hwdb: fix Positivo-vaio FE14 V2 key toggle touchpad #24822  (#24825)

resolved notifications: follow-up fixes

Further review comments from: https://github.com/systemd/systemd/pull/22845

Merge pull request #24832 from mrc0mmand/more-TEST-64-tweaks

A couple of performance tweaks for TEST-64 under QEMU

test: use fewer partitions/LVs when running with plain QEMU

test: make the symlink helpers a bit more quiet

and show only errors/warnings.

test: ignore tty* devices when checking device units

This lower the runtime of `check_device_units()` in a plain QEMU VM from
~45 seconds to ~25 seconds.

test: lower the # of iterations when running with plain QEMU

test: support open-iscsi >= 2.1.2

Since open-iscsi 2.1.2 [0] the initiator name should be generated via
a one-time service instead of distro package's post-install scripts.
However, some distros still use this approach even after this patch,
so prefer the already existing initiatorname.iscsi file if it exists.

[0] https://github.com/open-iscsi/open-iscsi/commit/f37d5b653f9f251845db3f29b1a3dcb90ec89731

Merge pull request #24805 from yuwata/sd-network

sd-network: several cleanups

systemctl: add support for --image option

All tools that support --root= should also learn --image=
so that they can operate on disk images directly.

Merge pull request #24812 from yuwata/udev-drop-netlink

udev: drop workaround for slow read of phys_port_name sysattr

sd-network: make sd_network_link_get_dns() or friends return -ENODATA

To make them consistent with other functions.

sd-network: drop fallback values

This drops spurious lines in `networkctl status` for unmanaged interfaces.
Before:
```
$ networkctl status --lines 0 lo
● 1: lo
                     Link File: n/a
                  Network File: n/a
                          Type: loopback
                         State: carrier (unmanaged)
                  Online state: unknown
                    HW Address: 00:00:00:00:00:00
                           MTU: 65536
                         QDisc: noqueue
  IPv6 Address Generation Mode: eui64
          Queue Length (Tx/Rx): 1/1
                       Address: 127.0.0.1
                                ::1
             Activation Policy: up
           Required For Online: yes
```
After:
```
$ networkctl status --lines 0 lo
● 1: lo
                     Link File: n/a
                  Network File: n/a
                         State: carrier (unmanaged)
                  Online state: unknown
                          Type: loopback
              Hardware Address: 00:00:00:00:00:00
                           MTU: 65536
                         QDisc: noqueue
  IPv6 Address Generation Mode: eui64
      Number of Queues (Tx/Rx): 1/1
                       Address: 127.0.0.1
                                ::1
```

That is, the lines for Activation Policy and Required For Online are
dropped.

sd-network: introduce network_link_get_boolean() helper function

sd-network: accept all space-like separators

sd-network: propagate -ENOENT

On -ENOENT, it suggests that network-manager is not running, and
interfaces are not unmanaged. Such information may be useful for
callers.

sd-network: rename function arguments for storing return value

networkctl: use table_add_string_line() at one more place

networkctl: handle all errors in sd_network_link_get_setup_state() as "unmanaged"

We have already ignored all errors in other fields.

udev: drop workaround for slow read of phys_port_name sysattr

TL;DR
This effectively reverts 8327fd1b11c5fb6529d46dfb40e2af981ffa8545,
eaba9bb3e69635d2c490c5e1b0d262b763753e1d, and its follow-ups, as the
original issue was already fixed by the kernel side.

The original issue that the above commits tried to 'fix' is that reading
phys_port_name triggers a lock in the kernel, hence processing multiple
interfaces at the same time causes extreme slow down.
To workaround the issue, the above commits made several necessary
information retrieved through netlink instead of sysfs attributes.

A patch set for the kernel was proposed as a fix for the issue:
https://lore.kernel.org/all/20210928125500.167943-1-atenart@kernel.org/
and some of them were merged to v5.16:
https://github.com/torvalds/linux/commit/146e5e733310379f51924111068f08a3af0db830,
It has been already backported to 5.4.160, 5.10.80, 5.14.19, and 5.15.3.

When these commits were proposed, it is already claimed that such issue
should be fixed by the kernel side, and udevd should not workaround it.
Neverthless the feature was introduced, as these have theoretical
performance improvement, even if phys_port_name sysattr does not have the
above issue, as in that way udevd can obtain multiple information about
the interface with a single netlink socket operation. See the discussion
in #20744.

However, in reality, only `iflink`, `type`, `address`, and `phys_port_name`
attributes from netlink are used in the udev net_id builtin command. Hence,
after the original issue being fixed in the kernel side, there should be
almost no performance improvement for udevd.
Furthermore, combining attributes from netlink and sysfs makes hard to
test net_id builtin. See #21725.

Let's drop mostly meaningless code, and make net_id builtin easily testable.

Closes #21725.

man: document that setting Storage= in namespaces journald menas LogDirectory= in unit file needs setting too

Replaces: #24789

Merge pull request #24757 from yuwata/sd-device-get-child-first

sd-device: introduce sd_device_get_child_first() and _next()

Merge pull request #24808 from medhefgo/fuzz

fuzz: Add fuzzer for some efi string functions

units: udev: partially emulate ProtectClock=

Drop CAP_SYS_TIME and CAP_WAKE_ALARM capabilities and block clock-related
system calls. Update TODO.

update TODO

boot: Make efi_fnmatch non-backtracking

fuzz: Add fuzzer for some efi string functions

fuzz: Introduce DO_NOT_OPTIMIZE

The compiler may decide computations like these are not doing anything
and decide to optimize them away. This would defeat the whole fuzzing
exercise. This macro will force the compiler to materialize the value
no matter what. It should be less prone to accidents compared to using
log functions, which would either slow things down or still optimize the
value away (or simply move it into the if branch the log macros create).

The benefit over assert_se would be that no requirement is made on the
value itself. If we are fine getting a string of any size (including
zero), an assert_se would either create a noisy compiler warning about
conditions that would alawys be met or yet again optimize the whole
thing away.

fuzz-bcd: Do not include bcd.c

This is not needed anymore, so do it the proper way now.

Add Asus G14 GA402 to hwdb

Merge pull request #24811 from yuwata/build-without-openssl

meson,tpm2: fix build without openssl

sd-device: introduce device_get_sysattr_int()

tpm2-util: fix build with -Dopenssl=false

Fixes #24800.

meson: libfido2 requires openssl

Fixes compile error with -Dopenssl=false.
```
In file included from ../../home/watanabe/git/systemd/src/shared/pkcs11-util.h:12,
                 from ../../home/watanabe/git/systemd/src/cryptenroll/cryptenroll.c:24:
../../home/watanabe/git/systemd/src/shared/openssl-util.h:56:21: error: conflicting types for ‘X509’; have ‘struct X509’
   56 | typedef struct X509 X509;
      |                     ^~~~
In file included from /usr/include/openssl/crypto.h:25,
                 from /usr/include/openssl/bio.h:20,
                 from /usr/include/openssl/asn1.h:16,
                 from /usr/include/openssl/ec.h:17,
                 from /usr/include/fido.h:10,
                 from ../../home/watanabe/git/systemd/src/shared/libfido2-util.h:18,
                 from ../../home/watanabe/git/systemd/src/cryptenroll/cryptenroll-fido2.h:7,
                 from ../../home/watanabe/git/systemd/src/cryptenroll/cryptenroll.c:6:
/usr/include/openssl/ossl_typ.h:123:24: note: previous declaration of ‘X509’ with type ‘X509’ {aka ‘struct x509_st’}
  123 | typedef struct x509_st X509;
      |                        ^~~~
```

tmpfiles: fix wrong return value

Follow-up for 27f6aa0b7112024c1236957abd909071b06869a8.

core: respect SELinuxContext= for socket creation

On socket creation respect the SELinuxContext= setting of the associated
service, such that the initial created socket has the same label as the
future process accepting the connection (since w.r.t SELinux sockets
normally have the same label as the owning process).

Triggered by #24702

tree-wide: fix typo

Merge pull request #24799 from poettering/initrd-ftw

use "initrd" rather than "initial RAM disk" or "initramfs" to refernce the concept

Merge pull request #24635 from DaanDeMeyer/repart-verity-sig

repart: Add support for generating verity sig partitions

repart: Add support for generating verity sig partitions

openssl-util: Add x509_fingerprint()

openssl-util: Allow declaring openssl struct pointers without openssl

TODO

Merge pull request #24700 from poettering/ssh-creds

support easy provisioning for SSH key of root user

Merge pull request #24628 from medhefgo/boot-sections

boot: Try to detect overlapping PE sections

Merge pull request #24796 from yuwata/doc-update

documentation updates

Merge pull request #24794 from DaanDeMeyer/repart-follow-ups

repart: Extend squashfs logic to all read-only filesystems

tree-wide: also settle on "initrd" instead of "initial RAM disk"

With this the concept is now called the same way everywhere except where
historical info is relevant or where the other names are API.

tree-wide: use the term "initrd" at most places we so far used "initramfs"

In most cases we refernced the concept as "initrd". Let's convert most
remaining uses of "initramfs" to "initrd" too, to stay internally
consistent.

This leaves "initramfs" only where it's relevant to explain historical
concepts or where "initramfs" is part of the API (i.e. in
/run/initramfs).

Follow-up for: b66a6e1a5838b874b789820c090dd6850cf10513

docs: Mention that "certificateFingerprint" source should be in DER

basic: Add strgrowpad0()

Merge pull request #24686 from d4nuu8/delta_output

shared/logs-show: add new --output= format "short-delta"

dissect: Process verity sig partitions if a root hash is specified

If a root hash is specified, we should be checking that it matches
the root hash in the verity signature partition, so let's not skip
processing of the verity signature partitions if a root hash is
specified.

test: Install openssl 3 extra library dependencies

dissect: Log when we fail to load the verity signature partition

repart: Rename verity integration test definition files

repart: Improve missing libcryptsetup error message

repart: Rename context_verity() to context_verity_hash()

update TODO

README: drop graphs counting issues or PRs

These cannot be accessible anymore.

doc: drop remaining references to LGTM.com

Updated Lenovo ThinkPad T440p/T440 touchpad fuzz (#24779)

shared/logs-show: add new --output= format "short-delta"

This new output formatting option is similar to "short-monotonic" but
also shows the time delta between two messages.

This fixes #24641.

logs-show: move timestamp reading into show_journal_entry()

shared: Don't try to generate read-only filesystem that we don't support

We need explicit support to generate read-only filesystems, since we
always need to pass a source tree to the mkfs binary to populate the
filesystem. As such, let's add an explicit check to return a
recognizable error when users try to generate a read-only filesystem
that we don't support.

repart: Extend squashfs logic to all read-only filesystems

The same logic will apply to every read-only filesystem that we
might add support for in the future, so let's make this a bit more
future proof.

update TODO

(let's also merge all TODO items about adding creds support to various
tools into one item)

man: add man page decribing well known system credentials

test: add test case for new ':' uid/gid/access modifier in tmpfiles.d

man: document new : modified for uid/gid/access mode in tmpfiles.d

tmpfiles: add lines for provisioning ssh keys for root by default

With this, I can now easily do:

    systemd-nspawn --load-credential=ssh.authorized_keys.root:/home/lennart/.ssh/authorized_keys --image=… --boot

To boot into an image with my SSH key copied in. Yay!

tmpfiles: rework empty_directory() to also use chase_symlinks()

tmpfiles: move symlink creation into its own function, and modernize

Let's ensure it also operates based on O_PATH, like fifo/device node/…
creation.

tmpfiles: whenever creating an inode, immediately O_PATH open it to pin it

let's make things a bit less racy: whenever we create an inode,
immediately open it via O_PATH, compare type and continue operations
with the acquired fd.

fs-util: add mknodat_atomic()

fs-util: make mkfifo_atomic() just a shortcut for mkfifoat_atomic()

fs-util: replace symlink_atomic() by symlinkat_atomic()

tmpfiles: allow prefixing uid/gid/mode with ":" to only apply on creation

In some cases it is useful to specify the access mode/uid/gid for inodes
we create without also enforcing them on existing inodes. Let's add a
new flag for that: if the uid/gid/mode specificaitons are prefixed with
":", then they only apply to creation, not otherwise.

This is specifically useful for provisioning SSH keys later. Those we'd
like to provision like this:

<snip>
d /root :0700 root root -
d /root/.ssh :0700 root root -
f^ /root/.ssh/authorized_keys - - - - ssh.authorized_keys
</snip>

While /root/ + /root/.ssh/ being owned by root is pretty uncontroversial
the access mode of /root/ and /root/.ssh/ might not be. Hence we should
only have a default mode defined that is used when we create the dir,
but not otherwise.

tmpfiles: generalize CreationMode and pass it everywhere

For some purposes we had CreationMode which indicates whether an inode
was created by us, or is pre-existing. Let's generalize that for *all*
operations. This is later useful to conditionalize certain operations on
that (and makes the codebase more systematic)

tmpfiles: rebreak some comments

Merge pull request #24797 from yuwata/networkctl

networkctl: several table format updates

networkctl: re-order entries in status command

Also fixes "Speed:" field, which may show empty value.

test-network: fix matching string

This partially reverts 5515f2169cb5980996044eabb5f1b35e00fd81eb.
As the commit changes 'networkctl list', not 'networkctl status'.

networkctl: use "-" for empty LLDP entries

udev: support by-path devlink for multipath nvme block devices

If multipath feature is enabled, nvme block devices may belong to the
"nvme-subsystem" subsystem, instead of "nvme" subsystem.
(What a confusing name...)

Then, the syspath is something like the following,
    /sys/devices/virtual/nvme-subsystem/nvme-subsys0/nvme0n1
Hence, we need to find the 'real parent' device, such as
    /sys/devices/pci0000:00/0000:00:1c.4/0000:3c:00.0/nvme/nvme0

Fixes https://bugzilla.redhat.com/show_bug.cgi?id=2031810.
Fixes https://bugzilla.redhat.com/show_bug.cgi?id=2124964.
Replaces #24748.

Merge pull request #24790 from poettering/run-chdir

run: let's make --working-directory= just work with --scope

kbd-model-map: add a mapping for switched czech qwerty/us

See https://bugzilla.redhat.com/show_bug.cgi?id=2121106 for the
background on this. One of Fedora's QA folks ran an install
and chose two keyboard layouts: Czech (qwerty) and US. Due to
the sad details of how the whole logic flow for trying to decide
what kbd layout best matches a given xkb config works (see
details in the bug comments), we wound up deciding the best-
matching kbd layout for this situation was cz-us-qwertz, which
is a czech/us switched layout, but is qwertz, not qwerty. This
seems like a poor outcome. Adding this line should result in us
picking cz-qwerty in this case. Which may be the 'legacy'
cz-qwerty.map from upstream kbd project (which is switched
cz/us), or may be the auto-converted xkb layout (which obviously
isn't switched). But either way, at least its primary mode is
Czech qwerty, which seems like a *better* choice than a layout
whose primary mode is Czech qwertz.

Signed-off-by: Adam Williamson <awilliam@redhat.com>

network: use FOREACH_DEVICE_CHILD_WITH_SUFFIX() macro

network: fix assertion triggered by passing wrong ifindex

udev-builtin-net_id: use FOREACH_DEVICE_CHILD_WITH_SUFFIX() macro

test-sd-device: add tests for sd_device_get_child_first() and _next()

sd-device: introduce sd_device_get_child_first() and _next()

These functions provide a high-level interface for enumerating
child devices.

Suggested at https://github.com/systemd/systemd/pull/24731#discussion_r973987065.

sd-device: refuse to get a parent device by sd_device_new_child()

Merge pull request #24771 from poettering/destroy-pcr11

extend boot phase information into PCR 11 during boot

man/portablectl: fix references to options

Merge pull request #24746 from DaanDeMeyer/repart-split

repart: Add --split option to generate split artifacts

update TODO

measure: clarify we actually try to calculate for all four banks by default

measure: make --public-key= optional if "sign" is called

We can derive the public key from the private key, so let's do that, to
make things a bit easier.

measure: allow pre-calculating PCR values for multiple boot phases