Merge pull request #33951 from DaanDeMeyer/nspawn

nspawn: Allow specifying custom init program

basic|boot: silence Wunterminated-string-initialization gcc15 warnings

gcc15 has -Wunterminated-string-initialization in -Wextra and
warns about string constants that are not null terminated even though
the functions do do out of bounds access.
Silence the warnings by simply not providing an explicit size.

nspawn: Allow specifying custom init program

This allows for example forcing to use /sbin/init instead of always
using /usr/lib/systemd/systemd if it exists. Or it allows using a
different path altogether.

coredump: generate properly symbolized stacktrace for containerized processes

sysusers: check if requested group name matches user name in queue

When creating a user, check if the requested group name matches a user
name in the queue. If that matched user name is also going to be a group
name, then use it for the new user too. In other words, allow the
following:

 u foo -
 u bar -:foo

when both foo and bar are new users.

Fixes #33547

nspawn: Drop unused includes

Merge pull request #33942 from yuwata/udevadm-info-attribute-walk-json

udevadm-info: support json output for --attribute-walk

Merge pull request #33933 from yuwata/systemctl-bus-transport-and-runtime-scope

systemctl: fix bus transport and runtime scope handling

Merge pull request #33941 from yuwata/network-dhcp-pd-route-type

network/dhcp-pd: introduce UnassignedSubnetPolicy= to customize type of 'catch-all' route

systemctl: gracefully adjust bus transport and runtime scope when --boot-loader-entry=help

This fixes the following assertion:
===
SYSTEMD_LOG_LEVEL=debug systemctl --user -H foo --boot-loader-entry=help
Assertion 'transport != BUS_TRANSPORT_REMOTE || runtime_scope == RUNTIME_SCOPE_SYSTEM' failed at src/shared/bus-util.c:284, function bus_connect_transport(). Ignoring.
Failed to connect to bus: Operation not supported
===

Fixes a bug introduced by 97af80c5a7029c3f92e982dcf9338b9e67ad9cde.
Fixes #33661.
Fixes oss-fuzz#70153.

test-network: add test case for UnassignedSubnetPolicy=

network/dhcp-pd: allow to customize route type for delegated prefix

Closes #33929.

udevadm-info: support json output for --attribute-walk

Closes #33852.

src/pcrlock/pcrlock.c: Handle empty pcrlock.d directories

Running the following commands:

  # mkdir -p /var/lib/pcrlock.d/123-empty.pcrlock.d
  # /usr/lib/systemd/systemd-pcrlock predict --pcr=1+2+3+4+5+16

Will result in:

...
Floating point exception

Running the following commands:
  # mkdir -p /var/lib/pcrlock.d/123-empty.pcrlock.d
  # /usr/lib/systemd/systemd-pcrlock make-policy --pcr=1+2+3+4+5+16

Will result to this (partial) log:
...
Predicted future PCRs in 133us.
[]
...
Written policy digest 0000000000000000000000000000000000000000000000000000000000000000 to NV index 0x1921da6
...

So, add missing checks to handle gracefully cases where there's no variant
inside the component.

Signed-off-by: Arnaud Patard <arnaud.patard@collabora.com>

logind: add PreparingForShutdownWithMetadata property

The PrepareForShutdownWithMetadata signal was added via
e4aab5cf1a00bbb73f325f4f785dd4171ccdae77 but a corresponding property
was not. A property has to be a single type, so the bool needs to be
one of the key/value pairs as 'ba{sv}' is not a valid property.

Merge pull request #33912 from DaanDeMeyer/mkosi

test: Add a way to quickly iterate on an integration test

mkosi: Prevent busybox from getting pulled into opensuse images

OpenSUSE's busybox has a bunch of Provides for basic tools that cause
it to get pulled into images unless the corresponding tool is explicitly
installed so let's add explicit tools to make sure we don't get busybox.

systemd-analyze: Add svg scaling options

+ Scale the x-axis of the resulting plot by a factor (default 1.0)
+ Add activation timestamps to each bar

Signed-off-by: rajmohan r <rajmohan.r@kpit.com>

test: Add a way to quickly iterate on an integration test

Rebuilding the integration test every time is very slow. Let's
introduce a way to iterate on an integration test without rebuilding
the image every time. By making a btrfs snapshot before we run the
integration test, we can then systemctl soft-reboot after running
the test to restore the rootfs to a pristine state before running
the test again.

As /run/nextroot will get nuked on reboot or soft-reboot, we introduce
a tmpfiles snippet to make sure it is recreated every (soft-)reboot
and adapt the existing tests to deal with this new symlink.

mkosi: Switch back to btrfs

The next commit will introduce a way to iterate on integration
tests which depends on btrfs specific features.

We leave CentOS on ext4 as its kernel does not support btrfs.

mkosi: Enable Autologin= again on Debian

Debian uses /usr/bin/login from the shadow package instead of util-linux
which doesn't support credentials. Let's enable autologin the old
fashioned way for now.

https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=833256

test: Implement TEST_SHELL for mkosi based test runner

TEST_SHELL can be used to get a shell in the integration test
environment without actually immediately starting the test.

test: Rename INTERACTIVE_DEBUG to TEST_SHELL

docs: Update upgrade commands in HACKING.md

- Add the required options to make the package managers non interactive
- Use apt-get instead of apt
- Remove --reinstall from apt-get command so we only install newer packages
- Add --needed to pacman command so we only install newer packages

mkosi: Drop locale tmpfiles snippet

Not required anymore as we don't do /usr only anymore and the symlink
will be created by the debian systemd package.

Merge pull request #33939 from yuwata/resolve-varlink

resolve: type field in result of ResolveService may be NULL

Merge pull request #33944 from yuwata/journal-max-retention-sec

journal: do not rotate journal when MaxRetentionSec= is set

journal: set flushed flag even if we fail to open runtime journals

As at this stage, a persistent journal file has been already opened, and
saved seqnum has been reset, and any later journal entries will be stored
to the file. Hence we should not open the runtime journal file by
server_system_journal_open() again.

journal: comment the default value in journald.conf

journal: do not rotate journal when MaxRetentionSec= is set

The setting is about vacuuming archived journal files. It is not
necessary to rotate the current journal. Note, journal file rotation is
controlled by MaxFileSec=.

Fixes #31315.

udevadm-info: trival cleanups

- drop trailing an empty line,
- use FOREACH_ARRAY() macro,
- add short comment for boolean argument.

resolve: refuse invalid service without type field

Fixes Fixes #33935.

resolve: voidify unused result of function call

network: split out core logic route_type_is_reject()

Preparation for later change.

sleep: add HibernateOnACPower= option (#33846)

* Add HibernateOnACPower= systemd-sleep configuration option

Merge pull request #33918 from YHNdnzj/exec-cred-cleanup

core/exec-credential: several cleanups

Merge pull request #33930 from yuwata/update-syscall-tables-and-linux-headers

Update syscall tables and linux headers

sd-event: change error code -EINVAL -> -EIO

EINVAL should be used when a function is called with an invalid
argument. Here, the signal is not a function argument.

Follow-up for 7a64c5f23efbb51fe4f1229c1a8aed6dd858a0a9.

basic/linux: update kernel headers from v6.11-rc1

seccomp: list fstatat, newfstat, and llseek

syscall-list: update syscall tables

This adds fstatat (and its friends), llseek, and uretprobe.

systemctl: refuse --capsule=foo with --system

Fixes the following assertion:
===
systemctl --capsule=hoge --system reboot
Assertion 'runtime_scope == RUNTIME_SCOPE_USER' failed at src/shared/bus-util.c:479, function bus_connect_transport(). Aborting.
Aborted (core dumped)
===

Follow-up for 56cb74c3cd1358d7d0b3f613feaf2eeab601a6bd.

core/exec-credential: do not use unlink_and_free for relative path under dfd

core/exec-credential: emit correct error on invalid cred source

The (!source && !search_path) branch is effectively not reached,
but rather confusing. Let's return -EINVAL properly.

core/exec-credential: use struct load_cred_args everywhere

We currently duplicate the same set of params for every funcs.
Let's unify this, and make things more manageable.

core/exec-credential: use maybe_decrypt_and_write_credential() for SetCred= too

core/exec-credential: drop misleading comment regarding EEXIST

Follow-up for 2c2ed3272b992b6eb13864e49847c943e42be00f

As explained in the referenced commit, we shall never get EEXIST
in the first place.

core/exec-credential: trivial coding style cleanup

core/dbus-execute: normalize "rename" arg properly

Follow-up for 40dd2a1c24b886d9e635fef8f7b5336700df03c3

Addresses https://github.com/systemd/systemd/pull/33916#discussion_r1702616229

po: Translated using Weblate (Croatian)

Currently translated at 82.8% (193 of 233 strings)

Co-authored-by: Marin Kresic <marinjurekresic@gmail.com>
Translate-URL: https://translate.fedoraproject.org/projects/systemd/main/hr/
Translation: systemd/main

po: Translated using Weblate (Greek)

Currently translated at 37.7% (88 of 233 strings)

Co-authored-by: Dimitrys Meliates <demetresmeliates+fedora@gmail.com>
Translate-URL: https://translate.fedoraproject.org/projects/systemd/main/el/
Translation: systemd/main

base-filesystem: do not attempt to create a /lib64 -> /usr/lib/<tuple> symlink

In multi-arch distributions (debian and derivatives) multiarch tuples under
/usr/lib are used, such as /usr/lib/x86_64-linux-gnu/ but the /lib64 symlink
should never point there, it should always point to /usr/lib64, as that's
how they are set up by distribution-specific tools.

https://packages.debian.org/bookworm/amd64/libc6-i386/filelist
https://packages.debian.org/bookworm/mipsel/libc6-mips64/filelist
https://salsa.debian.org/md/usrmerge/-/blob/master/convert-usrmerge?ref_type=heads#L295
https://salsa.debian.org/md/usrmerge/-/blob/master/convert-usrmerge?ref_type=heads#L517
http://bugs.debian.org/1076491

Fixes https://github.com/systemd/systemd/issues/33919

meson: Use -fstrict-flex-arrays=3

Let's explicitly pass the value to -fstrict-flex-arrays. This does
not change behavior but it does (selfishly) make my error not bug
out with an error saying -fstrict-flex-arrays does not exist.

hwdb: fix auto rotate on Asus Q551LB (#33921)

core/service: drop redundant flush_n_restarts indicator

Now that we track auto-restarts with a dedicated state,
there's no need for a separate variable for this.

I also took the chance to reorder some struct members.

Merge pull request #33925 from YHNdnzj/exec-serialize-path-escape

core/execute-serialize: two fixes

core/execute-serialize: use serialize_item_escaped() for external paths

Otherwise, read_stripped_line() would spuriously drop trailing spaces.

Fixes #33924

core/execute-serialize: drop extraneous '=' in ip-{in,e}gress serialization

core/service: actually allow to "hurry up" auto restarts

unit_start() advertises that start requests don't get suppressed,
so that it could be used to manually speed up auto restarts.
However, service_start() so far rejected this, stating that
clients should issue restart request in order to trigger
BindsTo=/OnFailure=.

That seems to be a red herring though, because for a long time
the service states between auto-restarts were buggy (#27594).
With the introduction of RestartMode=direct, the behavior
is sane again and customizable, hence I see no reason to refuse
this anymore. Whether those deps are triggered solely depends
on RestartMode= now.

Plus, filter out some intermediate states that should never
be seen in service_start().

Fixes #33890

Merge pull request #33916 from yuwata/import-creds-follow-ups

core: several follow-ups for ImportCreds=

core: refuse credentials with invalid names matching with glob

Even if the glob pattern is valid, the pattern may match credentials
with invalid names. So, we need to check the names of the found
credentials.

Follow-up for 947c4d3952e30604b97f657dca08f93a0a8f4bae.

test: a credential can be imported multiple times with different names

This is supported since 831f208783aeac443e6f2fc2efc3119535a032ef.
Let's explicitly test the functionality.

core: make ImportCredentialEx= DBus property support without renaming

Note that the conf parser for ImportCredential= checks in the same way.

Follow-up for 831f208783aeac443e6f2fc2efc3119535a032ef.

creds-util: fix typo

Follow-up for 947c4d3952e30604b97f657dca08f93a0a8f4bae.

Merge pull request #33911 from YHNdnzj/cgroup-setup-cleanup

cgroup-setup/util: several cleanups; make use of cgroup.kill on client request

man/net-naming-scheme: mention that NAMING_BRIDGE_MULTIFUNCTION_SLOT is reverted

Follow-up for af7417ac7b07bc01232982bf46e9d72e69e7f820.
Closes #33596.

man: extend explanation for ConfigureWithoutCarrier= in systemd.network(5)

Prompted by #33702.

vmspawn: fix typo

Follow-up for 862c68a914ab4561d83875e58e05dcf65cb4a551.

ukify: fix typo

Follow-up for 987f4bce938e790622a4b4b89d37daa7adfdc141.

udevadm: fix typo

Follow-up for 0e789e6d48046d43c50dd949a71ac56f1127bb96.

import: fix typo

Follow-up for 17a6043a145f19f4f5b020fa4bb9c82c1ce160e7.

login: fix typo

Follow-up for 0e10c3d8724b0a5d07871c9de71565ac91dd55b7.

core/execute: fix typo

Follow-up for 628c214656fada4228b62b1546220ac781002897.

boot: fix typo

Follow-up for dcac1e4a9ba231d8e88d36dbecf3d8b6c9b07cb2.

cgroup-util: fix typo

Follow-up for 0fbb569de1dcc06118dba006cf7a40caf6cd94d0.

mkosi: fix typo

Follow-up for 7205fc7dc31eb2be3075ee6ba23ebe84324aa5cb.

man: fix typo

Follow-up for 7102dc52e6b03248da1f01b3a8a4b83c6d7a1316 and 3d689b675b565c29a51c7127ae30839987aaa18b.

man/net-naming-scheme: add missing period

Follow-up for 0a4ecc54cb9f2d3418b970c51bfadb69c34ae9eb.

Merge pull request #33913 from berrange/cvm-s390x

Add detection of confidential virtualization on s390x architcture

advanced-issue-labeler: use correct label for env-generator

man/systemd-detect-virt: list known CVM technologies

Add a section which lists the known confidential virtual machine
technologies.

Signed-off-by: Daniel P. Berrangé <berrange@redhat.com>

man/systemd-detect-virt: fix row spanning for VM header

This fixes

  commit 9b0688f491674b53ef7a52bdf561a430c53673d6
  Author: Yu Watanabe <watanabe.yu+github@gmail.com>
  Date:   Tue Jan 9 10:52:49 2024 +0900

    virt: add Google Compute Engine support

Signed-off-by: Daniel P. Berrangé <berrange@redhat.com>

confidential-virt: add detection for s390x target

The s390x platform provides confidential VMs using the "Secure Execution"
technology, which is also referred to as "Protected Virtualization" or
just "prot virt" in Linux / QEMU.

This can be detected through a simple sysfs attribute.

Signed-off-by: Daniel P. Berrangé <berrange@redhat.com>

Added support for L2 BridgeMDB entries (#32894)

* Added support for L2 BridgeMDB entries

confidential-virt: split caching of CVM detection into separate method

We have different impls of detect_confidential_virtualization per
architecture. The detection is cached in the x86_64 impl, and as we
add support for more targets, we want to use caching for all. It thus
makes sense to split caching out into an architecture independent
method.

Signed-off-by: Daniel P. Berrangé <berrange@redhat.com>

test: don't use /skipped for subtests

Since, at least the old framework, checks for the presence of the file
at the end and marks the whole test as skipped if it exists.

Resolves: systemd/systemd-centos-ci#728

core/unit: utilize cgroup.kill on client request + SIGKILL

cgroup-util: clean up cg_kill() and friends, completely split out cg_kill_kernel_sigkill()

cg_kill_kernel_sigkill() has a narrow use case, and currently
no code really reaches that branch. Let's detach it from
cg_kill_recursive() hence, and call it explicitly later
where appropriate.

core/unit: modernize log_kill() too

core/unit: unexport cg_kill log funcs, rather take in bool

It seems unnecessary to duplicate the func ptrs everywhere.

cgroup-util: drop unused cg_rmdir()

When removing a cgroup, we always want to eliminate subcgroups
first, i.e. use cg_trim(). And cg_rmdir() (along with
CGROUP_REMOVE flag) is simply unused. Kill it.

cgroup-util: refactor cg_{ns,freezer,kill}_supported

cgroup-setup: kernel threads can reside in arbitrary cgroups

Realistically this doesn't matter, as cg_migrate() is only
used to populate init.scope. But it's probably better to
make things clear.

cgroup-setup: drop unneeded O_RDONLY when O_DIRECTORY

cgroup-setup: use fchownat() + AT_EMPTY_PATH where appropriate

This already existed long before our kernel baseline.
While at it, switch to RET_GATHER().

cgroup-setup: minor cleanups

cgroup-setup: move cg_{,un}install_release_agent from cgroup-util

They're pid1-specific, so move them out of basic/.

cgroup-setup: group v1-specific functions

cgroup-setup: drop unused cg_migrate_callback for cg_attach_everywhere()

While at it, move the typedef from cgroup-util to -setup.

localectl: introduce -l/--full option

Closes #33906.