Merge pull request #21784 from DaanDeMeyer/issue-21675

journal: Hole punching improvements

network: route: update comment

journal: Stop reading in increments of block size during hole punching

Let's not try to be overly clever here. This code path is not overly
performance sensitive and we should avoid trying to outsmart the kernel
without proper benchmarking.

journal: Use 16kb buffer during hole punching

Let's use the same buffer size as used in as copy.h.

journal: Correctly advance offset when iterating hash table entries

pread() is not guaranteed to completely fill up the given buffer with
data which we assumed until now. Instead, only increment the offset by
the number of bytes that were actually read.

journal: Add a minimum hole size for hole punching

Let's not bother punching extremely small holes to avoid unnecessary
file fragmentation.

NEWS: update networkd related entries

Merge pull request #21763 from yuwata/udevadm-write-only-attributes

udevadm: also show write-only attributes

hwdb: Add accel orientation quirk for the Chuwi Hi10 Go tablet

fstab-generator: do not remount /sys when running in a container

Closes #21744.

journactl: show info about journal range only at debug level (#21775)

The message that the "journal begins … ends …" has been always confusing to
users. (Before b91ae210e62 it was "logs begin … end …" which was arguably even
more confusing, but really the change in b91ae210e62 didn't substantially change
this.)

When the range shown is limited (by -e, -f, --since, or other options), it
doesn't really matter to the user what the oldest entries are, since they are
purposefully limiting the range. In fact, if we are showing the last few
entries with -e or -f, knowing that many months the oldest entries have is
completely useless.

And when such options are *not* used, the first entry generally corresponds to
the beginning of the range shown, and the last entry corresponds to the end of
that range. So again, it's not particularly useful, except when debugging
journalctl or such. Let's just treat it as a debug message.

Fixes #21491.

hostnamectl: add a chassis symbol in status output

The idea is to be able to distinguish whether we're in a VM/container or something
more substantial at a glance.
         Chassis: laptop 💻
         Chassis: tablet 具
         Chassis: vm 🖴
         Chassis: server 🖳
         Chassis: handset 🕻
         Chassis: watch ⌚
         Chassis: desktop 🖥
         Chassis: container ☐

Merge pull request #21769 from yuwata/home-fix-heap-use-after-free

home: fix heap-use-after-free

udevadm: also show write-only attributes

sd-device: make FOREACH_DEVICE_SYSATTR() also list write-only attributes

Closes #10102.

home: fix heap-use-after-free

`bus_home_emit_remove()` may be called from manager_free() -> home_free().
In that case, manager->bus is already unref()ed.

Fixes #21767.

home: clear Manager::bus, ::event, ::homes_by_xxx and so on

`home_free()` may try to call some dbus or event related functions.
To prevent that, set those variables NULL.

polkit: make bus_verify_polkit_async_registry_free() return Hashmap* with NULL

wait-online: also use address state even when operational state is below degraded

Closes #21706.

shell-completion: Add completion for systemd-analyze critical-chain

systemd-analyze critical-chain accepts an optional unit argument,
however currently there's no shell-completion for it
This change provides unit name completion for both bash and zsh.

Closes: #20927

Fix loading of graphs

boot, meson: allow statically linked build

Build option "link-boot-shared" to build a statically linked bootctl and
systemd-bless-boot by using

  -Dlink-boot-shared=false

on systems with full systemd stack except bootctl and systemd-bless-boot,
such as CentOS/RHEL 9.

man: do not install sd-boot man pages when -Dgnu-efi=false is set

man: how to unset CPUQuota=

This description will help users who are trying to reset the already configured
CPUQuota= by trying incorrect ways such as CPUQuota=0 or CPUQUota=infinity.

Merge pull request #21752 from keszybz/man-creds

Small improvements to systemd-creds output and man page

man: make systemd-creds man page a bit easier to read

shared/creds: print debugging information when something goes wrong

build(deps): bump actions/upload-artifact from 2.2.4 to 2.3.0

Bumps [actions/upload-artifact](https://github.com/actions/upload-artifact) from 2.2.4 to 2.3.0.
- [Release notes](https://github.com/actions/upload-artifact/releases)
- [Commits](https://github.com/actions/upload-artifact/compare/27121b0bdffd731efa15d66772be8dc71245d074...da838ae9595ac94171fa2d4de5a2f117b3e7ac32)

---
updated-dependencies:
- dependency-name: actions/upload-artifact
  dependency-type: direct:production
  update-type: version-update:semver-minor
...

Signed-off-by: dependabot[bot] <support@github.com>

Merge pull request #21749 from nabijaczleweli/bashpsko

Shebang bash via env

build(deps): bump github/codeql-action from 1.0.25 to 1.0.26

Bumps [github/codeql-action](https://github.com/github/codeql-action) from 1.0.25 to 1.0.26.
- [Release notes](https://github.com/github/codeql-action/releases)
- [Changelog](https://github.com/github/codeql-action/blob/main/CHANGELOG.md)
- [Commits](https://github.com/github/codeql-action/compare/546b30f35ae5a3db0e0be1843008c2224f71c3b0...5f532563584d71fdef14ee64d17bafb34f751ce5)

---
updated-dependencies:
- dependency-name: github/codeql-action
  dependency-type: direct:production
  update-type: version-update:semver-patch
...

Signed-off-by: dependabot[bot] <support@github.com>

test: bump timeout for TEST-50-DISSECT and TEST-67-INTEGRITY

TEST-67-INTEGRITY times out quite often, and when it passes
it does so a few seconds short of the timeout. It's a slow
qemu test, so bump the timeout.
TEST-50-DISSECT has been reported to fail in the same way
on Debian's infrastructure, again narrowly failing or passing
just short of the timeout.

man: reorder item

We said that recovery keys are "similar to regular passphrases"
before intorducing "regular passphrases".

man/sd-run: /bin/bash -> bash in -t example

sd-run already does PATH lookup via find_executable_full()

man/sd-notify: /bin/bash -> /bin/sh, read -> read -r in example

Change all fixed-path bash shebangs to /u/b/env bash outside test/

Disable exporting D-Bus Introspection XML if cross-compiling

This is a soft disable. Passing `dbus-interfaces-dir` build option
will with path or 'yes' enable exports again even when cross
compiling. (maybe your environment will allow to execute
cross compiled binaries)

Enable /dev/sgx_vepc access for the group 'sgx'

Enable /dev/sgx_vepc access for the group 'sgx', which allows KVM-backed VMs
to host Intel Software Guard eXtension (SGX) enclaves. The upcoming QEMU
6.2 uses /dev/sgx_vepc to reserve portions of Enclave Page Cache (EPC) for
VMs. EPC is the reserved physical memory used for hosting enclaves.

Merge pull request #21614 from medhefgo/boot-bcd

boot: Add BCD store parser

meson: Drop meson version compare for fuzz test

We are depending on meson >= 0.53.2 now, so this check can be dropped.

test: Add BCD unit test

boot: Remove unused memmem_safe

boot: Add BCD store parser

This replaces the memmem-based approach of finding a suitable title
for the windows boot manager with one that actually parses the BCD
store. It's probably faster but more importantly, it's more correct.

The memmem approach may detect stale title strings that are still
in the file but unused due to the way registry hives are updated.
This approach also allows us to detect if the BCD store is multi-boot
so that we can fall back on the generic one instead.

boot: Make OFFSETOF lowercase

This is more in line with the userspace offsetof.

boot: Add strncasecmpa helper function

meson: Fix gnu-efi detection for clang

The gnu-efi headers emit some warnings in clang when not compiled with
-ffreestanding. This is normally not an issue for has_header_symbol()
unless meson is run with CFLAGS="-Werror". Note that this differs
from the --werror option, which does not get passed to clang.

Work around this by adding some compile args to the has_header_symbol()
invocation.

Merge pull request #21664 from yuwata/network-tunnel-cleanups

network: several cleanups for tunnel device

Merge pull request #21570 from AdrianVovk/stub-global-creds

stub: Load credentials from \loader\credentials\*.cred

namespace: allow overriding /run with a TemporaryFileSystem=

Lower priority of RUN, so that TMPFS and especially the mount flags given with
`TemporaryFileSystem=` are used.

This allows making `/run` private with drop-ins such as:
```
[Service]
BindReadOnlyPaths=/run/systemd:/run/systemd:norbind
TemporaryFileSystem=/run:nodev,noexec,nosuid,rw,size=32k,nr_inodes=10,mode=0755
```

Merge pull request #21727 from medhefgo/ld

ci: Build test with different linkers

Merge pull request #20598 from tomty89/order_noauto

fstab-generator, core/mount: Avoid special fs target before dependency only if nofail is used

Merge pull request #21731 from yuwata/test-62-bpf-framework

test: fix TEST-62

meson: Auto detect efi-ld

ci: Build test with different linkers

test: add missing section for Description=

test: fix grepping fixed string starts from hyphen

Follow-up for 85445fba22b2f81853a3f018ed1f28864cef37fc.

Fixes #21718.

network-generator: support link6 network configuration

this just brings up an interface in order to have IPv6 link local
connectivity.

Export systemd-networkd D-Bus XML introspection

stub: Load credentials from \loader\credentials\*.cred

Some types of credentials that a user would want to pass
into the initrd do not depend on the specific kernel/initrd
version. For instance, this can include SSH keys, rootfs
encryption keys, dm-integrity keys, and so on. This
introduces a directory where such credentials can be placed
so that any kernel image will load them

Merge pull request #21722 from yuwata/bpf-framework

build: include BPF_FRAMEWORK in version string

Merge pull request #21708 from mrc0mmand/mkosi-ci-improvements

ci: check for failed services after boot

test: addresses shell check warning

This fixes the following warning:
-----
In /github/workspace/test/units/testsuite-62.sh line 39:
KERNEL_MINOR="${KERNEL_VERSION#$KERNEL_MAJOR.}"
                               ^-----------^ SC2295 (info): Expansions inside ${..} need to be quoted separately, otherwise they match as patterns.

Did you mean:
KERNEL_MINOR="${KERNEL_VERSION#"$KERNEL_MAJOR".}"

test: skip TEST-62 if bpf-framework is not supported

Fixes #21718.

build: include BPF_FRAMEWORK tag in version string

meson: use subdir_done() to reduce indent

network: rename SetupState to AdministrativeState

This is more consistent with the terminology used elsewhere. In
particular it is consistent with the name of the property exposed over
dbus for the link state.

ci: run mkosi in a wrapper

So we can mitigate (to some degree) the reoccurring "dissect timeout"
issue:

```
Run sudo python3 -m mkosi boot systemd.unit=mkosi-check-and-shutdown.service !quiet systemd.log_level=debug systemd.log_target=console udev.log_level=info systemd.default_standard_output=journal+console
Failed to dissect image '/home/runner/work/systemd/systemd/image.raw': Connection timed out
Error: Process completed with exit code 1.
```

ci: check for failed services after boot

This should, hopefully, catch issues like systemd/systemd#21671
automagically.

Export D-Bus interfaces to /usr/share/dbus-1/interfaces

Pass -Ddbus-interfaces-dir=no to meson to disable export

Interfaces from:
org.freedesktop.home1
org.freedesktop.hostname1
org.freedesktop.import1
org.freedesktop.locale1
org.freedesktop.LogControl1
org.freedesktop.login1
org.freedesktop.machine1
org.freedesktop.oom1
org.freedesktop.portable1
org.freedesktop.resolve1
org.freedesktop.systemd1
org.freedesktop.timedate1

meson: exclude .gitattributes when using install_subdir

It picks the whole content of the directory by default, but we don't
want to install .gitattributes files. Add it to all invocations, not
just the ones on subdirs with .gitattributes, so that we don't regress
in the future.

Fixes #21715

man: fix typo

journalctl: have -f and -e imply no-value -b

Both of these take multiple seconds, best-case, to get the last few
entries, but do so instantly with -b

shared: avoid x86_64-specific size assertion on x32

Fixes: https://github.com/systemd/systemd/issues/21713

man: let's not say we link to raw .rst file

process-util: Fix memory leak

NEWS: final update before -rc1

Merge pull request #21704 from keszybz/news-250-2

Adjust news and version numbers for v250-rc1

systemctl: add shutdown --show option

Shows the scheduled shutdown action and time if there's one.

network: dhcp: make IPServiceType= accept "none" to disable tos in the outgoing packet

Fixes #9874.

Merge pull request #21700 from keszybz/v250-hwdb

Update hwdb

mkosi: Build Fedora 35 images

network: sd-ipv4ll and sd-ipv4acd only support ethernet interfaces

The deny list in link_ipv4ll_enabled() are mostly non-ethernet type,
whose link->iftype are not ARPHRD_ETHER, e.g. ARPHRD_NONE for bareudp,
ARPHRD_WIREGURAD for wireguard, ARPHRD_GRE for gre, and so on.

Only the exception is vrf, which is ARPHRD_ETHER, but seems not to
support ARP.

Merge pull request #21697 from keszybz/run-more-inodes

Allow more inodes in /dev and /tmp

meson: bump numbers for v250-rc1

NEWS: add contributors

Merge pull request #21696 from keszybz/openssl-suppress-warnings

Suppress openssl-3.0 warnings

NEWS: fix crucial cultural misappropriation

meson: add missing final newline in jinja2 outputs

I think this might be caused by trim_blocks=True. We were
missing the final newline everywhere.

man: bump Fedora version to 35

Fedora-Cloud-Base-35-1.2.x86_64.qcow2 is again the latest version.

NEWS: adjust wording and reorder by category

Also wrap stuff to 80 columns, fix some spelling mistakes, and remove some
repetitions in phrasing.

Merge pull request #21692 from yuwata/network-wireguard-allow-to-start-ndisc-or-radv

network: wireguard: allow to start ndisc or radv

NEWS: add more entries for v250

NEWS file additions

Bump the max number of inodes for /tmp to a million too

Fixes #21626. (The bug report talks about /run, but the issue is actually with
/tmp.) People use /tmp for various things that fit in memory, e.g. unpacking
packages, and 400k is not much. Let's raise is a bit.

hwdb: update for v250

As usual, there are mostly additions of new entries, and some spelling
correction and company renames, no big removals.

hwdb: ninja -C build update-hwdb-autosuspend

Revert "ci: temporarily set -Wno-deprecated-declarations in Packit"

This reverts commit 684e0a560514f9aaf02813f3f6c4a017400c9d51.

The warnigs are not suppressed in the C code.

openssl: supress warnings about functions deprecated by openssl 3.0

We get warnings for RSA_free(), EC_KEY_free(), EC_KEY_new(), etc. Those
functions are now deprecated and we're supposed to use the new "EVP API" that
is all the rage in openssl 3.0.

With some effort I converted dnssec_rsa_verify_raw() to use the new API.  The
code is significantly longer and, if anything, less readable. The EC code is
more complicated and I assume that the EVP API version will be even more
complex. It is possiblet that I'm missing some way to call the new functions in
a better way, but the documentation is abysmal, so it's really hard to figure
out the best way. Of course there are almost no examples, and the ones that are
there are not terribly useful and are also stubs that don't do interesting
things, don't implement error handling, or memory cleanup. I'll submit my
conversion draft as a separate PR. Maybe somebody who knows openssl better
will pick it up and write a proper solution.

For now, let's just use the existing code, but suppress the warnings. The
new version just came out, so it's unlikely that the deprecated functions will
be removed any time soon.

Fixes #21666.

Bump the max number of inodes for /dev to a million

4c733d3046942984c5f73b40c3af39cc218c103f shows that 95k can be used easily on a large
system. Let's bump it up even more so that we have some "breathing room".

Merge pull request #21691 from yuwata/network-route-prefix-length

network: route: several tiny cleanups

libsystemd-network: ignore -ENETDOWN or friends in recv()

And this makes most errors in io events ignored.