Merge pull request #23217 from keszybz/oomd-docs

More cross-references in bootctl/systemctl man pages

ci: bring fatal-meson-warnings back

It's a follow-up to https://github.com/systemd/systemd/pull/23204

v2: replaced xargs with exec as suggested by Jan Janssen

Merge pull request #23216 from poettering/hwdb-v251-rc2

hwdb: updates for v251-rc2

Merge pull request #23200 from keszybz/oomd-docs

Extend the documentation for oomd a bit

TODO: more entries for bootctl

https://bugzilla.redhat.com/show_bug.cgi?id=2079784#c9

hwdb: run "ninja update-hwdb-autosuspend" for v251-rc2

hwbd: run "update-hwdb" for v251-rc2

hwdb: make sure "ninja update-hwdb" works on f35

let's restore compatibility with pyparsing from fedora 35, i.e.:

python3-pyparsing-2.4.7-9.fc35.noarch

update TODO

NEWS: updates for 251-rc2

man: cross-advertize bootctl and systemctl boot loader support

oomd: "descendent" → "descendant"

The latter is the common spelling apparently.

man: direct users to systemd-oomd if they read about OOMPolicy

OOMPolicy remains valid, but let's push users for the userspace solution.

man: beef up the description of systemd-oomd.service

The gist of the description is moved from systemd.resource-control
to systemd-oomd man page. Cross-references to OOMPolicy, memory.oom.group,
oomctl, ManagedOOMSwap and ManagedOOMMemoryPressure are added in all
places.

The descriptions are also more down-to-earth: instead of talking
about "taking action" let's just say "kill". We *might* add configuration
for different actions in the future, but we're not there yet, so let's
just describe what we do now.

Merge pull request #23204 from bluca/install_tag

meson: add install_tag and build alias for systemd-boot, libsystemd and libudev

hwdb: add keyboard mapping for HP ProBook 11G2

Closes #23108.

meson: add systemd-boot and systemd-stub build target aliases

Allows to quickly build systemd-boot by itself without having to
reference the full path of the build target:

$ ninja -C foo systemd-stub
ninja: Entering directory `foo'
[21/21] Generating src/boot/efi/linuxx64.efi.stub with a custom command
$ ninja -C foo systemd-boot
ninja: Entering directory `foo'
[10/10] Generating src/boot/efi/systemd-bootx64.efi with a custom command

meson: add install_tag to sd-boot, libsystemd and libudev

Allows to 'meson install --tags systemd-boot --no-rebuild' to install only the EFI
binaries, skipping the rest, for a very quick build:

$ ninja src/boot/efi/linuxx64.efi.stub
[21/21] Generating src/boot/efi/linuxx64.efi.stub with a custom command
$ ninja src/boot/efi/systemd-bootx64.efi
[10/10] Generating src/boot/efi/systemd-bootx64.efi with a custom command
$ DESTDIR=/tmp/foo meson install --tags systemd-boot --no-rebuild
Installing src/boot/efi/systemd-bootx64.efi to /tmp/foo/usr/lib/systemd/boot/efi

Requires Meson 0.60 to be used, prints a warning for unknown keyword
in earlier versions, but there's no failure

https://mesonbuild.com/Installing.html#installation-tags

Merge pull request #23206 from yuwata/meson-compression

meson: follow-ups about compression method

Merge pull request #23119 from yuwata/test-sd-device-exclude-bdi

test: exclude "bdi" subsystem

meson: also use COMPRESSION_NONE for default compression

meson: show default compression method in summary

Merge pull request #23131 from poettering/shared-compress

move compress.[ch] → src/basic/

test: exclude "bdi" subsystem and loop block devices

On several CI environments, it seems that some loop block devices and
corresponding bdi devices are sometimes removed during the test is
running. Let's exclude them.

Fixes #22970.

sd-device-enumerator: introduce sd_device_enumerator_add_nomatch_sysname()

sd-device-enumerator: use set_fnmatch()

set: introduce set_fnmatch()

Merge pull request #23161 from yuwata/nss-ipv6-disabled

nss: do not return IPv6 address when IPv6 is disabled

journal-verify: tighten check for compression of non-objects

compress: make Compression a regular non-sparse enum

Given we have two different types for the journal object flags and the
Compression enum, let's make the latter a regular non-sparse enum, and
thus remove some surprises. We have to convert anyway between the two,
and already do via COMPRESSION_FROM_OBJECT().

basic: move compress.[ch] → src/basic/

The compression helpers are used both in journal code and in coredump
code, and there's a good chance we'll use them later for other stuff.

Let's hence move them into src/basic/, to make them a proper internal
API we can use from everywhere where that's desirable. (pstore might be
a candidate, for example)

No real code changes, just some moving around, build system
rearrangements, and stripping of journal-def.h inclusion.

po: update italian translations

ci: unpin CFLite

The idea was to catch CFLite regressions but since the action itself
pulls the latest docker images it can't be pinned properly and issues
like https://github.com/google/clusterfuzzlite/issues/91 are going to
pop up anyway. Let's unpin it by analogy with CIFuzz and hope it doesn't
break very often.

oomd: actually fail if configuration is bad

Follow-up for a858355e4a7168625ec1b9e5d17fdb6a11dfecb8.

Merge pull request #23160 from keszybz/compress-defines

meson: simplify setting of default compression

test: use cp  for journal copying when systemd-journal-remote non-existent

tree-wide: Fix typo

tree-wide: Simplify variable declarations behind #ifdef

loopback-setup: tweak message if loopback device is already set up

test: extend the "hashed" unit names coverage a bit

Follow-up to #22759.

udevadm: wait: check if specified path not exist on --remove

Even if the corresponding device node or syspath are already removed,
the specified symlink to the device node may still exist.

Fixes #23166.

test: do not accept IPv6 local address if IPv6 is disabled

nss-myhostname: do not return IPv6 local address if IPv6 is disabled

cryptenroll,homectl: Introduce --fido2-credential-algorithm option

* Some authenticators(like Yubikey) support credential algorithm other than ES256
* Introduce a new option so users can make use of it

hwdb: Fix rotation for HP Pro Tablet 408 G1

hwdb: Remap micmute to f20 for ASUS WMI hotkeys

For micmute userspace handles both micmute and f20, as Xorg cannot
handle the high keycode that the micmute key has. As such, adding the
remapping means that the key will work on Xorg clients and not just when
using wayland.

docs: suggest to erase /var/lib/systemd/credential.secret when preparing golden images

update TODO

Merge pull request #23157 from poettering/execute-refactor-fix

execute: refactor credential passing code, and fix two bugs

meson: use a single constant for default compression setting

Suggested by Daniele Nicolodi:
https://github.com/systemd/systemd/pull/23160#discussion_r855853716

This is possible only if the macro is never used in #if, but only in C code.
This means that all places that use #if have to be refactored into C, but we
reduce the duplication a bit, and C is nicer to read than preprocessor
conditionals.

meson: simplify setting of default compression

Follow-up for da13d2ca0731b413841663052f2cc6832a855334. Instead of having
separate definitions of the bitmask flags, just define DEFAULT_COMPRESSION_FOO=0|1
directly.

(It *should* be possible to do this more simply, but the problem is that
anything that is used in #if cannot refer to C constants or enums. This is the
simplest I could come up with that preserves the property that we don't use #ifdef.)

The return value from compress_blob() is changed to propagate the error instead
of always returning -EOPNOTSUPP. The callers don't care about the specific error
value. compress_blob_*() are changed to return the compression method on success, so
that compress_blob() can be simplified. compress_stream_*() and compress_stream() are
changed in the same way for consistency, even though the callers do not currently use
this information (outside of tests).

test: also test nspawn system→service inheritance of creds

test: make sure that SetCredential=/LoadCredential fallback won#t regress

execute: add more debug logging

execute: restore ability that SetCredential= can act as fallback for LoadCredential=

If SetCredential= and LoadCredentials= are combined for the same
credential name, then the former shall act as fallback for the latter in
case the source file does not exist. That's documented, but didn't work.
Let's fix that.

execute: restore ability to propagate creds from further up (i.e.  container manager and such)

This was broken in 3989bdc1ad7cca4d75c06cdf601fea2cb37ba337 let's
restore the functionality.

Basically, we want that if a relative name is specified as source to
load from we take it relative to the credentials dir the service manager
itself got passed.

execute: share error path between reg file/dir credential loading

execute: correct comments

This is not done first, but second.

Also, while we are at it, explain why faccessat() is OK here.

execute: sort directory entries when loading credentials recursively

Given that the recusive credential loading allows two ways to load the
same credentials, it's important to define a clear order so that it is
always the same one that wins.

i.e. if you use LoadCredential=foobar:/tmp/xyz and there are two files
/tmp/xyz/abc/cde and /tmp/xyz/abc_cde these would both result in a
credential foobar_abc_cde being set, hence it is important to make clear
which one shall win, and that it is always the same one.

execute: drop 'seen_creds' set

When checking whether we already loaded a credential before, let's just
use faccessat() in the credential dir we are populating. First of all,
we already do it exactly that way when appliying SetCredential= settings
later. Secondly, this is not performance relevant, and by using
faccessat() things simply become a lot simpler.

execute: simplify 'load_creds_args' struct a bit

Given we only need a single field off the ExecLoadCredential structure
we don't have to link it as a whole, but just copy that one bit over
directly, simplifying the struct a bit.

execute: let recurse_dir() concate the cred name for us

recurse_dir() allows specifiying a freely choosable initial path to
which to append the subdirs as it descends into the tree. If we pass the
configured id there, recurse_dir() will suffix the subdir to that for
us, so that we don't have to do that manually anymore in the callback,
simplifying things a bit.

execute: passing NULL as second argument for recurse_dir() is equivalent to ""

execute: debug log if a generated recursive cred name is too long

execute: rework load_credential() not to take an ExecLoadCredential object we must synthesize

Let's just simplify the logic and pass the fields we need as regular
arguments, even if that means the function now has a lot. It's otherwise
really weird that we have to fake a local ExecLoadCredential from the
real one.

execute: drop double empty line

execute: use ASSERT_PTR where appropriate

update TODO

tpm2-util: if we run in a container, ignore /sys/class/tpmrm/* contents

hwdb: add resolutions for the Vaio FE14 touchpad (#23136)

kernel-install: Skip execution if $KERNEL_INSTALL_BYPASS=1

mkosi: Update to latest commit

We recently added caching for the dependencies we build from source
in mkosi's github action which speeds up builds by +-10 minutes. Let's
update to the latest commit so we benefit from this in systemd's mkosi
CI as well.

oss-fuzz: turn off fuzz-introspector

fuzz-introspector passes -fuse-ld=gold and -flto using CFLAGS/LDFLAGS and due to
https://github.com/mesonbuild/meson/issues/6377#issuecomment-575977919 and
https://github.com/mesonbuild/meson/issues/6377 it doesn't mix well with meson.
It's possible to build systemd with duct tape there using something like
https://github.com/google/oss-fuzz/pull/7583#issuecomment-1104011067 but
apparently even with gold and lto some parts of systemd are missing from
reports (presumably due to https://github.com/google/oss-fuzz/issues/7598).
Let's just fail here for now to make it clear that fuzz-introspector isn't supported.

man: make clear that encrypted credentials are also authenticated

We use authenticated encryption, and that deserves mention. This in
particular relevant as the fact they are authenticated makes the
credentials useful as initrd parameterization items.

hostnamed: update to use new style sd-bus macros

bus-unit-util: make sure we can set LoadCredentials= property with a single string

LoadCredentials= in unit files supports a syntax passing a single string
only (in which case the credentials are propagated down from the host).
but systemd-run's --property= setting doesn't allow that yet. Fix that.

Merge pull request #23148 from poettering/creds-util-mini-tweaks

creds-util: two minor tweaks

hwdb 60-keyboard Add HP/Compaq KBR0133

creds-util: upgrade message about TPM2 not working

creds-util: also warn about unencrypted creds host key if we are creating it

Previously we'd only warn when we consume it, but it's even more
relevant to warn if we save it to an unencrypted storage location.

main: voidify call to kmod_setup()

sd-bus: switch to a manual overflow check in sd_bus_track_add_name()

This is generally used in a directly client controllable way, hence we
should handle ref count overflow gracefully, instead of hitting an
assert().

As discussed:

https://github.com/systemd/systemd/pull/23099#discussion_r854341850

macro: upgrade ref counting overflow check assert() → assert_se()

The overflow check for ref counting should not be subject to NDEBUG,
hence upgrade assert() → assert_se(). (The check for zero is an
immediate bug in our code, and should be impossible to trigger, hence
it's fine if the check is optimized away if people are crazy enough to
set NDEBUG, so that can stay assert())

https://github.com/systemd/systemd/pull/23099#discussion_r854341850

update TODO

Merge pull request #23122 from poettering/creds-has-tpm2

tpm2: beef up tpm2 support checks

man: update TPM2 PCR documentation

The assignments were partly simply incorrectly documented, partly changed
with 4d32507f5186a89e98093659fbbe386787a97b9f and partly missing.
Moreover kernel 5.17 now measures all initrds to PCR 9 on its own
(https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=f046fff8bc4c4d8f8a478022e76e40b818f692df)

Let's correct all this and bring it up-to-date.

And while we are at it extend the docs about this in systemd-stub, with
a new table that indicates which OS resource is protected by which PCR.

Merge pull request #23084 from poettering/creds-no-tpm2-fallback

creds: add semi-automatic fallback support for initrd credentials on systems lacking TPM2

Merge pull request #23099 from yuwata/sd-bus-track-fixlets

sd-bus: fix counter

update TODO

creds-util: permit credentials encrypted/signed by fixed zero length keys as fallback for systems lacking TPM2

This is supposed to be useful when generating credentials for immutable
initrd environments, where it is is relevant to support credentials even
on systems lacking a TPM2 chip.

With this, if `systemd-creds encrypt --with-key=auto-initrd` is used a
credential will be encrypted/signed with the TPM2 if it is available and
recognized by the firmware. Otherwise it will be encrypted/signed with
the fixed empty key, thus providing no confidentiality or authenticity.

The idea is that distributions use this mode to generically create
credentials that are as locked down as possible on the specific
platform.

creds-util: add an explicit 128bit ID for identifying "automatic" key determination

Previously, when encrypting creds you could pick which key to use for
this via a 128bit ID identifying the key type, and use an all zero ID
for rquesting automatic mode.

Let's change this to use an explicitly picked 128bit ID for automatic
mode, i.e. something other than all zeros. This is in preparation for
adding one further automatic mode with slightly different semantics.

no change in behaviour.

Note that the new 128bit id is never written to disk but only used
internally to indicate a specific case.

creds-util: refuse unexpected key types explicitly

Merge pull request #23124 from yuwata/fixes-for-post-merge-review

Fixes for post merge review

man: document new has-tpm2 verb

creds-tool: add new "has-tpm2" verb

Sometimes it's useful from shell scripts to check if we have a working
TPM2 chip around. For example, when putting together encrypted
credentials for the initrd (after all: it might be wise to place the
root pw in a credential for the initrd to consume, but do so only if we
can lock it to the TPM2, and not otherwise, so that we risk nothing).

Hence, let's add a new "systemd-creds has-tpm2" verb: it returns zero if we
have a working TPM2 (which means: supported by kernel + firmware + us),
or non-zero otherwise. Also show which parts are available.

Use-case: in future the 'kernel-install' script should use this when
deciding whether to augment kernels with security sensitive credentials.

bootctl: use new tpm2_support() helper to show TPM2 info

Let's improve the output regarding TPM2 support in "bootctl": let's show
whether we have local driver support and/or firmware support, and
colorize it.

(For now, don't show if we natively support TPM2, since the tool is
mostly bout boot time stuff, where it dosn't really matter much what we
do in userspace)

condition: rework ConditionSecurity=tpm2 check on top of tpm2_support()

No change in behaviour. Let's just use our new helper here.

tpm2-util: add helper that checks for the various facets of TPM2 support

So far we were a bit sloppy regarding checks for TPM2 support. Let's
make things more precise and introduce a single helper that checks for
three axis of TPM2 support: whether we have a loaded kernel driver,
whether the firmware used it, and whether we ourselves are compiled for
it.

This only adds the helper. Follow-up patches will use it at various
places.

update TODO

update TODO