Merge pull request #27885 from DaanDeMeyer/please-dont-make-me-write-more-openat-helpers

Add more openat like helper functions

pam: add call to pam_umask

Setting umask for user sessions via UMASK setting in /etc/login.defs is
a well-known feature. Let's make sure that user manager also runs with
this umask value.

Follow-up for 5e37d1930b41b24c077ce37c6db0e36c745106c7.

sd-login: add sd_session_get_leader interface

Merge pull request #27925 from DaanDeMeyer/repart-encrypt

repart: Do online encryption when loop devices are available

units: change TimeoutSec=0 to TimeoutSec=infinity

Follow-up for #27936

Let's also update a bunch of static unit files, matching what we just
did for the generators.

Merge pull request #27938 from keszybz/ukify-build-verb

Add 'ukify build' verb, expand tests

ukify: add 'build' verb

The old syntax with linux + initrds as positional arguments is still accepted,
but a warning is emitted. We should remove the support for this after the
next release or so.

Adding a single verb by itself is not very useful, but opens the door to adding
other verbs.

test_ukify: pass through path to addon stub

Without this, the tests would generally be skipped, since we haven't made a
release with the addon stub yet. But even if the file is there, we always want
to test the freshly-built item.

test_ukify: no stinky root needed for signing

C.f. b2efe286587e11e2aa4a6c7e4a2c15da3bb58a2a.

ukify: simplify creation of parser

00e5933f57c6e336ebed18601299acc6855bb3c2 made all the positional arguments
optional, so let's take advantage of this to simplify variuos callers.

repart: Do online encryption when loop devices are available

Online encryption is much faster then offline encryption when using
cryptsetup. To take advantage of this, when loop devices are available,
let's use online encryption instead off offline encryption to encrypt
partitions.

The online encryption logic is the same logic as was removed in
48a09a8fff480aab9a68e95e95cc37f6b1438751, except that it's now
integrated with PartitionTarget to ensure that logic outside of
partition_target_encrypt() has to minimally change regardless of
whether we're doing online or offline encryption.

Merge pull request #27918 from yuwata/chase-filename

chase: handle root path more carefully in chase_and_open()

btrfs-util: Add btrfs_subvol_snapshot_at()

chattr-util: Make chattr_full() an openat() style function

btrfs-util: Add btrfs_subvol_set_read_only_at()

rm-rf: Add rm_rf_at()

btrfs-util: Add btrfs_subvol_remove_at()

We also remove btrfs_subvol_remove_fd() because btrfs_subvol_remove_at()
is more general.

test-chase: Add one more test for chase_and_openat()

chase: Allow passing NULL as the empty path to chaseat()

Per coding style, we should accept NULL as the empty path.

test-chase: Fix comment

fd-util: Add path_is_root_at()

A generalization of dir_fd_is_root() that allows passing a path
component.

btrfs-util: Add btrfs_is_subvol_at()

stat-util: Add is_fs_type_at()

stat-util: Follow coding style in xstatfsat()

Allow passing NULL to indicate the empty path per coding style.

fs-util: Allow passing NULL path to xopenat()

We recently codified in the coding style that for openat() style APIs,
an empty path can be passed both as the empty string and as NULL, so
let's make sure we follow that style in xopenat().

copy: Merge copy_directory() and copy_directory_fd() into copy_directory_at()

Let's merge these two into a single function that can handle both
variants and more.

generators: change TimeoutSec=0 to TimeoutSec=infinity

With these settings we intend to turn off timeouts for possibly
interactive/slow commands. The officially documented way to turn off the
time-outs is to setting them to infinity. So far we set them to zero
here though.

This lead to some confusiong, for example #18224. Let's fix this by
uniformly spelling out TimeoutSec=infinity.

This doesn't change behaviour. It just makes our generated files match
what we document, without relying on historic compat support.

Fixes: #18224

Merge pull request #27933 from mrc0mmand/selinux

test: a couple of TEST-06-SELINUX tweaks

man: document OnSuccessJobMode=

Introduced in 294446dcb9.

tests: fix shellcheck warnings

test: a couple of assorted cleanups

- sort binaries
- send stdout/stderr of the autorelabel service to console as well

test: load the SELinux module outside of the VM

Turns out we can, apart from just building the module, "shove" it into
the SELinux database in a chroot as well. This brings quite significant
time savings, as the SELinux db rebuild takes 2 - 5 minutes in a VM
without acceleration (and takes currently ~half of the runtime of the test
in the C8S job).

test: add a reasoning why we don't use the SELinux-provided units

cgls/cgtop: spell field/column "CGroup" rather than "Control Group"

In the documentation we usually spell the concept "control group".
Internally in code we usually call it "cgroup" or "CGroup". In systemctl output we
called the field "CGroup" so far, i.e. a capitalized version of the
internal name. This is of course very unsystematic. Let's clean this up
a bit: let's now say:

* in docs, continue to spell it out "control groups"
* in brief output call it "CGroup"
* internally call it "cgroup" or "CGroup"

Fixes: #14429

Merge pull request #27912 from mrc0mmand/cryptsetup-tests

test: add a couple more tests for systemd-cryptsetup

Merge pull request #27926 from DaanDeMeyer/repart-offline

repart: Add --offline argument

99-systemd.rules.in: guard systemd-backlight udev rules by ENABLE_BACKLIGHT

Linux kernel will, as documented in drivers/video/backlight/backlight.c,
report changes to a backlights brightness as a uevent (ACTION=change).

systemd-udev will consume the uevent, match on this rule and try to
activate the systemd-backlight service for the backlight. BUT when
systemd is not compiled with backlight support, this will lead to
failure that is reported in the journal.

Since the failure to activate systemd-backlight and subsequent failure
log entry happens on every backlight brightness change, we found the
resulting logspam during regular operation excessive and came up with
this patch to mitigate it.

The conditional is also extended to "*kbd_backlight" match, since
even though we did not investigate to see if the logspam would be
similar, the unconditional match to activate systemd-backlight here
would also not make sense when the feature is not compiled in.

Signed-off-by: Simon Braunschmidt <simon.braunschmidt@iba-group.com>

test: make sure we unmount /var late during shutdown

To avoid the "mountpoint is busy" error.

test: add a couple more tests for systemd-cryptsetup

test: make check_result_*() `set -e` friendly

test: use check_result_common()

The TEST-24 has been silently timing out for quite a while in the C8S
job, as the check_result_qemu() override lacked some error checks,
whoopsie.

cryptsetup: avoid calling strv_find() on a NULL pointer

When the header= option comes before any other type= defining one, we
trip over an assertion:

Jun 04 15:45:33 H testsuite-24.sh[752]: + systemctl start systemd-cryptsetup@detached.service
Jun 04 15:45:33 H systemd[1]: Starting systemd-cryptsetup@detached.service...
Jun 04 15:45:33 H systemd-cryptsetup[4641]: Assertion 'name' failed at src/basic/strv.c:21, function strv_find(). Aborting.
...
Jun 04 15:45:33 H systemd-coredump[4643]: Process 4641 (systemd-cryptse) of user 0 dumped core.
...
                                          Stack trace of thread 4641:
                                          #0  0x00007ff9256afe5c __pthread_kill_implementation (libc.so.6 + 0x8ce5c)
                                          #1  0x00007ff92565fa76 raise (libc.so.6 + 0x3ca76)
                                          #2  0x00007ff9256497fc abort (libc.so.6 + 0x267fc)
                                          #3  0x00007ff926076047 log_assert_failed (libsystemd-shared-253.so + 0x276047)
                                          #4  0x00007ff9260ab317 strv_find (libsystemd-shared-253.so + 0x2ab317)
                                          #5  0x0000000000405927 parse_one_option (systemd-cryptsetup + 0x5927)
                                          #6  0x0000000000407793 parse_options (systemd-cryptsetup + 0x7793)
                                          #7  0x000000000040fa0c run (systemd-cryptsetup + 0xfa0c)
                                          #8  0x000000000041137f main (systemd-cryptsetup + 0x1137f)
                                          #9  0x00007ff92564a510 __libc_start_call_main (libc.so.6 + 0x27510)
                                          #10 0x00007ff92564a5c9 __libc_start_main@@GLIBC_2.34 (libc.so.6 + 0x275c9)
                                          #11 0x0000000000403915 _start (systemd-cryptsetup + 0x3915)
                                          ELF object binary architecture: AMD x86-64

test: clean up the test cleanup a bit

test: minor cleanup

No functional change.

test: make the data partition larger for the cryptsetup test

As we use it for /var and with the default 100 MiB there's not enough
space for the journal.

test: make the root/data partition size configurable per test

test: introduce test_require_bin() and use it

No functional change.

test: fix indentation

test: move TPM2-related setup stuff into test-functions

And hide it all behind $TEST_SETUP_SWTPM.

ukify: make code pylint clean

The linter is imperfect, but it is useful as a very quick
check for typos and other silly mistakes. Add a few annotations
and do one small change to make it think the code is perfect.

Merge pull request #27871 from yuwata/udevadm-verify-downgrade-style-issues

udevadm-verify: downgrade log level about style issues

Merge pull request #27924 from poettering/low-battery-tool

ac-power: expose low battery state via systemd-ac-power

test: allow running only specified subtests/testcases

Useful when debugging, e.g.:

make -C test/TEST-74-AUX-UTILS clean setup run TEST_MATCH_SUBTEST=run

Resolves: #27914

test: Test --offline= in TEST-58-REPART

Instead of using a privileged and unprivileged user to test the
offline and online logic of systemd-repart, let's always run repart
as root and use the --offline= argument to specify repart to use
either the offline or online logic.

man: parition → partition typo fix

Follow-up for: #27848

repart: Add --offline argument

This allows the user to explicit configure whether loop devices
should be used to build the image or not.

ac-power: add --low switch to systemd-ac-power tool

This allows checking from shell scripts whether the system is in a low
battery state. It just exposed the code we anyway have in a directly
accessible way.

This is also very useful for testing things.

battery-util: be more careful when determining whether we are in a low battery state

Let's avoid assuming a low battery battery state if in doubt. That
means, handle errors reading battery state gracefully.

battery-util: move battery_is_discharging_and_low() to battery-util.[ch]

This moves a first batch of functions from sleep-config.[ch] over to
battery-util.[ch].

In the long run we should probably move even more stuff over, i.e.
anything that deals with the battery sysfs driver interface.

No code change.

battery-util: split out code that checks AC power state into its own .c/.h pair

No code change, just some splitting out of the relevant code from
udev-util.[ch].

This makes sense on its own, but is also prepartion to move the code
that checks for low battery state into battery-util.[ch], too.

add support for KSM

This adds support for KSM (kernel samepage merging). It adds a new
boolean parameter called MemoryKSM to enable the feature. The feature
can only be enabled with newer kernels.

chase: fix triggering assertion

chase: handle root path more carefully in chase_and_open()

chase_and_open() may be called with relative root path.

test: move intro() near DEFINE_TEST_MAIN_WITH_INTRO()

test: add more test cases about path_startswith()

ci: Report results from CIFuzz using SARIF

Upload results from CIFuzz using SARIF.
This will allow CIFuzz to report issues in the security tab.
This is a better UI than having to look through logs.
TODO(google/oss-fuzz#10452): Add proper descriptions of UBSAN bugs.

path-util: fix typo in comment

The comment makes a reference to the function fchmod_path() but this
function does not exist in the source tree.

However, the function fchmod_opath() exists; it was introduced by the
commit 4dfaa528d451aa7926be4f1b4cf8d0ffe338421d.

As the comment tells, the function futimens_opath() introduced by the
commit f25bff5eaf6881717e873f27c26f2e8264517c16 is similar to the
function fchmod_opath(); therefore, it should reference it.

This fixes the typo in the comment by referencing the proper function
fchmod_opath().

udev: downgrade log level about style issues

And add --no-style switch that make style issues not critical.

test: drop unnecessary copy of expected output

udev-rules: terminate log messages with period

Merge pull request #27907 from mrc0mmand/quick-test-tweaks

test: a couple of tweaks for recent CI fails

Merge pull request #27908 from weblate/weblate-systemd-master

Translations update from Fedora Weblate

po: Translated using Weblate (Korean)

Currently translated at 100.0% (193 of 193 strings)

Co-authored-by: 김인수 <simmon@nplob.com>
Translate-URL: https://translate.fedoraproject.org/projects/systemd/master/ko/
Translation: systemd/main

po: Translated using Weblate (Basque)

Currently translated at 16.5% (32 of 193 strings)

po: Added translation using Weblate (Basque)

Co-authored-by: Asier Sarasua Garmendia <asier.sarasua@gmail.com>
Translate-URL: https://translate.fedoraproject.org/projects/systemd/master/eu/
Translation: systemd/main

umount: /usr/ should never be unmounted regardless of HAVE_SPLIT_USR or not

Whether we put some binaries in /bin or in /usr/bin should not have any
effect on unmounting during shutdown. Even if people split /usr/ off we
should not try to unmount it, no matter what as it is simply where
binaries are placed.

test: drop the --recursive=no test

As the outcome also depends on availability of the PID namespace, so
the test might (and does) unexpectedly pass in some environments.

test: ignore missing coverage in TEST-82-SOFTREBOOT

As we temporarily mount rootfs read-only there.

sysupdate.d: Add way to drop binaries into $BOOT

As described in the BLS, we should place binaries into the XBOOTLDR
directory if it is available, otherwise into the ESP. Thus, we might
need to put binaries into /boot or into /efi depending on the existence
of the XBOOTLDR partition.

With this change, we introduce a new PathRelativeTo= config option that
makes this functionality possible

Merge pull request #27904 from DaanDeMeyer/lsm

mkosi: Enable more options

Merge pull request #27903 from mrc0mmand/test-followups

test: a couple of systemd-{coredump,pstore,run} followups

Merge pull request #27435 from poettering/renew-reboot

pid1: add a new method of rebooting: userspace only under the name "soft-reboot"

Merge pull request #27896 from poettering/umount-detach-rework

shutdown: refactoring + tone down log message a bit

Merge pull request #27902 from poettering/round-up

add ROUND_UP() macro for rounding integer up to next multiple of some value

update TODO

test: add integration test for soft reboots incl. fdstore passing

test: disable SoftReboot() in dfuzzer test for now

As requested:

https://github.com/systemd/systemd/pull/27435#issuecomment-1527810336

man: document the soft reboot operation

fstab-util: consider /run/nextroot/ among extrinsic mounts

This way we'll not add deps for the mount point that unmount it during
shutdown. This is similar as for /run/initramfs/ which we want to
transition into during shutdown.

This way we don't have to add "-o x-initrd.mount" to all bind mounts for
/run/nextroot anymore to make it survive the reboot, it will be implied.

mount-setup: exclude /run/nextroot/ from relabelling

Just like /run/initramfs/ the data in /run/nextroot/ should be a
self-contained OS tree, and not require labelling, hence don't.

switch-root: automatically make target switch root dir a mount point

Let's make sure implicitly that the target directory is a mount point,
instead of doing so manually beforehand. This allows us to drop this
step from the transition into the /run/initramfs/ dir at shutdown.

During the initrd→host transition the switch root operations so far
where towards pre-existing mount points, but there are cetrainly
usecases where it might make sense to siwtch into arbitrary
subdirectories, too.

mount-util: add fd_make_mount_point() helper

mkosi: Enable more options

We build with support for selinux/apparmor where applicable but
disable them at runtime as even in permissive mode they're horribly
broken.

test: probe a couple more paths in systemd-run

switch-root: disable sync() again when we switch root during shutdown

Our shutdown binary that takes over as PID 1 when shutting down puts
great efforts into a sync() that comes with a time-out once sync'ing
process stops. If we'd add another dumb sync() here, we kinda defeat all
it is good for. Hence, let's keep the sync() in for most codepats, but
let's disable it for the final shutdown logic when we transition back
into the exitrd. After all we sync()ed more than enough here, no need to
sync() even more.

switch-root: introduce SwitchRootFlags flags parameter to switch_root()

Let's replace the current boolean param with a proper flags param. With
a single flag this doesn't appear to make much sense, though it does
already make things more readable I think.

However, once we add a second flag, it starts to make more sense.

Also, while we are at it, condition the "istmp" determinaton with this
flag too, since we only need it when the flag is set.

switch-root: always use MS_BIND to move api vfs over

We previously would use MS_MOVE to move the old procfs, sysfs, /dev/ and
/run to the new place in some places, and MS_BIND in others.

The logic when to use MS_MOVE and when to use MS_BIND was pretty
arbitrary so far: we'd use MS_MOVE during the initrd → host transition
and MS_BIND when transitioning from host into the exitrd during
shutdown.

Traditionally, using MS_MOVE was preferable, because we didn't bother
with unmounting the old mount hierarchy before the switch root, and thus
using MS_MOVE did some clean-up as side-effect (because the old mounts
went away this way). But since we nowadays properly umount all remaining
mount points (since 268d1244e87a35ff8dff56c92ef375ebf69d462e) when
transitioning it's pointless.

Let's just use MS_BIND always. Let's tweak it though: let's use
MS_BIND|MS_REC for the kernel API VFS, and MS_BIND without MS_REC for
/run/. The latter reflects the fact that the submounts /run/ has usually
are not so much about just accessing kernel APIs but about auxiliary
user resources. Hence let's only move the main mount over for that.

While we are at it, also set up the base filesystem *before* we move the
mounts from the old to the new root, since the base filesystem setup
logic creates various needed inodes for us, which we really should make
use of instead of creating on our own.

systemctl: add "systemctl soft-reboot" command

logind: add support for 'soft-reboot' reboots

pid1: add "soft-reboot" reboot method

This adds a new mechanism for rebooting, a form of "userspace reboot"
hereby dubbed "soft-reboot". It will stop all services as in a usual
shutdown, possibly transition into a new root fs and then issue a fresh
initial transaction. The kernel is not replaced.

File descriptors can be passed over, thus opening the door for leaving
certain resources around between such reboots.

Usecase: this is an extremely quick way to reset userspace fully when
updating image based systems, without going through a full
hardware/firmware/boot loader/kernel/initrd cycle. It minimizes "grayout time"
for OS updates. (In particular when combined with kernel live patching)

tree-wide: port various pieces of code over to ROUND_UP()

There's probably more than we can convert to this.