vmspawn: accept kvm/vhost-vsock device fds through sd_listen

vmspawn: add nic configuration

vmspawn: add initrd configuration option

vmspawn: synthesise root= argument for direct kernel boot

vmspawn: add kernel configuration options

vmspawn: add swtpm feature

path-lookup: add runtime_directory for resolving $RUNTIME_DIRECTORY

Add systemd.default_debug_tty=

Let's allow configuring the debug tty independently of enabling/disabling
the debug shell. This allows mkosi to configure the correct tty while
leaving enabling/disabling the debug tty to the user.

semaphore: temporarily pin autopkgtest to v5.32

The latest commit (ATTOW) [0] calls adduser with --logmsglevel, which is
not a valid flag for adduser on Ubuntu Focal/Jammy.

[0] https://salsa.debian.org/ci-team/autopkgtest/-/commit/9c033b3db453acaa103bae03a4a5dcebe3858089

man: add missing "=" after setting name

Follow-up for b93bf1bf9fb8f091c52588c5fc9edef6225f4ed3.

Merge pull request #31230 from mrc0mmand/test-seccomp

process-util: use only the least significant byte from personality()

README: update link to CentOS CI

man: fix typo

Follow-up for 631cf7f0040234d2bca81bdfdf9efecc4fb5f40f.

Merge pull request #31172 from yuwata/network-bond-port

network: do not bring down bonding port on reconfigure

Merge pull request #31247 from yuwata/network-make-reload-bus-method-synchronous

network: make Reload bus method synchronous

test: drop unnecessary sleep

Now, 'Reload' dbus method is synchronous. It is not necessary to wait
for link enter configuring state.

network: make Reload bus method synchronous

Prompted by https://github.com/systemd/systemd/pull/30085#discussion_r1401534107.

Note, like Reconfigure bus method, even reconfiguration for an interface is
triggered by Reload method, the method only wait for the link enters
configuring state (or unmanaged state if no matching .network file exists).
Users still need to invoke systemd-networkd-wait-online if it is
necessary to wait for the interface enters configured state after Reload
medhod.

test-network: add test case for issue #31165

network: do not bring down a bonding port interface when it is already joined

Follow-up for 9f913d37a01f71e559d099bff280827f8817d8c5.

Fixes #31165.

network: fix typo

Follow-up for baa95d2274179e680c4731a74f514e2651722ad2.

Merge pull request #31177 from yuwata/network-ndisc-on-link-zero

network/ndisc: drop onlink prefix route when on-link flag is zero

detect-virt: fix Google Compute Engine support

Follow-up for 9b0688f491674b53ef7a52bdf561a430c53673d6

preset: enable homed sidecar services

As described in https://github.com/systemd/systemd/issues/31235, the preset
state for systemd-homed-activate.service was unclear. On the one hand, we have
a preset with 'enable systemd-homed.service', and systemd-homed.service has
'Also=systemd-homed-activate.service systemd-homed-firstboot.service', so
'preset systemd-homed.service' would also enable those two services, but
'preset systemd-homed-activate.service' would disable it, because the presets
don't say it is enabled. It seems that this configuration is internally
inconsistent. As described in the issue, maybe systemctl should be smarter
here, or warn about such configs. Either way, let's make our config consistent.

Follow-up for d1f6e01e4743ae94740314eeb46a162112ef4599 and
3ccadbce3358ba1db7ce5fa3f8dd17c627ffd93b.

portable: add --copy=mixed to copy images and link profiles

This new mode copies resources provided by the client, so that they
remain available for inspect/detach even if the original images are
deleted, but symlinks the profile as that is owned by the OS, so that
updates are automatically applied.

man: mention that preset-all is performed during early boot

The intro of systemd-firstboot is rewritten to make it clearer how it fits into
the big picture. Systemd does some machine-id and presets and
systemd-firstboot.service is used to interactively fill in the blanks.

Closes #22225.

creds: fix typo

Merge pull request #30766 from polarina/cryptenroll-tpm2-unlock

cryptenroll: Add support for unlocking through TPM2 enrollments

nspawn: add missing OOM check on gethostname_malloc()

vmspawn: remove extraneous log_info

vmspawn: fix incorrect handling of -M in getopt_long

vmspawn: fix incorrect mention of container

copy: do not ignore chattr_flags and friends passed to copy_file_atomic_full()

Fixes a bug introduced by 427d9c34e61a8f5bfe369f1d5a0426143fe5741e.

Merge pull request #31245 from yuwata/network-ndisc-adjust-log-messages

network/ndisc: slightly update log messages

wait-online: split out get_state_range()

Follow-up for 2d708781620239c9d1f9828a39f8761acf6350b2.

After the conversion from FOREACH_POINTER() to FOREACH_ARGUMENT(),
the iterator is never set to POINTER_MAX.

hwdb: add resolution setting for GAOMON S620

dissect-image: fix typo

Follow-up for b387778c5b8a1e0d1b3f957f0c5866defbfbe4d4.

nspawn: fix typo

Follow-up for f94025a13681e001011dd52e0dcecc143b4501b9.

test: fix typo

Follow-up for 38a80ba1089fcad427f4376e28f74f9eb630fb91 and
a39d8396a986cb6291486b1d8451de8b0fd2b6cc.

network/ndisc: drop onlink prefix route when on-link flag is zero

Fixes #28435.

network/ndisc: fix use-of-uninitialized-value on failure path

Fixes a bug in f44eebd1bab9327c5dd3a281196bd07192134d3b.

Also slightly adjust log message.

Merge pull request #31171 from yuwata/sd-ndisc-invalid-dnssl

sd-ndisc: handle invalid DNSSL option gracefully

network/dhcp4: disable IPv6OnlyMode= by default

As explained in #30891, IPv6OnlyMode= should be enabled with 464XLAT
support, but we do not support it yet. Let's disable by default.

Fixes #30891.

test: add test case for invalid DNSSL option

network/ndisc: sd_ndisc_router_get_{icmp6_ratelimit,retransmission_time}() should never fail

This also fixes use of '%m' specifier without passign error code.

network/ndisc: slightly adjust log messages

test: add short comment for RA message

sd-ndisc: make sd_ndisc_router_dnssl_get_domains() return -EBADMSG when received invalid domain name

Fixes #31168.

Merge pull request #31176 from yuwata/network-required-for-online

network: adjust default value of RequiredForOnline=

sd-dhcp6-client: allow setting send-release when client is running

The send-release option only affects to the client when STOPPING. There
is no reason to do not allow this option to be set while the client is
running.

An user might want to delay the decision of sending a RELEASE message to
a later stage where the client is already running.

60-evdev.hwdb: Add support for Huion Inspiroy 2 L (#31241)

Also fixed a spelling mistake on the HUION Inspiroy H420X

process-util: unify the hex value format a bit

And fix the man page reference as well.

process-util: use only the least significant byte from personality()

The personality() syscall returns a 32-bit value where the top three
bytes are reserved for flags that emulate historical or architectural
quirks, and only the least significant byte reflects the actual
personality we're interested in (in opinionated_personality()).

Use the newly defined mask in the corresponding test as well, otherwise
the test fails on some more "exotic" architectures that set some of the
"quirk" flags:

~# uname -m
armv7l
~# build/test-seccomp
...
/* test_lock_personality */
current personality=0x0
safe_personality(PERSONALITY_INVALID)=0x800000
Assertion '(unsigned long) safe_personality(current) == current' failed at src/test/test-seccomp.c:970, function test_lock_personality(). Aborting.
lockpersonalityseccomp terminated by signal ABRT.
Assertion 'wait_for_terminate_and_check("lockpersonalityseccomp", pid, WAIT_LOG) == EXIT_SUCCESS' failed at src/test/test-seccomp.c:996, function test_lock_personality(). Aborting.
Aborted (core dumped)

See: personality(2) and comments in sys/personality.h

network: set 'removing' flag to remembered object

Previously, if address_remove() or friends called with a temporary
object, the removing flag is assigned to the temporary object, and is
not set to the remembered object. Hence, e.g.
route_is_ready_to_configure() wrongly judge a required address for a
route is (still) ready, hence networkd fails to configure the route.

Fixes #28009.

network/address: do not configure with IFA_F_TENTATIVE

Follow-up for 0a0c2672dbd22dc85d660e5baa7e1bef701beb88.

After the commit, remembered Address objects by Link are always given by
kernel. Hence, it is not necessary to set the flag, as it is always
ignored by the kernel, and the kernel set the flag on notification if it
is necessary.

Merge pull request #31202 from YHNdnzj/creds-reuse

core: reuse credential dir across start and start-post if populated

test: systemd-update-utmp is optional

It can be disabled with '-Dutmp=false'

preset: enable confext and sysext by default (#31211)

NEWS: announce plan to drop support for nscd

This is in preparation for https://github.com/systemd/systemd/pull/30360 to be
merged in a future release. As described there:

  nscd is known to be racy [1] and it was already deprecated and later dropped
  in Fedora a while back [1,2]. We don't need to support obsolete stuff in
  systemd, and the cache in systemd-resolved provides a better solution anyway.

  [1] https://fedoraproject.org/wiki/Changes/DeprecateNSCD
  [2] https://fedoraproject.org/wiki/Changes/RemoveNSCD

Note that our "support" is only the signal to flush the cache that we send at
various points. Nscd itself may still exist, dropping it is a decision to be
made in glibc.

core: reuse credential dir across start and start-post if populated,
fresh otherwise

Currently, exec_setup_credential() always rewrite all credentials
upon exec_invoke(), i.e. invocation of each ExecCommand, and within
a single tmpfs instance. This is problematic though:

* When writing each tmp cred file, we essentially double the size
  of the credential. Therefore, if one cred is bigger than half
  of CREDENTIALS_TOTAL_SIZE_MAX, confusing ENOSPC occurs (see also
  https://github.com/systemd/systemd/pull/24734#issuecomment-1925440546)

* Credential is a unit-wide thing and thus should not change
  during the whole lifetime of main process. However, if e.g.
  a on-disk credential or SetCredential= in unit file
  changes between ExecStart= and ExecStartPost=,
  the credentials are overwritten when the latter gets to run,
  and the already-running main process is suddenly seeing
  completely different creds.

So, let's try to reuse final cred dir if the main process has started
and the tmpfs has been populated, so that the creds used is stable
across all ExecStart= and ExecStartPost=-s. We still want to retain
the ability of updating creds through ExecStartPre= though, therefore
we forcibly use a fresh cred dir for those. 'Fresh' means to actually
unmount the old tmpfs first, so the first problem goes away, too.

core: introduce exec_params_need_credentials

Also rename EXEC_WRITE_CREDENTIALS to EXEC_SETUP_CREDENTIALS.

TEST-54-CREDS: add test for ExecStartPost= (#31194)

core/exec-credential: use FOREACH_ARRAY at one more place

core/exec-credential: add missing assertions

wait-online: by default not all interface need to be online

Fixes an issue caused by ab3aed4a0349bbaa26f53340770c1b59b463e05d (v253).

By default, all managed interface need to be configured, and at least
one interface need to be online. Hence, offline interface should be ignored.

Fixes #29506.

cryptenroll: Fix reading keyfile from socket

systemd-cryptenroll uses the READ_FULL_FILE_CONNECT_SOCKET flag when
reading the keyfile to also allow reading it from a socket. But it also
sets the offset to 0, causing an unnecessary seek to the beginning of
the newly opened keyfile and disables socket support again, as these do
not support seeking.

Disable seeking entirely to remove the unneeded seek and restore support
for reading the keyfile from a socket again as with systemd-cryptsetup.

Merge pull request #31210 from poettering/chdir-hardening

WorkingDirectory= hardening

Merge pull request #31205 from YHNdnzj/path-is-mount-point

mountpoint-util: expose root and flags as path_is_mount_point_full

units: drop userdbd from homed's Also=

Also= lists units which should be enabled/disabled together with the first unit.
But userdbd is independent of homed, we shouldn't e.g. disable it even if homed
is disabled.

process-util: minor follow-up for pidfd_spawn

nspawn: and also add comment, making clear chdir() should come late

nspawn: also refuse paths below API VFS in nspawn's --chdir= field

load-fragment: set PATH_CHECK_NON_API_VFS flag at various other places

I tried to be conservative here, and hence in doubt I left the flag off,
but in some cases I really can't see any reason why it would make sense
to specifiy paths into API VFS, hence add it there, to lock things down
a bit.

parse-helpers: adjust log level when we say we ignore to LOG_WARNING

dbus: make dbus property parsing of WorkingDirectory= equally strict as loading it from the unit files

exec-invoke: extend comment on placement of apply_working_directory() call

Inspired by CVE-2024-21626, let's add a longer comment explaining why
the code really shouldn#t be moved any earlier.

Just in the hope that anyone who feels tempted to move this around maybe
actually reads the comment and reconsiders.

parse-helpers: add new PATH_CHECK_NON_API_VFS flag

In various contexts it's a bit icky to allow paths below /proc/, /sys/,
/dev/ i.e. file hierarchies where API VFS are placed. Let's add a new
flag for path_simplify_and_warn() to check for this and refuse a path if
in these paths.

Enable this when parsing WorkingDirectory=.

This is inspired by CVE-2024-21626, which uses trickery around the cwd
and /proc/self/fd/.

AFAICS we are not actually vulnerable to the same issue as explained in
the CVE since we execute the WorkingDirectory= setting very late, i.e.
long after we set up the new mount namespace. But let's filter out icky
stuff better earlier than later, as extra safety precaution.

mountpoint-util: add small helper that checks if a path is below the API VFS hierarchies

exec-invoke: rework apply_working_directory() around chase()

let's be more careful and get rid of one more prefix_roota() use, in
favour of the safe chase().

parse-helpers: indent according to coding style

Merge pull request #31209 from bluca/pidfd_spawn

core: add support for pidfd_spawn

mountpoint-util: introduce path_is_mount_point_full

login/user-runtime-dir: properly check for mount point

TODO: drop clone3 item

core: add support for pidfd_spawn

Added in glibc 2.39, allows cloning into a cgroup and to get
a pid fd back instead of a pid. Removes race conditions for
both changing cgroups and getting a reliable reference for the
child process.

Fixes https://github.com/systemd/systemd/pull/18843
Replaces https://github.com/systemd/systemd/pull/16706

executor: really set POSIX_SPAWN_SETSIGDEF for posix_spawn

posix_spawnattr_setflags() doesn't OR the input to the current set of flags,
it overwrites them, so we are currently losing POSIX_SPAWN_SETSIGDEF.

Follow-up for: 6ecdfe7d1008964eed3f67b489cef8c65a218bf1

README: bump the gcc baseline to 8.4

We already use __VA_OPT__ in multiple places, which was introduced in
gcc 8 [0], so let's bump the baseline to reflect that. I chose gcc 8.4,
as that was the lowest 8.x version I could easily get my hands on when I
verified this (on Ubuntu Focal with the gcc-8 package).

Closes: #31191

[0] https://gcc.gnu.org/gcc-8/changes.html

Merge pull request #31197 from YHNdnzj/protect-system-cred

core/service: set up credentials for all start-post commands too

core/service: allow ExecStartPost= cmds to access creds

Fixes #31194

core/service: don't setup credentials for ExecCondition= and ExecReload=

This seems to be a mistake in #27279. I believe credentials should
not be made available to condition or reload tasks. In most cases
they're irrelevant from the actual job of the service. Also, currently
the first ExecCondition= or ExecReload= cannot access creds anyway,
making the incompatibility introduced negligible.

If people actually come up with valid use cases, we can always
revisit this.

core/service: don't give ExecStopPost= commands tty access

All tasks spawned later than ExecStart= (e.g. ExecReload=, ExecStop=, ...)
don't get tty access. ExecStopPost= is the odd one out. Fix that.

core/service: introduce service_exec_flags

As suggested in
https://github.com/systemd/systemd/pull/31197#pullrequestreview-1861297477

Note that this slightly changes the behavior for
ExecReload=, ExecCondition= and ExecStartPost=. Will
be explained/corrected in later commits.

core/unit: use ASSERT_PTR and strdup_or_null more

core/exec-invoke: don't duplicate needs_sandboxing condition

core/exec-credential: make param const where appropriate

bulgarian: use "RateLimitIntervalSec" rather than "RateLimitInterval"

Update Bulgarian translation.  "RateLimitIntervalSec" is the current option
name.  "RateLimitInterval" is the legacy option name.

test_ukify: use raw string for the regex

To get rid of the "invalid escape sequence" warning:

=============================== warnings summary ===============================
../src/ukify/test/test_ukify.py:876
  ../src/ukify/test/test_ukify.py:876: SyntaxWarning: invalid escape sequence '\s'
    assert re.search('Issuer: CN\s?=\s?SecureBoot signing key on host', out)

po: Translated using Weblate (Swedish)

Currently translated at 100.0% (227 of 227 strings)

Co-authored-by: Anders Jonsson <anders.jonsson@norsjovallen.se>
Translate-URL: https://translate.fedoraproject.org/projects/systemd/master/sv/
Translation: systemd/main

nspawn: permit --ephemeral with --link-journal=try-* (treat as =no)

Common sense says that to "try" something means "to not fail if
something turns out not to be possible", thus do not make this
combination a hard error.

The actual implementation ignores any --link-journal= setting when
--ephemeral is in effect, so the semantics are upheld.

cryptenroll: allow to use a public key on a token

This patch allows systemd-cryptenroll to enroll directly with a public key if a certificate is missing on a token.

Fixes: #30675

man/systemd-bsod: fix command path