Merge pull request #15165 from ssahani/bonding

network: Move common functions of bonding to bond-util

meson: initialize time-epoch to reproducible builds compatible value

Debian Policy encourages to preserve timestamps whenever possible in the
tarballs, thus stable release updates of systemd usually do not bump NEWS file
timestamp. And thus time-epoch remains the same for the lifetime of a release.

It would be better, if each new stable release rebuild of systemd would bump
the time epoch a bit. But at the same time remain
reproducible. SOURCE_DATE_EPOCH is an environmnet variable defined for this
purpose. Thus if available, prefer that, instead of the NEWS file modification
time.

For example, on Debian/Ubuntu under the reproducible builds the
SOURCE_DATE_EPOCH is set to the timestamp from the packaging metadata, thus it
is incremented on every new stable release update, whilst preserving
reproducible builds capability.

Reference: https://reproducible-builds.org/docs/timestamps/

networkctl: Use bond util common functions

network: Introduce bond util

networkctl: VXLan - display more properties

pstore: introduce tmpfiles.d/systemd-pstore.conf

The systemd pstore service archives the contents of /sys/fs/pstore
upon boot so that there is room for a subsequent dump.  The issue is
that while the service is present, the kernel still needs to be
configured to write data into the pstore. The kernel has two
parameters, crash_kexec_post_notifiers and printk.always_kmsg_dump,
that control writes into pstore.

The crash_kexec_post_notifiers parameter enables the kernel to write
dmesg (including stack trace) into pstore upon a panic, and
printk.always_kmsg_dump parameter enables the kernel to write dmesg
upon a shutdown (shutdown, reboot, halt).

As it stands today, these parameters are not managed/manipulated by
the systemd pstore service, and are solely reliant upon the user [to
have the foresight] to set them on the kernel command line at boot, or
post boot via sysfs. Furthermore, the user would need to set these
parameters in a persistent fashion so that that they are enabled on
subsequent reboots.

This patch introduces the setting of these two kernel parameters via
the systemd tmpfiles technique.

Increase size of /run to 20%

For low memory machines (256MB), 10% of RAM for /run may not be enough for
re-exec of PID1 because 16MB of free space is required and /run may already
contain something.

docs: policy for systemd-security subscriptions

Replaces #14325.

Merge pull request #15817 from poettering/more-conditions

Add ConditionEnvironment= and ConditionIsEncrypted=

udev: get rid of "Could not set flow control of" message on "lo" interface

When setting flow control attributes of an interface we first acquire
the current settings and then add in the new settings before applying
them again. This only works on interfaces that implement the ethtool
ioctls. on others we'll see an ugly "Could not set flow control of"
message, simply because we issue the SIOCETHTOOL ioctl once, for getting
the data. In particular we'll get it for the "lo" interface all the
time, which sucks hard. Let's get rid of it.

shared: fix integer overflow in calendarspec

Fixes: oss-fuzz#22208

```
test/fuzz/fuzz-calendarspec/oss-fuzz-22208... ../src/shared/calendarspec.c:666:48: runtime error: signed integer overflow: 2147000000 + 1000000 cannot be represented in type 'int'
    #0 0x7f0b9f6cc56a in prepend_component ../src/shared/calendarspec.c:666
    #1 0x7f0b9f6cd03a in parse_chain ../src/shared/calendarspec.c:718
    #2 0x7f0b9f6cea1c in parse_calendar_time ../src/shared/calendarspec.c:845
    #3 0x7f0b9f6d1397 in calendar_spec_from_string ../src/shared/calendarspec.c:1084
    #4 0x401570 in LLVMFuzzerTestOneInput ../src/fuzz/fuzz-calendarspec.c:17
    #5 0x401ae0 in main ../src/fuzz/fuzz-main.c:39
    #6 0x7f0b9e31b1a2 in __libc_start_main (/lib64/libc.so.6+0x271a2)
    #7 0x40122d in _start (/home/fsumsal/repos/systemd/build/fuzz-calendarspec+0x40122d)

SUMMARY: UndefinedBehaviorSanitizer: undefined-behavior ../src/shared/calendarspec.c:666:48 in
```

update TODO

man: document the two new condition types

condition: add ConditionEnvironment=

Prompted by the discussions in #15180.

This is a bit more complex than I hoped, since for PID 1 we need to pass
in the synethetic environment block in we generate on demand.

limit-util: quieten a very common debug message that is misleading

condition: return (Condition*) NULL from condition_free()

Follow our usual coding style.

condition: introduce generic function type for condition_to_string()-like functions

Let's add a typedef for a function type we use at multiple places.

condition: add ConditionPathIsEncrypted=

It's easy to add, and should be pretty useful, in particular as in
AssertPathIsEncrypted= as it can be used for checking that
some path is encrypted before some service is invoked that might want to
place secure material there.

network: Add support to group links.

Link groups are similar to port ranges found in managed switches.
You can add network interfaces to a numbered group and perform operations
on all the interfaces from that group at once.

Merge pull request #15792 from poettering/repart-allocate

repart: add --size= and --empty=create options for growing/creating disk images from scratch

Merge pull request #15265 from fbuihuu/mount-fixes

Mount fixes

Merge pull request #15052 from jaankit/journal-send

journal-send: Fix the limitation of LINE_MAX

Merge pull request #15812 from poettering/deprecate-stdout-syslog

Get rid of StandardOutput=syslog

hwdb: fix microphone shortcut on HP EliteBook 840 G1

Fixes: #15774

core: automatically update StandardOuput=syslog to =journal (and similar for StandardError=)

Let's go one step further and upgrade implicitly. Usually =syslog
assignments are historic artifacts only. Let's upgrade the lines
automatically, and politely suggest people update their unit
files/configuration (and drop the lines altogether, without
replacement).

Fixes: #15807

man: drop some left-over mentions of StandardOutput=syslog

We dropped them from the StandardOuput= documentation long ago, but
elswhere some references where lurking.

update TODO

man: document new --empty=create and --size= switches to repart

test: update tests to use new repart features

repart: add support for create/growing loopback files

This adds --empty=create and --size= for creating loopback files from
scratch of a specified size, or growing loopback files to the specified
size when they already exist.

This is useful when operating on disk image files, as a manual
invocation of fallocate(1) becomes unnecessary.

repart: suppress complaints about lack of BLKRRPART when operating on regular file

repart: explain when we exit early and don't do a thing

sd-netlink: remove unused RTNL_WQUEUE_MAX define

While investigating why some of my netlink calls would timeout I
stumbled upon the definition of the max write queue length. Finding this
constant made me believe we still had a write queue in the code - which
isn't true. The netlink write queue code was removed in #189.

sysctl: check correct error code

journal-send: Fix the limitation of LINE_MAX

- If length of formatted string >= LONG_LINE_MAX then return -ENOBUFS
- Normal Case:
  - length of formatted string < POSIX defined LINE_MAX
  - Allocate sbuf to accomodate the message
- Rare case:
  - LINE_MAX < length of formatted string < LONG_LINE_MAX
  - Allocate the required length using alloca()

test-journal-send: send printing of long lines

network: allow setting VLAN protocol on bridges

Signed-off-by: Rubens Figueiredo <rubens.figueiredo@bisdn.de>

networkctl: Add support to display macvlan/macvtap mode

network: Introduce macvlan util

man: document $LOG_NAMESPACE

sd-dhcp-server: some function prototype fix-ups

Let's use size_t for numbers of entries in memory.

Let's use const wherever appropriate.

Drop `_server` suffix from function name where we don't have it for
similar other cases.

cifuzz: set allowed-broken-targets-percentage to 0

Merge pull request #15765 from benjarobin/fix_kw

Various bug fixes

Merge pull request #15660 from benjarobin/perf_barrier_fd

Faster manager_process_barrier_fd and drop message if BARRIER=1 found

Merge pull request #15801 from poettering/journal-pid-change-fix

journald: stream pid change newline fix

selinux: add parenthesis to function names in log messages

ci: install fdisk on Debian

To judge from https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=947134 and
https://salsa.debian.org/debian/util-linux/-/commit/44ec91ef110e7131d8a0467374797bc2e0f30e51,
`util-linux` no longer depends on `fdisk` so it seems it should be installed
manually.

test: Add return 0 to main() function (even it is not strictly necessary)

systemctl: Check clean_or_freeze_unit(): Add assert if unknown method

network: 'cur' variable cannot be null, so simplify code

tree-wide: Initialize _cleanup_ variables if needed

netlink: Fix assert condition on n_containers

core: Parse the tags list sooner, and use it for multiple function

 - Parse the tags list using strv_split_newlines() which remove any
   unnecessary empty string at the end of the strv.
 - Use this parsed list for manager_process_barrier_fd() and every call
   to manager_invoke_notify_message().
 - This also allow to simplify the manager_process_barrier_fd() function.

man: document the new _LINE_BREAK= type

test: Stricter test case for #15654 (Add more checks)

Check:
 - There is only 3 messages logged with type stdout
 - Check all messages logged does not have new line: LINE_BREAK=eof
 - Check that the 3 messages are logged from a different PID
 - Check the 3 MESSAGE= content

test: Add a test case for #15654

journald: rework pid change handling

Let's introduce an explicit line ending marker for line endings due to
pid change.

Let's also make sure we don't get confused with buffer management.

Fixes: #15654

journald: use the fact that client_context_release() returns NULL

journald: rework end of line marker handling to use a field table

journald: use log_warning_errno() where appropriate

journald: Increase stdout buffer size sooner, when almost full

If the previous received buffer length is almost equal to the allocated
buffer size, before this change the next read can only receive a couple
of bytes (in the worst case only 1 byte), which is not efficient.

semaphore: use dots instead of dashes

Borrowed from https://salsa.debian.org/systemd-team/systemd/-/commit/511d5d5452d29bd3af7.

docs: add some backticks and more formatting to PASSWORD_AGENTS.md (#15803)

docs: add some backticks and more formatting to PASSWORD_AGENTS.md

Merge pull request #15795 from gdamjan/master

docs: import password agents documentation

systemctl: fix indentation of 'Active:' field in status output

Somehow two spaces got lost in d9e45bc3abb here, which made the status
output all unaligned. Let's put them back in.

Tidy up the Fedora mkosi Package list

libzstd is a new dependency for systemd that's not in a stable release
yet, so it's not pulled in by the RPM package dependency. Manually
include it in the package section so the image mkosi produces works. It
can be removed when the RPM depends on it.

Additionally, a number of packages in the list appear to be pulled in
because they're dependencies in the systemd rpm, so remove them.
Finally, mkosi v5 adds the proper fs utilities for bootable images type
so drop that dependency as well.

fix WikiWord not-links

tree-wide: add size limits for tmpfs mounts

Limit size of various tmpfs mounts to 10% of RAM, except volatile root and /var
to 25%. Another exception is made for /dev (also /devs for PrivateDevices) and
/sys/fs/cgroup since no (or very few) regular files are expected to be used.

In addition, since directories, symbolic links, device specials and xattrs are
not counted towards the size= limit, number of inodes is also limited
correspondingly: 4MB size translates to 1k of inodes (assuming 4k each), 10% of
RAM (using 16GB of RAM as baseline) translates to 400k and 25% to 1M inodes.

Because nr_inodes option can't use ratios like size option, there's an
unfortunate side effect that with small memory systems the limit may be on the
too large side. Also, on an extremely small device with only 256MB of RAM, 10%
of RAM for /run may not be enough for re-exec of PID1 because 16MB of free
space is required.

update TODO

core: don't bind varlink socket if running in test mode

Fixes: #15748

docs: import password agents documentation

imported from:
https://cgit.freedesktop.org/wiki/www/plain/Software/systemd/PasswordAgents.mdwn

Merge pull request #15785 from poettering/pam-sudo-fixes-part1

some simple PAM fixes split out of #15742

Merge pull request #15789 from poettering/homed-bus-api

man: document homed bus API

update TODO

pam_systemd: also print debug lines when ending a session

pam_systemd: drop unused uid argument from export_legacy_dbus_address()

pam_systemd_home: use correct macro for converting ptr to fd

man: document homed D-Bus API

homed: fix parameter names on D-Bus methods

These arguments contain UserRecord structures serialized to JSON,
however only the "secret" part of it, not a whole user record. We do
this since the secret part is conceptually part of the user record and
in some contexts we need a user record in full with both secret and
non-secret part, and in others just the secret and in other just the
non-secret part, but we want to keep this in memory in the same logic.

Hence, let's rename the arguments where we expect a user record
consisting only of the secret part to "secret".

man: run man/update-dbus-docs again

netlink: port to recvmsg_safe()

This also makes sure the control buffer is properly aligned. This
matters, as otherwise the control buffer might not be aligned and the
cmsg buffer counting might be off. The incorrect alignment is becoming
visible by using recvmsg_safe() as we suddenly notice the MSG_CTRUNC bit
set because of this.

That said, apparently this isn't enough to make this work on all
kernels. Since I couldn't figure this out, we now add 1K to the buffer
to be sure. We do this once already, also for a pktinfo structure
(though an IPv4/IPv6) one. I am puzzled by this, but this shouldn't
matter much. it works locally just fine, except for those ubuntu CI
kernels...

While we are at it, make some other changes too, to simplify and
modernize the function.

Fix misuse of PAM_PROMPT_ECHO_OFF in systemd-homed

Previously pam_systemd_home.so was relying on `PAM_PROMPT_ECHO_OFF` to
display error messages to the user and also display the next prompt.
`PAM_PROMPT_ECHO_OFF` was never meant as a way to convey information to
the user, and following the example set in pam_unix.so you can see that
it's meant to _only_ display the prompt. Details about why the
authentication failed should be done in a `PAM_ERROR_MSG` before
displaying a short prompt as per usual using `PAM_PROMPT_ECHO_OFF`.

Merge pull request #15762 from keszybz/gcc-10-build

Fix build with -O3 with gcc 10

DHCP client: make SendOption work for DHCPv6 too.

Merge pull request #15460 from elmarco/network-dhcp-resolve1

network: fallback on resolve1 DNS for DHCP

shared/ethtool-util: hush gcc warnings about array bounds

[127/1355] Compiling C object 'src/shared/5afaae1@@systemd-shared-245@sta/ethtool-util.c.o'
../src/shared/ethtool-util.c: In function ‘ethtool_get_permanent_macaddr’:
../src/shared/ethtool-util.c:260:60: warning: array subscript 5 is outside the bounds of an interior zero-length array ‘__u8[0]’ {aka ‘unsigned char[]’} [-Wzero-length-bounds]
  260 |                 ret->ether_addr_octet[i] = epaddr.addr.data[i];
      |                                            ~~~~~~~~~~~~~~~~^~~
In file included from ../src/shared/ethtool-util.c:5:
../src/shared/linux/ethtool.h:704:7: note: while referencing ‘data’
  704 |  __u8 data[0];
      |       ^~~~
../src/shared/ethtool-util.c: In function ‘ethtool_set_features’:
../src/shared/ethtool-util.c:488:31: warning: array subscript 0 is outside the bounds of an interior zero-length array ‘__u32[0]’ {aka ‘unsigned int[]’} [-Wzero-length-bounds]
  488 |         len = buffer.info.data[0];
      |               ~~~~~~~~~~~~~~~~^~~
In file included from ../src/shared/ethtool-util.c:5:
../src/shared/linux/ethtool.h:631:8: note: while referencing ‘data’
  631 |  __u32 data[0];
      |        ^~~~

The kernel should not define the length of the array, but it does. We can't fix
that, so let's use a cast to avoid the warning.

For https://github.com/systemd/systemd/issues/6119#issuecomment-626073743.

v2:
- use #pragma instead of a cast. It seems the cast only works in some cases, and
  gcc is "smart" enough to see beyond the cast. Unfortunately clang does not support
  this warning, so we need to do a config check whether to try to suppress.

Merge pull request #15768 from poettering/grnd-insecure

random-util: make use of GRND_INSECURE if we have it

Merge pull request #15769 from poettering/man-tmpfiles-boot-override

man: document how "!" and conflicting lines play together in tmpfiles.d

man: clarify that exit status name mappings are unaffected by SuccessExitStatus=

Fixes: #15757

(Note there's quite some confusion regarding "exit status" vs. "exit
code" in the docs here. We should clean this up fully one day. This
change tries to fix some occasions of the wrong use, but not all.)

Added Chuwi Hibook Pro (Model: CWI526) (#15770)

seccomp-util: add new syscalls from kernel 5.6 to syscall filter table

core: Update prototype of notify_message, tags list is read only

Indicates that the tags list cannot be modified by notify_message function.
Since the tags list is created only once for multiple call to
notify_message functions.

basic: Allow to call STRV_FOREACH_BACKWARDS() with a char * const * strv

tmpfiles: clarify that "!" lines are filtered before collisions are checked

Fixes: #15675

man: mention the exclamation mark and minus sign literally, to make things searchable

I was looking for the explanation for the exclamation mark in the text,
and couldn't find it, searching for "!". Let's make this easier, and
indicate the character meant.

update TODO

random-util: make use of GRND_INSECURE when it is defined

kernel 5.6 added support for a new flag for getrandom(): GRND_INSECURE.
If we set it we can get some random data out of the kernel random pool,
even if it is not yet initializated. This is great for us to initialize
hash table seeds and such, where it is OK if they are crap initially. We
used RDRAND for these cases so far, but RDRAND is only available on
newer CPUs and some archs. Let's now use GRND_INSECURE for these cases
as well, which means we won't needlessly delay boot anymore even on
archs/CPUs that do not have RDRAND.

Of course we never set this flag when generating crypto keys or uuids.
Which makes it different from RDRAND for us (and is the reason I think
we should keep explicit RDRAND support in): RDRAND we don't trust enough
for crypto keys. But we do trust it enough for UUIDs.

random-util: use ERRNO_IS_NOT_SUPPORTED() macro

Some container mgr or sandbox solution might block it with an unexpected
error code, hence let's be tolerant here.

random-util: actually encode our expectations on RAND_MAX

update TODO