man/veritysetup-generator: document veritytab kernel command line option

man: fix links to veritysetup(8)

refactor: replace sizeof in loop with ELEMENTSOF & FOREACH_ELEMENT (#34863)

update TODO

man/network: fix typo

Follow-up for 1f5a052963464755e87a075f6f4a8867b2199311.

measure: fix typo

Follow-up for 0005411352f9bda0d9887c37b9e75a2bce6c1133.

TEST-55-OOMD: fix typo

Follow-up for 63d4c4271ca529f8357a84cbc075170fffdb3de8.

Merge pull request #34850 from poettering/openat-report-new-tweaks

openat_report_new() tweaks

network: adjust log message about DNR

The only possible error return in this position is -ENODATA, which is
not interesting.

Merge pull request #34861 from poettering/can-idle

logind: introduce CanIdle/CanLock properties on logind session dbus objects

mkosi: update debian commit reference

* 07a294d0c6 Do not mask systemd-gpt-auto-generator in upstream CI builds
* 5636398bf7 Backport patch to fix test failures with tzdata 2024b-1
* 354ded4946 Update changelog for 256.7-2 release
* e38c7c5345 Backport fixes for upstream autopkgtest suite
* 249676834c Disable utmp support, not y2038 safe
* 822d44da42 initramfs-tools: support missing /etc/udev/udev.conf
* ad71ebf700 systemd-boot: depend on systemd for kernel-install
* 5bf7008ef8 d/systemd.postinst: do not restart systemd-binfmt.service if masked
* 58d5aa1b41 d/rules: mask systemd-gpt-auto-generator on Ubuntu
* 481987d85c Update changelog for 256.7-1 release
* ce7f3d4b43 Revert "autopkgtest: skip TEST-64-UDEV-STORAGE due to qemu crash"
* 7007e73b22 Mark dependencies on clang and bpftool as :native
*   0e120cf704 Update upstream source from tag 'upstream/256.7'
|\
| * 914aae055c New upstream version 256.7
* fcea89cb00 d/t/upstream: honor /etc/apt configured by autopkgtest

Merge pull request #34860 from enr0n/varlinkctl-fixes

Fix varlinkctl output with `--more`

logind: allow read/write to char-hvc devices

virtio console uses /dev/hvc* so we need access to write wall
messages

logind: also check session class in session_get_idle_hint()

logind: use RET_GATHER() at one more place

logind: add CanIdle + CanLock dbus properties to session object

Clients should be able to know if the idle logic is available on a
session without secondary knowledge about the session class. Let's hence
expose a property for that.

Similar for the screen lock concept.

Fixes: #34844

varlinkctl: set SD_JSON_FORMAT_FLUSH when --more is set

This makes it possible to process continuous replies with jq etc.

varlinkctl: do not clobber format flags in verb_call

Currently, when SD_JSON_FORMAT_OFF is set in verb_call, the json format
flags are set to SD_JSON_FORMAT_PRETTY_AUTO|SD_JSON_FORMAT_COLOR_AUTO,
rather than or'ing those flags in. This means that other flags that may
have been set, e.g. SD_JSON_FORMAT_SEQ when --more is set, will be
clobbered.

Fix this by masking SD_JSON_FORMAT_OFF out, and then or'ing the new
flags in.

Merge pull request #34848 from yuwata/network-dhcpv6-do-not-request-ia-pd-on-info-req

network/dhcp6: do not request IA_PD on information requesting mode

resolved: validate noerror response for CNAMEs

CNAME doesn't exist at the zone apex. When we get an unsigned noerror
response to a direct query for a CNAME record, we don't yet know if this
name is zone apex. We already request the correct DS record in this
case, but previously skipped it at validation time, causing the answer
to appear bogus. Make sure to also consider the DS record for the query
name for negative replies.

fs-util: move attempts counter in openat_report_new() into loop

label: move label_ops_reset() up a bit

Let#s move it close to label_ops_set(), since it is somewhat symmetric
to it.

label: add missing assert() to label_ops_set()

shared: get rid of fileio-label.[ch]

Move the renaming function to reboot-util.h (since it writes out
/run/nologin at shutdown), and let's get rid of fileio-label.[ch] now
that it serves no purpose anymore.

fileio: port write_string_file_full() to openat_report_new()

This brings two benefits: we will label the created file only if it is
actually created, and we can correctly delete any file we create again
on failure.

fileio: port write_string_file() to LabelOps, and thus add WRITE_STRING_FILE_LABEL flag

Given that we have the LabelOps abstraction these days, we can teach
write_string_file() to use it, which means we can get rid of
fileio-label.[ch] as a separate concept.

(The only reason that fileio-label.[ch] exists independently of
fileio.[ch] was that the former linekd to libselinux potentially, and
thus had to be in src/shared/ while the other always was in src/basic/.
But the LabelOps vtable provides us with a nice work-around)

fs-util: tweak how openat_report_new() operates when O_CREAT is used on a dangling symlink

One of the big mistakes of Linux is that when you create a file with
open() and O_CREAT and the file already exists as dangling symlink that
the symlink will be followed and the file created that it points to.
This has resulted in many vulnerabilities, and triggered the creation of
the O_MOFOLLOW flag, addressing the problem.

O_NOFOLLOW is less than ideal in many ways, but in particular one: when
actually creating a file it makes sense to set, because it is a problem
to follow final symlinks in that case. But if the file is already
existing, it actually does make sense to follow the symlinks. With
openat_report_new() we distinguish these two cases anyway (the whole
function exists only to distinguish the create and the exists-already
case after all), hence let's do something about this: let's simply never
create files "through symlinks".

This can be implemented very easily: just pass O_NOFOLLOW to the 2nd
openat() call, where we actually create files.

And then basically remove 0dd82dab91eaac5e7b17bd5e9a1e07c6d2b78dca
again, because we don't need to care anymore, we already will see ELOOP
when we touch a symlink.

Note that this change means that openat_report_new() will thus start to
deviate from plain openat() behaviour in this one small detail: when
actually creating files we will *never* follow the symlink. That should
be a systematic improvement of security.

Fixes: #34088

fs-util: always call label post ops in xopenat_full(), in both success and error path

For SELinux it is essential that we reset the file creation label both
in the success and in the error path, hence do so.

Moreover, when calling the label post ops do it if possible with the
opened fd of the inode itself, rather than always going via its path,
simply to reduce the attack surface.

fs-util: don't second guess openat_report_new() return values

If openat_report_new() fails, then 'made_file' will be false, as no file
was created, hence there's no need to skip the unlinkat() explicitly
early, given that we check for 'made_file' anyway in the error path. The
extra error code checks are hence entirely redundant.

label: tweak LabelOps post() hook to take "created" boolean

We have two distinct implementations of the post hook.

1. For SELinux we just reset the selinux label we told the kernel
   earlier to use for new inodes.

2. For SMACK we might apply an xattr to the specified file.

The two calls are quite different: the first call we want to call in all
cases (failure or success), the latter only if we actually managed to
create an inode, in which case it is called on the inode.

fs-util: always go through the unlink cleanup paths in xopenat_full()

We didn't go through it at all if label_ops_post() failed.

fs-util: remove misplaced RET_NERRNO()

Merge pull request #34851 from DaanDeMeyer/medium

bus-util: Return ENOMEDIUM if XDG_RUNTIME_DIR is unset

bus-util: Fix bus_log_connect_error()

bus-util: Special case when DBUS_SESSION_BUS_ADDRESS is set and XDG_RUNTIME_DIR isn't

We noticed some failures because we have code that connects to user
managers by setting DBUS_SESSION_BUS_ADDRESS without setting XDG_RUNTIME_DIR.
If that's the case, connect to the user session bus instead of the
private manager bus as we can't connect to the latter if XDG_RUNTIME_DIR
is not set.

bus-util: Return ENOMEDIUM if XDG_RUNTIME_DIR is unset

bus_log_connect_error() checks for ENOMEDIUM, not ENXIO.

Merge pull request #34761 from ikruglov/ikruglov/io-systemd-Machine-GetAddresses

machine: add Addresses, OSRelease, and UIDShift fields in varlink io.systemd.Machine.List output

Merge pull request #30952 from rpigott/resolved-dnr

RFC9463: Discovery of Network-designated Resolvers

test: CET/EET are deprecated, use Europe/Berlin and Kyiv

The links moved to the legacy dataset so they won't be available by
default, so stop using them and just use the city ones instead

man: suggest to use DHCPv6Client= when upstream provides RA with the Managed bit unset

Follow-up for daf9f42f9183c206c0f8308efece019797e95e89.

network/dhcp6: do not request IA_PD when running in the other-information mode

This reverts the following commits:
- 180cc5421d9712fb95a6bbc725dc8ba459360c8b
  "sd-dhcp6-client: allow to request IA_PD on information requesting mode"
- cf7a403e470368049165ecff7ac7686928778d7c
  "sd-dhcp6-lease: adjust information refresh time with lifetime of IA_PD"
- 1918eda30d12e1ba3ee55921c18ec53267463e24
  "network/dhcp6: process hostname and IA_PD on information requesting mode"

As per discussion in #34299,
https://github.com/systemd/systemd/issues/34299#issuecomment-2425153221
the offending commits violate RFC 8415 section 18.2.6:
> The client uses an Information-request message to obtain
> configuration information without having addresses and/or delegated
> prefixes assigned to it.

Merge pull request #34628 from DaanDeMeyer/measure

Rework TEST-86-MULTI-PROFILE-UKI + associated bugfixes

resolve: move sd-* api into libsystemd-network

This duplicates the svc param constants for the benefit of the
resolved-core library.

ndisc: implement ndisc_option_build_encrypted_dns

This is only used by the fuzzer so far.

network: add dnr resolvers to networkctl status json output

test/fuzz: add dnr packets

The structure of DNR options is considerably more complicated than most
DHCP options, and as a result the fuzzer has poor coverage of these code
paths.

This adds some DNR packets to the fuzzing corpus, not with the intent of
capturing some specific edge case, but with the intent to rapidly
improve the fuzzers' coverage of these codepaths by giving it a valid
example to begin with.

Also include an ndisc router advert with a few Encrypted DNS options,
for the same purpose.

network: Serialize ipv6ra DNR

Serialize DNR servers acquired by ipv6ra option, same as the V4/V6 DNR
DHCP options.

network: Introduce IPv6RA UseDNR= option

Same as the DHCP v4/v6 options, this controls the use of DNR received
from ipv6ra.

ndisc: Parse RFC9463 encrypted DNS (DNR) option

This option is equivalent to the V4/V6 DNR options for DHCP.

test-network: add DHCPv6 DNR test

Same as the DHCPv4 test.

network: Serialize DHCPv6 DNR servers

This serializes DNR servers acquired by V6_DNR option, equivalent to the
V4_DNR option.

network: Introduce UseDNR DHCPv6 option

This is equivalent to the DHCPv4 option introduced earlier.

network: Parse RFC9463 DHCPv6 DNR option

Implement the parsing for V6_DNR DHCPv6 option. This does the same as
the DHCP V4_DNR option.

dhcp6: use dns_name_from_wire_format

Convert some of the option parsing to use dns_name_from_wire_format,
introduced earlier. No change in behavior intended.

test-dhcp6: terminate fqdn option

The encoded fqdn in this option must be properly terminated. We will
soon validate that this field is correctly encoded, so correct it in the
test.

test-network: add test for DHCPv4 DNR

This will test that networkd/resolved can understand the V4_DNR DHCP
option.

network: Serialize DNR servers

Implement serialization/deserialization for DNR servers. This re-uses
the string format in place for user configuration of DoT servers, and as
a consequence non-DoT servers are discarded when recording the link
configuration, for correctness.

This also enables sd-resolved to use these servers as it would other DNS
servers.

network: Add serialization for DoT resolvers

For now only DoT is supported, so DoT resolvers are represented using
the existing configuration format.

network: Introduce UseDNR DHCPv4 option

This option will control the use of DNR for choosing DNS servers on the
link. Defaults to the value of UseDNS so that in most cases they will be
toggled together.

machine: add tests for Addresses/OSRelease/UIDShift fields in io.systemd.Machine.List output

machine: use AcquireMetadata in io.systemd.MachineImage.List method

machine: add Addresses field in varlink io.systemd.Machine.List output

This is equivalent to DBus implementation of GetMachineAddresses.

machine: add OSRelease and UIDShift fields in varlink io.systemd.Machine.List output

This commit adds support of the above mentioned fields. This is equivalent to DBus implementation of:
- GetMachineOSRelease
- GetMachineUIDShift

machine: enum AcquireMetadata

Rework TEST-86-MULTI-PROFILE-UKI

Now that mkosi supports generating UKI profiles, let's make use of
that to generate the UKI profiles required for the test instead of
doing it within the test itself.

TEST-70-TPM2: Disable public key enrollment explicitly

Otherwise, when the test is executed on a system with signed PCRs,
cryptenroll will automatically pick up the public key from the UKI
which results in a volume that can't be unlocked because the pcrextend
tests appends extra things to pcr 11.

cryptenroll: Remove faulty assert()

We can break out of the preceeding for loop in certain scenarios
which would trigger the assert so let's drop it.

pcrlock: Take VirtualSize > SizeOfRawData into account

If VirtualSize > SizeOfRawData, measure extra zeros to take into
account the extra zeros also measured by the stub.

machine: rework Operation logic to reuse in varlink interface

Merge pull request #34403 from poettering/askpw-per-user

modernize the ask-password logic, and add unpriv askpw agents to the concept

Merge pull request #34787 from yuwata/core-ip-address-allow-deny

core/cgroup: fix IPAddressAllow=/IPAddressDeny= set through DBus

mkosi: update opensuse commit reference

It was force-pushed again

varlinkctl: respect $COLUMNS when rebreaking lines and we are not connected to a TTY

Let's provide a mechanism to select the number of screen columns for
rebreaking comments in Varlink IDL connected to a TTY, by honouring the
$COLUMNS env var then too. Previously we'd only honour when connected to
a TTY, but it's also useful otherwise for rebreaking ridiculously long
comments, hence honour it in this case too.

tty-askpw-agent: modernize wall_tty_match() a bit

ask-password-api: don't accidentally create a dir, when we don't want one

Previously, we were using touch(), which usually works fine, because the
path should always refer to an existing directory, in which case it just
updates the timestamp. However, if the dir does not exist yet (which
shouldn't happen), it would be created as regular file, which is just
wrong.

Hence, let's instead create the dir as dir if it is missing, and then
update its timestamp.

man: update PASSWORD_AGENTS spec, and introduce unpriv pw queries

Fixes: #1232 #2217

ask-password-tool: add --user/--system flag to systemd-ask-password tool

This allows selecting which agents to ask about this: system-level
agents, or per-user agents.

Fixes: #1232 #2217

ask-password-api: add support for querying pws from unpriv agents

ask-password-api: minor modernizations

tty-ask-password-agent: support for watching both system-wide and per-user askpw dir

Fixes: #1232 #2217

tty-ask-password-agent: minor modernizations

core: modernize askpw handling a bit

Merge pull request #33398 from AdrianVovk/sysupdate-optional

sysupdate: Add support for optional features

Merge pull request #34667 from rpigott/resolved-bypass

resolve: fixes for sd-resolved bypass

sysupdate: Use camelCase for JSON field names

Seems like we missed some snake_case field names in previous reviews of
systemd-sysupdate

measure: Take SizeOfImage into account as well for .linux section

Same change as https://github.com/systemd/systemd/pull/34583 but for
systemd-measure. Otherwise we end up with PCR policy digest mismatches
as systemd-stub will measure the full virtual size of the kernel image
after it has been loaded while systemd-measure will disregard the extra
size introduced by SizeOfImage.

While ideally the stub would only measure the data that's actually on
disk and not the uninitialized data introduced by VirtualSize > SizeOfRawData,
we want newer systemd-measure to work with older stubs so we have to fix
systemd-measure and can't fix this in the stub.

test: exercise bypass mode on the sd-resolved stub

A basic test will verify that we provide the right flags.

resolved: update condition for caching full packets

Previously a full packet was cached only if the CD bit was set, but this
no longer corresponds to the cases where bypass is enabled.

Update the cache to retain a full packet in the cases where it might
actually be useful.

resolved: enable CD bit without DO set

This is useful for a validating resolver to indicate to a non-validating
resolver when checking was disabled for the query. This matches the
behavior of the major public resovlers in response to queries with CD bu
tnot DO set.

resolved: authenticate bypass queries

Following 13e15dae9f0b, resolved does not forward the AD bit for bypass
queries, but resolved also didn't do it's own validation, making these
replies appear to never be authentic. We should enable validation for
bypass queries.

Let's disable our own validation when processing a +cd query, and also
ensure that it skips the cache so that we don't accidentally fail to
return inauthentic replies from upstream.

Previously, when we had a bypass transaction without cd, a cached,
authenticated, reply with cd could be served, leaving the cd bit
erroneously set in the reply. Only reply with a CD bit if the client
requested it.

Fixes: 13e15dae9f0b (resolved: clear the AD bit for bypass packets)

TEST-55-OOMD: workaround for kernel regression in 6.12-rcX

This ignore failures when running on kernel-6.12-rcX, which has a
regression in the kernel scheduler that breaks PSI.

From https://github.com/systemd/systemd/issues/32730#issuecomment-2415312260
> There is a known scheduler bug in 6.12 that breaks psi. It leaks
> "running tasks" counts, which matches your symptoms of seeing partial
> pressure only.
>
> Do you see "inconsistent task state" warnings in dmesg | grep psi?
>
> A fix is queued in the scheduler tree, should be sent to Linus shortly:
> https://git.kernel.org/pub/scm/linux/kernel/git/tip/tip.git/commit/?id=c6508124193d42bbc3224571eb75bfa4c1821fbb

Workaround for #32730.

updatectl: Introduce optional feature verbs

This introduces a nice UX for listing, inspecting, enabling, and
disabling optional features from the command line.

sysupdated: Plumb through optional features

This adds APIs to enumerate/inspect/enable/disable optional features.

sysupdate: Add verb to inspect features

sysupdate: Add tests for optional features

Makes sure we don't regress on #33343 and #33344

sysupdate: Introduce optional features

Optional features allow distros to define sets of transfers that can
be enabled or disabled by the system administrator. This is useful for
situations where a distro may want to ship some resources version-locked
to the core OS, but many people have no need for the resource, such as:
development tools/compilers, drivers for specialized hardware, language
packs, etc

We also rename sysupdate.d/*.conf -> sysupdate.d/*.transfer, because
now there are more than one type of definition in sysupdate.d/. For
backwards compat, we still load *.conf files as long as no *.transfer
files are found and the *.conf files don't try to declare themselves
as part of any features

Fixes https://github.com/systemd/systemd/issues/33343
Fixes https://github.com/systemd/systemd/issues/33344

fs-util: Introduce symlinkat_idempotent

Merge pull request #34820 from poettering/dissect-image-uclean

dissect-image: generate better log message for EUCLEAN dissect error

Merge pull request #34783 from keszybz/man-nspawn-private-users

Change systemd-nspawn man page to strongly recommend private users

tree-wise: use "lightweight" spelling

Both spellings were used, but the dictionary says that "lightweight"
is the standard spelling.