watchdog: always prefer /dev/watchdog0 over /dev/watchdog

watchdog: fix error code handling

homed: replace "already_activated" boolean parameter by a flags value

This is mostly preparation for further defined flags to be added in
later PRs/commits.

No change in behaviour just the flagsification.

Merge pull request #21013 from mxre/feature/stub-dtb

[sd-stub] add support for embedding devicetree

Merge pull request #21023 from poettering/home-prepare-rename

homed: rename some functions

homed: rename home_setup_undo() → home_setup_done()

This function is a destructor, hence it should be named like one.

(We usually use xyz_free() for a destructor that frees the object passed
itself. xyz_unref() we typically use for destructors that are similar,
but ref counted. xyz_done() usually is used for destructors which free
the members of an object, but not the object itself – to allow stack
allocation of objects. We don't strictly follow this, but it's good to
stick to rules wherever we can.)

No actual code change, just renaming.

homed: rename home_prepare*() → home_setup*()

These set of functions are constructors for an object called HomeSetup,
which has a destructor home_setup_undo(), hence to be reasonably
symmetric, let's call it home_setup*() too, instead of using a new verb
"prepare" for its name.

No actual code changes, just some renaming.

po: add a false positive to POTFILES.skip

[st-stub] documenting the .dtb section

homework: reuse home_validate_update_luks() at one more place

We have the same code at two places, let's reuse it. Given the more
generic scope let's rename the function home_get_state() since it
retrieve the current setup state of the LUKS logic.

homework: remove duplicate error logging when doing ext4 resizes

homework: let's simply some code via erase_and_free()

homed,shutdown: call valgrind magic after LOOP_GET_STATUS64

valgrind doesn't understand LOOP_GET_STATUS64. We already work around
this in various placed, via VALGRIND_MAKE_MEM_DEFINE(), but we forgot
three places. Let's fix that.

userdb: fix type to pass to connect()

Fixes https://github.com/systemd/systemd/pull/20613#issuecomment-944621275.

[sd-stub] add support for embedding devicetree

Merge pull request #20902 from tasleson/integritysetup-generator

Add stand-alone dm integrity support

homework: only do image locks for regular image files

If an image file is actually a block device taking a lock on it doesn't
really make sense for us: it will interfere with udev's block device
probing logic, and it's not going to propagated across the network
anyway (which is what we are after here). Hence simply don't do it.

Follow-up for 2aaf565a2da8eb0ea9adf84028c9d0ab7a90e53e

homework: don't bother with BLKRRPART on images that aren't block devices

We currently call this ioctl even if we are backed by a regular file,
which is actually the common case. While this doesn't really hurt, it
does result in very confusing logs.

Add stand-alone dm-integrity support

This adds support for dm integrity targets and an associated
/etc/integritytab file which is required as the dm integrity device
super block doesn't include all of the required metadata to bring up
the device correctly.  See integritytab man page for details.

Merge pull request #20983 from mxre/feature/aarch64

[sd-stub] Add support for aarch64 booting via pe-entry point

Merge pull request #20980 from bluca/compat_readme

docs: add guidelines w.r.t. compatibility to docs/CONTRIBUTING.md

Merge pull request #20996 from yuwata/udevadm-trigger-debug

test: show debug and verbose message

unit: networkd does not require AF_ALG anymore

As khash is retired.

dm-verity: Remove usage of integrity

There is a difference between dm-verity and dm-integrity.  Remove
usage of integrity from verity documentation in man pages and
target files.

Merge pull request #21001 from poettering/alloca-safe

honour ALLOCA_MAX limit on all alloca() allocations, not just some

homework: fix incorrect error variable use

Merge pull request #21006 from DaanDeMeyer/mkosi-ordering

mkosi: Add number prefixes to per-distro files for easier overriding

doc: document that alloca_safe() and friends are the APIs to use

alloc-util: add strdupa_safe() + strndupa_safe() and use it everywhere

Let's define two helpers strdupa_safe() + strndupa_safe() which do the
same as their non-safe counterparts, except that they abort if called
with allocations larger than ALLOCA_MAX.

This should ensure that all our alloca() based allocations are subject
to this limit.

afaics glibc offers three alloca() based APIs: alloca() itself,
strndupa() + strdupa(). With this we have now replacements for all of
them, that take the limit into account.

journal: drop unnecessary +1 in newa() expression

newa() does this internally anyway, no need to do this explicitly.

tree-wide: port all calls to alloca() to alloca_safe()

alloca-util: drop two unnecessary casts

memset() already returns void*, no need to cast it to that.

alloc-util: introduce new helper alloca_safe()

This is like alloca(), but does two things:

1. Verifies the allocation is smaller than ALLOCA_MAX
2. Ensures we allocate at least one byte

This was previously done manually in all invocations. This adds a handy
helper that does that implicitly.

cgroup: when checking for legacy controllers, ignore any we don't care about

Ignore local files in subdirectories of mkosi.default.d/ as well

mkosi: Add number prefixes to per-distro files for easier overriding

This allows developers to add override files to override per-distro settings.

virt: Support detection for ARM64 Hyper-V guests

The detection of Microsoft Hyper-V VMs is done by cpuid currently,
however there is no cpuid on ARM64. And since ARM64 is now a supported
architecture for Microsoft Hyper-V guests[1], then use DMI tables to
detect a Hyper-V guest, which is more generic and works for ARM64.

[1]: https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=7aff79e297ee1aa0126924921fd87a4ae59d2467

Merge pull request #21002 from poettering/watchdog-off

minor tweaks to watchdog configuration logic

[sd-stub] Add support for aarch64 booting via pe-entry point

man: document new systemd.watchdog_sec= kernel cmdline option

Follow-up for: b3aa73e4de614c06c4a27e5635967a0392654fbc

man: document new "off" setting for systemd-system.conf watchdog settings

core: allow "off" as special watchdog time to be specified

Right now we already understand "default" as special string for enabling
the watchdog but not reconfiguring its timeout (it is internally mapped
to USEC_MAX). To be systematic this adds "off" as special string for
disabling the watchdog logic (it is internally mapped to 0, which is how
this behaviour was previously requested).

Merge pull request #20787 from fbuihuu/watchdog-more-rework

Watchdog more rework

core/bpf-firewall: add missing oom check

Fixes CID#1464627.

watchdog: rename special string "infinity" taken by the watchdog timeout options to "default"

watchdog: handle timeout programming errors more safely

If an error happened while the timeout value was being programmed, the error
was ignored and the watchdog module used the new timeout value whereas the
watchdog device was left with the previous one.

Now in cases of error, the device is now disabled and closed if it wasn't
opened already otherwise the previous timeout value is kept so the device is
still pinged at correct intervals.

core: introduce systemd.watchdog_sec=<sec> option

watchdog: update the documentation

While at it, split the watchdog section into a few paragraphs to make it easier
to read as it becomes lengthy.

watchdog: passing 0 to watchdog_setup now closes the watchdog

Passing 0 meant "disable the watchdog although still kept it opened". However
this case didn't seem to be useful especially since PID1 closes the device if
it is passed the nul timeout.

Hence let's change the meaning of watchdog_setup(0) to match PID1's behavior
which allows to simplify the code a bit.

Hence this patch also drops enable_watchdog().

watchdog: pass USEC_INFINITY to watchdog_setup() to reuse the programmed timeout value

This patch changes the meaning of USEC_INFINITY value for the watchdog
module.

Previously passing this value was a NOP. It now has a special meaning: it
requests the watchdog module to read the programmed timeout value and reuse it
for pinging the device.

This is mostly useful when the watchdog is started by the firmware and there's
no way to reconfigure the timeout with a different value
afterwards. "RuntimeWatchdogSec=infinity" in system.conf can now be used rather
than putting an arbitrary value that PID1 will fail to set (even if it still
felt back to the programmed timeout).

Please note that "infinity" is not supposed to restore the default value of the
firmware. If the value is changed after booting then "infinity" would simply
reuse the current programmed value. IOW it's a NOP unless the watchdog was
previously closed and in that case it will be reopened and the last programmed
value reused.

watchdog: configuring a timeout value might not be supported by the HW

In that case we should hanlde this case more gracefully by reusing the
programmed value.

Fixes: #20683

watchdog: minor optimization in watchdog_setup()

watchdog: cleanup: create an helper for each ioctl

No functional changes.

Merge pull request #20987 from yuwata/sd-dhcp6-enum-cleanups

sd-dhcp6-client: enum cleanups

test: show debug and verbose message

sd-device-monitor: update log message to clarify the error will be ignored

cgroup: check if any controller is in use as v1

Check if any cgroup controller is currently being used as v1, and if so don't
use cgroup unified mode. This is only checked when there is no cgroup already
mounted, and is most useful when running in a container where the host is using
a legacy or hybrid cgroup, since we can't (fully) use unified cgroup, as the
host kernel has the cgroup controllers in use by v1.

This shouldn't be needed if the container manager has pre-mounted cgroups
appropriately based on the host system cgroup setup, but we can't rely
on that always being the case.

core: serialize device cgroup bpf progs across daemon-reload/reexec

Follows what was done in b57d75232615f98aefcf41cb145ec2ea3262857d and
adds a test that verifies the device BPF program is not detached during
reload/reexec.

Merge pull request #20992 from keszybz/fix-two-outputs

Fix two outputs

sd-dhcp6-client: max_retransmit_time must be positive

Found by LGTM.com analysis.

sd-dhcp6-client: introduce dhcp6_option_can_request()

coredumpctl: stop truncating information about coredump

With the changes to limit that print 'Found module …' over and over, we were
hitting the journal field message limit, effectively truncating the info output.

Fixes https://bugzilla.redhat.com/show_bug.cgi?id=1998488.

network: do not request RAPID_COMMIT option

The option must not be included in OPTION_REQUEST option.
See the "Client ORO" field in
https://www.iana.org/assignments/dhcpv6-parameters/dhcpv6-parameters.xhtml#dhcpv6-parameters-2

This deprecates RapidCommit= setting. Note that sd-dhcp6-client always
sets the RAPID_COMMIT option in the solicit message.

systemd-machine-id-setup(1): "machine[d] ID" typo

move mfree to macro-fundamentals.h

shared/dissect-image: reword debug message

I read the message and initially thought that there's some bug in time
subtraction. Let's make it clear that the message is about what we'll
do in the future, and not a report on how we waited up until now.

sd-dhcp6-client: add missing options

sd-dhcp6-client: add missing parenthesis

sd-dhcp6-client: add missing message types

This also changes the prefix: DHCP6_ -> DHCP6_MESSAGE_.

sd-dhcp6-client: name one more enum

sd-dhcp6-client: typedef several enums

Also introduces _MAX and _INVALID for several enums.

core: remove refcount for bpf program

Currently ref count of bpf-program is kept in user space. However, the
kernel already implements its own ref count. Thus the ref count we keep for
bpf-program is redundant.

This PR removes ref count for bpf program as part of a task to simplify
bpf-program and remove redundancies, which will make the switch to
code-compiled BPF programs easier.

Part of #19270

network: dhcp6-pd: also assign addresses in IA_PD prefixes on uplink interface

Closes #20808.

docs: add guidelines w.r.t. compatibility to docs/CONTRIBUTING.md

LICENSES/README.md: remove reference to non-existing files

All example code was relicensed

Merge pull request #20853 from yuwata/network-radv-set-default-timeouts

network: RADV: set default timeouts

sd-boot: Move security and console control protocol to missing_efi.h

This also fixes a broken #ifdefs in the header itself.

sd-boot: Use _cleanup_ in more places

sd-boot: Remove unnecessary TPM conditionalization

This is already done in measure.h.

sd-boot: Use backup LBA location from first GPT header

If a disk were dd'd to a lager block device, the last block on it
is not necessarily the backup header.

sd-boot: Split up xbootldr_open()

sd-boot: Fix xbootldr detection

The broken crc32 calculation was a copy pasta error introduced in
87167331c902e89bea626c311f0d751ffbc95d73 and luckily has never been
shipped yet.

sd-boot: Move xbootldr code into its own file

sd-boot: Invert if in disk_get_part_uuid()

Merge pull request #20985 from yuwata/test-bus-node-enumerator

test: add more tests for sd-bus node enumerator

test: use assert_se() instead of assert()

ci: use the system llvm-11 package on Focal

ATTOW llvm-11 got into focal-updates, which conflicts with llvm-11
provided by the apt.llvm.org repositories. Let's use the system
llvm package if available in such cases to avoid that.

Merge pull request #20968 from poettering/homed-pin

homed: pin+lock homes while logged in + keep trying to unmount on logging out + optionally drop caches on logging out

Merge pull request #20776 from medhefgo/boot-timeout

sd-boot: Allow disabling timeout

test: shorten code a bit

network: radv: extends lifetime for DNS servers or domains propagated from uplink

Previously, the lifetime was 30 minutes. But it is not necessary to set
to such short time compared with prefix or route prefix lifetime.
Note that the propagated DNS servers and domains are all 'static',
that is, configured in a .network file, and not provided dynamically.
So, it should be safe to use longer lifetime.

network: radv: set non-zero lifetime for DNS servers and domains by default

Closes #20850.

network: radv: verify [IPv6Prefix] and [IPv6RoutePrefix] sections

network: radv: mask unnecessary part of specified addresses

network: radv: make conf parsers not set values into sd_radv_prefix/sd_radv_route_prefix

Preparation for later commits.

sd-radv: rename sd_radv_prefix_set_route_prefix() -> sd_radv_route_prefix_set_prefix()

test: add more node enumerator tests

Merge pull request #20981 from poettering/glibc-less-internal

various clean-ups: use less glibc internal symbols, modernize some other stuff

Merge pull request #20965 from poettering/getdents

recurse-dir: use getdents64()

Merge pull request #20970 from poettering/token-timeout

cryptsetup: add a timeout for waiting for FIDO2/PKCS#11/TPM2 devices