Revert "man: use MIT-0 license for example codes in daemon(7)"

This reverts commit 6046cc3660810efcc6fe50b1c850ea642218245b.

man: use MIT-0 license for example codes in daemon(7)

This page contains many short example codes. I do not think we should
add SPDX-License-Identifier for all codes.

Closes #35356.

man: assorted fixes (#35326)

Closes #35307.

test: Use env in testsuite readme

Let's make sure we use env when we're setting environment variables
to rely less on shell specifics.

core/device: ignore ID_PROCESSING udev property on enumerate (#35332)

Fixes #35329.

Check inode number to see if we are in init namespace (#35306)

This is a more comprehensive fix compared to #35273. Also adds a minimal
test only.

Based on Luca's #35273 but generalizes the code a bit.

In v258 we really should get rid of the old heuristics around userns and
cgroupns detection, but given we are late in the v257 cycle this keeps
them in.

test: Dump coredumps from journal in the integration test wrapper

Fixes #35277

networkd-test.py: disable IPv6AcceptRA= if not necessary

To speed up the test. Otherwise, it takes about few seconds interfaces
to enter the configured state. And may networkd-wait-online timeouts.

TEST-17: add reproducer for issue #35329

Without the previous commit, the test case will fail.

core/device: ignore ID_PROCESSING udev property on enumerate

This partially reverts the commit 405be62f05d76f1845f347737b5972158c79dd3e
"tree-wide: refuse enumerated device with ID_PROCESSING=1".

Otherwise, when systemd-udev-trigger.service is (re)started just before
daemon-reexec, which can be easily happen on systemd package update, then
udev database files for many devices may have ID_PROCESSING=1 property,
thus devices may not be enumerated on daemon-reexec. That causes many
units especially mount units being deactivated after daemon-reexec.

Fixes #35329.

test: mask tmpfiles.d file shipped by selinux policy package in containers

This tmpfiles.d wants to write to sysfs, which is read-only in containers,
so systemd-tmpfiles --create fails in TEST-22-TMPFILES when ran in nspawn
if the selinux policy package is instealled. Mask it, as it's not our
config file, we don't need it in the test.

mkosi: Use shared extra tree between initrd and main image

Let's share more between initrd and main system and use a shared
extra tree to achieve that.

mkosi: Make sure mkosi.clangd always runs on the host

If the editor that invokes mkosi.clangd is a flatpak, let's make sure
that mkosi is run on the host and not in the flatpak sandbox since it
won't be installed there.

Various mkosi and integration test fixes (#35336)

test: Lint integration-test-wrapper.py

test: Fix typing errors in integration-test-wrapper.py

test: Format integration-test-wrapper.py

ukify: Fix typing error

Move mypy.ini and ruff.toml to top level

This allows reusing them for integration-test-wrapper.py as well.

integration-test-wrapper: Remove unneeded format strings

mkosi: Add github CLI to tools

mkosi: Add dnf and dnf5 to sanitizer workaround list

mkosi: Install clangd everywhere

mkosi: Use bash to execute command -v

command is only an executable on Fedora due to a downstream patch,
on Arch for example it's only a builtin so we have to use bash to
execute command -v to get proper results on Arch.

mkosi: Add shellcheck to tools

mkosi: update to latest

NEWS: add blurb thanking Nick Owens

Nick's largely responsible for nerd-sniping me into fixing #34516
and did most of the testing.

hwdb: add entry for Chuwi Hi10 X1 (#35331)

https://www.chuwi.com/product/items/chuwi-hi10-x1.html
Rotated -90 degrees in the Z axis.

curl-util: do not configure new io event source when the event loop is already dead

Similar to c5ecf0949460dd0bf3211db128a385ce6375252e, but for io event source.

Fixes #35322.

man: update documentation about basic .netdev file handling

Follow-up for #34909 and later PRs.

man: asorted fixes

Closes #35307.

measure: add 'dtbauto' option in help message

'dtbauto' command line was missing from the help string. Add it.

po: Translated using Weblate (French)

Currently translated at 100.0% (257 of 257 strings)

Co-authored-by: Léane GRASSER <leane.grasser@proton.me>
Translate-URL: https://translate.fedoraproject.org/projects/systemd/main/fr/
Translation: systemd/main

networkd-test.py: fix interface state checker

After 259125d53d98541623b69e83000b5543f2352f5e, network interfaces
declared by .netdev files are created after systemd-networkd sends READY
notification. So, even when networkd is started, the netdevs may not
be created yet, and 'ip' command may fail. Let's also check the return
code of the command.

This also
- drops never worked stdout checks,
- makes the test fail if the interface is not created within the timeout.

nspawn: improve log message on bad incoming sd_notify() message

It's the PID that is wrong, not the UID/GID, be precise.

nspawn: fix userns_mkdir() invocation

The wrong error code was logged.

But actually given that userns_mkdir() is fine with existing dirs, let's
drop the redundant conditionalization.

Follow-up for: a1fcaa1549d86098d0ba75254b6afc96c786b3b6

shutdown: propagate one more error from sync_making_progress()

No functional change, just refactoring, as anyway all errors will be
ignored by the caller.

namespace-util: handle -ENOSPC by userns_acquire() gracefully in is_idmapping_supported() (#35313)

Follow-up for edae62120f13b24d51812d1d7c0ab24acb420305.
Fixes #35311.

shutdown: close DM block device before issuing DM_DEV_REMOVE ioctl

Otherwise, the ioctl() may fail with EBUSY.

Follow-up for b4b66b26620bfaf5818c95d5cffafd85207694e7.
Hopefully fixes #35243.

basic/linux: update kernel headers from v6.12

Undeprecate commandline params forcequotacheck, fastboot, and forcefsck

Those are historical names, but there is nothing wrong with them. The files on
/ (/fastboot, /forcefsck, and /forcequotacheck) are problematic because they
require a modification of the root file system. But the commandline params work
fine. They have the obvious advantage compared to our "modern" option that they
are much easier to type without looking up the spelling in the docs. Undeprecate
them to avoid unnecessary churn.

test-namespace: tweak log message a bit

virt: make use of ns inode check in running_in_userns() and running_in_cgroupns() too

detect-virt: check the inode number of the pid namespace

The indoe number of root pid namespace is hardcoded in the kernel to
0xEFFFFFFC since 3.8, so check the inode number of our pid namespace
if all else fails. If it's not 0xEFFFFFFC then we are in a pid
namespace, hence a container environment.

Fixes https://github.com/systemd/systemd/issues/35249

[Reworked by Lennart, to make use of namespace_is_init()]

namespace-util: add generic namespace_is_init() call

namespace-util: update log messages

namespace-util: handle -ENOSPC by userns_acquire() gracefully in is_idmapping_supported()

Follow-up for edae62120f13b24d51812d1d7c0ab24acb420305.
Fixes #35311.

link README.logs from tmpfiles.d/legacy.conf only if available

The file README.logs is installed only if SysVInit support is enabled.
Thus the link should depend on it as well.

varlink: apparently on old kernels SO_PEERPIDFD returns EINVAL

hwdb: add support for PineTab2 to 60-sensor.hwdb (#35304)

Add accelerometer support for PineTab2

userdbctl: two trivial fixlets (#35296)

Fixes: #35294

tpm2-util: fix parameter name

man: split cryptenroll man page into sections (#35297)

userdbctl: respect selected disposition also when showing gid boundaries

Follow-up for: ad5de3222f7

userdbctl: fix counting

Fixes: #35294

userbdctl: show 'mapped' user range only inside of userns

Outside of userns the concept makes no sense, there cannot be users
mapped from further outside.

cryptenroll: it's called PKCS#11, not PKCS11

In the --help text we really should use the official spelling, just like
in the man page.

man: add enrollment type sections to cryptenroll man page

We have the same sections in the --help text, hence we even more so
should have them in the man page.

bash-completion: add --list-devices to systemd-cryptenroll

And also use it to list suitable block devices.

core/service: service_add_fd_store() consumes passed fd

Without this change, the fd is closed twice on failure.

Fixes a bug introduced by dff9808a628c31b7ecb1f1aba8fdc3be06ce8372.

Fixes #35288.

hwdb: Add quirk for Logitech MX Keys for Mac

The KEY_102ND and KEY_GRAVE keys are switched on the
Logitech MX Keys for Mac, so switch them back

Keep tmpfiles/legacy.conf even if SysVInit support is dropped (#35278)

po: Translated using Weblate (Ukrainian)

Currently translated at 100.0% (257 of 257 strings)

Co-authored-by: Yuri Chornoivan <yurchor@ukr.net>
Translate-URL: https://translate.fedoraproject.org/projects/systemd/main/uk/
Translation: systemd/main

tmpfiles: add period at end of the sentence

The license that is immediately above is properly punctuated and it looks
sloppy when our line below isn't.

tmpfiles: narrow scope of HAVE_SYSV_COMPAT condition for legacy.conf

That file contains a bunch of entries of which only some are related to SysV.
The rest are just "traditional APIs" that need to stay. In particular,
/var/lock a.k.a. /run/lock is used by many programs (LVM, iscsi, alsactl).
Similarly, the README about /var/log is something that should stay as long as
we have people migrating from older systems or using the copiuos documentation
that mentions /var/log/messages.txt on the Internet.

/var/lock/subsys is only used by sysvinit, and our code to support /forcefsck,
/fastboot, and /forcequotacheck is conditionalized on HAVE_SYSV_COMPAT, so
conditionalize those here on HAVE_SYSV_COMPAT too.

cgroup-util: fix memory leak on error

CID#1565824

Follow-up for f6793bbcf0e3f0a6daa77add96183b88d5ec2117

network: update state files before replying bus method (#35255)

Follow-up for 2b07a3211ba8b1b81d6cebb9650d5cb24554b08a.

Fixes the failure found in
https://autopkgtest.ubuntu.com/results/autopkgtest-noble-upstream-systemd-ci-systemd-ci/noble/amd64/s/systemd-upstream/20241115_182040_92382@/log.gz
. Relevant logs:
```
Nov 16 02:48:36 systemd-networkd[2706]: veth99: Reconfiguring with /run/systemd/network/25-dhcp-client-ipv6-only.network.
Nov 16 02:48:36 systemd-networkd[2706]: veth99: NDISC: Started IPv6 Router Solicitation client
Nov 16 02:48:36 systemd-networkd[2706]: veth99: IPv6 Router Discovery is configured and started.
Nov 16 02:48:36 systemd-networkd[2706]: veth99: NDISC: Sent Router Solicitation, next solicitation in 3s
Nov 16 02:48:36 systemd-networkd[2706]: veth99: NDISC: Received Router Advertisement from fe80::1034:56ff:fe78:9abd: flags=0xc0(managed, other), preference=medium, lifetime=30min
Nov 16 02:48:36 systemd-networkd[2706]: veth99: NDISC: Invoking callback for 'router' event.
Nov 16 02:48:36 systemd-networkd[2706]: veth99: link_check_ready(): dynamic addressing protocols are enabled but none of them finished yet.
Nov 16 02:48:36 systemd-networkd[2706]: veth99: DHCPv6 client: Starting in Solicit mode
Nov 16 02:48:36 systemd-networkd[2706]: veth99: DHCPv6 client: State changed: stopped -> solicitation
Nov 16 02:48:36 systemd-networkd[2706]: veth99: Acquiring DHCPv6 lease on NDisc request
Nov 16 02:48:36 systemd-networkd[2706]: veth99: DHCPv6 client: Sent Solicit
Nov 16 02:48:36 systemd-networkd[2706]: veth99: DHCPv6 client: Next retransmission in 1s
Nov 16 02:48:37 systemd-networkd[2706]: veth99: DHCPv6 client: Sent Solicit
Nov 16 02:48:37 systemd-networkd[2706]: veth99: DHCPv6 client: Next retransmission in 1s
Nov 16 02:48:39 systemd-networkd[2706]: veth99: NDISC: Received Neighbor Advertisement from fe80::1034:56ff:fe78:9abd: Router=yes, Solicited=yes, Override=no
Nov 16 02:48:39 systemd-networkd[2706]: veth99: NDISC: Invoking callback for 'neighbor' event.
Nov 16 02:48:39 systemd-networkd[2706]: veth99: DHCPv6 client: Processed Reply message
Nov 16 02:48:39 systemd-networkd[2706]: veth99: DHCPv6 client: T1 expires in 50s
Nov 16 02:48:39 systemd-networkd[2706]: veth99: DHCPv6 client: T2 expires in 55s
Nov 16 02:48:39 systemd-networkd[2706]: veth99: DHCPv6 client: Valid lifetime expires in 2min
Nov 16 02:48:39 systemd-networkd[2706]: veth99: DHCPv6 client: State changed: solicitation -> bound
Nov 16 02:48:39 systemd-networkd[2706]: veth99: DHCPv6 address 2600::15/128 (valid for 1min 59s, preferred for 1min 59s)
Nov 16 02:48:41 systemd-networkd[2706]: veth99: Received updated DHCPv6 address (configured): 2600::15/128 (valid for 1min 58s, preferred for 1min 58s), flags: no-prefixroute, scope: global
Nov 16 02:48:41 systemd-networkd[2706]: veth99: DHCPv6 addresses and routes set.
Nov 16 02:48:41 systemd-networkd[2706]: veth99: link_check_ready(): IPv4LL:no DHCPv4:no DHCPv6:yes DHCP-PD:no NDisc:no
Nov 16 02:48:41 systemd-networkd[2706]: veth99: State changed: configuring -> configured
```
The interface veth99 entered the configured state after 5 seconds, but
at the same time, the `wait_online()` in the test script considered the
test failed.
The function `wait_online()` first invokes
`systemd-networkd-wait-online` with `--timeout=20`, then check setup
states of interfaces with 5 seconds timeout. So, the failure suggests
that `systemd-networkd-wait-online` finishes immediately, as the state
file was not updated when it is invoked, and thus it handles the
interface veth99 already in the configured state.

po: Translated using Weblate (Slovenian)

Currently translated at 100.0% (257 of 257 strings)

Co-authored-by: Martin Srebotnjak <miles@filmsi.net>
Translate-URL: https://translate.fedoraproject.org/projects/systemd/main/sl/
Translation: systemd/main

po: Translated using Weblate (Finnish)

Currently translated at 100.0% (257 of 257 strings)

Co-authored-by: Jiri Grönroos <jiri.gronroos@iki.fi>
Translate-URL: https://translate.fedoraproject.org/projects/systemd/main/fi/
Translation: systemd/main

po: Translated using Weblate (Ukrainian)

Currently translated at 100.0% (257 of 257 strings)

Co-authored-by: Dmytro Markevych <hotr1pak@gmail.com>
Translate-URL: https://translate.fedoraproject.org/projects/systemd/main/uk/
Translation: systemd/main

po: Translated using Weblate (French)

Currently translated at 100.0% (257 of 257 strings)

Co-authored-by: Léane GRASSER <leane.grasser@proton.me>
Translate-URL: https://translate.fedoraproject.org/projects/systemd/main/fr/
Translation: systemd/main

test-network: actually check metric and preference

Otherwise, nexthop ID may contain e.g. 300, then
===
AssertionError: '300' unexpectedly found in
'default nhid 3860882700 via fe80::1034:56ff:fe78:9a99 proto ra metric 512 expires 1798sec pref high\n
 default nhid 2639230080 via fe80::1034:56ff:fe78:9a98 proto ra metric 2048 expires 1798sec pref low'
===

network: update state files before replying bus method

Follow-up for 2b07a3211ba8b1b81d6cebb9650d5cb24554b08a.

killall: gracefully handle processes inserted into containers via nsenter -a

"nsenter -a" doesn't migrate the specified process into the target
cgroup (it really should). Thus the cgroup will remain in a cgroup
that is (due to cgroup ns) outside our visibility. The kernel will
report the cgroup path of such cgroups as starting with "/../". Detect
that and print a reasonably error message instead of trying to resolve
that.

process-util: refuse to operate on remote PidRef

Follow-up for 7e3e540b88db5546d0c63103619d96b033871b7b

cryptenroll: fix typo

test-audit-util: Migrate to new assertion macros

core/exec-invoke: suppress placeholder home only in build_environment() (#35219)

Alternative to https://github.com/systemd/systemd/pull/34789
Closes #34789

units: add initrd directory to list of conditions for systemd-confext

systemd-sysext has the same check, but it was forgotten for confexts.
Needed to activate confexts from the ESP in the initrd.

hwdb: add new Cube Mix Plus (i18D) rotation info

Added rotation information for the new version of Cube Mix Plus (i18D).

sd-varlink: mark sd_varlink_server_{ref,unref} as _public_ (#35241)

Co-authored-by: Thorsten Kukuk <kukuk@suse.com>

user-record: don't synthesize default list of self-modfiable fields for non-regular users. (#35133)

A follow-up for a192250eda1e5cc1f8fc799cf9b85d37e7fa0519

/cc @AdrianVovk

man/kernel-command-line: fix typo

network/ndisc: process zero lifetime options at first (#35212)

Fixes two issues reported at #33468.

cryptenroll: show better log message if slot to wipe does not exist

```
$ systemd-cryptenroll /dev/vda3
SLOT TYPE
   0 password
$ systemd-cryptenroll --wipe-slot 1 /dev/vda3
Failed to wipe slot 1, continuing: No such file or directory
```

update TODO

po: Translated using Weblate (Hebrew)

Currently translated at 100.0% (257 of 257 strings)

Co-authored-by: Yaron Shahrabani <sh.yaron@gmail.com>
Translate-URL: https://translate.fedoraproject.org/projects/systemd/main/he/
Translation: systemd/main

ssh-generator: silence "Binding to socket" messages

user-record: distinguish explicit and implicit empty modifiable lists case

We now distinguish two cases: where the list of self modifiable fields
is explicitly set to empty, and where the default is empty.

Let's display them differently in the output. When set explicitly to
empty let's mention the admin, otherwise just say "none".

user-record: only synthesize default list of self-modifiable fields for *regular* users

For system users we should lock things down, hence generate an empty
list.

This is mostly a safety precaution, but also hides really confusing
output of "userdbctl user" for an system user.

Follow-up for: a192250eda1e5cc1f8fc799cf9b85d37e7fa0519

test: fix generate-sym-test using the wrong array (#35185)

For my understanding bsearch is searching in the wrong array. Or, if
it's the right one, then the size is wrong. In another commit I made the
arrays different by mistake and that triggered a SIGSEV during tests.

vmspawn: enable memory pressure logic for vmspawn

systemctl: grey out tasks limit the same way we grey out the fd store limit in the output

"systemctl status systemd-logind" otherwise looks a bit weird, since the
tasks and the fdstore lines are so close to each other but formatted
quite differently when it comes to coloring.

style: Fix formatting

core/exec-invoke: suppress placeholder home only in build_environment()

Currently, get_fixed_user() employs USER_CREDS_SUPPRESS_PLACEHOLDER,
meaning home path is set to NULL if it's empty or root. However,
the path is also used for applying WorkingDirectory=~, and we'd
spuriously use the invoking user's home as fallback even if
User= is changed in that case.

Let's instead delegate such suppression to build_environment(),
so that home is proper initialized for usage at other steps.
shell doesn't actually suffer from such problem, but it's changed
too for consistency.

Alternative to #34789

core/exec-invoke: minor cleanup for apply_working_directory() error handling

Assign exit_status at the same site where error log is emitted,
for readability.

basic/user-util: split out placeholder suppression from USER_CREDS_CLEAN into its own flag

No functional change, preparation for later commits.

basic/user-util: introduce shell_is_placeholder() helper

mkosi: Enable clangd execution for all distributions

update TODO