the result in a shell pipeline hence use -P mode (pipe
mode) instead of -t mode (interactive tty mode) for systemd-run.

This shouldn't change much about the test, but is slightly more correct
(and quicker).

tests: use setfacl to give $SUDO_USER read permissions on artifacts

We have to invoke the tests as superuser, and not being able to read
the journal as the invoking user is annoying. I don't think there are
any security considerations here, since the invoking user can already
put arbitrary code in the Makefile and test scripts which get executed
with root privileges.

Merge pull request #19156 from dtardon/enable-warn

install: warn if WantedBy targets don't exist

fstab-generator: clean up mount point flags handling

Let's rename MountpointsFlags → MountPointFlags. In most of our codebase
we name things mount_point/MountPoint rather than mountpoint/Mountpoint,
do so here too.

Also, prefix the enum values with "MOUNT_". The fact the enum values
weren#t prefixed was pretty unique in our codebase, and pretty
surprising. Let's fix that.

This is just refactoring, no actual change in behaviour

core/service: also reject deserialized commands with no argv[0]

I'm pretty sure that bad things would happen later on.

core/service: fix deserialization of non-absolute commands

We'd fail with:
Apr 23 10:58:26 systemd[1]: Deserializing state...
Apr 23 10:58:26 systemd[1]: testsuite-01.service: Failed to parse serialized command "ExecStart 0 sh "sh" "-e" "-x" "-c" "systemctl --state=failed --no-legend --no-pager >/failed ; systemctl daemon-reload ; echo OK >/testok"": Invalid argument
Apr 23 10:58:26 systemd[1]: testsuite-01.service: Reinstalled deserialized job testsuite-01.service/start as 209

This was missed in 5008da1ec1, and apparently nobody noticed until now :(

TEST-58: exit immediately if systemd-repart is not available

Debian disables systemd-repart at config time.

TEST-58: only run under qemu

In a container, /dev/loop* will most likely be inaccessible.

test: move the logic to support /skipped into shared logic

The logic to query test state was rather complex. I don't quite grok the point
of ret=$((ret+1))… But afaics, the precise result was always ignored by the
caller anyway.

various: print the image path when setting up of the loopback device fails

core: fix typos in comment

TODO: add some items for repart

TEST-58: remove stale artifacts to not fail on repeated invocations

We would remove stuff only if successful, so repeated invocations would
trivially fail.

Also drop "-f", so that if we expect to remove something, it must be there.

tests: install mkfs.ext4, mkfs.vfat and modules into the test image

This allows TEST-58-REPART to at least start. It fails later with with loopback
device errors.

TEST-58: adjust whitespace and enable pipefail

TEST-58: execute the right test