core: rename manager_unit_file_maybe_loadable_from_cache()

The name is misleading, since we aren't really loading the unit from cache — if
this function returns true, we'll try to load the unit from disk, updating the
cache in the process.

Merge pull request #16879 from keszybz/test-last-cap-and-dbus-docs

Add "developer mode" and test last cap and dbus docs

Merge pull request #16872 from keszybz/test-50

Improve handling of os-release in tests

hwdb: fix size lenovo x240 touchpad (#16871)

As discussed in https://gitlab.freedesktop.org/libinput/libinput/-/issues/521, it adds a narrower
match that only applies to X240. Other laptops that match `pvrThinkPad??40` are not affected:

$ systemd-hwdb query 'evdev:name:SynPS/2 Synaptics TouchPad:dmi:*svnLENOVO*:pvrThinkPadX240:*'
EVDEV_ABS_00=1232:5711:51
EVDEV_ABS_01=1159:4700:53
EVDEV_ABS_35=1232:5711:51
EVDEV_ABS_36=1159:4700:53
$ systemd-hwdb query 'evdev:name:SynPS/2 Synaptics TouchPad:dmi:*svnLENOVO*:pvrThinkPadX140:*'
EVDEV_ABS_00=::41
EVDEV_ABS_01=::37
EVDEV_ABS_35=::41
EVDEV_ABS_36=::37

man: update dbus doc stubs

For 4e39995371738b04d98d27b0d34ea8fe09ec9fab and
bb0c0d6f29236645c8beb7ba662b2c4e7b241407.

update-dbus-docs: add hint

update-dbus-docs: omit verbose output when in --test mode

It makes the ninja output listing very long for no good purpose.

test: verify that dbus docs are fresh

This makes use of the developer mode switch: the test is only done
if the user opted-in into developer mode.

Before the man/update-dbus-docs was using the argument form where
we don't need to run find_command(), but that doesn't work with test(),,
so find_command() is used and we get one more line in the config log.

network: dhcp6: logs only new address

Closes #16731.

Merge pull request #16863 from weblate/weblate-systemd-master

Translations update from Weblate

update-dbus-docs: add test mode

update-dbus-docs: use argparse

update-dbus-docs: print statistics at the end

Right now:
org.freedesktop.LogControl1.xml: 3/3
org.freedesktop.home1.xml:       44/44
org.freedesktop.hostname1.xml:   21/21
org.freedesktop.import1.xml:     17/19
org.freedesktop.locale1.xml:     10/10
org.freedesktop.login1.xml:      172/172
org.freedesktop.machine1.xml:    49/65
org.freedesktop.resolve1.xml:    25/61
org.freedesktop.systemd1.xml:    214/1468
org.freedesktop.timedate1.xml:   12/12
total:                           567/1875

:(

basic/missing_capability: clean up our defines and check that our fallback is up-to-date

There is little point in #defining and #undefining CAP_LAST_CAP multiple times.

The check is only done in developer mode. After all, it's not an error to
compile on a newer kernel, and we shouldn't even warn in that case.

meson: add "develop mode" config switch

test-path: remove unnecessary check

test points to an array, so it canont be NULL at this point.

Don't run test-repart when loop devices are not available

Merge pull request #16864 from yuwata/coverity-fixes

Two coverity fixes

Merge pull request #16866 from yuwata/networkctl-tiny-cleanups

networkctl: tiny cleanups

missing: Add new Linux capability

Yet another new capability coming in Linux kernel v5.9.
Make sure we can recongize them even when built with older kernel headers.

test/test-functions: do not execute strip_binaries twice

It is called from setup_basic_environment(), which also calls install_symtemd()
a bit earlier, so in effect it would be called twice.

tests/TEST-50: support the case when /etc/os-release is present

We have four legal cases:
1. /usr/lib/os-release exists and /etc/os-release is a symlink to it
2. both exist but /etc/os-release is not a symlink to /usr/lib/os-release
3. only /usr/lib/os-release exists
4. only /etc/os-release exists

The generic setup code in test-functions and create-busybox-image didn't handle
case 3.

The test-specific code in TEST-50 didn't handle 2 (because the general setup
code would only install /etc/os-release in the image and
grep -f /usr/lib/os-release would not work) and 4 (same reason) and would fail
in case 3 in generic setup.

test: remove executable bit from testsuite-52.service

TEST-50: sfdisk is already installed by setup_basic_environment

journal: fix divide-by-zero warning

Fixes CID#1430209.

core: clear bind mounts on error

Follow-up for bbb4e7f39f2c68c719c26c2c65f8b7b91b009e92.

Fixes CID#1431998.

Merge pull request #16860 from poettering/tty-ask-pw-agent-list-fix

tty-ask-password-agent: three fixes

Add sensor configuration for Acer SW5-017-17BU

Merge pull request #16847 from olivierlemoal/master

shell-completion/zsh: add missing verbs for networkctl

add "list" verb to autocompleted commands

man: clarify that several networkctl commands takes device names

networkctl: label command does not take any argument

udev: use path_startswith() instead of startswith() in two more cases

Replace gendered pronouns with gender neutral ones. (#16844)

Translated using Weblate (Swedish)

Currently translated at 100.0% (121 of 121 strings)

Co-authored-by: Göran Uddeborg <goeran@uddeborg.se>
Translate-URL: https://translate.fedoraproject.org/projects/systemd/master/sv/
Translation: systemd/master

Translated using Weblate (French)

Currently translated at 100.0% (184 of 184 strings)

Co-authored-by: Julien Humbert <julroy67@gmail.com>
Translate-URL: https://translate.fedoraproject.org/projects/systemd/master/fr/
Translation: systemd/master

path: Improve $PATH search directory case

Previously:

1. last_error wouldn't be updated with errors from is_dir;
2. We'd always issue a stat(), even for binaries without execute;
3. We used stat() instead of access(), which is cheaper.

This change avoids all of those, by only checking inside X_OK-positive
case whether access() works on the path with an extra slash appended.
Thanks to Lennart for the suggestion.

tty-ask-pw-agent: properly propagate error

tty-ask-pw-agent: the message string might not be set

tty-ask-pw-agent: make sure "--list" works correctly

Fixes: #16836

Merge pull request #16757 from poettering/nss-resolve-varlink

resolved: use varlink for communication between nss-resolve and resolved

nss-resolve: port over to new varlink interface

resolved: add minimal varlink api for resolving hostnames/addresses

This allows us to later port nss-resolve to use Varlink rather than
D-Bus for resolution. This has the benefit that nss-resolve based
resoluton works even without D-Bus being up. And it's faster too.

resolved: minor clean-ups for resolved-bus.c

resolved: move query bus tracking to resolved-bus.c

It's strictly bus-specific, hence let's move this to resolved-bus.c like
the rest of the bus specific logic.

This is also in preparation for adding an alternative varlink transport,
which needs similar functionality, but varlink instead of bus-specific.

resolved: rename request → bus_request

Let's prepare for adding a new varlink interface, and thus rename the
"request" field to "bus_request", so that we can later add a
varlink_request field too.

resolved: drop suppress_unroutable_family field

It's unused since 90bdc8be66765df09bbc355783cee7204a5ebb31.

json: also add explicit dispatchers for 'int' and 'unsigned'

json: add support for byte arrays to json builder

varlink: add helper for generating errno errors

in-addr-util: add byte accessor array to union in_addr_union

It's pretty useful to be able to access the bytes generically, without
acknowledging a specific family, hence let's a third way to access an
in_addr_union.

shell-completion/zsh: add missing verbs for networkctl

Merge pull request #16568 from poettering/creds-store

credentials logic to pass privileged data to services

path: Skip directories when finalising $PATH search

Imagine $PATH /a:/b. There is an echo command at /b/echo. Under this
configuration, this works fine:

    % systemd-run --user --scope echo .
    Running scope as unit: run-rfe98e0574b424d63a641644af511ff30.scope
    .

However, if I do `mkdir /a/echo`, this happens:

    % systemd-run --user --scope echo .
    Running scope as unit: run-rcbe9369537ed47f282ee12ce9f692046.scope
    Failed to execute: Permission denied

We check whether the resulting file is executable for the performing
user, but of course, most directories are anyway, since that's needed to
list within it. As such, another is_dir() check is needed prior to
considering the search result final.

Another approach might be to check S_ISREG, but there may be more gnarly
edge cases there than just eliminating this obviously pathological
example, so let's just do this for now.

sd-journal: narrow scope of boot id variable

Something trivial I noticed during some unrelated code spelunking

Merge pull request #16765 from poettering/homed-recovery

homed: add "recovery key" concept plus track "dirty" state of LUKS volumes

update TODO

test: add test suite for new credentials logic

man: document credentials passing in the container interface

man: document nspawn's new credential switches

man: document pid1's new credentials logic

nspawn: add --set-credential= and --load-credential=

Let's allow passing in creds to containers, so that PID 1 inside the
container can pick them up.

core: hide /run/credentials whenever namespacing is requested

Ideally we would like to hide all other service's credentials for all
services. That would imply for us to enable mount namespacing for all
services, which is something we cannot do, both due to compatibility
with the status quo ante, and because a number of services legitimately
should be able to install mounts in the host hierarchy.

Hence we do the second best thing, we hide the credentials automatically
for all services that opt into mount namespacing otherwise. This is
quite different from other mount sandboxing options: usually you have to
explicitly opt into each. However, given that the credentials logic is a
brand new concept we invented right here and now, and particularly
security sensitive it's OK to reverse this, and by default hide
credentials whenever we can (i.e. whenever mount namespacing is
otherwise opt-ed in to).

Long story short: if you want to hide other service's credentials, the
most basic options is to just turn on PrivateMounts= and there you go,
they should all be gone.

core: add credentials logic

Fixes: #15778 #16060

acl-util: beef up add_acls_for_user()

Let's add support for controlling r/w/x bits separetely. This is useful
for using it to control access to directories, where r + x shall be
enabled.

acl-util: make sure acl_find_uid() initializes return parameters on success

Let's follow our usual coding style and initialize return parameters on
success in all cases.

rm-rf: add new flag REMOVE_CHMOD

When removing a directory tree as unprivileged user we might encounter
files owned by us but not deletable since the containing directory might
have the "r" bit missing in its access mode. Let's try to deal with
this: optionally if we get EACCES try to set the bit and see if it works
then.

update TODO

homed: report a home directory as "dirty" if image file has dirty flag

homed: mark LUKS loopback file as "dirty" via xattr when in use

Let's track the "dirty" state of a home directory backed by a LUKS
volume by setting a new xattr "home.home-dirty" on the backing file
whenever it is in use.

This allows us to later user this information to show a home directory
as "dirty". This is useful because we trim/allocate on log-out, and
if we don't do that a home directory will be larger than necessary. This
fact is something we should communicate to the admin.

The idea is that when an admin sees a user with a "dirty" home directory
they can ask them to log in, to clean up the dirty state, and thus trim
everything again.

man: document new homectl --recovery-key= switch

docs: document new recovery key user record fields

homectl: teach homectl to generate recovery keys

homed: support recovery keys

For discussion around this see: https://pagure.io/fedora-workstation/issue/82

Recovery keys for homed are very similar to regular passwords, except
that they are exclusively generated by the computer, and not chosen by
the user. The idea is that they are printed or otherwise stored
externally and not what users type in every day.

Taking inspiration from Windows and MacOS this uses 256bit keys. We
format them in 64 yubikey modhex characters, in groups of 8 chars
separated by dashes.

Why yubikey modhex? modhex only uses characters that are are located at
the same place in western keyboard designs. This should reduce the
chance for incorrect inputs for a major chunk of our users, though
certainly not all. This is particular relevant during early boot and
recovery situations, where there's a good chance the keyboard mapping is
not correctly set up.

home: add helper to process/normalize modhex64 recovery keys

journal: move qrcode printing code to src/shared/

That way we can make use of it in homctl, too.

user-record: add recovery key fields to user record

Merge pull request #15662 from Werkov/fix-cgroup-disable

Fix unsetting cgroup restrictions

Added sensor configuration for One-netbook OneMix 3 Pro

Merge pull request #16833 from JackFangXN/master

analyze-verify: drop pointless zero initialization

Merge pull request #16676 from poettering/repart-mkfs

repart: add new settings Format=, CopyFiles=, Encrypt= and teach --size= a new value "auto"

rules: don't install 80-drivers.rules when kmod is disabled

Merge pull request #16777 from DaanDeMeyer/kernel-install-followup

kernel-install: "Linux" => "Default" and reuse $BOOT/Default if it already exists

zsh: correct journalctl command completion parsing

Merge pull request #16767 from keszybz/missing-syscall-cleanup

missing_syscall: verify our fallback numbers when possible

Merge pull request #16816 from keszybz/install-templated-presets

Fix preset operation for non-service templates

Merge pull request #16819 from keszybz/seccomp-enosys

Return ENOSYS in nspawn for "unknown" syscalls

analyze: drop pointless zero initialization

Merge pull request #16824 from keszybz/no-such-unit-error

Add sd_bus_error_has_names() and use it to catch BUS_ERROR_NO_SUCH_UNIT

analyze-verify: drop pointless zero initialization

core: drop redundant comment

Since 625a164069aff9efb61dcc5916c572f53c2a7ab0 we don't need to update
analyze-condition.c separately anymore, hence drop the comment
suggesting otherwise.

Merge pull request #16681 from poettering/hidepid

core: introduce ProtectProc= unit file setting for exposing procfs' hidepid= mount option

loop-util: LOOP_CONFIGURE ignores lo_sizelimit

It appears LOOP_CONFIGURE in 5.8 is even more broken than initially
thought: it doesn't properly propgate lo_sizelimit to the block device
layer. :-(

Let's hence check the block device size immediately after issuing
LOOP_CONFIGURE, and if it doesn't match what we just set let's fallback
to the old ioctls.

This means LOOP_CONFIGURE currently works correctly only for the most
simply case: no partition table logic and no size limit. Sad!

(Kernel people should really be told about the concepts of tests and
even CI, one day!)

update TODO

man: document new repart features

test: add test for new repart features

repart: if --size= is specified as "auto" determine minimal size for disk image

When assembling a disk image locally, using --size=auto can be used to
generate the minimal image based on the provided definitions. THis is
useful to prepare images that are grown on first boot.

repart: add support for optionally encrypting partitions we create

repart: add new CopyFiles= setting, for copying files into freshly made file systems

This makes the tool a lot more useful for streaming OS images onto
disks.

dissect: create directories we want to mount on

This matches how we handle things everywhere else, i.e. in .mount units,
and similar: when a mount point dir is missing, we create it, let's do
so too when dealing with disk images.

This makes things a lot simpler, more robust, and systematic.