Merge pull request #30594 from yuwata/udev-timeout-cleanups

udev: several cleanups for timeout settings

Merge pull request #30596 from yuwata/sd-device-db-cleanups

sd-device: several cleanups for udev database related functions

meson: check for pefile dependency before enabling ukify

ukify (and all the tests, including the autogenerated check-version-ukify)
does not work unless pefile is available, so track it as a dependency
in meson to avoid unit test failures later

Merge pull request #30609 from YHNdnzj/analyze-fdstore

analyze-fdstore: minor fixups

core/executor: use log level specified in LogLevelMax=

Follow-up for cc9f4cad8cd759ab55048dc7a3eaa2c2fb0344da.

Otherwise, still unexpected lines may be logged by executor.

analyze-fdstore: don't log duplicate error

table_print_with_pager() logs print error internally.

analyze-fdstore: ignore table header when checking stored fd count

systemctl: swap cached_id_map and cached_name_map at one more place

Follow-up for 2962a508508564ec35f231bd4246846d6d057115.
Fortunately, this does not change any behavior.

Replaces #30601.
Fixes CID#1532831.

Merge pull request #30604 from mrc0mmand/test-journal-shenanigans

test: redirect stdout/stderr of TEST-04-JOURNAL to console as well

Merge pull request #30587 from mrc0mmand/test-stuff

test: slightly extend uid0's coverage

networkd: support `proxy_arp_pvlan` sysctl

The proxy ARP private VLAN sysctl is useful for VLAN aggregation, see
https://sysctl-explorer.net/net/ipv4/proxy_arp_pvlan/ for details.

Merge pull request #30049 from yuwata/assert-return-critical

test: make assert_return() critical by default

network: use json_variant_append_arrayb()

No functional change, just refactoring and shortening code.

log: make assert_return() critical when -Dmode=developer

Triggering assert_return() should be a bug in general, and we should
really fix that.  But, previously, it is hard to notice such bug, as
it was not critical.
This is for making CI or our testing environment fail if we unexpectedly
trigger assert_return(). So, hopefully we can easily find such bugs.

test: make assert_return() critical by default on fuzzer and unit tests

Several test cases intentionally trigger assert_return(). So, to avoid
the entire test fails, this introduces several macros that tentatively
make assert_return() not critical.

log: introduce a knob to make assert_return() critical

These can be used to check if we trigger assert_return()
unexpectedly.

Co-authored-by: Frantisek Sumsal <frantisek@sumsal.cz>

test: make the variable names slightly more descriptive

Follow-up for 5ca8d2474ca8b8b3f42999fb2f6e5e1498b22aa9.

test: slightly extend uid0's coverage

test: make the test actually test

Follow-up for dd25a95763e6ee52d40f4012ffeb2ce719f26b8d.

Merge pull request #30603 from mrc0mmand/openssl-shenanigans

test/ukify: make the tests happy with OpenSSL 3.2.0+

test: redirect stdout/stderr of TEST-04-JOURNAL to console as well

This effectively reverts fa6f37c043 just for TEST-04, as we nuke the
journal repeatedly in this test which makes it particularly hard to
debug. Let's hope the issue behind fa6f37c043 won't bite us back in this
case.

Follow-up for: fa6f37c043
Reverts: 8f7c876bdc

test: don't truncate the final journal

This is no longer necessary, as the test for which this was introduced
in the first place has this handled explicitly (testsuite-04.journal.sh).

Follow-up to 9457dd8bae.

test: make sure the dummy CA certificate is marked as such

With OpenSSL 3.2.0+ this is necessary, otherwise the verification
of such CA certificate fails badly:

$ openssl s_client -CAfile /run/systemd/remote-pki/ca.crt -connect localhost:19532
...
Connecting to ::1
CONNECTED(00000003)
Can't use SSL_get_servername
depth=1 C=CZ, L=Brno, O=Foo, OU=Bar, CN=Test CA
verify error:num=79:invalid CA certificate
verify return:1
depth=1 C=CZ, L=Brno, O=Foo, OU=Bar, CN=Test CA
verify error:num=26:unsuitable certificate purpose
verify return:1
...
---
SSL handshake has read 1566 bytes and written 409 bytes
Verification error: unsuitable certificate purpose
---
New, TLSv1.3, Cipher is TLS_AES_256_GCM_SHA384
Server public key is 2048 bit
This TLS version forbids renegotiation.
Compression: NONE
Expansion: NONE
No ALPN negotiated
Early data was not sent
Verify return code: 26 (unsuitable certificate purpose)

ukify: make the test happy with the latest OpenSSL

Which dropped some whitespaces in the output:

$ openssl version
OpenSSL 3.2.0 23 Nov 2023 (Library: OpenSSL 3.2.0 23 Nov 2023)
$ openssl x509 -in cert.pem -text -noout | grep Issuer
        Issuer: C=AU, ST=Some-State, O=Internet Widgits Pty Ltd

$ openssl version
OpenSSL 3.0.9 30 May 2023 (Library: OpenSSL 3.0.9 30 May 2023)
$ openssl x509 -in cert.pem -text -noout | grep Issuer
        Issuer: C = XX, L = Default City, O = Default Company Ltd

Making test-ukify unhappy:

>       assert 'Issuer: CN = SecureBoot signing key on host' in out
E       AssertionError: assert 'Issuer: CN = SecureBoot signing key on host' in '<...snip...>Issuer: CN=SecureBoot signing key on host archlinux2\n...'

Merge pull request #30600 from dtardon/see-also-simplelist

man: use `<simplelist>` for 'See also' sections

man: conditionalize sd-pcrlock and sd-measure on the same variable as their binaries

The binaries are built and installed if HAVE_TPM2 is set, and ignore ENABLE_BOOTLOADER,
so do the same for the manpages.

For the sd-pcrlock case this also installs the manpage aliases for the units, which
are not installed with -Dbootloader=disabled, but there's no way to conditionalize
the aliases, so on balance it's better to have too much documentation rather than
too little.

Fixes https://github.com/systemd/systemd/issues/30588

man: capitalize "also" for consistency

Almost all our man pages write it that way.

man: use <simplelist> for 'See also' sections

This is just a slight markup improvement; there should be no difference
in rendering.

udev: use SD_EVENT_SIGNAL_PROCMASK

Merge pull request #30590 from yuwata/backlight-cleanups

backlight: several cleanups and use dispatch_verb()

TODO: fix typo

sd-device: introduce device_has_db() helper function

sd-device: modernize device_update_db() and friends

- introduce device_should_have_db(),
- split out device_get_db_path(),
- update log messages, especially clarify which stage is failed,
- use _cleanup_(unlink_and_freep) attribute,
- clear existing database file also when failed to create database directory
  and when failed to create temporary file.

udev-spawn: slightly adjust logs about timed out commands

- Add full stop to the messages.
- Do not kill commands before logging "killing", but do after.

udev: refuse too short timeout value

Setting zero or too short timeout for each uevent is meaningless, and
causes the system fails to boot. Let's refuse such values.

Also, delaying execution of RUN= commands too long also makes many
uevents enter the failed state. So, let's refuse such misconfiguration.

udev: handle event_timeout=infinity correctly

This is a paranoia, as even USEC_INFINITY / 3 is finite, it is still so large
in general.

udev-manager: use ASSERT_PTR()

network: use varlink for networkctl check_netns_match()

Use varlink to detect networkd's network namespace when executing
networkctl rather than the D-Bus interface.

Signed-off-by: Matt Layher <mdlayher@gmail.com>

backlight: split out verb_load() and verb_save(), then use dispatch_verb()

No functional change, just refactoring.

backlight: use WRITE_STRING_FILE_MKDIR_0755 flag on save

No functional change, just refactoring.

backlight: split out read_saved_brightness()

No functional change, just refactoring.

backlight: split out device_new_from_arg()

While at it, this replaces strndupa_safe() with strndup(), as the input
is a user-controlled string.

No functional change, just refactoring.

backlight: split out build_save_file_path()

No functional change, just refactoring.

backlight: move validity check of max_brightness to get_max_brightness()

Also rename get_max_brightness() -> read_max_brightness() for
consistency with read_brightness().

Merge pull request #30585 from YHNdnzj/isatty-handling

various: clean up isatty() handling

various: clean up isatty() handling

As per https://github.com/systemd/systemd/pull/30547#discussion_r1434371627

terminal-util: introduce isatty_safe that rejects EBADF

terminal-util: use RET_GATHER more

test: fix check for device in test-execute

The unit actually uses /dev/kmsg, not /dev/kvm

Follow-up for ae7482b994e6a9bc8e

Merge pull request #30550 from yuwata/network-nexthop-cleanups-3

network: several cleanups for nexthop (part3)

systemctl: swap cached_id_map and cached_name_map

These are unused or used in the same order. So, this patch does not
change any behavior, just for naming consistency with the function
prototype.

Closes #30570.

networkd: add basic Varlink interface

Let's get networkd onto Varlink. This only adds the most basic of
operations.

I'd love to see networkd do Varlink for all its basic operations so that
networkctl can use that, and work correctly before D-Bus is up. Right
now, many of networkctls calls simply don't work before D-Bus, and I'd
like to see that improved.

service: don't try to determine selinux label for socket activation if RootImage= is used

We cannot determine the SELinux label ahead of time if RootImage= is
used, since we'd have to mount the image then, hence don't, and handle
this cleanly, and gracefully.

While we are at it, stop "reaching over" so much from the socket code to
the service code, and instead provide function that most of the hard
work in service.c that socket.c just calls.

While we are at it, add debug logging and stuff.

I noticed the issue when also noticing #30560, but that one is harder to
fix, hence I avoided it for now.

Merge pull request #30553 from yuwata/network-post-event-source

network: merge two post event sources

Merge pull request #30541 from yuwata/network-address-empty

network/address: make Address= in [Network] support an empty string

Merge pull request #30575 from arthurzam/bash

bash-completion: add some missing options

Merge pull request #30284 from YHNdnzj/fstab-wantedby-defaultdeps

fstab-generator: disable default deps if x-systemd.{wanted,required}-by= is used

Merge pull request #28658 from H5117/enroll_with_ec

cryptsetup: Add support for EC keys in PKCS#11 tokens

Merge pull request #30547 from poettering/uid0

add new "uid0" command as alternative multi-call interface for systemd-run, as sudo replacement

Drop /dev test in test-mountpoint-util

Even /dev isn't always guaranteed to be a mount point, so let's drop
this part of the test.

bash-completion: add missing option to systemd-confext

Signed-off-by: Arthur Zamarin <arthurzam@gentoo.org>

bash-completion: add missing option to systemd-cgls

Signed-off-by: Arthur Zamarin <arthurzam@gentoo.org>

bash-completion: add missing option to systemd-cat

Signed-off-by: Arthur Zamarin <arthurzam@gentoo.org>

Merge pull request #30568 from poettering/creds-varlink

creds: add varlink interface to encrypt/decrypt credentials

Merge pull request #30566 from poettering/varlink-inval-param

add a new helper varlink_error_invalid_parameter_name(), and make more use of the existing varlink_error_invalid_parameter()

polkit: simplify bus_verify_polkit_async() + drop auth-by-cap dbus feature

This simplifies bus_verify_polkit_async() and related calls quite a bit:

1. This removes any support for authentication-by-Linux-capability. This
   is ultimately a kdbus leftover: with classic AF_UNIX transports we
   cannot authenticate by capabilities securely (because we cannot
   acquire it from the peer without races), hence we never actually did.
   Since the necessary kernel work didn't materialize in the last 10y,
   and is unlikely to be added, let's just kill this context. We cannot
   quite remove the caps stuff from sd-bus for API compat, but for our
   polkit logic let's kill it.

2. The "good_uid" and "interactive" params are only necessary in very
   few cases, hence let's move them to a new call
   bus_verify_polkit_async_full() and make bus_verify_polkit_async() a
   wrapper around it without those two parameters.

This also fixes a bunch of wrong uses of the "interactive" bool. The
bool makes no sense today as the ALLOW_INTERACTIVE_AUTHORIZATION field
in the D-Bus message header replaces it fully. We only need it to
implement method calls we introduced prior to that header field becoming
available in D-Bus. And it should only be used on such old method calls,
and otherwise always be set to false.

This does not change behaviour in any way. Just simplifies stuff.

Fixes: #21586

varlink: make use of varlink_error_invalid_parameter() helper where appropriate

varlink: add helper varlink_error_invalid_parameter_name()

test: add simple creds/varlink integration test

creds: add varlink API for encrypting/decrypting credentials

varlink: add helper varlink_error_invalid_parameter_name()

update TODO

test: add minimal integration test coverage for uid0 tool

man: try to improve wording on --slice-inherit docs

run/uid0: tint the terminal background color (and add new --background= switch)

This adds a new --background= switch that allows specifiying a
background color for the terminal while the tool runs.

It also teaches the tool when invoked as uid0 to tint the terminal in a
reddish hue when operating as root, and in a yellowish hue when
operating as any other user.

This should highlight nicely when the user is operating with elevated
privileges, or changed privileges.

color-util: add helper to convert RGB → HSV

We already have HSV → RGB, add the opposite operation.

color-util: split out HSV color conversion into color-util.[ch]

ptyfwd: optionally, change ANSI background color of forwarded terminals

As the bytes flow through our terminal forwarder we can color the
background of the terminal with a color of our choices, if that's
desired.

This will later allow us to color the background of the uid0 tool when
running as root with a slightly alarming red color.

This does two things:

1. When an ANSI sequence is seen that resets the background color, it is
   extended to immediately set the color to our choice.
2. When a newline is seen it is immeidately extended to set the
   background color again and clear the current line till the end.

Net effect: all lines written while we forward the ttys will be shown
with the background color of choice.

terminal-util: add helper that determines terminal default bg color

terminal-util: add helper for disabling terminal echo in termios struct

mkosi: don't turn off installation of our PAM snippets

Otherwise we don't get the new PAM snippet for the uid0 PAM stack
installed.

run: optionally set the "ignore-failure" flag for ExecStart= lines

run: when invoked as "uid0", expose some sudo-like behaviour

This turns "systemd-run" into a multi-call binary. When invoked under
the name "uid0", then it behaves a bit more like traditional "sudo".
This mostly means defaults appropriuate for that, for example a PAM
stack, interactivity and more.

Fixes: #29199

env-util: add strv_env_assignf() helper

Merge pull request #30567 from yuwata/hashmap_isempty

tree-wide: use hashmap_isempty() and friends

Merge pull request #30564 from poettering/varlink-log-tweaks

varlink: minor fixes & tweaks

Merge pull request #30563 from poettering/socket-tweaks

two minor tweak to socket-util.c

sd-journal: use FOREACH_ARRAY() at one more place

tree-wide: use hashmap_isempty() and friends

varlink: check state rather than flags to determine whether it makes sense to reply

We already checked the flags before, and updated the state accordingly,
hence let's only look at the state afterwards. This allows us to use the
same expressions for all cases where we want to reply automatically to
clients.

varlink: add an extra assert encoding our assumption that ucred is valid here

varlink: never turn method call handler errors into connection errors

Let's make sure method call handlers failing will result in that very
method call failing but not the whole connection. We mostly got that
right, except for "oneway" calls where the method reply is supposed to
be eaten up, but wasn't. Fix that.

varlink: switch various log calls to the local log helpers

Most code in varlink.c got that right, but some didn't. Fix that.

socket-util: remove unnecessary variable

socket-util: make sure SO_PEERSEC returned string is always NUL terminated

it's not entirely clear to me if the manual NUL termination is
necessary, but let's better be safe than sorry, since this is apparently
up to the LSMs, and I am not sure we can trust them all.

A lot of other code (such as dbus-broker) patches in the NUL byte, hence
let's be rather safe-then-sorry, it's trivial after all.

dbus-execute: use new exec_context_get_set_login_environment() helper also as backing for dbus property

Note sure why it didn't occur earlier to me, but now that we have this
nice helper to get the effective value of the set_login_environment
field instead of just falling back to "false".

Follow-up for: #30552

resolved: actually check authenticated flag of SOA transaction

Fixes #25676

core: imply SetLoginEnvironment= if PAMName= is set

This geneally makes sense as setting up a PAM session pretty much
defines what a login session is.

In context of #30547 this has the benefit that we can take benefit of
the SetLoginEnvironment= effect without having to set it explicitly,
thus retaining some compat of the uid0 client towards older systemd
service managers.

network: merge two post event sources

No functional change, just refactoring.

network: split out manager_clean_all() from manager_dirty_handler()

And rename manager_dirty_handler() to manager_post_handler().

No functional change, just refactoring.