TEST-70-TPM2: add test for new signed TPM2 PCR policies

cryptsetup: hook up TPM2 token code with policies based on PCR signatures, too

tpm2-util: add helper for formatting PCR masks as string

tpm2-util: add common parser for the LUKS2 TPM2 JSON structure

This splits out the JSON parser used by the systemd-cryptsetup code.

This is preparation for later work to reuse it in the tpm2 cryptsetup
token module, which currently uses a separate but very similar parser
for the same data.

No change in behaviour.

cryptsetup: hook up signed PCR policies

repart: hook up new TPM2 signed policies with repart

cryptenroll: hook up new TPM2 signed policies with cryptenroll

creds-tool: expose new signed PCR policies in creds tool, too

creds-util: hook up new signed PCR policies

tpm2-util: extend TPM2 policies to optionally check PCR values against signed values

Traditionally, TPM2 PCR policies are bound against literal PCR values,
which makes them hard to work with when updating software that is
measured into PCRs: each update will change the PCR values, and thus
break TPM2 policies of existing objects.

Let's improve the situation: let's allow signed PCR policies. Secrets
and other TPM2 objects can be associated with a public key that signs a
PCR policy. Thus, if the signed policy and the public key is presented,
access to the TPM2 object can be granted. This allows a less brittle
handling of updates: for example, whenever a kernel image is updated a
new signed PCR policy can be shipped along with it, signed by a private
key owned by the kernel vendor (ideally: same private key that is used
to sign the kernel image itself). TPM2 objects can then be bound to the
associated public key, thus allowing objects that can only be unlocked
by kernels of the same vendor. This makes it very easy to update kernels
without affecting locked secrets.

This does not hook up any of the consuming code (just passes NULL/0
everywhere). This is for later commits.

measure: add 'sign' verb

openssl-util: add helper for calculating fingerprint of a DER public key

tpm2-util: allow external code to create tpm2 contexts

tpm2-util: pick up 4 more symbols of tpm2-tss

CODING_STYLE: fix header level

Merge pull request #24572 from DaanDeMeyer/repart-verity

repart: Add support for formatting verity partitions

Merge pull request #24434 from medhefgo/boot-fixes

boot: Small fixes

tpm2: add bind key

Currently, the tpm2 support will use encrypted sessions by creating a
primary key that is used to encrypt traffic. This creates a problem as
the key created for encrypting the traffic could be faked by an active
interposer on the bus. In cases when a pin is used, we can introduce the
bind key. The pin is used as the auth value for the seal key, aka the
disk encryption key, and that auth value can be used in the session
establishment. An attacker would need the pin value to create the secure
session and thus an active interposer without the pin could not
interpose on TPM traffic.

Related-to: #22637
Signed-off-by: William Roberts <william.c.roberts@intel.com>

update TODO

repart: Add support for formatting verity partitions

This commit adds a new Verity= setting to repart definition files
with two possible values: "data" and "hash".

If Verity= is set to "data", repart works as before, and populates
the partition with the content from CopyBlocks= or CopyFiles=.

If Verity= is set to "hash", repart will try to find a matching
data partition with Verity=data and equal values for CopyBlocks=
or CopyFiles=, Format= and MakeDirectories=. If a matching data
partition is found, repart will generate verity hashes for that
data partition in the verity partition. The UUID of the data
partition is set to the first 128 bits of the verity root hash. The
UUID of the hashes partition is set to the final 128 bits of the
verity root hash.

Fixes #24559

Merge pull request #24587 from yuwata/sd-device-monitor-running-user-ns

sd-device-monitor: relax sender uid check when running in user namespace

sd-device-monitor: relax sender uid check when running in user namespace

If sd-device-monitor is running in a user namespace, the sender uid is
not zero. Let's relax the verification in that case.

uid-range: move to src/basic/

To make the functions defined in the files usable by libsystemd library.

uid-range: error code tweak for uid_range_load_userns()

Let's return ENOSYS if /proc/ is not mounted (as that's what we usually
return in that case in various helpers that operate on /proc/). Return
EOPNOTSUPP if the kernel simply doesn't support userns.

Merge pull request #24571 from yuwata/dissect-loop-image-use-backing-file

dissect: save image path to LoopDevice and use it when dissect loop device

repart: Invert no_dropin_files boolean

repart: Extract context dump into a separate function

dissect-image: drop unnecessary duplication of partition device node

dissect-image: reuse LoopDevice.node in dissect_image()

Currently, dissect_image() is only called through dissect_loop_device(),
and the LoopDevice object has device name. Hence, it is not necessary to
get device name in dissect_image().

dissect-image: drop currently unused arguments

dissect-image: drop currently unused code

Currently, dissect_image() is called only through dissect_loop_device(),
and image_path is always specified. Let's drop it.

dissect-image: use loop backing file or device node as name of the image

Note, currently, for each call of dissect_loop_device_and_warn(), the
specified name is equivalent to the path passed to loop_device_make_by_path().
Hence, this should not change the current behavios.

gpt-auto: use LoopDevice object to manage whole block disk

dissect-image: use backing_file stored in LoopDevice object to generate image name

Follow-up for e374439f4b8def786031ddbbd7dfdae3a335d4d2 (#24322).

This also simplify the logic of generating image name from image path.

loop-util: save backing file of loopback block device

It will be used in later commits.

loop-util: move device_has_block_children() to blockdev-util.c

As the function is not only for loopback block device.

No actual code changes, just refactoring.

blockdev-util: check if provided sd_device is for a whole block device

And split out partition_generator_new(), to make it usable in other
functions.

blockdev-util: make block_device_remove_all_partitions() take sd_device object

Then, it is not necessary to recreate sd_device object when we already
have.

boot: Avoid magic values in timeout EFI vars

boot: Use proper scan codes

This arg expects scan codes and it can be very confusing to find a key
conflict when trying to add a F3 button when there are no F3 keycodes
seemingly in use. CHAR_CARRIAGE_RETURN and SCAN_F3 use the same value,
so no changes in behavior.

boot: Accept Ctrl+Del for deleting words

boot: Correctly handle shift keys

boot: Refuse GPT with invalid entry size

SizeOfPartitionEntry must be a multiple of 128 * 2^n.

boot: Fix device path unaligned access

boot: Use mempcpy

boot: Add mempcpy

README: we don't use crypto API in kernel anymore

This effectively reverts 9c7f7d86f86322b76fc903ca8a06b87c4be4bd4a.

We dropped kernel crypto API use with
1fc8d0c9dd6a21de81e49cfa01af4a4d9a3ed37d, hence catch up in README.

README: make section title less confusing

This is about glibc NSS, not about the TLS implementation library NSS.

README: drop some spurious empty lines, we otherwise don't place after section titles

Merge pull request #24592 from poettering/coding-style-more2

more coding style documentation additions

README: use right emoji UTF-8 sequences for stop/warning sign

docs: Some CODING_STYLE additions

loop-util: fix leak of file descriptor on failure

Merge pull request #15833 from AsamK/busctl_introspect_method_signature

busctl: Add introspect support for methods with same name but different signature

README: clarify baseline situation a bit (add emojis!)

busctl: Add introspect support for methods with same name but different signature

D-Bus interfaces can have multiple methods with the same name, as long
as they have different arguments (signature). Currently busctl can call
those methods but when introspecting the interface it just displays
"Duplicate method"

This PR fixes the behavior, by also adding the signature to the hash for
the members set.

Before this patch:

$ busctl introspect org.asamk.Signal /org/asamk/Signal
Invalid introspection data: duplicate method 'sendMessage' on interface 'org.asamk.Signal'.

After this patch:

$ busctl introspect org.asamk.Signal /org/asamk/Signal
NAME                                TYPE      SIGNATURE RESULT/VALUE FLAGS
org.asamk.Signal                    interface -         -            -
.sendMessage                        method    as        x            -
.sendMessage                        method    s         x            -

Calling the methods already works as expected, as the user must specify
the signature explicitely:
busctl --user call org.asamk.Signal /org/asamk/Signal org.asamk.Signal sendMessage "as" 2 foo bar
busctl --user call org.asamk.Signal /org/asamk/Signal org.asamk.Signal sendMessage "s" foo

$ busctl --xml introspect org.asamk.Signal /org/asamk/Signal
<!DOCTYPE node PUBLIC "-//freedesktop//DTD D-BUS Object Introspection 1.0//EN" "http://www.freedesktop.org/standards/dbus/1.0/introspect.dtd">
<node name="/org/asamk/Signal">
 <interface name="org.asamk.Signal">
  <method name="sendMessage" >
   <arg type="as" direction="in"/>
   <arg type="x" direction="out"/>
  </method>
  <method name="sendMessage" >
   <arg type="s" direction="in"/>
   <arg type="x" direction="out"/>
  </method>
 <interface name="org.freedesktop.DBus.Introspectable">
  <method name="Introspect">
   <arg type="s" direction="out"/>
  </method>
 </interface>
 <interface name="org.freedesktop.DBus.Peer">
  <method name="Ping">
  </method>
 </interface>
</node>

busctl: Fix warning about invaild introspection data

The set_put function returns 0 if the element is already in the set and
not EEXIST, like e.g. hashmap does.

test: don't fail if we don't need any external nss libs

On certain systems the `install_libnss()` function might end up with an
empty list of libraries to install, which triggers an assertion in
`image_install()`:

```
I: Install libnss
..//test-functions: line 2721: 1: parameter null or not set
make: *** [Makefile:4: setup] Error 1
```

E.g.:
```
# LD_DEBUG=files getent passwd 2>&1 >/dev/null | sed -n '/calling init: .*libnss_/ {s!^.* /!/!; p}'
/lib64/libnss_sss.so.2
/lib64/libnss_systemd.so.2
# dnf -y remove sssd-client systemd-libs
# LD_DEBUG=files getent passwd 2>&1 >/dev/null | sed -n '/calling init: .*libnss_/ {s!^.* /!/!; p}'
<no output>
```

Let's handle this case gracefully.

ci(issue-labeler): Add missing policy for `coredump` label

Merge pull request #24425 from poettering/shutdown-lazily

shutdown: lazily umount all API vfs

loop-util: store sd_device object for the loop device

It will be used in later commits.

Merge pull request #24520 from yuwata/udevadm-wait-listen-kernel-uevents

udevadm-wait: also listen kernel uevents

test: kill plymouthd after initrd transition if it's still running

Until now using the INTERACTIVE_DEBUG=yes stuff together with sanitizers
was almost impossible, since the console kept eating up our inputs or
not responding at all. After a painful day of debugging I noticed that
if we use a shell script in the initrd -> root transition, we might end up
with a plymouthd still running, which kept screwing with the tty.

E.g. with initrd -> wrapper -> systemd transition, where the `wrapper`
is a simple script:

```
exec -- /usr/lib/systemd/systemd "$@"
```

we'd end up with a stray plymouthd process after the bootup:

```
 1     0     440       2  20   0      0     0 worker I    ?          0:00 [kworker/5:2-ata_sff]
 1     0     453       2  20   0      0     0 worker I    ?          0:00 [kworker/9:2-rcu_gp]
 5     0     456       1  20   0   7252  1960 do_epo S    ?          0:00 @usr/sbin/plymouthd --mode=boot --pid-file=/run/plymouth/pid --attach-to-session
```

After killing it, the tty works finally as expected.

udevadm-wait: shorten code a bit

udevadm-wait: wait for two periodic timer triggered before exit

udevadm-wait: also listen kernel uevent stream if --initialized=no

Suggested at https://github.com/systemd/systemd/pull/24471#discussion_r959703103.

hwdb: Add accel orientation quirk for the Aya Neo Air

Use original filename for extension name check

The loading of an extension image from a symlink "NAME.raw" to
"NAME-VERSION.raw" failed because the release file name check worked
with the backing file of the loop device which already resolves the
symlink and thus the found name "NAME-VERSION" mismatched "NAME".
Pass the original filename and use it instead of the backing file
when available. This fixes the loading of "NAME.raw" extensions which
are a symlink to "NAME-VERSION.raw" as, e.g., may be the case when
systemd-sysupdate manages multiple versions.

Fixes https://github.com/systemd/systemd/issues/24293

Merge pull request #24467 from qdeslandes/nspawn_rootidmap

nspawn: add rootidmap as --bind option

Merge pull request #24568 from poettering/atou16-atou-rework

parse-util: simplify safe_atou8() + safe_atou16()

udev/rules,hwdb: filter out mostly meaningless default strings

The filter is generated based on the following results:
---
git clone git@github.com:linuxhw/DMI.git
cd DMI
git grep -h -A2 '^System Information$' | grep 'Manufacturer' | sort | uniq -c | sort -nr | less
git grep -h -A2 '^System Information$' | grep 'Product Name' | sort | uniq -c | sort -nr | less
---

Closes #24446.

Merge pull request #24566 from mrc0mmand/TEST-75-fix

test: mark knot.conf tmpfiles config as optional

Merge pull request #24567 from poettering/homed-wait-timeout

homed: don't wait for workers without time limit

nspawn: add support for rootidmap bind option

rootidmap bind option will map the root user from the container to the
owner of the mounted directory on the filesystem. This will ensure files
and directories created by the root user in the container will be owned
by the directory owner on the filesystem. All other user will remain
unmapped.

parse-util: make safe_atou8() just a wrapper around safe_atou8_full()

As in the previous commit: it's just a wrapper around the same
strtoul(), hence let's just share some more code.

parse-util: make safe_atou16_full() just a wrapper around safe_atou_full()

Both are fancy wrappers around strtoul() anyway, not more, hence let's
just make them a wrapper around each other, too, to simplify things a
lot.

test: zone-set requires TTL for the first record in the rrset

I'm not sure why this worked previously.

test: mark knot.conf tmpfiles config as optional

Since it got removed in the recent knot release.

See: https://github.com/CZ-NIC/knot/commit/a6971a4025133a77b29f6d2b381b40dc0499730c

Merge pull request #24404 from thatguystone/socket-jobs

job: Don't discard propagated restart jobs when unit is activating

nspawn: rename RemountIdmapFlags enum to RemountIdmapping

This enum should be used to define various idmapping modes for bind
mounts which might be incompatible. Changing its name and the values
name to reflect that.

repart: Add support for setting a partition's UUID to zero

This is useful when we need to fill in the UUID later, such as when
using verity partitions.

units: prolong the stop timeout for homed

Let's give IO/resizing/… more time then usual.

Fixes: #22901

homed: don't wait indefinitely for workers on exit

Let's put some time-limit on it.

Fixes: #22901

Merge pull request #24561 from yuwata/loop-util-follow-ups

loop-util: several follow ups for recent changes

loop-util: lock_fd must be closed before calling LOOP_CLR_FD

Follow-up for 7f52206a2bc128f9ae8306db43aa6e2f7d916f82.

C.f. 87862cc2b4abb9564f7e0365ac515dc9020a54e4.

loop-util: drop unnecessary initializations

loop-util: use loop_device_open_full() when whole block device is passed to loop_device_make()

This also fixes a leak of lock_fd, which introduced by
7f52206a2bc128f9ae8306db43aa6e2f7d916f82, when fd is for a block device,
and size or offset is non-zero.

Fixes another issue in #24147.

loop-util: introduce loop_device_open_full()

loop-util: fix LoopDevice.devno assigned by loop_device_open()

loop-util: also set LoopDevice.diskseq when created with loop_device_open()

mount-util: fix error code

If multiple service is starting simultaneously with a shared image,
then one of the service may fail to create a mount node:

systemd[695]: Bind-mounting /usr/lib/os-release on /run/systemd/unit-root/run/host/os-release (MS_BIND|MS_REC "")...
systemd[696]: Bind-mounting /usr/lib/os-release on /run/systemd/unit-root/run/host/os-release (MS_BIND|MS_REC "")...
systemd[695]: Failed to mount /usr/lib/os-release (type n/a) on /run/systemd/unit-root/run/host/os-release (MS_BIND|MS_REC ""): No such file or directory
systemd[696]: Failed to mount /usr/lib/os-release (type n/a) on /run/systemd/unit-root/run/host/os-release (MS_BIND|MS_REC ""): No such file or directory
systemd[695]: Bind-mounting /usr/lib/os-release on /run/systemd/unit-root/run/host/os-release (MS_BIND|MS_REC "")...
systemd[696]: Failed to create destination mount point node '/run/systemd/unit-root/run/host/os-release': Operation not permitted
systemd[695]: Successfully mounted /usr/lib/os-release to /run/systemd/unit-root/run/host/os-release

The function apply_one_mount() in src/core/namespace.c gracefully
handles -EEXIST from make_mount_point_inode_from_path(), but it erroneously
returned -EPERM previously. This fixes the issue.

Fixes one of the issues in #24147, especially reported at
https://github.com/systemd/systemd/issues/24147#issuecomment-1236194671.

man: fix static bridge example

A NetDev is needed to create the bridge in order to match the example's description "This creates a bridge..."

test: actually set SYSTEMD_DISSECT_VERITY_TIMEOUT_SEC=30

Without the section header the assignments were effectively ignored.

Follow-up to 9fff8e1fdd222f8f05b9ecf170814a9059acfc78.

Merge pull request #24550 from yuwata/bootspec

bootspec: do not build too many json object at once

test: check returned values are always initialized on success

bootspec: shorten code a bit

fuzz: add a test case for fuzz-bootspec

This adds a testcase for the issue oss-fuzz#50949
(https://bugs.chromium.org/p/oss-fuzz/issues/detail?id=50949).

bootspec: do not build two many json object at once

This is a workaround for an issue in the memory sanitizer.
If a function is called with too many arguments, then the sanitizer
triggers the following false-positive warning:

==349==WARNING: MemorySanitizer: use-of-uninitialized-value
    #0 0x7f8b247134a7 in json_buildv /work/build/../../src/systemd/src/shared/json.c:3213:17
    #1 0x7f8b24714231 in json_build /work/build/../../src/systemd/src/shared/json.c:4117:13
    #2 0x7f8b24487fa5 in show_boot_entries /work/build/../../src/systemd/src/shared/bootspec.c:1424:29
    #3 0x4a6a1b in LLVMFuzzerTestOneInput /work/build/../../src/systemd/src/fuzz/fuzz-bootspec.c:119:16
    #4 0x4c6693 in fuzzer::Fuzzer::ExecuteCallback(unsigned char const*, unsigned long) /src/llvm-project/compiler-rt/lib/fuzzer/FuzzerLoop.cpp:611:15
    #5 0x4c5e7a in fuzzer::Fuzzer::RunOne(unsigned char const*, unsigned long, bool, fuzzer::InputInfo*, bool, bool*) /src/llvm-project/compiler-rt/lib/fuzzer/FuzzerLoop.cpp:514:3
    #6 0x4c7ce4 in fuzzer::Fuzzer::ReadAndExecuteSeedCorpora(std::__Fuzzer::vector<fuzzer::SizedFile, std::__Fuzzer::allocator<fuzzer::SizedFile> >&) /src/llvm-project/compiler-rt/lib/fuzzer/FuzzerLoop.cpp:826:7
    #7 0x4c7f19 in fuzzer::Fuzzer::Loop(std::__Fuzzer::vector<fuzzer::SizedFile, std::__Fuzzer::allocator<fuzzer::SizedFile> >&) /src/llvm-project/compiler-rt/lib/fuzzer/FuzzerLoop.cpp:857:3
    #8 0x4b757f in fuzzer::FuzzerDriver(int*, char***, int (*)(unsigned char const*, unsigned long)) /src/llvm-project/compiler-rt/lib/fuzzer/FuzzerDriver.cpp:912:6
    #9 0x4e0bd2 in main /src/llvm-project/compiler-rt/lib/fuzzer/FuzzerMain.cpp:20:10
    #10 0x7f8b23ead082 in __libc_start_main (/lib/x86_64-linux-gnu/libc.so.6+0x24082) (BuildId: 1878e6b475720c7c51969e69ab2d276fae6d1dee)
    #11 0x41f69d in _start (build-out/fuzz-bootspec+0x41f69d)

Follow-up for #24541.
Fixes #24551.

json: introduce json_append()

loop-util: fix memleak when fd is for a block device with non-zero offset or size