systemctl: refuse to acquire dbus connection with --global

Maybe, better to check the runtime scope each verb for better log
message, but this is a good start point to not trigger assertion.

Fixes oss-fuzz#56915 (https://bugs.chromium.org/p/oss-fuzz/issues/detail?id=56915).

Fixes #26402 and #26754.

Merge pull request #26772 from yuwata/time-util-adjust-formattable-timestamp-max

time-util: adjust formattable timestamp max

added a unit test for a function in "argv-utils.c" (#26760)

* added a unit test for argv-utils.c

test-time-util: do not fail on DST change

time-util: add note about on DST change

test: add more testcases for formatting/parsing timestamp

time-util: make USEC_TIMESTAMP_FORMATTABLE_MAX for 32bit system off by one day

As the same reason why we take one day off for 64bit case.

This also makes both upper bounds always defined for testing.

Merge pull request #26775 from DaanDeMeyer/ext-default

mkfs-util: Always use "default" usage type for ext filesystems

Merge pull request #26776 from YHNdnzj/edit-util-more-cleanup

edit-util: some more cleanups

edit-util: include the correct header

edit-util: rename trim_edit_marker to strip_edit_temp_file

with some minor cleanups

edit-util: always create temp file

even if neither original_path nor comment_paths is specified.

edit-util: minor cleanups

Reuse unlink_and_free() and avoid unnecessary
call to rmdir()

mkfs-util: Redirect mkfs.vfat stdout to /dev/null

mkfs.vfat does not have a --quiet option so let's redirect its
stdout to /dev/null instead.

mkfs-util: Don't explicitly enable has_journal for ext3/ext4

It's enabled by default anyway and removing it allows merging the ext
conditionals into one.

mkfs-util: Always use "default" usage type for ext filesystems

If no usage type is explicitly specified, ext will choose one based
on the filesystem size. Let's override this and always use the
"default" usage type so that we can create filesystems that are
initially small but might grow later without opting in to the "small"
usage type.

Merge pull request #26756 from yuwata/edit-util-cleanups

edit-util: several cleanups

sd-boot: fix incompatible type

Fixes the following build error:
```
../src/boot/efi/vmm.c: In function ‘get_smbios_table’:
../src/boot/efi/vmm.c:217:24: error: incompatible types when returning type ‘_Bool’ but ‘const SmbiosHeader *’ was expected
  217 |                 return false;
      |                        ^~~~~
```

edit-util: unlink temporary file on failure

Addresses the suggestion
https://github.com/systemd/systemd/pull/26756#discussion_r1133078705.

edit-util: fix potentical crash when no edit markers

This also makes trim_edit_markers() take EditFile as the argument.

edit-util: make create_edit_temp_file() take EditFile as the argument

No functional changes, just refactoring.

edit-util: make EditFile take reference of EditFileContext

No functional change, just preparation for later commits.

systemctl-edit: invert one error check

systemctl-edit: shorten code a bit

mkosi: Update to latest

Merge pull request #26641 from medhefgo/boot-elf2efi

boot: Drop gnu-efi / Add elf2efi.py

Merge pull request #26303 from YHNdnzj/edit-util

shared: add edit-util (part of which extracted from systemctl-edit)

Merge pull request #26739 from ldv-alt/udevadm-verify

udevadm verify: introduce --root option

Merge pull request #26752 from Foxboron/morten/fix-manpage

src: Fixup copy-paste error for terminal_urlify_man

man: Fix pcrphase.service manvolnum from 1 to 8

src: Fixup copy-paste error for terminal_urlify_man

Signed-off-by: Morten Linderud <morten@linderud.pw>

generator: fix comment

edit-util: several cleanups for run_editor

run_editor is now switched to heap allocation
for simplicity. The code for child is made into
an individual function for simpler error handling.

systemctl: edit: several cleanups

edit-util: introduce EditFileContext

This is a rather large change which moves
the add and install logic into edit-util.

We store an EditFile array and the number of
elements, along with the edit markers used in
temporary files and whether to remove the parent
directories of the target files if they're empty
in an EditFileContext object.

Call edit_files_add() to add an file to edit,
and do_edit_files_and_install() to do the actual
editing (through create_edit_temp_file(),
run_editor() and trim_edit_markers()).
After that, edit_file_context_done() can be used
to destroy the object.

edit-util: several cleanups to create_edit_temp_file

original_path and comment_paths can now be used
together.

Removes reference to "unit"

shared: extract edit-util from systemctl-edit

udev_rules_parse_file: issue diagnostics about duplicate LABEL tokens

When a rules contains several LABEL tokens, the parser used to silently
discard all of them besides the last one without any diagnostics at all.
It's time to break the vow of silence and let the parser issue a warning.

mount: Include After=local-fs-pre.target by default in initrd

Although it may be true that /sysroot and its children don't belong in
local-fs.target, that doesn't mean they shouldn't come after
local-fs-pre.target. For instance, systemd-hibernate-resume@.service needs to
come before /sysroot and its children, but currently that only happens
coincidentally because of the ordering between systemd-fsck@.service and
local-fs-pre.target. As a result, mount units can be mistakenly started
simultaneously with systemd-hibernate-resume@.service, which can cause
corruption and data loss in the worst of cases.

testsuite-17.11.sh: check udevadm verify --root

udevadm verify: introduce --root option

When udevadm verify is invoked without positional arguments and loads
all rules files from the system like the udev daemon does, this option
can be used to operate on files underneath the specified root path.

udevadm verify: load all rules from the system if no rules were given

When udevadm verify is invoked without positional arguments, that is,
when no udev rules files are specified, load all rules files from the system
like the udev daemon does, and verify them.

testsuite-17.11.sh: prepare to test udevadm verify --root

testsuite-17.11.sh: create all files in a temporary directory

Make sure the test would not collide with anything else by moving
all files it created into a temporary directory.

testsuite-17.11.sh: robustify unknown user/group checks

Use certainly invalid user/group names in the tests that check
unknown user/group diagnostics.

Merge pull request #26726 from DaanDeMeyer/cleanups

Various small cleanups

Merge pull request #26737 from poettering/runtime-scope

add RuntimeScope enum, replacing LookupScope and various booleans indicating whether we are called in a per-system or per-user context

Merge pull request #26747 from poettering/dissect-common-decrypt

minor clean-ups for src/dissect/dissect.c

test: run script from /tmp, not /run

On Debian the test fails because /run is noexec. Simply create the
script in /tmp (and use a BindPath=), as other tests are doing.

Follow-up for 3b7101183cac4b35a8bd6ea2c1de9260c33f977f

lock-util: Use unposix_lock() in make_lock_file() and release_lock_file()

user-util: Use unposix_lock() in take_etc_passwd_lock()

lock-util: Move to src/basic

lock-util: Add CLEANUP_UNPOSIX_UNLOCK()

Also migrate the logic in dynamic-user.c to use the new cleanup
macro.

lock-util: Add unposix_lock()

Let's add an interface to UNPOSIX locks that mimicks the flock()
interface for BSD locks.

meson: Use static library for EFI tests

This also moves them so that fuzz builds do not need pyelftools around.

boot: Fix unused function warning

ci: Adjust for new EFI build

boot: Add RISCV32 and LoongArch support

This is completely untested, but should work in theory, as it's just
adding a couple defines according to the specs.

boot: Fix debug experience

boot: Bring back bootloader builds

This adds back sd-boot builds by using meson compile targets directly.
We can do this now, because userspace binaries use the special
dependency that allows us to easily separate flags, so that we don't
pass anything to EFI builds that shouldn't be passed.

Additionally, we pass a bunch of flags to hopefully disable/override any
distro provided flags that should not be used for EFI binaries.

Fixes: #12275

tree-wide: Drop gnu-efi

This drops all mentions of gnu-efi and its manual build machinery. A
future commit will bring bootloader builds back. A new bootloader meson
option is now used to control whether to build sd-boot and its userspace
tooling.

meson: Introduce userspace dep

This will help in a later commit to separate userspace from EFI builds.

dissect: use a switch statements where appropriate

dissect: share dissected_image_decrypt_interactively() invocation between actions

Let's invoke dissected_image_decrypt_interactively() at once place only,
instead of in each function separately.

No actual changes, just some minor refactoring.

Merge pull request #26331 from ddstreet/tpm2_pcr_read

Tpm2 pcr read

lockfile-util: Rename to lock-util

lockfile-util: Drop flock() fallback

UNPOSIX locks were added in 3.15 which is now our minimal kernel
version, so let's drop the fallback.

runtime-scope: add helper that turns RuntimeScope enum into --system/--user string

basic: add RuntimeScope enum

In various tools and services we have a per-system and per-user concept.
So far we sometimes used a boolean indicating whether we are in system
mode, or a reversed boolean indicating whether we are in user mode, or
the LookupScope enum used by the lookup path logic.

Let's address that, in introduce a common enum for this, we can use all
across the board.

This is mostly just search/replace, no actual code changes.

socket-util: fix socket_get_family()

Function didn't actually return anything useful. Quite a shame.

Merge pull request #26693 from poettering/udev-loop-links

udev: add /dev/loop/by-inode/… + /dev/loop/by-ref/… loopback block device symlinks

Merge pull request #26704 from poettering/mnt-nosymlinks

Set MS_NOSYMFOLLOW for ESP + XBOOTLDR and many mount option clean-ups

repart: Add support for reading mkfs options from environment

Merge pull request #26741 from poettering/acquire-fd-fixes

trivial fixes to acquire_data_fd()

load-fragment: add user credential specifiers to user.conf

This enables the ManagerEnvironment= settings in the user's user.conf to
reference some user data like $HOME for the purpose of setting
environment variables derived from these values.

Merge pull request #26734 from mrc0mmand/test-followups

Assorted test tweaks

Merge pull request #26731 from yuwata/mempressure-follow-ups

Mempressure follow ups

data-fd-util: use fd_reopen() a bit more

fd-util: move ACQUIRE_NO_XYZ flags to the header the function using them is in

Follow-up for: b25a930f0e2ebe77bc8b0f0acfac8a3b27ef1f0a

mempress: change default PSI window duration to 2s

This changes the PSI window duration we default to for watching memory
pressure events from 1s to 2s. This is because apparently the kernel
will soon disallow window durations other than 2s for unprivileged
processes.

Hence, we'll bump the threshold from 100m to 200ms, and the window from
1s to 2s.

update TODO

test: test new systemd-dissect --attach/--detach/--loop-ref= and /dev/loop/* symlinks

Let's test that everything we just added works in combination.

mountpoint-util: add comment explaining why fstype_can_discard() can't use mount_option_supported()

mountpoint-util: add new fstype_can_umask() helper

mountpoint-util: move 'norecovery' detection into its own helper call

And let's also ask the kernel explicitly for support.

mountpoint-util: use mount_option_supported() to detect if 'discard' is support for an fs

mountpoint-util: generalize mount_option_supported()

gpt-auto-generator: port to partition_pick_mount_options() too

This way we'll have the same mount options in place if we boot via the
gpt generator, or if we mount a DDI locally.

Note that this will also enable MS_NOSYMFOLLOW on ESP and XBOOTLDR now,
if booted via gpt-auto-generator.

dissect-image: set MS_NOSYMFOLLOW for ESP/XBOOTLDR

When we mount a DDI, let's set MS_NOSYMFOLLOW for ESP/XBOOTLDR. They are
generally untrusted territory, (i.e. outside of
encryption/authentication via dm-crypt/dm-verity). Moreover they are
generally FAT, where symlinks don't exist anyway. Let's hence disable
symlinks for them.

This slightly refactors how we put together mount options for mounts,
splitting this out into a new helper call
dissected_partition_pick_options(), which we should be able to reuse
later in gpt-auto-generator, to ensure mounts via loopback as DDI and
those on bare metal get the same options.

tpm2: add tpm2_pcr_read()

test/test-tpm2: add tests for pcr selection functions

tpm2: add/rename functions to manage pcr selections

This renames some functions to match other to/from_string() naming,
and allows better management of TPML_PCR_SELECTION and TPMS_PCR_SELECTION
structs.

tpm2: add TPM2_PCR_VALID()

tpm2: add tpm2_get_policy_digest()

test/test-bitfield: add tests for bitfield macros

udev: add /dev/loop/ symlinks

This adds symlinks that allow accessing loopback block devices via stable
names that reference their backing block devices, make the unpredictable
naming of loopback devices less of an issue.

Example:

1. Create a loopback block device for a file $F

   losetup --find $F

2. Reference the backing block device via its inode:

   L="$(stat -c '/dev/loop/by-inode/%Hd:%Ld-%i' $F)"
   fdisk $L

In the above the loop device name (which might be /dev/loop47 or any
other name) is not used at all.

dissect: shorten code a bit

dissect: allow setting "lo_file_name" field of loopback block devices

When attaching a loopback file this allows us to set an explicit name
for it. This is useful since it allows a caller to pre-select a string
that is directly attached to the loopback file. Via udev rules we'l
later make the device accessible through this name.

Note that "lo_file_name" is supposed to carry a file name of the backing
file, but the kernel actually does not care or enforce any of that, it
just stores the filename and returns it later. This makes it so useful,
as userspace has total control of that field.

"lo_file_name" should not be confused with the sysattr
"loop/backing_file" which is actually maintained by the kernel itself,
and always shows the file to the backing inode without userspace having
direct control over the returned string. Because the sysattr is
generated by the kernel it is subject to file system namespacing and
everything, while "lo_file_name" is not, it's really just a string
passed through the kernel.

dissect: add commands for attaching/detaching loopback devices

Sometimes it is useful attaching DDIs without mounting them. We could
use "losetup" for that, but doing this in systemd-dissect has various
benefits:

1. we superficially validate the DDI first
2. we set the sector size depending on what we determine
3. we synchronously create the per-partition block devices

loop-util: add API for selecting "lo_file_name" field for a loopback device