sysusers: optionally create fully locked accounts (#34876)

Let's ramp up security for system user accounts, at least where
possible, by creating them fully locked (instead of just with an invalid
password). This matters when taking non-password (i.e. SSH) logins into
account.

Fixes: #13522

busctl: various bugfixes + tweaks (#34928)

Fixes: #34048
Replaces: #34796
Follow-up for: #33961

mkosi: update fedora commit reference

* e42eed4afd test_sysusers_defined: support new ! line flag for creating fully locked accounts
* 2c6a4e2f90 Version 256.7
* bedc0270e7 Move yum/dnf protection removal config file under /usr
* 5a82129a41 Reword some descriptions
* ce99022f7b Version 256.6

Merge pull request #34245 from bluca/logind_drop_weak_delay_inhibitor

logind: drop new delay-weak inhibitor

busctl: add the usual section highlighting to our --help texts

busctl: add a testcase that definitely causes the timeout to trigger

busctl: if --timeout= or --limit-messages= are specified with no argument, reset to defaults.

Follow-up for: 989e843e7543b21b91de4368da44692d674722a5
See: #34048

busctl: rename --num-matches= → --limit-messages=

We should avoid unnecessary abbreviations for such messages, and this
puts a maximum limit on things, hence it should indicate this in the
name.

Moreover, matches is a bit confusing, since most people will probably
call "busctl monitor" without any match specification, i.e. zero
matches, but that's not what was meant here at all.

Also, add a brief switch for this (-N) since I figure in particular
"-N1" might be a frequent operation people might want to use.

Follow-up for: 989e843e7543b21b91de4368da44692d674722a5
See: #34048

busctl: fix timeout calculation for "busctl monitor"

The --timeout= logic was implemented incorrectly, as it would not put a
a limit on the runtime of the operation, but only on the IO sleep.
However, spurious wakeups are possible, hence the timer would be reset
too often.

Fix that, by determining the absolute timestamp early, and checking
against that.

Follow-up for: 989e843e7543b21b91de4368da44692d674722a5
See: #34048

NEWS: be less misleading since systemd-run does not support ExtraFileDescriptors= yet

udevadm: automatically anable JSON-SEQ in case JSON is used for "udevadm info -a"

We are going to output a series of JSON objects, hence let's
automatically enable JSON-SEQ output mode, as we usually do.

"jq --seq" supports this natively, hence this should not really restrict
us.

Follow-up for: 67ea8a4c0edef33b1775536bc81d5de2c8ac4d88

mkosi: Move copying packages to the output directory to the postinst script

Now that we have the mkosi.clangd script to run clangd from the mkosi
build script, it becomes clear that doing cleanup with mkosi.clean has
a big gap in that we always run the mkosi.clean script and thus we also
run it when we run the mkosi.clangd script, causing the previously built
packages to be removed when we run clangd without producing new ones.

In mkosi we're improving the situation by only running clean scripts when we
clean up the output directory and disallowing writing to the output directory
from build scripts.

Let's adapt systemd to these changes by moving the copying of packages to the
output directory to the postinst script.

test: test new 'u' sysusers.d lines

sysusers.d: lock all system users defined by us

sysusers: add new ! line flag for creating fully locked accounts

Fixes: #13522

Merge pull request #34391 from poettering/dns-long-label-fix

resolved: fixes when trying to serialize overly long DNS names

update-utmp: wait slightly longer for the private bus socket being active

Before a339495b1d67f69f49ffffdd96002164a28f1c93, update-utmp typically
connects the public DBus socket when disconnected from the private DBus
socket, as dbus service should be active even during PID1 is being reexecuted.

However, after a339495b1d67f69f49ffffdd96002164a28f1c93, update-utmp
tries to connect only the private DBus socket, but reexecution of PID1
may be slow, hence all trials may fail when the reexecution is slow.

With this change, now it waits for 100ms to 2000ms, so in total it waits
about 37 seconds in average, previously about 4 seconds.

man: fix return parameter type of sd_device_get_device_id()

socket: support setting ownership of message queues

This applies the existing SocketUser=/SocketGroup= options to units
defining a POSIX message queue, bringing them in line with UNIX
sockets and FIFOs.  They are set on the file descriptor rather than
a file system path because the /dev/mqueue path interface is an
optional mount unit.

update NEWS for v257

Merge pull request #34633 from keszybz/sd-json-enum-formatting

Add sd_json_format_enabled() helper

Merge pull request #34806 from ryantimwilson/protect-control-groups

cgroup: Add support for ProtectControlGroups= private and strict

po: Translated using Weblate (Czech)

Currently translated at 86.5% (219 of 253 strings)

Co-authored-by: Pavel Borecki <pavel.borecki@gmail.com>
Translate-URL: https://translate.fedoraproject.org/projects/systemd/main/cs/
Translation: systemd/main

cgroup: Add support for ProtectControlGroups= private and strict

This commit adds two settings private and strict to
the ProtectControlGroups= property. Private will unshare the cgroup
namespace and mount a read-write private cgroup2 filesystem at /sys/fs/cgroup.
Strict does the same except the mount is read-only. Since the unit is
running in a cgroup namespace, the new root of /sys/fs/cgroup is the unit's
own cgroup.

We also add a new dbus property ProtectControlGroupsEx which accepts strings
instead of boolean. This will allow users to use private/strict via dbus
and systemd-run in addition to service files.

Note private and strict fall back to no and yes respectively if the kernel
doesn't support cgroup2 or system is not using unified hierarchy.

Fixes: #34634

core: Refactor ProtectControlGroups= to use enum vs bool

This commit refactors ProtectControlGroups= from using a boolean
in the dbus/execute backend to using an enum. There is no functional
change but this will allow adding new non-boolean values (e.g. strict,
private) a la PrivateHome.

sd-json,tree-wide: add sd_json_format_enabled() and use it everwhere

We often used a pattern like if (!FLAGS_SET(flags, SD_JSON_FORMAT_OFF)),
which is rather verbose and also contains a double negative, which we try
to avoid. Add a little helper to avoid an explicit bit check.

This change clarifies an aditional thing: in some cases we treated
SD_JSON_FORMAT_OFF as a flag (flags & SD_JSON_FORMAT_OFF), while in other cases
we treated it as an independent enum value (flags == SD_JSON_FORMAT_OFF).
In the first form, flags like SD_JSON_FORMAT_SSE do _not_ turn the json
output on, while in the second form they do. Let's use the first form
everywhere.

No functional change intended.

Initially I wasn't sure if this helper should be made public or just internal,
but it seems such a common pattern that if we expose the flags, we might just
as well expose it too, to make life easier for any consumers.

sd-id128: mark functions as const, not pure

We would need to use pure if the funtion was getting pointers and
dereferencing them. But sd128_t is a structure and those functions
only access the parameters of the call.

sd-common: add __const__

const is stronger than pure, see
https://gcc.gnu.org/onlinedocs/gcc/Common-Function-Attributes.html#index-pure-function-attribute
and
https://gcc.gnu.org/onlinedocs/gcc/Common-Function-Attributes.html#index-const-function-attribute.

meson: add loongarch64's definition to cpu_arch_defines

The default definition to add is `-D__loongarch64__`, which is not searched in [bpf_tracing.h](https://github.com/libbpf/libbpf/blob/09b9e83102eb8ab9e540d36b4559c55f3bcdb95d/src/bpf_tracing.h#L68)

This may avoid `error: Must specify a BPF target arch via __TARGET_ARCH_xxx` in loongarch64

Signed-off-by: Zhou Qiankang <wszqkzqk@qq.com>

po: Translated using Weblate (Indonesian)

Currently translated at 100.0% (253 of 253 strings)

Co-authored-by: Andika Triwidada <andika@gmail.com>
Translate-URL: https://translate.fedoraproject.org/projects/systemd/main/id/
Translation: systemd/main

Merge pull request #34902 from ryantimwilson/root-dir-not-exists-error

core: Add RootDirectory= path to error message if directory does not exist

core: Add RootDirectory= path to error message if directory does not exist

A colleague reported when RootDirectory= does not exist, systemd reports an error like:
```
Failed to set up mount namespacing: No such file or directory
```

Unfortunately, with large spec files, it can be hard to diagnose which path systemd is talking
about. Thus, to make the error message more helpful and similar to mount error messages, we add
the root directory/image path into the error message like:
```
Failed to set up mount namespacing: /tmp/thisdoesnotexist: No such file or directory
```

core/execute: Rename error_path -> reterr_path/ret_path per coding guidelines

This is a non-functional change to ensure error_path used to print out the
offending mount causing an error follows coding guidelines.

core/cgroup: rename CGROUP_PRESSURE_WATCH_ON/OFF -> CGROUP_PRESSURE_WATCH_YES/NO

No functional change, but let's print yes/no rather than on/off in systemd-analyze.

Similar to 2e8a581b9cc1132743c2341fc334461096266ad4 and
edd3f4d9b7a63dc9a142ef20119e80d1d9527f2f.
(Note, the commit messages of those commits are wrong, as
 parse_boolean() supports on/off anyway.)

hwdb: add Stream Deck Neo (#34903)

sd-event: fix memleak when built without assertion

Fixes a bug introduced by baf3fdec27f0b3a1f3d39c7def2a778824cbee51.

This also adds several assertions at the beginning of the function.

Fixes #34899.

man: fix typo

Follow-up for 115fac3c29c80d8917158df2275d45fee118d61f.

basic/missing: add short comment about when CLONE_NEWCGROUP is added

tree-wide: replace for loop with FOREACH_ELEMENT or FOREACH_ARRAY macros (#34893)

Merge pull request #34884 from poettering/run0-disconnect-fix

run: reconnect if our dbus connection is terminated

Merge pull request #34881 from poettering/run0-ui-tweaks

run0: various UI tweaks

machine: operation should not send a response when 'done' callback set

test: add brief testcase for systemd-run disconnect handling

run: reconnect if our dbus connection is terminated

We must be prepared that systemd temporarily drops off the bus or
disconnects our direct connections (due to systemctl daemon-reexec or
so). Hence automatically reconnect when we watch the unit status, and
handle this case gracefully.

Fixes: #32906 #27204

update TODO

run: drop "-" prefix from command line when generating unit description

Let's not confuse users with the login shell indicator and drop it from
the description. This means a run0 session will now usually show up with
a description of "[run0] /bin/bash" rather than "[run0] -/bin/bash".

run: prefix unit description with our own process name

I think we should try to communicate clearly if something is a run0
session, or a systemd-run invocation. Hence, let's initialize the
description so that the command is prefixed by
program_invocation_short_name.

Effectively this means that our run0 sessions now appear as services
with a description of "[run0] -/bin/bash"

run: tweak how we name our transient units

The current logic is a bit complex how systemd-run units are called. It
used to be just the unique ID of the dbus connection. Which was nice,
since its system-widely, uniquely assigned to us. But this didn't work
out well, due to direct connections to PID 1 and due to soft reboots.

We nowadays have a better ID to use though, with nicer properties: the
kernel manages a pidfd ID for every process after all, and it's globally
unique, for any process, and regardless of soft reboots. Hence use that
for naming preferably, and just keep one branch with a randomized name
as fallback.

run0: optionally show superhero emoji on each shell prompt

This makes use of the infra introduced in 229d4a980607e9478cf1935793652ddd9a14618b to indicate visually on each prompt that we are in superuser mode temporarily.
pick ad5de3222f userdbctl: add some basic client-side filtering

Merge pull request #34891 from poettering/run0-pty

run0: add --pty and --pipe switches to force allocation of a pty or pipe

ci: add some basic testing of the new --pty and --pipe switches

run0: add options to force allocation of PTY or of pipe use

Fixes: #33033

tree-wide: use isatty_safe() everywhere

update TODO

Merge pull request #34877 from aafeijoo-suse/veritysetup-fixes

veritysetup-generator: minor man/code changes

Merge pull request #34880 from poettering/change-user-on-pam-always

core: make sure that if PAMName= is set we always do the full user ch…

test: add quick test to verify the PAM stack really ran in all run0 modes of operation

core: make sure that if PAMName= is set we always do the full user changing even if no user is specified explicitly

When PAMName= is set this should be enough to go through our entire user
changing story, so that PAM is definitely run, and environment variables
definitely pulled in and so on.

Previously, it would happen that under some circumstances we might no do
this when transitioning from root to root itself even though PAM was
enabled.

Fixes: #34682

Merge pull request #34875 from poettering/userdbctl-filter

userdbctl: add some basic client-side filtering

user-util: tighten shell validation a tiny bit

Merge pull request #34799 from YHNdnzj/service-followups

core: follow-ups for live mount

ci: give new userdbctl some CI exposure

user-record: fix indentation

userdbctl: set shell/home cell type to TABLE_PATH

This only matters for sorting, and we currently don't support sorting by
path, hence this is of no real effect, but it certainly is more correct.

userdbctl: grey out nologin shell in tabular output

userdbctl: optionally hide UID range boundaries in output

userdbctl: add some basic client-side filtering

This adds some basic client-side user/group filtering to "userdbctl":

1. by uid/gid min/max
2. by user "disposition" (i.e. show only regular users with "userdbctl
   user -R")
3. by fuzzy name (i.e. search by substring/levenshtein of user name,
   real name, and other identifiers of the user/group record).

In the long run we also want to support this server side, but let's
start out with doing this client-side, since many backends won't support
server-side filtering anytime soon anyway, so we need it in either case.

veritysetup-generator: remove unused code

man/veritysetup-generator: document veritytab kernel command line option

man: fix links to veritysetup(8)

man: insert a comma before 'and'

Follow-up for bd91f23acfecc92ede6965d752540a758b3e6c79.

Merge pull request #27916 from yuwata/test-execute-credstore

test: update permission of credstore

Revert "TEST-55-OOMD: workaround for kernel regression in 6.12-rcX"

This reverts commit 88bbf187a9b2ebe0732caa1e886616ae5f8186da.

The kernel regression has been hopefully fixed by
https://github.com/torvalds/linux/commit/c6508124193d42bbc3224571eb75bfa4c1821fbb
which is included in 6.12-rc4.
Let's drop the workaround.

po: Translated using Weblate (Swedish)

Currently translated at 100.0% (253 of 253 strings)

Co-authored-by: Anders Jonsson <anders.jonsson@norsjovallen.se>
Translate-URL: https://translate.fedoraproject.org/projects/systemd/main/sv/
Translation: systemd/main

docs: Mention that a local build might be required to use mkosi

Currently we need ukify with support for --profile and --join-profile
which isn't in an official release yet so mention that a local build
from source might be required.

man/network: suggest to not request IA_NA when received RA with Managed bit unset

Follow-up for 1f5a052963464755e87a075f6f4a8867b2199311.

Merge pull request #34834 from yuwata/protect-home-tmpfs-read-only

core/namespace: make ProtectHome=tmpfs makes /home and friends read-only as documented

core: don't forget about fallback_smack_process_label

Call setup_smack() also when only fallback_smack_process_label is set.

Fixes: 75689fb2d41f

core/namespace: replace MOUNT_PRIVATE_TMP_READ_ONLY with MOUNT_PRIVATE_TMP with .read_only = true

core/namespace: coding style cleanups

core/namespace: honor MountEntry.read_only, .options, and so on in static entries

Otherwise, ProtectHome=tmpfs makes /home/ and friends not read-only.
Also, mount options for /run/ specified in MountAPIVFS=yes are not
applied.

The function append_static_mounts() was introduced in
5327c910d2fc1ae91bd0b891be92b30379c7467b, but at that time, there were
neither .read_only nor .options in the struct. But, when later the
struct is extended, the function was not updated and they were not
copied from the static table.
The fields has been used in static tables since
e4da7d8c796a1fd11ecfa80fb8a48eac9e823f06, and also in
94293d65cd4125347e21b3e423d0e245226b1be2.

Fixes #34825.

refactor: replace sizeof in loop with ELEMENTSOF & FOREACH_ELEMENT (#34863)

update TODO

man/network: fix typo

Follow-up for 1f5a052963464755e87a075f6f4a8867b2199311.

measure: fix typo

Follow-up for 0005411352f9bda0d9887c37b9e75a2bce6c1133.

TEST-55-OOMD: fix typo

Follow-up for 63d4c4271ca529f8357a84cbc075170fffdb3de8.

Merge pull request #34850 from poettering/openat-report-new-tweaks

openat_report_new() tweaks

network: adjust log message about DNR

The only possible error return in this position is -ENODATA, which is
not interesting.

Merge pull request #34861 from poettering/can-idle

logind: introduce CanIdle/CanLock properties on logind session dbus objects

resolved: add test case from #33671

resolved: explicitly refuse adding invalid DNS names to DNS packets

Fixes: #33671

resolved: when adding names to packet fails, remove them from label compression hash table again

let's make sure we undo any pollution of the label compression hash
table.

Fixes: #33671

dns-domain: tweak hash table comparison function for DNS names

Currently, when comparing two DNS names when storing them in a
hashtable, and the DNS names are not actually valid we'll compare the
error codes.

This is not very smart however, since this means two invalid DNS names
that happen to be equally "invalid" will be considered identical, even
if their strings are entirely different.

Let's find a better solution for this niche case: let's simple compare
the domains as strings.

This matters in case of DNS label compression: if we already added added
an invalid DNS name into the label compression hash table, and lookup
any other invalid DNS name, this lookup will likely return what the
earlier one already returned, and that's confusing.

dns-packet: refuse reading overlong DNS names from packets

Even if we have no problem processing them they are invalid according to
RFC, hence refuse.

Fixes: #34416

mkosi: update debian commit reference

* 07a294d0c6 Do not mask systemd-gpt-auto-generator in upstream CI builds
* 5636398bf7 Backport patch to fix test failures with tzdata 2024b-1
* 354ded4946 Update changelog for 256.7-2 release
* e38c7c5345 Backport fixes for upstream autopkgtest suite
* 249676834c Disable utmp support, not y2038 safe
* 822d44da42 initramfs-tools: support missing /etc/udev/udev.conf
* ad71ebf700 systemd-boot: depend on systemd for kernel-install
* 5bf7008ef8 d/systemd.postinst: do not restart systemd-binfmt.service if masked
* 58d5aa1b41 d/rules: mask systemd-gpt-auto-generator on Ubuntu
* 481987d85c Update changelog for 256.7-1 release
* ce7f3d4b43 Revert "autopkgtest: skip TEST-64-UDEV-STORAGE due to qemu crash"
* 7007e73b22 Mark dependencies on clang and bpftool as :native
*   0e120cf704 Update upstream source from tag 'upstream/256.7'
|\
| * 914aae055c New upstream version 256.7
* fcea89cb00 d/t/upstream: honor /etc/apt configured by autopkgtest

Merge pull request #34860 from enr0n/varlinkctl-fixes

Fix varlinkctl output with `--more`

logind: allow read/write to char-hvc devices

virtio console uses /dev/hvc* so we need access to write wall
messages

core: clean up errors for live mounting

* Use SD_BUS_ERROR_NOT_SUPPORTED where appropriate
* Use Service object in service_can_live_mount()
* Include errno in bus error message

core/service: fix one wording

core/service: add missing serialization for Service.live_mount_result