cryptsetup: Fix null pointer dereference (#16987)

cryptsetup: Fix null pointer dereference

Fix null pointer dereference in the pkcs11 related code of systemd-cryptsetup

logind: fix merge issue

The two PRs #16664 and #16635 individually passed CI, but when combined
cannot build. Since both are merged now, let's fix that.

login: Add KEY_RESTART handling

KEY_RESTART is widely used in Linux to indicate device reboot.
So lets handle it in the same fashion as KEY_POWER.

Signed-off-by: Robert Marko <robert.marko@sartura.hr>

logind.conf: document UserStopDelaySec in logind.conf

Merge pull request #16635 from keszybz/do-not-for-each-word

Drop FOREACH_WORD

Merge pull request #16972 from wusto/ambient-and-keep-caps-corrections

Ambient capabilities documenation and keep-caps usage corrections

Merge pull request #16984 from yuwata/make-log_xxx_error-void

Make log_xxx_error() or friends return void

Merge pull request #16982 from yuwata/socket-buffer-size

Fixes for socket buffer size

core: fix set keep caps for ambient capabilities

The securebit keep-caps retains the capabilities in the permitted set
over an UID change (ambient capabilities are cleared though).

Setting the keep-caps securebit after the uid change and before execve
doesn't make sense as it is cleared during execve and there is no
additional user ID change after this point.

Altough the documentation (man 7 capabilities) is ambigious, keep-caps
is reset during execve although keep-caps-locked is set. After execve
only keep-caps-locked is set and keep-caps is cleared.

core: fix comments on ambient capabilities

The comments on the code for ambient capabilities was wrong/outdated.

Rename strv_split_extract() to strv_split_full()

Now that _full() is gone, we can rename _extract() to have the usual suffix
we use for the more featureful version.

Remove FOREACH_WORD and friends

tree-wide: replace strv_split_full() with strv_split_extract() everywhere

Behaviour is not identical, as shown by the tests in test-strv.
The combination of EXTRACT_UNQUOTE without EXTRACT_RELAX only appears in
the test, so it doesn't seem particularly important. OTOH, the difference
in handling of squished parameters could make a difference. New behaviour
is what both bash and python do, so I think we can ignore this corner case.

This change has the following advantages:
- the duplication of code paths that do a very similar thing is removed
- extract_one_word() / strv_split_extract() return a proper error code.

test-string-util: stop testing FOREACH_WORD

shared/fstab-util: replace FOREACH_WORD_SEPARATOR() with open-coded loop

The tricky part here is that the function is not allowed to fail in this code
path. Initially, I wanted to change the return value to allow it to fail, but
this cascades through all the places where fstab_test_option() and friends are
used; updating all those sites would be a lot of work. And since quoting is not
allowed here, a simple loop with strcspn() is easy to do.

shared/fstab-util: use free_and_str[n]dup()

No functional change. I'm keeping this separate to make review easier.

Use extract_first_word() in generated conf parsers

nspawn: use extract_first_word()

getty-generator: use extract_first_word()

sd-journal: use extract_first_word()

delta: use extract_first_word()

cryptsetup: use extract_first_word()

core/load-fragment: use extract_first_word()

This is much nicer, and also fixes a potential overflow when we used
'word' in log_error() as if it was a NUL-terminated string.

Let sd_machine_get_ifindices() omit the output param too

Nowadays we do that almost everywhere, let's also do it here.

Rewrite sd_machine_get_ifindices() to avoid FOREACH_WORD()

If we fail to parse the index, the failure is propogated as -EUNCLEAN.
(-EINVAL would be confused with invalid args to the function itself.)

Fix output value of sd_seat_get_sessions() and drop FOREACH_WORD use

sd_seat_get_sessions() would return 0 in the 'n_uids' (now 'ret_n_uids') output
parameter when 'uid' (now 'ret_uids') was passed as NULL.

While at it, drop FOREACH_WORD() use.

Also use any whitespace as separator. In practice this shouldn't matter, since
logind always uses spaces, but it seems nicer to not specify this explicitly,
and the default is more flexible.

sd-device: use extract_first_word()

basic/cgroup-util: port over to string_contains_word()

logind: use extract_first_word()

udev: warn if failed to set buffer size for device monitor

network: increase receive buffer size for device monitor

If networkd creates huge amount of netdevs, then the buffer of device
monitor becomes easily flowed.

Hopefully fixes #16865.

network: do not start device monitor if /sys is read-only

Follow-up for bf331d87171b7750d1c72ab0b140a240c0cf32c3.

network: honor the buffer size specified in networkd.socket

core/socket: use fd_set_{rcv,snd}buf()

sd-device-monitor: use fd_set_rcvbuf()

util: introduce fd_set_{snd,rcv}buf()

util: try to set with SO_{RCV,SND}BUFFORCE when requested size is larger than the kernel limit

The commit 10ce2e0681ac16e7bb3619b7bb1a72a6f98a2f2c inverts the order of
SO_{RCV,SND}BUFFORCE and SO_{RCV,SND}BUF. However, setting buffer size with
SO_{RCV,SND}BUF does not fail even if the requested size is larger than
the kernel limit. Hence, SO_{RCV,SND}BUFFORCE will not use anymore and
the buffer size is always limited by the kernel limit even if we have
the priviledge to ignore the limit.

This makes the buffer size is checked after configuring it with
SO_{RCV,SND}BUF, and if it is still not sufficient, then try to set it
with FORCE command. With this commit, if we have enough priviledge, the
requested buffer size is correctly set.

Hopefully fixes #14417.

util: refuse to set too large value for socket buffer size

network: ignore error on increasing netlink receive buffer size

Merge pull request #16973 from poettering/btrfs-dev-root

print friendly error message if btrfs tells us /dev/root was backing block device of root fs

Merge pull request #16979 from keszybz/return-log-debug

Fix 'return log_error()' and 'return log_warning()' patterns

cgroup: freezer action must be NOP when cgroup v2 freezer is not available

Low-level cgroup freezer state manipulation is invoked directly from the
job engine when we are about to execute the job in order to make sure
the unit is not frozen and job execution is not blocked because of
that.

Currently with cgroup v1 we would needlessly do a bunch of work in the
function and even falsely update the freezer state. Don't do any of this
and skip the function silently when v2 freezer is not available.

Following bug is fixed by this commit,

$ systemd-run --unit foo.service /bin/sleep infinity
$ systemctl restart foo.service
$ systemctl show -p FreezerState foo.service

Before (cgroup v1, i.e. full "legacy" mode):
FreezerState=thawing

After:
FreezerState=running

network: make log_link_error() or friends return void

core: make log_unit_error() or friends return void

core/slice: explicitly specify return value

udev: do not discard const qualifier

sd-device: make log_device_error() or friends return void

udev: explicitly specify return value

udev: return negative errno for invalid EVDEV_ABS_XXX= property

udev: make log_rule_error() or friends return void

Merge pull request #16955 from keszybz/test-execute-cleanup

One patch for test-execute and assorted cleanups

tree-wide: if get_block_device() returns zero devno, check for it in all cases

And add a comment for the existing cases where things aren't clear
already.

btrfs: if BTRFS_IOC_DEV_INFO returns /dev/root generate a friendly error message

On systems that boot without initrd on a btrfs root file systems the
BTRFS_IOC_DEV_INFO ioctl returns /dev/root as backing device. That
sucks, since that is not a real device visible to userspace.

Since this has been that way since forever, and it doesn't look like the
kernel will get fixed soon for this, let's at least generate a useful
error message in this case.

This is not a bug fix, just a tweak to make this more recognizable.

Once the kernel gets fixed to report the correct device nodes in this
case, in a way userspace can make sense of them things will magically
work for systemd, too.

(Note that this doesn't add a log message about this to really all cases
we call get_device() in, but just the main ones that are called in early
boot context, after all all there's no benefit in seeing this message
too many times.)

https://github.com/systemd/systemd/issues/16953
https://bugs.freedesktop.org/show_bug.cgi?id=84689
https://bugzilla.kernel.org/show_bug.cgi?id=89721

sleep: reword some debug messages

I think the sentences sound more natural this way.

basic/log: make log_{info,warning,...} return void

log_debug still returns 0. I think it is legitimate to use 'return log_debug()' to
return 0. It is different than the other functions, since we often want to supress
errors logged at debug level. This case is quite common in the codebase and
we could use 'return log_debug_errno()' to make the code more consise.

For all other variants, a separate return line is required.
Previous commit changes all the non-conforming instances, now we can make it mandatory.

tree-wide: correct cases where return log_{error,warning} is used without value

In various cases, we would say 'return log_warning()' or 'return log_error()'. Those
functions return 0 if no error is passed in. For log_warning or log_error this doesn't
make sense, and we generally want to propagate the error. In the few cases where
the error should be ignored, I think it's better to split it in two, and call 'return 0'
on a separate line.

man: fix quickhelp listing in sysusers.d(5)

Fixes #16958.

Merge pull request #16978 from keszybz/two-variable-reduction-patches

Two variable reduction patches

Merge pull request #16618 from yuwata/network-ipv6token-prefixstable

network: make prefixstable mode of IPv6Token= can be applied any received prefixes

tree-wide: define iterator inside of the macro

core/unit: reduce scope of variables

Merge pull request #16725 from yuwata/network-fix-ndisc-multiple-routers

network: fix NDisc behavior when multiple routers exist

core: introduce support for setting NUMAMask= to special "all" value

Fixes #14113

test-network: add test for IPv6Token=prefixstable

network: make prefixstable mode of IPv6Token= can be applied to any received prefixes

Closes #4625.

network: fix NDisc handling for the case when multiple routers exist

69203fba700ea8d7b0c4f4e3d1e1f809ac4644a1 does not consider the case that
multiple routers exist, and causes #16719.

Fixes #16719.

network: expose route_{hash,compare}_func()

network: expose address_{hash,compare}_func()

util: expose in6_addr_{hash,compare}_func()

Merge pull request #16928 from poettering/statx-fallback

stat-util: provide single statx() fallback on top of fstatat()

selinux: create /run/user/${USERID}/systemd with default context

selinux: early exit in mac_selinux_maybe_reload if not initialized

Binaries might not initialize SELinux, e.g. when they normally do not
create files with the SELinux default context.
If they, via an internal libary function, call a _label() function,
mac_selinux_maybe_reload() gets called. Since the SELinux status page
has not been opened, selinux_status_updated() will fail with EINVAL.

This affects particularly test binaries.

Just exit early and avoid confusing debug logs.

man: fix typo in resolved.conf

Merge pull request #16951 from yuwata/resolve-follow-ups-for-extra-dns-stub-listener

resolve: follow-ups for extra DNS stub listener

Merge pull request #16854 from yuwata/sd-bus-error-set-errnofv

sd-bus: rework sd_bus_error_set_errnofv()

Merge pull request #16957 from poettering/sd-bus-proto-def-move

three unrelated, minor fixes

varlink: properly allocate connection event source

Let's make sure we keep a reference to the event source

(Note that this code is currently not used, which is why this was never
used: in all cases we do not add listener fds after the event is
attached, but before. In that case this code is not called.)

ptyfwd: don't set prio if event source that might not exist

We support read-only ptyfwd options, and on those the input event source
won't be allocated. Deal with that and don't invoke a function on it
that will then instantly fail.

sd-bus: move SD_BUS_MAXIMUM_(SIGNATURE|NAME)_LENGTH to sd-bus-protocol.h

So far we kept all defines directly originating from the spec in
sd-bus-protocol.h, do this for this too.

The precise place doesn't matter much API-wise given that sd-bus.h includes
sd-bus-protocol.h, hence let's just clean this up.

test-sizeof: print pointer sizes

This is useful information, I don't know why we forgot to add it there.

gcc doesn't like arithemetic on a pointer to a function or void*, so don't
print signedness info there. It doesn't matter anyway.
C says function pointers can be different... Though I guess our code isn't
prepared for that.

udev-test: do not rely on "mail" group being defined

"audio" should be there, at least we declare it. "mail" nowadays is less
likely to exist than in the past.

Fixes one of the items in #16942.

test-execute: check if private directories have bad permissions before running test_exec_dynamicuser()

If the directory (/var/lib/private is most likely) has borked permissions, the
test will fail with a cryptic message and EXIT_STATE_DIRECTORY or similar. The
message from the child with more details gets lost somewhere. Let's avoid running
the test in that case and provide a simple error message instead.

E.g. systemd-238-12.git07f8cd5.fc28.ppc64 (which I encountered on a test machine)
has /var/lib/private with 0755.

core/manager: reindent table for readability

core/{execute, manager}: reduce scope of iterator variables a bit

test-execute/exec-dynamicuser-statedir.service: fix quoting

All backslashes that should be single in shell syntax need to be written as "\\" because
our parser will remove one level of quoting. Also, single quotes were doubly nested, which
cannot work.

Should fix the following message:
test-execute/exec-dynamicuser-statedir.service:16: Ignoring unknown escape sequences: "test $$(find / \( -path /var/tmp -o -path /tmp -o -path /proc -o -path /dev/mqueue -o -path /dev/shm -o -path /sys/fs/bpf -o -path /dev/.lxc \) -prune -o -type d -writable -print 2>/dev/null | sort -u | tr -d \\n) = /var/lib/private/quux/pief/var/lib/private/waldo"

test-execute: simplify condition

tests is always a static array, it cannot be NULL.

core: add [Enable|Disable]UnitFilesWithFlags DBUS methods

The new methods work as the unflavoured ones, but takes flags as a
single uint64_t DBUS parameters instead of different booleans, so
that it can be extended without breaking backward compatibility.
Add new flag to allow adding/removing symlinks in
[/etc|/run]/systemd/system.attached so that portable services
configuration files can be self-contained in those directories, without
affecting the system services directories.
Use the new methods and flags from portablectl --enable.

Useful in case /etc is read-only, with only the portable services
directories being mounted read-write.

util: constify the second argument of set_get()

resolve: use correct fd for UDP stub listner

resolve: do not check sender and destination for packet received by extra DNS stub listner

resolve: use sd_event_source_set_io_fd_own() for stub listners

resolve: introduce dns_stub_listener_extra_free() and set it as a key destructor

resolve: adjust error messages

resolve: do not set IPv4 specific options on IPv6 socket

resolve: do not set IP_TTL for extra DNS stub listeners

missing: add IPV6_FREEBIND

Merge pull request #16880 from yuwata/network-dhcp4-cleanups

network: DHCPv4 cleanups

shared/sleep-config: more logging and port to extract_first_word()

util: drop unused socket_addr_port_from_string_auto()

resolve: use in_addr_union to store addresses for extra dns stub listeners