vmspawn: support machined registration

Merge pull request #31514 from CodethinkLabs/ptyfwd_issues

ptyfwd/terminal-util: improve edge case handling

Merge pull request #31444 from bluca/semaphore

semaphore: set upstream build profile and set default branch to debian/master

Merge pull request #31293 from ragazenta/netdev_rps

udevd: Add ReceivePacketSteeringCPUMask for systemd.link

resolved: exit function if varlink_dispatch() returns > 0

varlink_dispatch() returns > 0 if it already replied to the method call,
hence this is reason to return from the handler function, and not
proceed.

userbdb: pass log level from main daemon to worker

shared/ptyfwd: detect String Terminator or BEL when parsing an OSC sequence

shared/ptyfwd: allow window title but not background color as a valid state

Previously if a PTYForward instance had the window title set but no
background color set then it would crash in an assertion as
pty_forward_ansi_process didn't require both to be present.

systemd-vmspawn could get into this state if it failed to get the
terminal tint color.

Now any method that would have called background_color_sequence now
becomes just a NOP if the background color is not set.

This allows keeping the functionality to set window titles even if the
terminal doesn't support the background coloring.

basic/terminal-util: accept ST or BEL to end escape sequence queries

Currently scan_background_color_response only accepts BEL (\x07) to end
a response, however some terminals (namely kitty in my case) will reply
with the string terminator (ST - https://en.wikipedia.org/wiki/ANSI_escape_code).

This commit changes the behaviour to now accept either ending.

basic/terminal-util: add check for poll timeout in get_default_background_color

Currently the return value 0 is not checked for, this indicates a
timeout and should be handled to prevent doing a blocking read on a file
descriptor with no data ready.

network/ndisc: drop redundant sd_ndisc_router_get_icmp6_ratelimit()

This effectively reverts 9175002864d8876f375e0df089d142d239282528.

The retrans time field in RA message is for neighbor solicitation,
and the commit d4c8de21a07d015f2f2c787e0735be5e4d02fb3c makes the value
assigned to the correct sysctl property.

Let's deprecate the option, and drop the redundant functions.

nspawn: minor coding style tweaks to nspawn-register.c

Merge pull request #31511 from jamacku/prepare-for-diff-shellcheck

Prepare for new version of Differential ShellCheck & scanning of shell completion scripts

cgroup-setup: clarify '<=' is evaluated earlier

Follow-up for 31323f21bb0ae7c712f43500c42997c91a6d20bf.

The code is correct, but let's silence Coverity.

Closes CID#1534787.

test-network: Add test for rps_cpu_mask option

udevd: Add ReceivePacketSteeringCPUMask for systemd.link

Takes a list of CPU indices or ranges separated by either whitespace or commas. Alternatively,
takes the special value "all" in which will include all available CPUs in the mask.
CPU ranges are specified by the lower and upper CPU indices separated by a dash (e.g. "2-6").
This option may be specified more than once, in which case the specified CPU affinity masks are merged.
If an empty string is assigned, the mask is reset, all assignments prior to this will have no effect.
Defaults to unset and RPS CPU list is unchanged. To disable RPS when it was previously enabled, use the
special value "disable".

Currently, this will set CPU mask to all `rx` queue of matched device (if it has multiple queues).

The `/sys/class/net/<dev>/queues/rx-<n>/rps_cpus` only accept cpu bitmap mask in hexadecimal.

Fix: #30323

TODO: fix typo

Follow-up for 666a348d1c98873c55115924751e6f2d3bdb7435.

test-network: fix typo

Follow-up for a663ddc04e43a9234e00e47aed98bf2bbeb1573a.

semaphore: set upstream build profile and set default branch to debian/master

Leave TEST_UPSTREAM=1 for now in case we switch branches via the hook

semaphore: enable backports to get new dependencies

Required due to building with debian/master branch

test/README: document how to add a new empty release to the PPA to migrate the CI to a new version

test/README: update ubuntu IRC channel for CI help

install: fix compiler warning about empty directive argument

On ppc64el with gcc 13.2 on Ubuntu 24.04:

3s In file included from ../src/basic/macro.h:386,
483s                  from ../src/basic/alloc-util.h:10,
483s                  from ../src/shared/install.c:12:
483s ../src/shared/install.c: In function ‘install_changes_dump’:
483s ../src/shared/install.c:432:64: error: ‘%s’ directive argument is null [-Werror=format-overflow=]
483s   432 |                         err = log_error_errno(changes[i].type, "Failed to %s unit, unit %s does not exist.",
483s       |                                                                ^~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
483s ../src/shared/install.c:432:75: note: format string is defined here
483s   432 |                         err = log_error_errno(changes[i].type, "Failed to %s unit, unit %s does not exist.",

Merge pull request #31515 from keszybz/small-cleanups-after-review-of-stable-batch

Small cleanups after review of stable batch

Merge pull request #31442 from YHNdnzj/towards-cgroup-v1-deprecation

core: refuse cgroupv1 unless SYSTEMD_CGROUP_ENABLE_LEGACY_FORCE

tmpfiles.d: avoid deprecated, undocumented syntax (s/F/f+/)

Fixes: eccebf4b0dcb ("systemd-tmpfiles: deprecate F for f+")

core: remove duplicate serialization of `cpu_sched_reset_on_fork`

`c->cpu_sched_reset_on_fork` is serialized using
`exec-context-cpu-sched-reset-on-fork` and
`exec-context-cpu-scheduling-reset-on-fork`. Let's keep only the second one, to
serialize the value only if `cpu_sched_set` is true.

test: drop route from test-functions

I do not see `route` being exercised anywhere else, everything seems
to be on `ip route` already.

shared/pam-util: fix awkward tense in log message

virt: wrap comment, add missing punctuation

man/sd_bus_service_reconnect.c: normalize whitespace

For man pages, we generally indent with 2 spaces and wrap to ~80 columns.

man, shell-completion: fix a few typos/language issues

bootspec: don't complain about valid loader.conf settings

Let's not complain about various valid loader.conf settings we more
recently added. At the same time let's remove the half-assed userspace
parsers for the fields we actually do support but don't actually really
care about in userspace. There's really no point in storing strings away
that we are not using at all, hence just don#t.

Fixes: #31487

ci(labeler): add rule for `shell-completion` label

test: use socat in unidirectional mode

By default socat open a separate r/w channel for each specified address,
and terminates the connection after .5s from receiving EOF on _either_
side. And since one side of that connection is an empty stdin, we reach
that EOF pretty quickly. Let's avoid this by using socat in
"reversed unidirectional" mode, where the first address is used only for
writing, and the second one is used only for reading.

Addresses:
  - https://github.com/systemd/systemd/issues/31500
  - https://github.com/systemd/systemd/issues/31493

Follow-up for 3456c89ac26.

NEWS: announce cgroup v1 deprecation

meson: drop default-hierarchy= option, always use unified

core: refuse cgroupv1 unless SYSTEMD_CGROUP_ENABLE_LEGACY_FORCE

Also, add a 30s sleep even if cgroup v1 is forced.

Closes #30852

shared/cgroup-setup: introduce cg_is_legacy_force_enabled

shared/mount-setup: split out mount_cgroup_legacy_controllers

shared/mount-setup: minor modernization

core/cgroup: remove obsolete TODO

core: mark JoinControllers= as DISABLED_LEGACY rather than _CONFIGURATION

Follow-up for 143fadf369a18449464956206226761e49be1928

ci(lint): temporarily disable ShellCheck for bash-completion

This commit should be reverted once bash completion is in better shape when it comes to ShellCheck.

fix(SC2148): add ShellCheck directive to bash completion scripts

ci(lint): exclude zsh completion from ShellCheck

zsh is not supported by ShellCheck

zsh/_journalctl: complete -g, --case-sensitive, 'help' (pseudo-)facility

update TODO

sysext: fix typo

Merge pull request #31000 from flatcar-hub/krnowak/mutable-overlays

systemd-sysext: Implement optional mutability for extensions

Merge pull request #31458 from poettering/vmspawn-ptyfwd

vmspawn: implement TTY logic via ptyfwd

Merge pull request #31480 from rpigott/dnssec-maxwork

resolved: limit the number of signature validations in a transaction

network: fix use-after-free in {address,route}_remove_and_cancel()

Fixes #31485.

nspawn: hide ^] hint unless we are interactive mode

The hotkey only works in interactive mode hence don't mislead users
about it.

vmspawn: use our own ptyfwd code for the console of a VM

Let's make systemd-nspawn use our own ptyfwd logic to handle the TTY by
default.

This adds a new setting --console=, inspired by nspawn's setting of the
same name. If --console=interactive= is used, then we'll do the TTY
dance on our own via ptyfwd, and thus get tinting, our usual hotkey
handling and similar.

Since qemu's own console is useful too, let's keep it around via
--console=native.

FInally, replace the --qemu-gui switch by --console=gui.

pretty-print: make tinting a bit less aggressive

run: use sd_event_set_signal_exit() at one more place

network/ndisc: rename Network.ipv6_accept_ra -> Network.ndisc

These settings are leated to sd-ndisc and Neighbor Discovery protocol.
Let's use more suitable name.

Fix: Chuwi UBook X (CWI535) screen rotation matrix

ukify: Use VERSION_TAG instead of GIT_VERSION

GIT_VERSION isn't actually available so use VERSION_TAG instead which
is available.

resolved: reduce the maximum nsec3 iterations to 100

According to RFC9267, the 2500 value is not helpful, and in fact it can
be harmful to permit a large number of iterations. Combined with limits
on the number of signature validations, I expect this will mitigate the
impact of maliciously crafted domains designed to cause excessive
cryptographic work.

resolved: limit the number of signature validations in a transaction

It has been demonstrated that tolerating an unbounded number of dnssec
signature validations is a bad idea. It is easy for a maliciously
crafted DNS reply to contain as many keytag collisions as desired,
causing us to iterate every dnskey and signature combination in vain.

The solution is to impose a maximum number of validations we will
tolerate. While collisions are not hard to craft, I still expect they
are unlikely in the wild so it should be safe to pick fairly small
values.

Here two limits are imposed: one on the maximum number of invalid
signatures encountered per rrset, and another on the total number of
validations performed per transaction.

Merge pull request #31490 from yuwata/network-varlink-cleanups

network/varlink: several trivial cleanups

varlink/network: reindent methods

network/varlink: downgrade log level about failure in getting netns ID

format-table: replace "(size_t) -1" with SIZE_MAX

Merge pull request #31440 from yuwata/sd-ndisc-sd-radv-cleanups

sd-ndisc,sd-radv: several trivial cleanups

in-addr-util: introduce in{4,6}_addr_is_multicast()

icmp6-util: make icmp6_receive() refuse packets without IPv6 sender address

Previously, the function supports packets without IPv6 sender address
for unit tests. However, now unit tests use their own version of
icmp6_receive(). Hence, let's make the check more strict.

sd-ndisc: make callback takes arbitrary type of message

No functional change. Preparation for supporting Neighbor Advertisement
message.

network/ndisc: drop all configurations without lifetime on stop

As we call ndisc_drop_outdated() with USEC_INFINITY on stop.

docs: update link for Arch Linux bugtracker

Merge pull request #31472 from YHNdnzj/systemctl-pidref

systemctl: generalize GetUnitByPIDFD handling

network: use FOREACH_STRING()

docs/CODING_STYLE: fix typo (CLONE_VORK -> VFORK)

systemctl-show: use lookup_unit_by_pidref too

Follow-up for e0e7bc8223c3f28fcb48db9f0f003d9f03ca46d7

This allows us to pin the process locally when GetUnitByPIDFD
is not available, just like what we have been doing for
'systemctl whoami'. Also, fix looking up remote pid.
We can't use pidfd for those.

systemctl: generalize GetUnitByPIDFD handling

systemctl-util: use strv_free_and_replace at one more place

Fallback from pidfd_open on permission errors too

Skip using pidfds if we get a permission denied error.
This can happen with an old policy and a new kernel that uses the
new pidfs filesystem to back pidfds, instead of anonymous inodes,
as the existing policy denies access.

This is already the case for most uses of pidfd_open, like pidref,
but not on these two. Fix them.

test: split out {dump,verify}_ra_message()

Then, let's not modify the global object.

sd-radv: several cleanups

- split out radv_setup_recv_event(),
- slightly update log messages,
- use DIV_ROUND_UP(),
- use structured initializer more.

No functional change, just preparation for later commits.

sd-ndisc: several trivial cleanups

- update several log messages,
- use event_reset_time_relative(),
- split out ndisc_setup_recv_event() and ndisc_setup_timer().

No functional change, just refactoring and preparation for later commits.

icmp6-util: merge icmp6_bind_router_{solicitation,advertisement}() into icmp6_bind()

No functional change, just refactoring.

hwdb: Add support for Elgato Stream Deck Plus

Add support for the following device:

 - ID 0fd9:0084 Elgato Systems GmbH Stream Deck Plus

docs: fix typo

efi: de-inline xmalloc to fix build failure with gcc 12.2 and -O2

With meson build --werror --buildtype=plain -Dc_args=" -O2" the build fails:

../src/boot/efi/stub.c: In function ‘load_addons.constprop’:03:06
../src/boot/efi/stub.c:475:40: error: using a dangling pointer to ‘p’ [-Werror=dangling-pointer=]03:06
  475 |                         dt_bases[n_dt] = xmemdup((uint8_t*)loaded_addon->ImageBase + addrs[UNIFIED_SECTION_DTB],03:06
      |                         ~~~~~~~~~~~~~~~^~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~03:06
  476 |                                                  dt_sizes[n_dt]);03:06
      |                                                  ~~~~~~~~~~~~~~~03:06
In file included from ../src/boot/efi/stub.c:20:03:06
../src/boot/efi/util.h:33:15: note: ‘p’ declared here03:06
   33 |         void *p;03:06
      |               ^

De-inline the function and initialize p to make gcc happy.

Merge pull request #31464 from poettering/vmspawn-limit-bank

vmspawn: disable all TPM PCR banks, except for SHA256

ptyfwd: optionally prefix window title with colored dot

in uid0/systemd-run/nspawn we already set a window title with a colorful
unicode dot indicating the changed privileges/execution context. This typically
gets overriden by the shell inside the environment however.

Let's tweak this a bit: when we see the window title OSC ANSI sequence
passing through, let's patch in the unicode dot as a prefix to the
title.

This is super pretty, since it makes sure root sessions via 0ad are
really easily recognizable as such, because the window title carries an
🔴 red dot as prefix then.

Merge pull request #31465 from xypron/detect-virt

Detect virtualization on RISC-V

man/systemd-sysext.xml: document mutable extensions

Signed-off-by: Thilo Fromm <thilofromm@microsoft.com>

signal-util: imply sentinel -1 in sigprocmask_many() + sigset_add_many() args list

signal-util: use RET_NERRNO() + RET_GATHER() more

detect-virt: allow detection via SMBIOS on RISC-V

SMBIOS support in QEMU for RISC-V is merged upstream.

Signed-off-by: Heinrich Schuchardt <heinrich.schuchardt@canonical.com>

update TODO

vmspawn: disable all PCR banks but SHA256

By default swtpm runs with four banks: SHA1, SHA256, SHA384, SHA512.
This means all data that is part of the boot will be hashed four times,
which slows everything down.

Let's restrict things to SHA256 only, which is the one that really
matters. SHA1 is no up to today's standards anyway, and noone really
consumes the other two, hence no point in enabling this.

To disable the banks we need to call swtpm_setup with --pcr-banks. Do
so.

vmspawn: drop "const" from string we free

I am a bit surprised this compiled at all...

detect-virt: allow detection via device-tree on RISC-V

Signed-off-by: Heinrich Schuchardt <heinrich.schuchardt@canonical.com>

Merge pull request #31455 from keszybz/restore-docs-urls

Restore docs urls

Merge pull request #31456 from poettering/tpm1.2-no-more

sd-stub: drop any support for TPM 1.2

ssh-generator: add mention of ssh.authorized_keys.root to man page