analyze: add some roughly useful subsections to --help text

It's a long long list of verbs we support now, let's make it easier to
digest, like we did in systemctl --help and elsewhere.

analyze: add section underlining to --help text

Do this like we usually do these days.

sysupdate: Add --transfer-source=

In mkosi, I want to add a sysupdate verb to wrap systemd-sysupdate.
The definitions will be picked up from mkosi.sysupdate/ and passed
to systemd-sysupdate. I want users to be able to write transfer
definitions that are independent of the output directory used by
mkosi. To make this possible, it should be possible to specify the
directory that transfer sources should be looked up in on the sysupdate
command line. Let's allow this via a new --transfer-source= option.

Additionally, transfer sources that want to take advantage of this
feature should specify PathRelativeTo=directory to indicate the configured
Path= is interpreted relative to the tranfer source directory specified
on the CLI.

This allows for the following transfer definition to be put in
mkosi.sysupdate:

"""
[Transfer]
ProtectVersion=%A

[Source]
Type=regular-file
Path=/
PathRelativeTo=directory
MatchPattern=ParticleOS_@v.usr-%a.@u.raw

[Target]
Type=partition
Path=auto
MatchPattern=ParticleOS_@v
MatchPartitionType=usr
PartitionFlags=0
ReadOnly=1
"""

Merge pull request #33833 from YHNdnzj/manager-reload-assert

core/manager: do not re-init Manager.lookup_paths when manager_reload(), minor assorted cleanups

repart: Initialize split_name_format in copy_from_one()

Let's allow splitting the partitions from an existing disk image
by initializing split_name_format when using --copy-from=.

Merge pull request #34307 from yuwata/linux-more-network-headers

linux: import more network headers

Merge pull request #34067 from LukeShu/lukeshu/nspawn-fuse

nspawn: enable FUSE in containers

missing_socket: drop unnecessary definitions

Now, we have copy of vm_sockets.h, hence these definitions are not
necessary anymore.

missing_network: drop unnecessary definition

Now we have ipv6.h, hence the definition is not necessary anymore.

arphrd-list: use imported linux/if_arp.h

linux: import more network related headers from v6.11-rc6

Hopefully, no effective change.

terminal-util: correct fd validity check

Follow-up for 14f594b995bbaea85456a4c26e5c07446a4c446e

Fix typo in escape.c

TODO: fix typo

Fix grammar in udevadm settle timeout message

nspawn: enable FUSE in containers

Linux kernel v4.18 (2018-08-12) added user-namespace support to FUSE, and
bumped the FUSE version to 7.27 (see: da315f6e0398 (Merge tag
'fuse-update-4.18' of
git://git.kernel.org/pub/scm/linux/kernel/git/mszeredi/fuse, Linus Torvalds,
2018-06-07).  This means that on such kernels it is safe to enable FUSE in
nspawn containers.

In outer_child(), before calling copy_devnodes(), check the FUSE version to
decide whether enable (>=7.27) or disable (<7.27) FUSE in the container.  We
look at the FUSE version instead of the kernel version in order to enable FUSE
support on older-versioned kernels that may have the mentioned patchset
backported ([as requested by @poettering][1]).  However, I am not sure that
this is safe; user-namespace support is not a documented part of the FUSE
protocol, which is what FUSE_KERNEL_VERSION/FUSE_KERNEL_MINOR_VERSION are meant
to capture.  While the same patchset
 - added FUSE_ABORT_ERROR (which is all that the 7.27 version bump
   is documented as including),
 - bumped FUSE_KERNEL_MINOR_VERSION from 26 to 27, and
 - added user-namespace support
these 3 things are not inseparable; it is conceivable to me that a backport
could include the first 2 of those things and exclude the 3rd; perhaps it would
be safer to check the kernel version.

Do note that our get_fuse_version() function uses the fsopen() family of
syscalls, which were not added until Linux kernel v5.2 (2019-07-07); so if
nothing has been backported, then the minimum kernel version for FUSE-in-nspawn
is actually v5.2, not v4.18.

Pass whether or not to enable FUSE to copy_devnodes(); have copy_devnodes()
copy in /dev/fuse if enabled.

Pass whether or not to enable FUSE back over fd_outer_socket to run_container()
so that it can pass that to append_machine_properties() (via either
register_machine() or allocate_scope()); have append_machine_properties()
append "DeviceAllow=/dev/fuse rw" if enabled.

For testing, simply check that /dev/fuse can be opened for reading and writing,
but that actually reading from it fails with EPERM.  The test assumes that if
FUSE is supported (/dev/fuse exists), then the testsuite is running on a kernel
with FUSE >= 7.27; I am unsure how to go about writing a test that validates
that the version check disables FUSE on old kernels.

[1]: https://github.com/systemd/systemd/issues/17607#issuecomment-745418835

Closes #17607

NEWS: fix typo

Follow-up for 7a3a49386cc49d3971531ea24efb84232c05cc86.

man/varlinkctl: fix typo

Follow-up for 39ce86d19c7c3ac46b4afb546879ca8dcad1bdb2.

network/route: fix typo

Follow-up for 195bb6f97ebc5cd5e9932c62aa80df5427c30d67.

core/manager: do not re-init Manager.lookup_paths when manager_reload()

Follow-up for 99aad9a2b9e2c06023a2043976fd9395332ff097

The commit changed lookup_paths_init_or_warn() call to
be fatal to manager_reload(), but invoke_main_loop()
assumes that manager_reload() would only return
recoverable error, and put the manager back to
MANAGER_OK in that case, which is spurious.

Looking at it more, it appears to be utterly unnecessary
to reinitialize LookupPaths here, given that nothing during
the reload process would change the search dirs. Let's drop
the path altogether hence.

core/manager: rename NOTIFY_RCVBUF_SIZE to MANAGER_SOCKET_RCVBUF_SIZE

This is used for all our sockets, hence rename as so.

varlinkctl: downgrade ignored error msg to LOG_WARNING

Follow-up for 39ce86d19c7c3ac46b4afb546879ca8dcad1bdb2

chattr-util: use BIT_FOREACH where appropriate

chattr-util: set O_NOCTTY when reopening O_PATH fd

Follow-up for 07862c9fc2becdc4bbe112b023591d2ab2dd032b

mkosi: Drop _fixperms workaround

This was added to deal with a bug in the rpm 4.20 rc in Rawhide
but since that's been fixed, let's drop the workaround.

docs: use actual docs/HACKING.md URL

nspawn: register_machine() and allocate_scope() bools to flags

nspawn: re-flow comments that are wrapped weird

test: add a testcase for unprivileged nspawn

Right now it mostly duplicates a test that already exists in
TEST-50-DISSECT.mountfsd.sh, but it serves as a template for more unprivileged
nspawn tests.

nspawn: convert copy_devnodes():devnodes from nulstr to strv

nspawn: fix the comment about which namespaces outer_child is in

The comment says that it is still in the host's CLONE_NEWUSER namespace,
which is not true if !arg_privileged.  Also, it says that the CLONE_NEWNS
namespace was created by clone(), but if !arg_privileged then it was
actually created by nsresource_allocate_userns() and switched into by
setns().  Fix those inaccuracies.

When trying to word it clearly, there are enough commas and nested clauses
that I think it's clearer to break it into a list/table.

Merge pull request #34295 from poettering/uki-with-many-ukify

ukify: add multi-profile UKI support

varlinkctl: add --timeout= switch to tweak time-out behaviour

Fixes: #33772

dm-util: get rid of flex array in middle of structure

Fixes: #33936

man: CAP_SYS_ADMIN does NOT grant any permission for dbus API

Merge pull request #34298 from poettering/pcrlock-cred-fix

pcrlock: be more careful when preparing credential name for pcrlock p…

pcrlock: be more careful when preparing credential name for pcrlock policy

The .cred suffix is stripped from a credential as it is imported from
the ESP, hence it should not be included in the credential name embedded
in the credential.

Fixes: #33497

Merge pull request #34177 from poettering/pcrlock-and-signed

cryptenroll/cryptsetup: support combined signed PCR + pcrlock policies

ukify: introduce new --measure-base= switch

ukify: add new --extend= switch for importing an existing UKI's sections to later extend

This options is pretty simple, it allows specifying an UKI whose
sections to import first, and place at the beginning of the new UKI.

This is useful for generating multi-profile UKIs piecemeal: generate the
base UKI first, then append a profile, and another one and another one.

The sections imported this way are not included in any PCR signature,
the assumption is that that already happened before in the imported UKI.

ukify: add basic .profile support

This just allows including .profile sections, but doesn't try to be
smart about it. This alone won't help you much to create valid
multi-profile UKIs.

journald: mention the access mode we tried to open /dev/kmsg in

Let's make clearer what we are going to use /dev/kmsg for: read/write or just
writing. This hopefully should avoid confusion, such as the one #33975
is result of.

(Also while we are at it, add one extra debug message).

Fixes: #33975

NEWS: extend the userdb sshd_config NEWS entry a bit

tpm2-util: introduce tpm2b_sensitive_data_erase_and_esys_freep() destructor

Let's make sure we erase TPM2B_SENSITIVE_DATA structures reliably in all
code paths.

cryptenroll/cryptsetup: allow combined signed TPM2 PCR policy + pcrlock policy

So far you had to pick:

1. Use a signed PCR TPM2 policy to lock your disk to (i.e. UKI vendor
   blesses your setup via signature)
or
2. Use a pcrlock policy (i.e. local system blesses your setup via
   dynamic local policy stored in NV index)

It was not possible combine these two, because TPM2 access policies do
not allow the combination of PolicyAuthorize (used to implement #1
above) and PolicyAuthorizeNV (used to implement #2) in a single policy,
unless one is "further upstream" (and can simply remove the other from
the policy freely).

This is quite limiting of course, since we actually do want to enforce
on each TPM object that both the OS vendor policy and the local policy
must be fulfilled, without the chance for the vendor or the local system
to disable the other.

This patch addresses this: instead of trying to find a way to come up
with some adventurous scheme to combine both policy into one TPM2
policy, we simply shard the symmetric LUKS decryption key: one half we
protect via the signed PCR policy, and the other we protect via the
pcrlock policy. Only if both halves can be acquired the disk can be
decrypted.

This means:

1. we simply double the unlock key in length in case both policies shall
   be used.
2. We store two resulting TPM policy hashes in the LUKS token JSON, one
   for each policy
3. We store two sealed TPM policy key blobs in the LUKS token JSON, for
   both halves of the LUKS unlock key.

This patch keeps the "sharding" logic relatively generic (i.e. the low
level logic is actually fine with more than 2 shards), because I figure
sooner or later we might have to encode more shards, for example if we
add further TPM2-based access policies, for example when combining FIDO2
with TPM2, or implementing TOTP for this.

iovec-util: add iovec_append() for appending to an existing iovec

Merge pull request #34291 from poettering/utmpx-all-the-way

tree-wide: complete the switch to utmpx

man: document that sd_bus_message_read_strv() happily spits out empty arrays as NULL

Fixes: #34163

tree-wide: use UTMPX_FILE rather than _PATH_UTMPX

Apparently _PATH_UTMPX is a glibc'ism. UTMPX_FILE is the same thing and
what everyone else uses. Since they are otherwise equivalent, let's just
switch.

test-utmp: replace UT_LINESIZE/UT_NAMESIZE/UT_HOSTSIZE with sizeof_field()

utmpx doesn't know these defines, hence fix them.

tree-wide: drop unnecessary utmp includes

user-util: switch from utmp to utmpx

We generally use utmpx instead of utmp (both are actually identical on
Linux, but utmpx is POSIX, while utmp is not). Let's fix one left-over
case.

UT_NAMESIZE does not exist in utmpx world, it has no direct counterpart,
hence let's just sizeof_field() to determine the size of the actual
field. (which comes to the same result of course: 32).

coredump: set ProtectHome to read-only

In https://github.com/systemd/systemd/pull/5283/commits/924453c22599cc246746a0233b2f52a27ade0819
ProtectHome was set to true for systemd-coredump in order to reduce risk, since an attacker could craft a malicious binary in order to compromise systemd-coredump.
At that point the object analysis was done in the main systemd-coredump process.
Because of this systemd-coredump is unable to product symbolicated call-stacks for binaries running under /home ("n/a" is shown instead of function names).

However, later in https://github.com/systemd/systemd/commit/61aea456c12c54f49c4a76259af130e576130ce9 systemd-coredump was changed to do the object analysis in a forked process,
covering those security concerns.

Let's set ProtectHome to read-only so that systemd-coredump produces symbolicated call-stacks for processes running under /home.

Merge pull request #34279 from yuwata/ask-password

ask-password: refuse empty password strv

Merge pull request #34285 from poettering/boot-measure-profile

measure: introduce support for a new ".profile" section

po: Translated using Weblate (French)

Currently translated at 100.0% (253 of 253 strings)

Co-authored-by: Léane GRASSER <leane.grasser@proton.me>
Translate-URL: https://translate.fedoraproject.org/projects/systemd/main/fr/
Translation: systemd/main

measure: introduce support for a new ".profile" section

This introduces the concept, and makes sure systemd-measure covers it.
See a later commit for details on the new section.

uki: add new ".profile" PE section type

This is the most basic preparatory work for supporting multi-profile
UKIs.

(This temporarily drops an assert_cc() check which we'll address in the
next commit)

network/route: ignore EEXIST reply when the corresponding request is already detached

Follow-ups for db8dc7c1dd7f4620e14fbc4c1560a68a1fc9b85b.
Fixes #34275.

Merge pull request #34278 from yuwata/timesync-log

timesync: downgrade log level for several messages

Merge pull request #34280 from yuwata/cleanups

tree-wide: trivial cleanups

tree-wide: check if non-empty password is acquired

ask-password: refuse empty password strv

Fixes #34270.

sd-netlink: fix typo

Fixes #34273.

nspawn: refuse to bind mount device node from host when --private-users= is specified

Also do not chown if a device node is bind-mounted.

Fixes #34243.

test: fix copy-and-paste error in comment

nspawn: fix indentation

base-filesystem: use FOREACH_ELEMENT()

mount-util: wrap long line

Merge pull request #34203 from yuwata/network-conf-parser

network: several cleanups for conf parser

Merge pull request #34267 from DaanDeMeyer/script

mkosi: Install util-linux-script on Rawhide

network/address: use log_section_warning()

network/address: use generic section parser more

This also
- rename variable n -> address,
- use log_syntax_parse_error() where applicable,
- add one more assertion for lvalue in config_parse_address().

network/address: introduce generic config parser for [Address] section

Then, use generic conf parsers defined in conf-parser.[ch].

firewall-util: several cleanups for config_parse_nft_set()

- use log_syntax_parse_error(),
- return 1 on success,
- drop unnecessary or redundant assertions,
- add missing log_oom().

conf-parser: introduce config_parse_uint32_invert_flag()

It is similar to config_parse_uint32_flag(), but drops the specified flag
when true.

network: align table in network-gperf

network/address-label: use log_section_warning_errno()

network/address-label: introduce generic conf parser for [IPv6AddressLabel] section

This also
- renames n -> label,
- use log_syntax_parse_error().

No functional change, just refactoring.

conf-parser: introduce config section parser wrapper

It will be used later.

hwdb: Mark Apple Wireless keyboards as not having NumLock LED

Mark those Apple Wireless keyboards as not having a NumLock key:
https://en.wikipedia.org/wiki/Apple_Wireless_Keyboard

You can see that they don't have a NumLock LED because they didn't even
have a NumLock in the first place:
https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=0fea6fe7d5ef1b5fa5f78048d4729f85181c04ca

timesync: make manager_is_connected() static

timesync: downgrade log level about network configuration change

These message may be unnecessarily shown multiple times when e.g.
networkd is restarted, system is wakeup from suspend, and so on.

Closes #34262.

Merge pull request #34155 from poettering/gmtime-safe

handle gmtime_r() errors more robustly

basic: Include <sys/file.h> for LOCK_* constants

This is needed to ensure LOCK_{EX,SH} are defined in certain
environments, including uclibc-ng and musl libc.

Merge pull request #34261 from yuwata/repart-seed-random

repart: initialize seed earlier

edit-util: EditFileContext: avoid reserved 'stdin'

The identifier 'stdin' is reserved in C.  It can be #defined to any
statement that evaluates to a FILE*.  We do not want that for our field,
so change to a more descriptive name.

udev: allow persistent storage rules for rbd devices

The RADOS Block Device (rbd) can be used as any other block device with
further layers on top of it, hence allow the common persistent storage
rules to apply, including watching for changes.

mkosi: Remove rpm workaround

rpm 4.19.93 (4.20 rc) is in rawhide so let's drop the workaround.

mkosi: Install util-linux-script on Rawhide

It's now subpackaged so we can build images without pulling in
libutempter but we use script in the testsuite so let's install the
subpackage.

Merge pull request #34266 from DaanDeMeyer/fix

mkfs-util: Make sure we pass non option arguments last

time-util: rework localtime_or_gmtime() into localtime_or_gmtime_usec()

We typically want to deal in usec_t, hence let's change the prototype
accordingly, and do proper range checks. Also, make sure are not
confused by negative times.

Do something similar for mktime_or_timegm().

This is a more comprehensive alternative to #34065

Replaces: #34065

hwclock-util: the struct tm parameter is not a pure return parameter, it's also an input parameter

Merge pull request #34256 from YHNdnzj/pid1-followup

core: follow-ups for recent PRs

mkfs-util: Make sure we pass non option arguments last

POSIX specifies that getopt() stops parsing options when it encounters
a non-option argument, so let's make sure we pass non-option arguments
last.

mkfs-util: Fix error handling

update TODO

test: fix indentation

test: add test case for systemd-repart --seed=random

For issue #34257.

Merge pull request #34235 from yuwata/firstboot-systemctl-trivial-cleanups

firstboot,systemctl: trivial cleanups