Merge pull request #23821 from dtardon/ascii-logging

Allow ASCII fallback for Unicode characters in logs

Merge pull request #23849 from mbiebl/more-https

Use https for freedesktop.org

Merge pull request #23827 from yuwata/sd-event-process-buffered-inotify-data

sd-event: process buffered inotify data

Use https for gnu.org

Use https for man7.org

Use https for freedesktop.org

grep -l -r http:// | xargs sed -E -i s'#http://(.*).freedesktop.org#https://\1.freedesktop.org#'

Merge pull request #23181 from thesamesam/parisc-seccomp

Add seccomp support for PARISC (HPPA)

tree-wide: allow ASCII fallback for … in logs

tree-wide: allow ASCII fallback for → in logs

gpt: add PARISC UUIDs

Not doing PARISC64 for now as no userland exists for it yet.

seccomp: add PARISC (HPPA support)

We have to skip the W^X protections as we need executable
memory on PARISC for now. Kernel work is in progress (started
w/ 5.18).

Closes: https://github.com/systemd/systemd/issues/23180

basic/missing-syscalls: add PARISC (HPPA support)

Bug: https://github.com/systemd/systemd/issues/23180

github: add more components to RFE issue template

Follow-up to: #23838

test: add another test for inotify event source

The test case is for issue #23826.

sd-event: make sd_event_prepare() return positive when buffered inotify data exists

Previously, even if there is buffered inotify data, sd_event_prepare()
did not process the data when there is no pending event source.

Fixes #23826.

sd-event: use LIST_IS_EMPTY()

po: add a false positive to POTFILES.skip

Scripts used to detect files that should be in POTFILES.in, like
intltool-update -m used on https://l10n.gnome.org/module/systemd/,
falsely detect this file as containing translations. Avoid this
behavior by putting the file in POTFILES.skip.

network: grouping elements in network_free()

Merge pull request #23842 from medhefgo/boot-std

boot: Use standard types

test-sd-hwdb: adjust the test to actually do anything

Without the terminating colon we wouldn't match anything, so the loop over
properties was skipped.

boot: Use stdbool

The way the UEFI spec defines BOOLEAN is fully compatible to stdbool, so
it is perfectly safe to switch to it. Although any other values than 0/1
are undefined by the spec, we could theoretically have cases where a
sloppy firmware hands us a bad BOOLEAN (since gnu-efi/edk2 declare it
as uint8_t). So any uses where we pass a pointer to BOOLEAN are left
untouched.

boot: Use char

This also switches to _cleanup_free_. Otherwise no code changes.

boot: Use char16_t

This also switches to _cleanup_free_. Otherwise no code changes.

boot: Use stdint types

boot: Remove use of EFI_ERROR

The macro is ugly and annoying to use and provides no real benefit. The
only reason to use it would be to allow warnings to go through. But any
EFI APIs we call do not return warning status codes or we do not check
the return value anyway. The only other case would be BS->StartImage,
where we already treat anything other than EFI_SUCCESS as an error
anyway.

This also helps the compiler and code analyzers to better reason about
the code. In particular, this can help reduce use of uninitialized
variable warnings.

boot: Rename remaining EFI_STATUS vars to err for consistency

fundamental: Remove types-fundamental.h

This removes the fundamental typedefs in favor of just using standard C
types. These are all used internally anyway and also do not do anything
special to warrant any redefinition to EFI types.

Even for BOOLEAN we can safely use stdbool. The defition from the EFI
specification is fully compatible, including making any other values
than 0/1 as undefined.

The exception is sd_char as those need to be char16_t. The typedef is
moved to string-util-fundamental.h instead.

github: add more components to issue template

meson: show default nspawn locale in summary

Follow-up for a22f5186761a437d8845397bbbfeaf9a7d590ec2.

emacs: ignore .dir-locals-2.el (personal customization) versioning

hwdb: Add Lenovo ThinkPad C13 Yoga

Merge pull request #23834 from mrc0mmand/dfuzzer-in-a-container

A couple of tweaks to allow running TEST-21-DFUZZER in a container

test: drop unnecessary `|| :`

since we use `set +e` in the cleanup handler.

test: run TEST-21 in nspawn only if $TEST_PREFER_NSPAWN is set

so we can run it under nspawn in CIs which don't support nested KVM, but
avoid running it twice (both under nspawn and qemu) in CIs which support
both methods.

test: make TEST-21-DFUZZER work in containers

by avoiding fuzzing networkd and timesyncd when running in a container.

sha256: Use stdbool and uintptr_t

This also syncs the copyright blurb with current glibc sources. The
written by line does not appear in upstream, so it should be okay to
remove.

mkosi: Pull in fix that solves action mirror issue

udev: allow to execute longer command line

Fixes #23607.

ci: set top-level permissions as well

It should turn on the "restricted" mode by default regardless of
whether the global setting is on or not. New jobs in this action
should have to overwrite it explicitly to gain write access in any
way.

It should also make the action consistent with the other actions
writing various stuff like 'labeler' and 'codeql'.

ci: remove links to "codeless contribution" actions

They refer to actions with script injections running with full
access to repositories.

boot: Fix calls to ResetSystem

gnu-efi falsely declares a return type for ResetSystem when it should be
void. The spec also says that it never returns, so just assert.

logind: simplify code

Follow-up for 4885d7490b23e08d8444e5a68927ce9ce8727e5a.

github: Issue forms - fix GA `SHA1` ref

Fix `SHA1` reference for github action `stefanbuck/github-issue-parser` to
point to correct commit.

Follow-up to: #23811

github: Issue forms templates follow-up

- Use `SHA1` for actions versioning
- Fix typo: `github-issue-praser` -> `github-issue-parser`
- Define exact permissions

Follow-up to: #23693

Merge pull request #23802 from yuwata/core-watchdog-follow-ups

core: cleanups for watchdog

github: Update issue templates to issue forms

Issue forms templates allow us to add automation in place.
This patch replaces old markdown issue templates with new issue forms.
It also adds workflow to automatically mark issues by component label
based on reported data.

This change could help with initial triaging of issues.

logind-session-dbus: allow to set display name via dbus

Currently, the only way to set display name of a graphical session is to
pass it to CreateSession(). But modern display managers like gdm start
the display server as part of the user session, which means that the
display name isn't known yet when the session is being created. Hence,
let's make it possible to set it later.

bootspec: Add PE file name to log messages

Fixes: #23783

Merge pull request #23774 from yuwata/netlabel-nftset-follow-ups

network, core: revert NFTSet and NetLabel features

Merge pull request #23806 from keszybz/udevadm-info-pager

Pager for udevadm info

Revert "networkd: NetLabel integration"

This reverts PR #23269 and its follow-up commit. Especially,
2299b1cae32c1fb8911da0ce26efced68032f4f8 (partially), and
3cf63830acdef9d8afdc9ef1cf25aa7e85a5e4d5.

The PR was merged without final approval, and has several issues:
- The NetLabel for static addresses are not assigned, as labels are
  stored in the Address objects managed by Network, instead of Link.
- If NetLabel is specified for a static address, then the address
  section will be invalid and the address will not be configured,
- It should be implemented with Request object,
- There is no test about the feature.

Revert NFTSet feature

This reverts PR #22587 and its follow-up commit. More specifically,
2299b1cae32c1fb8911da0ce26efced68032f4f8 (partially),
e176f855278d5098d3fecc5aa24ba702147d42e0,
ceb46a31a01b3d3d1d6095d857e29ea214a2776b, and
51bb9076ab8c050bebb64db5035852385accda35.

The PR was merged without final approval, and has several issues:
- OSS fuzz reported issues in the conf parser,
- It calls synchrnous netlink call, it should not be especially in PID1,
- The importance of NFTSet for CGroup and DynamicUser may be
  questionable, at least, there was no justification PID1 should support
  it.
- For networkd, it should be implemented with Request object,
- There is no test for the feature.

Fixes #23711.
Fixes #23717.
Fixes #23719.
Fixes #23720.
Fixes #23721.
Fixes #23759.

udevadm info: use pager for all output types

Before we used the pager for --tree, but not e.g. for --export-db.
I don't see any particular reason to limit this.

udevadm info: implement --no-pager

core: close watchdog device if watchdog device is unspecified now

If a watchdog device was specified previously, and unspecified later and
PID1 is reloaded, then we need to close the device.

core: drop unnecessary free

As reset_arguments() frees the string.

Follow-up for 919ea64f69f710840c1bc93f0f7cb7c51aae45d0.

resolve: mDNS transaction max attempts fix

Maximum attempts to send mDNS requests is one except for probe requests, which should be attempted thrice.
Implemented fix to account for the difference between regular queries and probe requests, and prevent
even regular queries from being attempted thrice.
See RFC 6762 Section 8.1

core: Fix memory leaks

arg_early_core_pattern and arg_watchdog_device hold pointers to memory
allocated with strdup() (inside path_make_absolute_cwd). The memory needs
to be freed in reset_arguments() during reload rather than forgotten.

mkosi: Update CI to mkosi 13

Merge pull request #23791 from mrc0mmand/dfuzzer-followups

Several dfuzzer-related follow-ups

units: remove the restart limit on the modprobe@.service

They are various cases where the same module might be repeatedly
loaded in a short time frame, for example if a service depending on a
module keep restarting, or if many instances of such service get
started at the same time. If this happend the modprobe@.service
instance will be marked as failed because it hit the restart limit.

Overall it doesn't seems to make much sense to have a restart limit on
the modprobe service so just disable it.

Fixes: #23742

Add sys/file.h for LOCK_

Fixes build with musl:
| ../git/src/shared/dissect-image.c: In function 'mount_image_privately_interactively':
| ../git/src/shared/dissect-image.c:2986:34: error: 'LOCK_SH' undeclared (first use in this function)
|  2986 |         r = loop_device_flock(d, LOCK_SH);
|       |                                  ^~~~~~~

test: allow overriding $QEMU_MEM when running w/ ASan

test: make the shutdown routine a bit more "robust"

Replace the call to the `end.service` with `systemctl poweroff`, since
it seems to cause issues no matter what `--job-mode=` is used:

```
[  129.070993] testsuite-21.sh[380]: ++ systemctl start --job-mode=flush end.service
[  129.154985] testsuite-21.sh[912]: Failed to start end.service: Transaction for end.service/start is destructive (sysinit.target has 'stop' job queued, but 'start' is included in transaction).
[  129.159636] testsuite-21.sh[912]: See system logs and 'systemctl status end.service' for details.
```

Also, add a "safety net" which bypasses the manager and does the
poweroff directly, since sometimes the D-Bus call performed by
`systemctl` might timeout (as the manager might be still processing data
from the fuzzing):

```
[  115.776778] sh[894]: + systemctl poweroff --no-block
[  166.164242] testsuite-21.sh[893]: Failed to start transient service unit: Connection timed out
[  166.269289] sh[894]: Call to PowerOff failed: Connection timed out
```

test: drop the at_exit() coredump check

since we don't truncate the journal anymore.

test: make dfuzzer less verbose

Otherwise it oversaturates the journal, which in some cases can't keep
up with the load of messages (due to the performance penalty caused by
sanitizers), and gets killed by a watchdog.

test: always force a new image for dfuzzer

Otherwise we might end up with an image containing broken service
symlinks and other things, which break certain parts of the test.

pkgconfig,rpm: expose vars for user-tmpfiles.d location

Fixes https://bugzilla.redhat.com/show_bug.cgi?id=2098553.

test: use saved process PID instead of %%

As the `%%` specifier might fail if the current job (i.e. the last
background job) already finished:

```
[   61.692196] testsuite-04.sh[656]: ++ systemd-id128 new
[   61.705407] testsuite-04.sh[263]: + ID=912cb8f8ef304153a123f772bb0fe9e0
[   61.706318] testsuite-04.sh[657]: + systemd-cat -t 912cb8f8ef304153a123f772bb0fe9e0 bash -c 'echo parent; (echo child) & wait'
[   61.720940] testsuite-04.sh[263]: + PID=657
[   61.721126] testsuite-04.sh[263]: + wait %%
[   61.723014] testsuite-04.sh[263]: /usr/lib/systemd/tests/testdata/units/testsuite-04.sh: line 96: wait: %%: no such job
```

Merge pull request #22547 from mrc0mmand/dfuzzer

test: fuzz our dbus interfaces with dfuzzer

test: skip TEST-21-DFUZZER without ASan

as the test is quite time consuming and it yields more useful reports
when the target app is built with sanitizers.

test: fuzz our dbus interfaces with dfuzzer

test: make masking of supplementary services configurable

locale: drop unnecessary allocation

Fixes a bug introduced by 3d36b5d7e7b191fca7c5c65dbab94d99cf5f0230.

Fixes #23777.

Merge pull request #23771 from mrc0mmand/test-tweaks

A couple of test-output-related tweaks

networkctl: fix output of "status": replace "Queue Length" by "Number of Queues"

Commit 0307afc681e1 ("networkctl: add support to display Transmit/Recieve queue
length (#12633)") added the display of the number of RX and TX Queues to the
output of `networkctl status $DEV`. However the row description says "Queue
Length".

This patch fixes the output by replacing "Queue Length" by "Number of Queues".

Fixes: 0307afc681e1 ("networkctl: add support to display Transmit/Recieve queue length (#12633)")

add program name to log line

cryptenroll: fix typo in manpage

test: check journal directly instead of capturing console output

test: run the custom check hooks before common checks

since we delete the guest journals as part of the save_journal() step in
check_result_common(), making journal inaccessible from the custom check
hooks.

test: pass the initdir to check_result_{qemu,nspawn} hooks

test: fix a couple of issues found by shellcheck

test: don't flush debug logs to the console

Let's keep the debug logs in the journal, while logging only
testsute-*.sh stdout/stderr to the console (ba7abf7). This should make
the test output log a bit more readable and potentially the tests itself
a bit faster by avoiding console oversaturation.

Also, it should significantly reduce the size of artifacts kept by CIs.

test: always wrap useradd/userdel when running w/ ASan

since they dlopen() PAM modules, including systemd ones.

test: make the busy loop in TEST-02 less verbose

as it unnecessarily clogs the logs.

Merge pull request #23756 from yuwata/analyze-seccomp-filter

analyze: fix seccomp filter handling in security command

meson: Reorder cflags for sd-boot

Currently, -Wall and -Wextra override previously passed flags like
-Wno-unused-parameter. This reorders them to be passed before any
optional flags. -Wsign-compare is part of -Wextra and therefore dropped.
-nostdlib is a link-stage flag and dropped as it is already part of
efi_ldflags.

test: send stdout/stderr of testsuite units to journal & console

to make debugging in CIs slightly easier.

test: add syscall filter tests for analyze security

seccomp-util: make @known include @obsolete

@known is generated from syscall-list.txt, which generated from kernel
headers. So, some syscalls in @obsolete may not be listed in
syscall-list.txt.

analyze-security: always save syscall name

This reverts dd51e725df9aec2847482131ef601e0215b371a0 and fixes bugs
introduced by 1624114d74f55ad9791b7624b08d89d2339a68b3.

Previously,
- On online scan, the syscall filter was a string Hashmap, but it
  might contain syscall name with errno or error action. Hence, we need
  to drop the errno or error action in the string.
- On offline scan, the syscall filter was a Hashmap of syscall ID, so
  hashmap_contains() with syscall name did not work. We need to convert
  syscall IDs to syscall names.
- If hashmap_contains() in syscall_names_in_filter() is true, then
  the syscall is allowed when the list is an allow-list, and vice versa.
  Hence, the condition in syscall_names_in_filter() was errnously
  inverted by dd51e725df9aec2847482131ef601e0215b371a0.

This makes syscalls are always stored with its name, instead of ID,
and also correct the condition.

Fixes #23663.

set: introduce set_put_strndup()

Note, if `n != SIZE_MAX`, we cannot check the existence of the specified
string in the set without duplicating the string. And, set_consume() also
checks the existence of the string. Hence, it is not necessary to call
set_contains() if `n != SIZE_MAX`.

core/dbus-execute: drop unnecessary flag

The code block is called only when the list was empty, and the newly
requested list is allow-list. Hence, invert_flag is always zero here.

core/dbus-execute: do not append denied syscalls in allow-list

Follow-up for 68acc1afbe5cec50da1ffdc411dadda504e4caf5.

Before the commit, SystemCallFilter bus property provides only allowed
syscalls if ExecContext.syscall_filter is an allow-list, and vice versa.

After the commit, if the list is allow-list, it contains allowed
syscalls with value `-1`, and denied syscalls with non-negative values.

To keep the backward compatibility, denied syscalls must be dropped in
SystemCallFilter bus property.

Merge pull request #23741 from mrc0mmand/more-asan-tweaks

test: wrap certain uninstrumented binaries to make them work w/ ASan

nspawn: fix UID map string

We send/recv the set of payload uid, host uid, payload gid, host gid.
Hence, the index must be incremented with 4, instead of 2.

Fixes #23664.

RFC 6762 section 7.1: a Multicast DNS querier SHOULD NOT include records in the
Known-Answer list whose remaining TTL is less than half of their original TTL

resolve: mark mDNS RRs in the Additional Records section as cacheable

RFC 6762 does not restrict caching of records in the Additional section.
Caching can improve resolve efficiency.

test: don't wrap binaries built with ASan

since they should handle loading other instrumented libraries without
issues.

test: drop all LD_PRELOAD-related ASan workarounds

since they shouldn't be necessary anymore, as we tweak the "problematic"
binaries on per-binary basis.