Merge pull request #20209 from yuwata/network-dhcp4-semi-static-route-with-use-gateway-no

network: dhcp4: support semi-static route with Gateway=_dhcp4 with UseGateway=no

test-network: add a testcase for semi-static route with Gateway=_dhcp4 when UseGateway=no

test-network: adjust testcases to follow the previous changes

network: dhcp4: also support semi-static routes with Gateway=_dhcp4 when UseGateway=no or UseRoutes=no

This makes the default gateway is read from classless static routes or
router option even if UseGateway=no or UseRoutes=no, and will be used
when configuring semi-static routes such that specified with Gateway=_dhcp4.

This also changes the behavior of RoutesToDNS= or RoutesToNTP=.
Previously, the DNS or NTP servers are not in the same network, then the
routes to the servers were not configured when UseGateway=no or
UseRoutes=no. With this commit, the default gateway in classless static
routes or router option will used to connecting the servers even if
UseGateway=no or UseRoutes=no.

Fixes #20208.

network: further unification of MUD url parsers

Follow-up for 89fa9a6b7b2505aa2ce18febf1e28e79510dfec2.

man/systemd.network: Fix duplicate Xfrm description

It's already listed along with others (Tunnel, VLAN, etc.) and its description matches those. The duplication was introduced by commit c3006a485c9c35c0ab947479ff1dd7149fda9750.

Merge pull request #20109 from keszybz/timestamp-macros

Add macros that define scratch buffer internally for timestamp/timespan formatting

network: update interface name stored in various network engines

Merge pull request #20120 from yuwata/test-oomd-debug

test: enable debug logging of oomd

network: check the received interface name is actually new

For some reasons I do not know, on interface renaming, kernel once send
netlink message with old interface name, and then send with new name.
If eth0 is renamed, and then new interface appears as eth0, then the
message with the old name 'eth0' makes the interface enters failed
state.

To ignore such invalid(?) rename event messages, let's confirm the
received interface name.

Fixes #20203.

homed: allow systemd-homed access to FIDO2 devices

Add DeviceAllow= option for FIDO2 devices in systemd-homed.service.

TODO: note cgroup.kill and memfd_secret

Merge pull request #20202 from yuwata/network-fix-manage-foreign-routes-no

network: fix ManageForeignRoutes=no

systemctl: show error when help for unknown unit is requested

Fixes #20189. We would only log at debug level and return failure, which looks
like a noop for the user.

('help' accepts multiple arguments and will show multiple concatenated man
pages in that case. Actually, it will also show multiple concatenated man pages
if the Documentation= setting lists multiple pages. I don't think it's very
terribly useful, but, meh, I don't think we can do much better. If a user
requests a help for a two services, one known and one unknown, there'll now be
a line in the output. It's not very user friendly, but not exactly wrong too.)

test-network: add a testcase for ManageForeignRoutes=no

man/dnssec-trust-anchors: fix an XML syntax typo

This fixes an XML syntax typo in the 'dnssec-trust-anchors'
documentation.

network: also check addresses when determine a gateway address is reachable or not

Fixes #20201.

man: fix RFC number

#19947 didn't fix both.

libudev: add "Libs.private: -lrt -pthread" to libudev.pc

This resolves a failure when linking cryptsetup.static against libudev.a.

```
libtool: link: x86_64-pc-linux-gnu-gcc -Wall -O2 -pipe -march=amdfam10 -static -O2 -o cryptsetup.static lib/utils_crypt.o lib/utils_loop.o lib/utils_io.o lib/utils_blkid.o src/utils_tools.o src/utils_password.o src/utils_luks2.o src/utils_blockdev.o src/cryptsetup.o -pthread -pthread  -Wl,--as-needed ./.libs/libcryptsetup.a -largon2 -lrt -ljson-c -lpopt -luuid -lblkid -lssl -lcrypto -lz -ldl -ldevmapper -lm -lpthread -ludev -pthread
/usr/lib/gcc/x86_64-pc-linux-gnu/11.1.0/../../../../x86_64-pc-linux-gnu/bin/ld: /usr/lib/gcc/x86_64-pc-linux-gnu/11.1.0/../../../../lib64/libudev.a(src_libsystemd_sd-daemon_sd-daemon.c.o): in function `sd_is_mq':
(.text.sd_is_mq+0x3a): undefined reference to `mq_getattr'
```

Disable non-explicit sbatvars autodetection for cross builds.

Since autodetection is unlikely to work reliably for cross builds
disable it unless explicitly enabled.

Signed-off-by: James Hilliard <james.hilliard1@gmail.com>

Updated manpage for sd_bus_set_property

Updated manpage for sd_bus_set_property and sd_bus_set_propertyv. In the old manpage, these functions included the parameter sd_bus_message **reply when the actual function had no such argument.

Fixed typo (#20187)

* Fixed typo

Before, the file claimed that some systemd units are created "from other
configuration". It should have read "from other configuration files".

Co-authored-by: Nozz <nozolo90@gmail.com>

Merge pull request #20186 from keszybz/coverity-fixes

Coverity fixes

tree-wide: coccinelle fixes

Yet another batch of Coccinelle fixes.

Merge pull request #20185 from mrc0mmand/ci-tweaks

test: assorted test tweaks to address flakiness

Merge pull request #20157 from keszybz/numerical-uids-in--M

Allow numerical UIDs in systemctl -M uid@ and similar

creds: fix leak of arg_tpm2_device

IIUC, "auto" is the same as NULL. There is no need to strdup() anything.

Coverity CID#1458113.

test: make the strace check a bit more clever

We still sometimes try to grep an empty strace log because strace is not
yet properly initialized. Let's make the check a bit clever and wait
until strace is attached to PID 1 by checking the `TracerPid` field in
`/proc/1/status`.

networkd: add shared parser for mud urls

The same buggy code was triplicated…

creds: drop unnecessary initialization

Coverity also thinks a leak happens here, CID #1458112.
This seems wrong, but let's add an assert, maybe that'll help.

core: drop unnecessary initialization

cunescape() sets output on success, so initialization is not necessary. There
was no comment, but I think they may have been added because the compiler
wasn't convinced that the return value is non-negative on success. It could
have been confused by the int return type on escape*(), which was changed by
the one of preceeding commits to ssize_t, or by the length calculation, so add
an assert to help the compiler.

For some reason coverity thinks the output can be leaked here (CID #1458111).
I don't see how.

xdg-autostart: minor refactoring

We can't say free_and_replace(exec_split[n++], quoted), because the the
argument is evaluated multiple times. But I think that this form is
still easier to read.

nspawn: inline one iterator variable declaration

tree-wide: make cunescape*() functions return ssize_t

Strictly speaking, we are returning the size of a memory chunk of
arbitrary size, so ssize_t is more appropriate than int.

basic/escape: use _cleanup_ in one more place

Also, let's not use 'r' for a char*.

test: strip binaries by default

Since 23f8e01 we always kept binaries unstripped, since $STRIP_BINARIES
is unset by default.

test: bump the test timeout to give ldconfig.service enough time to finish

Sometimes the ldconfig.service might take a bit longer to finish,
causing spurious test timeouts:

```
[ 1025.858923] systemd[24]: ldconfig.service: Executing: /sbin/ldconfig -X
...
[ 1043.883620] systemd[1]: ldconfig.service: Main process exited, code=exited, status=0/SUCCESS (success)
...
Trying to halt container. Send SIGTERM again to trigger immediate
termination.
Container TEST-52-HONORFIRSTSHUTDOWN terminated by signal KILL.
E: Test timed out after 20s
```

docs: improve wording when mentioning the acronym "ESP"

"ESP" is "EFI system partition", so "ESP partition" is redundant.

shared/format-table: fix invalid free

Coverity CID#1458108.

sd-bus: allow numerical uids in -M user@.host

UIDs don't work well over ssh, but locally or with containers they are OK.
In particular, user@.service uses UIDs as identifiers, and it's nice to be
able to copy&paste that UID for interaction with the user's managers.

sd-bus: print debugging information if bus_container_connect_socket() fails

We would return the errno, but there are many steps, and without some
debugging info it's hard to figure out what exactly failed.

sd-bus: print quoted commandline when in bus_socket_exec()

The arguments are where the interesting part is:
src/libsystemd/sd-bus/bus-socket.c:965: sd-bus: starting bus with systemd-run...
↓
src/libsystemd/sd-bus/bus-socket.c:972: sd-bus: starting bus with systemd-run -M.host -PGq --wait -pUser=1000 -pPAMName=login systemd-stdio-bridge "-punix:path=\${XDG_RUNTIME_DIR}/bus"

core: use the new quoting helper

basic/escape: add helper for quoting command lines

networkd: minor refactoring

networkd: replace one trivial asprintf with xsprintf

shared/killall: replace one trivial asprintf with xsprintf

tree-wide: do not use (void) asprintf

asprintf(3) says that the pointer is "undefined" after a failed call.
In the current glibc implementation it is just NULL. In principle the
call could return a valid pointer with bad contents or something.

We have two styles of error handling: in a majority of cases we would
check the return value, but sometimes we used (void) and relied on the
pointer not being set. In practice both styles should be equivalent,
but gcc doesn't like the second one with -Wunused-result. (Though only
sometimes. E.g. on my F34 box I don't get the same warnings as in CI,
even though the compiler version is very similar and the compilation
options are the same…). It's also nice to be consistent in our code base.
So let's always use the first style of error checking.

basic/time-util: indentation

basic/{time,format}-util: warn when format result is unused

Now that anonymous buffers are used in almost all cases, code which
does not use the return value is usually broken.

meson: re-enable -Wunused-result with clang

We disabled it in f73fb7b742f294b6d2126afa16001bd2ff6ab461 in response to an
apparent gcc bug. It seems that depending on the combination of optimization
options, gcc still ignores (void). But this seems to work fine with clang, so
let's re-enable the warning conditionally.

Replace format_bytes_cgroup_protection with FORMAT_BYTES_CGROUP_PROTECTION

tree-wide: add FORMAT_BYTES_FULL()

cgtop: use anonymous buffers for formatting of bytes and timespans

basic/macro: make CONST_MAX(DECIMAL_STR_MAX(…), STRLEN(…)) possible

When those two macros were used together in CONST_MAX(), gcc would complain
about a type mismatch. So either DECIMAL_STR_MAX() should be made size_t like
STRLEN(), or STRLEN() be made unsigned.

Since those macros are only usable on arguments of (small) fixed size, any type
should be fine (even char would work…). For buffer size specifications, both
size_t and unsigned are OK. But unsigned was used for DECIMAL_STR_MAX macros
and FORMAT_foo_MAX macros, making STRLEN the only exception, so let's adjust
STRLEN() to be unsigned too.

Also: I don't think this is currently used anywhere, but if any of those macros
were used as an argument to sprintf, size_t would require a cast. ("%*s"
requires an int/unsigned argument.)

import: use SYNTHETIC_ERRNO in one more place

tree-wide: add FORMAT_BYTES()

Inline some iterator variables

tree-wide: add FORMAT_TIMESTAMP_STYLE()

shared/format-table: allocate buffer of sufficient size

tree-wide: add FORMAT_TIMESTAMP_RELATIVE()

tree-wide: add FORMAT_TIMESPAN()

sd-journal: add FORMAT_TIMESTAMP_SAFE()

tree-wide: use FORMAT_TIMESTAMP()

basic/time-util: add FORMAT_TIMESTAMP

This uses the same idea of an anonyous buffer as ETHER_ADDR_TO_STR().

test-ether-addr-util: add a simple test that HW_ADDR_TO_STR works with nesting

It seems to, but I was a bit incredulous… The comment is adjusted to match
the standard.

The trick with a temporary buffer is neat. I wasn't sure if it is valid, but
the standard says so. The test really tests that we are reading the rules right
and that the compiler doesn't do anythign strange or emit an unexpected
warning.

Merge pull request #20166 from poettering/fsync-more

various tweaks to existing fsync() helpers, and some new apis

Merge pull request #20168 from poettering/signal-util-tweak

generalize SIGINT handling in copy.c

Merge pull request #20167 from poettering/format-table-tweaks

format-table: three new features

dirent-util: no need to bother with fstatat() for "." and ".." to figure out if these are dirs

blockdev-util: add fd-based APIs for getting backing block device for file

path-util: make path_compare() accept NULL

logind: allow binding different operation to reboot key long presses

conf-files: rename return parameters ret_xyz

Merge pull request #20163 from poettering/repart-root-fix

repart: drop duplicate handling of /sysroot/ prefix

Merge pull request #19995 from poettering/cred-tool

Add support for encrypted credentials

repart: when we can't fit the partitions in, report needed disk size current disk size

This improves error output in repart if we can't fit the defined
partitions into the disk image. With this change we'll now show not only
the disk size we need (as before), but also the current one, as well as
the largest free area on disk.

This should make it a bit easier to debug disk space issues that repart
runs into.

Mount encrypted swap partitions via gpt-auto

If the auto-discovered swap partition is LUKS encrypted, decrypt it
automatically.

This aligns with the Discoverable Partitions Specification, though I've
also updated it to explicitly mention that LUKS is now supported here.

Since systemd retries any key already in the kernel keyring, if the swap
partition has the same passphrase as the root partition, the user won't
be prompted a second time for a second passphrase.

See https://github.com/systemd/systemd/issues/20019

copy: port over to pop_pending_signal()

signal-util: add helper pop_pending_signal()

format-table: teach table_hide_column_from_display() to accept multiple arguments

In case we want to hide multiple columns in one go, make that easy.

format-table: add cell type for outputting 64bit values in hex

format-table: add cell type for "mode_t" values

fs-util: teach syncfs_path() handle with empty path argument

fs-util: add fsync_path_and_parent_at()

fs-util: add API for fsync()ing parent dir of path

fs-util: make sure fsync_directory_of_file() does something useful on O_PATH fds

When handling O_PATH fds it's safe to use the parent of
/proc/self/fd/<fd> for any kind of inode. Hence do so.

repart: drop spurious whitespace

repart: don't prefix /sysroot/ twice

For some reason I first commited
a73b2ad041469bf20e3771725dcf70069451e116 and then
8f47e32a3eefa1a366510b5d752875dd56bd7708. But the latter makes the
former obsolete and causes us to suffix paths twice.

Let's hence revert a73b2ad041469bf20e3771725dcf70069451e116 and stick to
8f47e32a3eefa1a366510b5d752875dd56bd7708 as the latter is the ore
generic solution of the two.

update TODO

man: document the new (Load|Set)CredentialEncrypted= settings

man: add man page for "systemd-creds"

test: extend credentials test to cover encrypted credentials

pid1: add support for encrypted credentials

creds: add a new tool for listing/showing/encrypting/decrypting credentials

creds-util: add infra for encrypting/decrypting credentials

util: move src/basic/creds-util.[ch] → src/shared/

This is preparation for adding encryption support to the credentials
logic, and we thus would like to add more deps. Let's hence move things
from src/basic/ to src/shared, so that we can rely on the OpenSSL
utilities already in src/shared.

hexdecoct: optionally, line break base64 encoded data

fileio: optionally allow interpreting file size as limit

chattr-util: generalize chattr manipulation for files with secrets from journalctl

This moves the code for setting chattr file attributes appropriate for
"secrets" files from journalctl into generic chattr-util.c code so that
we can use it elsewhere.

Also, let's reuse the "bitwise" logic already implemented in the chattr
code, instead of doing it again.