dissect-image: handle all non-negative return values as success

No functional changes, just coding syle update.

dissect-image: fix memleak on failure

update TODO

sd-device-monitor: do not trigger assertion when uid_map is not empty

Follow-up for c0aa23cf1ed4b3cbbcaf8b19d47e6e29dc28c9a0.

Fix Positivo DUO k116 key toggle touchpad

update TODO

xdg-autostart-service: expand tilde in Exec lines

In typical desktop file parsing it is expected that "~" expands to a
home directory.

Users may write an autostart file with "Exec=myCoolService
~/.someSpecialConfig" which worked before the systemd migration.

unit: drop ProtectClock=yes from systemd-udevd.service

This partially reverts cabc1c6d7adae658a2966a4b02a6faabb803e92b.

The setting ProtectClock= implies DeviceAllow=, which is not suitable
for udevd. Although we are slowly removing cgropsv1 support, but
DeviceAllow= with cgroupsv1 is necessarily racy, and reloading PID1
during the early boot process may cause issues like #24668.

Let's disable ProtectClock= for udevd. And, if necessary, let's
explicitly drop CAP_SYS_TIME and CAP_WAKE_ALARM (and possibly others)
by using CapabilityBoundingSet= later.

Fixes #24668.

fix typo in log

test-date: do not fail even on ~50 years later

Fixes #16181.

test-seccomp: support systems that sched_setscheduler() is already limited

Fixes #17078.

meson: add libatomic dependency

Building with GCC 12.2 and binutils 2.39 fails on riscv64 Ubuntu Kinetic
with:

FAILED: systemd-oomd
/usr/bin/ld: systemd-oomd.p/src_oom_oomd-util.c.o:
in function `oomd_cgroup_context_acquire':
build/../src/oom/oomd-util.c:415:
undefined reference to `__atomic_exchange_1'

We have to link with -latomic.

Signed-off-by: Heinrich Schuchardt <heinrich.schuchardt@canonical.com>

bash-completion: add missing options to systemd-cryptenroll

Merge pull request #24671 from mrc0mmand/even-more-codeql

ci: enable a couple more possibly useful CodeQL queries

oom: include a header file instead of a source file

tree-wide: fix typo

ci: fix a couple of typos

ci: enable a couple more possibly useful CodeQL queries

ci: rename codeql-analysis.yml to codeql.yml

Just to be consistent with other repos under the systemd umbrella.

pid1: introduce dbus properties WatchdogDevice and friends

Closes #24665.

Merge pull request #24669 from dtardon/nested-asserts

Use nested ASSERT_PTR

tree-wide: use nested ASSERT_PTR

macro-fundamental: allow to nest ASSERT_PTR

E.g.,

int job_frobnicate(Job *j) {
        Unit *u = ASSERT_PTR(ASSERT_PTR(j)->unit);
        ...
}

Merge pull request #24663 from mrc0mmand/codeql-follow-up

A couple of CodeQL tweaks and follow ups

pstore: do not try to load all known pstore modules

Commit 70e74a5997 ("pstore: Run after modules are loaded") added After=
and Wants= entries for all known kernel modules providing a pstore.

While adding these dependencies on systems where one of the modules is
not present, or not configured, should not have a real affect on the
system, it can produce annoying error messages in the kernel log. E.g.
"mtd device must be supplied (device name is empty)" when the mtdpstore
module is not configured correctly.

Since dependencies cannot be removed with drop-ins, if a distro wants to
remove some of these modules from systemd-pstore.service, they need to
patch units/systemd-pstore.service.in. On the other hand, if they want
to append to the dependencies this can be done by shipping a drop-in.

Since the original intent of the previous commit was to fix [1], which
only requires the efi_pstore module, remove all other kernel module
dependencies from systemd-pstore.service, and let distros ship drop-ins
to add dependencies if needed.

[1] https://github.com/systemd/systemd/issues/18540

Merge pull request #24662 from mrc0mmand/test-exec-deserialization-tweaks

test: drop the use of `tempfile.mktemp()`

ci: limit scope for the CodeQL scan

Don't run the workflow unnecessarily for non-{cpp,python} related changes.

ci: drop LGTM stuff and move remaining bits into a new location

ci: run CodeQL on push to main/stable branches as well

Since we need results for the base branches as well in order to have
something to compare against.

Follow-up to cbe25d0dccdd3f2901a1e74a665c068f42dae9f5.

test: drop the use of `tempfile.mktemp()`

and use `uuid.uuid4()` instead to generate a sufficiently pseudo-random
file name.

Resolves: https://github.com/systemd/systemd/security/code-scanning/142

test: drop forgotten format()

Follow-up to fda00958bb08f2920cf8d42c5212fb45bdb42d6d.

ci: run CodeQL on every PR

Since LGTM is no longer enabled for the systemd repo (as it's going to
be discontinued by the EOY), let's run CodeQL on every PR instead to
replace it.

xdg-autostart-service: Use common boolean parser

Technically the desktop entry specification says value should be the
string "true" or "false". Pragmatically every desktop has their own
parsing rules which are typically less strict on how to interpret other
values.

This caused some regressions downstream when we switched to the
xdg-autostart-generator where existing handmade files contained values
with "True" or "False".

TODO: various things about partitioning

logind: schedule idle check full interval from now if we couldn't figure out atime timestamp

Merge pull request #24272 from dtardon/asserts

Use ASSERT_PTR more

boot: fix missing initialization

Fixes CID#1497847.

Merge pull request #24651 from yuwata/openssl-util

openssl-util: trivial cleanups

creds-util: fix NULL pointer dereference

Fixes CID#1497840.

openssl-util: use assert() if no side effect

openssl-util: drop meaningless assertion

As the type of 'msz' is int.

Fixes CID#1497842.

dbus-execute: inline variable definition

Fixes a compiler warning:

../src/core/dbus-execute.c:460:22: error: unused variable 'c' [-Werror,-Wunused-variable]
        ExecContext *c = ASSERT_PTR(userdata);

tree-wide: check parameter before dereferencing

tree-wide: use ASSERT_PTR more

Merge pull request #23087 from yuwata/udev-watch

udev: resolve race in saving inotify watch handle

Merge pull request #23043 from yuwata/udev-node-use-flock

udev-node: use flock() for symlink stack directory

base-filesystem.c: add trailing zero byte for s390x entry

hwdb: Fix Acer Aspire One AOD270/Packard Bell Dot keymappings

The Acer Aspire One AOD270 and the same hardware rebranded as
Packard Bell Dot SC need a couple of keymap fixups:

1. The switch-video-mode key does not do anything. Standard acer-wmi
   maps scancode 0x61 to KEY_IGNORE since typically these events are
   duplicate with the ACPI video bus. But on these models the ACPI video
   bus does not send events for this key, so map it.

2. The Brightness up / down hotkeys send atkbd scancode 0xce / 0xef
   which by default are mapped to KEY_KPPLUSMINUS and KEY_MACRO.
   These actually are duplicate events with the ACPI video bus,
   so map these to KEY_IGNORE.

update TODO

update TODO

test: add testcase for udev-watch

sd-device: move device_new_from_watch_handle_at() to udev-watch.c

And drop unused watch handle related functions.

udev: warn on udev_watch_{begin,end}() failure

udev: drop unnecessary call of udev_watch_end()

As it is already called by udev_event_execute_rules().

udev: use rm_rf() to remove old watch directory

udev-watch: remove symlink for saving inotify watch handle only when it is owned by the processing device

Before removing symlinks that stores watch handles, this makes udev
worker check if the symlink is owned by the processing device.
Then, we can avoid TOCTOU and drop the try-and-wait loop.

This partially reverts 2d3af41f0e837390b734253f5c4a99a9f33c53e3.

udev: ignore IN_IGNORED inotify event earlier

udev: not necessary to return 1 from on_inotify()

Merge pull request #24637 from mrc0mmand/TEST-75-tweaks

test: make the resolved notifications check a bit more robust

test: make the resolved notifications check a bit more robust

Let's parse the resolved JSON notifications via `jq` and check them in a
bit more "controlled" manner - e.g. until now the `grep` was checking just
a one gigantic JSON string, as all received notifications via the
varlink socket are terminated by a NUL character, not a newline.

Also, as the notification delivery is asynchronous, retry the check
a couple of times if it fails (spotted in C8S jobs):

```
[ 2891.935879] testsuite-75.sh[36]: + : '--- nss-resolve/nss-myhostname tests'
[ 2891.935988] testsuite-75.sh[36]: + run getent -s resolve hosts ns1.unsigned.test
[ 2891.936542] testsuite-75.sh[177]: + getent -s resolve hosts ns1.unsigned.test
[ 2891.937499] testsuite-75.sh[178]: + tee /tmp/tmp.pqjNvbQ2eS
[ 2891.939977] testsuite-75.sh[178]: 10.0.0.1        ns1.unsigned.test
[ 2891.940258] testsuite-75.sh[36]: + grep -qE '^10\.0\.0\.1\s+ns1\.unsigned\.test' /tmp/tmp.pqjNvbQ2eS
[ 2891.942235] testsuite-75.sh[189]: + grep -qF '[10,0,0,1]'
[ 2891.942577] testsuite-75.sh[188]: + grep -aF ns1.unsigned.test /tmp/notifications.txt
[ 2891.943978] systemd[1]: testsuite-75.service: Child 36 belongs to testsuite-75.service.
[ 2891.944112] systemd[1]: testsuite-75.service: Main process exited, code=exited, status=1/FAILURE
[ 2891.944215] systemd[1]: testsuite-75.service: Failed with result 'exit-code'.
```

test: install jq into all images

Merge pull request #24593 from jamacku/main

Update `advanced-issue-labeler` action - `@v1` -> `@v2`

tpm2-util: avoid trial

Let's avoid trial mode for putting together policies if we can, and use
the real policy whenever we can pull it off.

Fixes: #24401

test-29-portable: set timeout for 'portablectl reattach'

Then, the test can fail earlier than the timeout of the whole test
specified by $QEMU_TIMEOUT=.

This is useful when we try to run the test multiple times.

Workaround for issue #24147.

Merge pull request #24618 from yuwata/udev-split-synthesizing

udev: shorten synthesize_change() a bit

blockdev-util: split out blockdev_reread_partition_table()

No functional changes, just refactoring.

Merge pull request #24458 from poettering/stub-embedd-sig

optionally, embed PCR signature and public key in new sd-stub PE sections

udevd: use partition enumerator at one more place

No functional changes, just refactoring.

Merge pull request #24609 from yuwata/sd-device-enumerator-check-sysname

sd-device-enumerator: check sysname earlier

Merge pull request #24611 from yuwata/loop-util-refactoring

loop-util: several cleanups

blockdevi-util: also check sysname when enumerating partitions

sd-device-enumerator: use _cleanup_free_ attribute for safety

No functional changes, just improve readability.

Suggested by https://github.com/systemd/systemd/pull/24601#discussion_r966883459.

sd-device-enumerator: always ignore ENOENT from opendir()

But logs all errors.

sd-device-enumerator: check sysname earlier

update TODO

man: say early what a unified kernel image/UKI is

man: be more careful regarding TPM vs. TPM2

We support PCR measurements for both classic TPM1.2 and TPM2, hence just
say "TPM" generically in that context. But the signed policies are
exclusive to TPM2, hence always say TPM2 there.

We mostly got that right, except at one place. Fix that.

man: document the new .pcrsig/.pcrpkey sections for unified kernel images

tmpfiles: copy PCR sig/pkey from initrd /.extra/ into /run/

Now that sd-stub will place the PCR signature and its public key in
the initrd's /.extra/ directory, let's copy it from there into /run/
from userspace. This is done because /.extra/ is on the initrd's tmpfs
which will be emptied during the initrd → host transition. Since we want
these two files to survive we'll copy them – if they exist – into /run/
where they will survive the transition.

Thus, with this last change the files will have safely propagated from
their PE sections into files in /run/ where userspace can find them

The paths in /run/ happen to be the exact ones that
systemd-cryptenroll/systemd-cryptsetup/systemd-creds look for them.

stub: pass .pcrsig and .pcrpkey PE sections as cpio into invoked kernel

Pick up the two new sections in sd-stub and pass them as initrds into
the booted kernels, where they'll show up as
/.extra/tpm2-pcr-signature.json and /.extra/tpm2-pcr-public-key.pem in
the initrd file system.

The initrd is then supposed to pick these files up from there and save
them at a place that will survive into the host OS.

stub: add new special PE sections ".pcrsig" and ".pcrpkey" in unified kernels

These aren't wired up yet to do anything useful. For now we just define
them.

This sections are supposed to carry a signature for expected
measurements on PCR 11 if this kernel is booted, in the JSON format
"systemd-measure sign" generates, and the public key used for the
signature.

The idea is to embedd the signature and the public key in unified
kernels and making them available to userspace, so that userspace can
easily access them and enroll (for which the public key is needed) or
unlock (for which the PCR signature is needed) LUKS2 volumes and
credentials that are bound to the currently used kernel version stream.

Why put these files in PE sections rather than just into simple files in
the initrd or into the host fs?

The signature cannot be in the initrd, since it is after all covering
the initrd, and thus the initrd as input for the calculation cannot
carry the result of the calculation. Putting the signature onto the root
fs sucks too, since we typically want to unlock the root fs with it,
hence it would be inaccessible for it's primary purpose then.

The public key could be in the initrd or in the root fs, there's no
technical restriction for that. However, I still think it's a good idea
to put it in a PE section as well, because this means the piece of code
that attaches the signature can also attach the public key easily in one
step, which is nice since it allows separating the roles of the
kernel/initrd/root fs builder, and the role of the signer, and the
former doesn't have to have knowledge about what the latter is going to
add to the image.

Note that the signature section is excluded from the TPM measurements
sd-stub does about its resource sections, since – as mentioned – it's
the expected output of the signing operation whose input are the
measurements, hence it cannot also be input to them. The public key
section is included in the measurements however.

cpio: add helper for packing cpios of literally specified data blobs

Let's add simple helpers for passing data blobs from the stub into the
booted kernel as initrds that are generated on-the-fly.

(Note used yet, a later commit will make use of this)

Implement DNS notifications from resolved via varlink

* The new varlink interface exposes a method to subscribe to DNS
resolutions on the system. The socket permissions are open for owner and
group only.
* Notifications are sent to subscriber(s), if any, after successful
resolution of A and AAAA records.

This feature could be used by applications for auditing/logging services
downstream of the resolver. It could also be used to asynchronously
update the firewall. For example, a system that has a tightly configured
firewall could open up connections selectively to known good hosts based
on a known allow-list of hostnames. Of course, updating the firewall
asynchronously will require other design considerations (such as
queueing packets in the user space while a verdict is made).

See also:
https://lists.freedesktop.org/archives/systemd-devel/2022-August/048202.html
https://lists.freedesktop.org/archives/systemd-devel/2022-February/047441.html

Merge pull request #24557 from yuwata/repart

repart: fix partition size calculation

test-58-repart: add test case for issue #24553

repart: make existing partition can be also 'dropped'

Previously, when an existing partition cannot grow, then entire process
fails. This makes such an existing partion handled as an foreign
partition, i.e. it is not managed by us.

repart: check if existing partitions can grow

Fixes #24553.

repart: split out free_area_{current,min}_end() from free_area_available_for_new_partitions()

No actual code changes, just preparation for later commits.

repart: reset assignments by previous context_allocate_partitions()

The function context_allocate_partitions() may be called multiple times.
If this is called multiple times, then dropped partitions may still
assigned to free area.

repart: do not assign new size larger than acquired or the specified maximum

The acquired size may be larger than the requested maximum. So, let's
cap the value.

Note, at the final phase, the acquired size should be larger than the
requested minimum. Hence, the assertion about that is added.

repart: set new size for foreign partitions at first

Otherwise, the new size may be larger than the acquired one.

repart: anyway run loop at the end even if the loop will be restarted later

The order of the partitions processed in each phase does not change
result for the first two phase (PHASE_OVERCHARGE and PHASE_UNDERCHARGE).

repart: make scale_by_weight() always succeed

repart: split out context_grow_partition_one()

No actual code changes, just refactoring.

repart: introduce partition_{min,max}_padding()

No actual code changes, just refactoring.

repart: ensure partition_max_size() >= partition_min_size()

repart: make partition_max_size() return UINT64_MAX if not specified

Previously, it did not return UINT64_MAX, but a huge value, as
`UINT64_MAX / grain_size * grain_size != UINT64_MAX`.

This also drops unnecessary conditions.

repart: constify partition_min_size()

repart: rename variables in config_parse_weight()

This is for Weight= or PaddingWeight=, not for Priority=.

No actual code changes, just refactoring.

loop-util: do not try to enumerate partitions twice