Merge pull request #25929 from poettering/resolvectl-loopback-fix

resolvectl: show 127.0.0.1 among global DNS servers again

update TODO

systemctl: enable: overwrite broken alias symlinks

When switching to an alternative alias provider,
the previous one might have been uninstalled or so.
It should be fine for us to overwrite them directly.

Closes #23694

systemctl: edit: rephrase edit markers to avoid misunderstanding

Closes #25856

udev: Fix some tablet pads being classified as mouse or joysticks

man: note that DynamicUser=yes is incompatible with D-Bus

Due to policy checks against system users this cannot currently work, and it is non-obvious.
In the future it might be implemented if support is added to dbus-broker/dbus-daemon, e.g.:

https://github.com/bus1/dbus-broker/issues/259

Merge pull request #25802 from poettering/bootctl-reseed

move EFI random seed update logic from systemd-random-seed.service into separate service

resolvectl: don't filter loopback DNS server from global DNS server list

"resolvectl status" shows per-link DNS servers separately from global
ones. When querying the global list, it will contain both per-link and
global servers however. Thus, to not show duplicate info we filter all
entries that actually have a non-zero ifindex set (under the assumption
that that's a per-link server).

This doesn't work if people configured 127.0.0.1 as global server
though, as we'll add ifindex 1 to it since
6e32414a66ff8dbcef233981a7066684d903ee9f unconditionally even for global
servers.

Let's address that by excluding entries with ifindex 1 from suppression.
This is safe as resolved ignores loopback ifaces, hence never will have
per-link servers on ifindex 1.

Note that this splits up the "with_ifindex" parameter into a second
parameter "only_global", since they semantically do two different
things. One controls whether we shall expect/parse an ifindex dbus
field. The other controls whether we shall filter all ifindex values set
!= 0. These are effectively always used in conjunction hence making them
the same actually worked. However this is utterly confusing I think,
which as I guess is resulting in the confusion around #25796 (which
removes the whole check)

Replaces: #25796

resolved: add some line-breaks/comments

Let's make this a bit more readable.

resolvectl: fix type of ifindex D-Bus field, and make sure to initialize to zero in all code paths

bootctl: split out setting of system token into function of its own

Let's break a huge function in two. No code change, just some
refactoring.

units: rename/rework systemd-boot-system-token.service → systemd-boot-random-seed.service

This renames systemd-boot-system-token.service to
systemd-boot-random-seed.service and conditions it less strictly.

Previously, the job of the service was to write a "system token" EFI
variable if it was missing. It called "bootctl --graceful random-seed"
for that. With this change we condition it more liberally: instead of
calling it only when the "system token" EFI variable isn't set, we call
it whenever a boot loader interface compatible boot loader is used. This
means, previously it was invoked on the first boot only: now it is
invoked at every boot.

This doesn#t change the command that is invoked. That's because
previously already the "bootctl --graceful random-seed" did two things:
set the system token if not set yet *and* refresh the random seed in the
ESP. Previousy we put the focus on the former, now we shift the focus to
the latter.

With this simple change we can replace the logic
f913c784ad4c93894fd6cb2590738113dff5a694 added, but from a service that
can run much later and doesn't keep the ESP pinned.

bootctl: downgrade graceful messages to LOG_NOTICE

random-seed: don't refresh EFI random seed from random-seed.c anymore

The ESP is simply not mounted early enough for this. We want that the
regular random seed handling runs as early as we possibly could, but we
don't want to delay this until the ESP is actually mounted.

Hence, let's remove this from random-seed.c here. A follow-up commit
will then add this back in, in a separate service which just calls
"bootctl random-seed".

Effectively reverts: f913c784ad4c93894fd6cb2590738113dff5a694

Fixes: #25769

sha256: add helper than hashes a buffer *and* its size

We use this pattern all the time in order to thward extension attacks,
add a helper to make it shorter.

bootctl: when updating EFI random seed file, hash old seed with new one

Let's not regress in entropy in any case.

This does what f913c784ad4c93894fd6cb2590738113dff5a694 also does.

bootctl: properly sync fs before/after moving random seed file into place

Let's do a careful, focussed sync at the right places instead of a
blanket sync at the end. After all we want to run this on every boot
soon.

bootctl: rework random seed logic to use open_mkdir_at() and openat()

This doesn't really fix anything, but in general we should put stronger
emphasis on operating via dir fds rather than paths more (in particular
when writing files as opposed to consuming them).

No real change in behaviour.

bootctl: fix errno logging

hwdb: remove spurious whitespace

Fixes test failures.
Follow-up for c3950f0a27fb7d2298a2182f21d645c7017f9c0c and
https://github.com/systemd/systemd/pull/25908

efi: skip Read() calls with zero sizes

Let's avoid calling Read() with zero-sized buffer, to avoid needless firmware
quirkiness.

See: #25911

resolved: downgrade inability to send varlink reply error message

Previously, if a client disconnected after sending a lookup request but
before waiting for the reply we'd log at LOG_ERR level. That's
confusing, since it's entirely OK for the client to lose interest.

Hence, let's downgrade to debug level.

Fixes: #25892

Merge pull request #25910 from crrodriguez/wth_c2x

Fix FTBS when -std=gnu2x

udev: match device tags in rules using current device tags

This ensures that udev scripts using `TAG-="..."` and expecting later
udev rules to honor it will work properly. An use case is removing the
`uaccess` tag from a device without overriding the original file and
ensuring that `73-seat-uaccess.rules` won't run the uaccess builtin later.

Added Tablet Teclast X98 Air 3G (C5J6)

Latest BIOS of X98 Air 3G has later date, that's why it wasn't recognized. Uses the same Matrix as the X89 (E7ED).

efi-api: check the EFI_TCG2_FINAL_EVENTS_TABLE in efi_has_tpm2()

The EFI firmware may provide the TPM2 event log using
EFI_TCG2_FINAL_EVENTS_TABLE stored in EFI configuration table,
instead of the ACPI Table TPM2.

If the ACPI Table TPM2 doesn't exist, try to check whether
EFI_TCG2_FINAL_EVENTS_TABLE is available or not.

Signed-off-by: Jia Zhang <zhang.jia@linux.alibaba.com>

Revert "boot: Use EFI_BOOT_MANAGER_POLICY_PROTOCOL to connect console devices"

This reverts commit b99bf5811850afdb2502ba37251c48348da63c82.

It seems that using this protocol on some firmwares to forcibly
initialize console devices may break handles (already opened file
handles and the device handle itself) that we rely on to access the
boot filesystem, making it impossible to load the selected entry.

It might be possible to get a new handle by querying for the device
handle by using its device path after calling into this protocol, but
this is untested. The firmware might also be so buggy that accessing
devices after using this protocol is impossible.

It seems prudent to revert this for now until some reliable way is found
to initialize console devices without introducing huge boot delays. Any
users on firmware where console devices cannot be accessed would have to
rely on disabling fastboot.

Fixes: #25737, #25846

libsystemd-network: FTBS in c2x mode

cannot pass false as argument because function wants a pointer to bool
instead, use NULL instead

basic: Fix incompatible type for arguments errors in C2X

GCC-13 -std=gnu2x FTBS with:

error: incompatible type for argument 3 of ‘_hashmap_free’

basic: fix hosed return value in skip_session()

../src/basic/cgroup-util.c: In function ‘skip_session’:
../src/basic/cgroup-util.c:1241:32: error: incompatible types when returning type ‘_Bool’ but ‘const char *’ was expected
 1241 |                         return false;

man: Fix systemd-boot man page wrong secure keys location

The keys should be placed at `/loader/keys/` not `/keys/`.

See `src/boot/efi/boot.c` file and
function `secure_boot_discover_keys`.

fundamental: rework IN_SET() to require at least three arguments

If less than three parameters are passed a simple comparison is the
better choice.

Lo and behold this found two pretty bad typos.

core: rework operation_to_signal() to rename return parameter ret_xyz

Merge pull request #25912 from DaanDeMeyer/ukify

ukify fixes

manager: perform objective->shutdown_verb mapping locally

This is a small cleanup removing the need for the spurious
*ret_shutdown_verb argument on invoke_main_loop() while moving
the MANAGER_OBJECTIVE::shutdown_verb string mapping local to
where it actually gets added to the shutdown argv in
become_shutdown().

This also eliminates the need for the several clearings of
*ret_shutdown_argv, and the streq() branches of shutdown_verb in
favor of plain equality tests against the objective value.

Nothing functionally has been changed.

ukify: Fix section offset calculation

objcopy seems to expect that the offset passed to --change-section-vma
is absolute instead of relative to ImageBase. If this is not accounted
for an invalid image is created that cannot be loaded:

  0 .osrel        0000016b  0000000200016000  0000000200016000  00000400  2**2
  …
  6 .text         0000d242  0000000140001000  0000000140001000  00c6e800  2**4

This isn't an issue with gnu-efi based PE images, but natively created
ones will have a non-zero ImageBase.

ukify: Require specifying --tools for each tools directory

Instead of consuming N arguments as tools directories, let's always
only consume one argument per specification of --tools. This avoids
issues where the linux image and initrd are interpreted as tools
directories.

ukify: Handle directories in path_is_readable()

Update 60-sensor.hwdb

Updated DBook D10 / Juno Tablet. Before the bvr (bios version) was hard coded to v1.05. This will read all versions

machined: pass shell command line to polkit

Pass the joined arguments to polkit as command_line property like
pkexec does. Obviously not exactly perfect as it lacks quoting. Good
enough for polkit rules to check whether a program was called with
or without arguments though.

Merge pull request #25864 from yuwata/dissect-fix-mtree

dissect: fix mtree

Prevents airplane mode toggle for HP Spectre 16

boot: don't convert the trailing newline in mangle_stub_cmdline()

It is pretty convenient to add .cmdline using /proc/cmdline like
this:
  --add-section .cmdline=/proc/cmdline --change-section-vma .cmdline=0x25000

However, it always returns a trailing newline, and stub will
convert it to a whitespace by mangle_stub_cmdline() in next boot.
Thus the resulting /proc/cmdline would contain a trailing
whitespace. When /proc/cmdline is used to generate .cmdline again,
the resulting UKI is mangled.

To address this kind of inconvenience, mangle_stub_cmdline() should
skip converting the trailing newline, and try to chomp all the
trailing whitespaces.

Signed-off-by: Jia Zhang <zhang.jia@linux.alibaba.com>

dissect: reduce indent in mtree_print_item()

dissect: do not trigger assertion on error

recurse_dir() does not provide 'sx' on error.

Fixes #25862.

dissect: use assert() when no side effect

Merge pull request #25850 from poettering/switch-root-tweaks-minor

pid1: minor tweaks to the SwitchRoot() logic

Merge pull request #25828 from poettering/no-more-basename

convert a number of basename() invocations to path_extract_filename()

prioq: make prioq_reshuffle() void

We never use the return value, and it's confusing and kinda pointless
what we return there.

Hence drop it.

Originally noticed by: tristone13th <tristone13th@outlook.com>

Alternative to: #25810

Merge pull request #25849 from poettering/repart-loop

pull in loop.ko from repart unit

docs: remove /dev/tty* confusion

The text said /dev/tty* as a whole was the VT subsystem and that VT is
not supported in containers.

But that's not accurate as /dev/tty* will match /dev/tty too and that
one device node is special and is not related to VT: it always points to
the current process own controlling tty, regardless what that is.

hence, rewrite /dev/tty* as /dev/tty[0-9]*.

sysroot: Order systemd-fsck-root after systemd-makefs

systemctl: rework how we detect if init is systemd

core: use chase_symlinks_and_access() where appropriate

core: tighten validation checks in SwitchRoot() dbus call

lock-file: various updates

analyze: basename() → path_extract_filename()

format-table: add field type TABLE_PATH_BASENAME

This is just like TABLE_PATH, but only shows the basename in regular
tabular output.

This is useful in systemd-repart for example

tmpfiles: port basename() → path_extract_filename()

sysv-generator: port basename() → path_extract_filename()

shared: port various shared helpers basename() → path_extract_filename()

units: pull in loop.ko and dm-mod.ko before repart

We want to make use of that when formatting file systems, hence let's
pull in these modules explicitly.

(This is necessary because we are an early boot service that might run
before systemd-tmpfiles-dev.service, which creates /dev/loop-control and
/dev/mapper/control.)

Alternatively we could just order ourselves after
systemd-tmpfiles-dev.service, but I think there's value in adding an
explicit minimal ordering here, since we know what we'll need.

Fixes: #25775

units: change modprobe@dm-mod.service → modprobe@dm_mod.service

Follow-up for 8f1359bf854e9683e4e0b89fd3a537e0d82d4b95

repart/makefs: port over to path_extract_filename()

portable: port basename() → path_extract_filename()

nspawn: port over basename() → path_extract_filename()

mount-tool: port over basename() → path_extract_filename()

journalctl: port COMM= matching to path_extract_filename()

dissect: remove one more use of basename()

And while we are at it, make use of path_extract_filename() return value
that indicates whether the path was suffixed with a slash.

core: move some basename() use → path_extract_filename()

tests: we don't actually use basename() anymore

homed: move away from basename()

measure: fix the failures of compare_reported_pcr_nr()

EFI_LOADER_VARIABLE() already applies to the stringify to construct the
path of EFI variable in efivars, so it is wrong to enclose the name of
EFI variable with the quotes. Otherwise, the following errors are
reported.

Reading EFI variable /sys/firmware/efi/efivars/StubFeatures-4a67b082-0a4c-41cf-b6c7-440b29bb8c4f.
Reading EFI variable /sys/firmware/efi/efivars/"StubPcrKernelImage"-4a67b082-0a4c-41cf-b6c7-440b29bb8c4f.
open("/sys/firmware/efi/efivars/"StubPcrKernelImage"-4a67b082-0a4c-41cf-b6c7-440b29bb8c4f") failed: No such file or directory
Reading EFI variable /sys/firmware/efi/efivars/"StubPcrKernelParameters"-4a67b082-0a4c-41cf-b6c7-440b29bb8c4f.
open("/sys/firmware/efi/efivars/"StubPcrKernelParameters"-4a67b082-0a4c-41cf-b6c7-440b29bb8c4f") failed: No such file or directory
Reading EFI variable /sys/firmware/efi/efivars/"StubPcrInitRDSysExts"-4a67b082-0a4c-41cf-b6c7-440b29bb8c4f.
open("/sys/firmware/efi/efivars/"StubPcrInitRDSysExts"-4a67b082-0a4c-41cf-b6c7-440b29bb8c4f") failed: No such file or directory

Signed-off-by: Jia Zhang <zhang.jia@linux.alibaba.com>

Merge pull request #25823 from poettering/dissect-diskseq

gpt-auto: reference dissected partitions to mount via diskseq block device symlinks

tree-wide: have_effective_cap() may return negative errno

Merge pull request #25830 from yuwata/wait-online-unmanaged

wait-online: exit with success when all interfaces are ready or unmanaged

Merge pull request #25777 from PeterCxy/enroll-fido2

cryptenroll: Implement support for unlocking via FIDO2 tokens

update TODO

gpt-auto-generator: enable referencing partitions via diskseq symlinks

dissect-image: optionally, reference dissected partition device nodes by diskseq

This is useful to make the dissection logic at boot a bit safer, as we
can reference device nodes by diskseq.

This locks down dissection a bit, since it makes it harder to swap out
the backing device between the time we dissected and validated it, until
we actually mounted it.

This is not complete though, as /bin/mount would have to verify the
diskseq after opening the diskseq symlink again.

See: https://github.com/util-linux/util-linux/issues/1786

dissect-image: simplify things by avoiding one string copy

We don't need the node in its original variable anymore, hence let's
just move it over instead of allocating a copy.

udev: also create partition /dev/disk/by-diskseq/ symlinks

import-creds: don't try to import VM creds in a container

If we run in a container we shouldn#t try to import creds passed in from
a VMM, as they are not for us, but for the VM itself.

cryptenroll: Implement support for unlocking via FIDO2 tokens

This allows FIDO2 users to wipe out password slots and still be able to
enroll new key slots via systemd-cryptenroll. Note that when the user
wants to both unlock with a FIDO2 token and enroll a new FIDO2 token,
they cannot be set to automatic discovery. This is to safeguard against
confusion, because there will be multiple tokens connected to the system
when doing so -- and we require users to explicitly confirm which one to
use for unlocking and which one to use for enrollment.

Addresses #20230 for the FIDO2 case.

Merge pull request #25814 from DaanDeMeyer/ukify

ukify: Prefer using llvm-objcopy instead of objcopy

cryptsetup-fido2: Remove plain mode parameters from `acquire_fido2_key_auto()`

`acquire_fido2_key_auto()` will not be used in PLAIN mode, and
parameters such as the salt will be acquired from the LUKS header.
Parameters intended for PLAIN mode are useless in
`acquire_fido2_key_auto()`.

cryptsetup-fido2: Relocate to libsystemd-shared

ukify: Validate that there are no overlapping sections

Let's make sure that after calling objcopy we have no overlapping
sections in the UKI

ukify: Prefer using llvm-objcopy instead of objcopy

llvm-objcopy works on stubs built for foreign architectures whereas
objcopy doesn't so let's prefer using llvm-objcopy instead of objcopy.

llvm-objcopy automatically sets the virtual address and doesn't provide
an option to set it manually so we only add --change-section-vma when
using objcopy

The default section flags differ between llvm-objcopy and objcopy
so we add a default for the section flags so we make sure all sections
are read-only data unless specified otherwise.

ukify: Allow passing multiple directories to --tools

Merge pull request #25791 from keszybz/ukify-check-inputs

ukify: check inputs

macro: check existence of cleanup function before call it

The free function specified in the macro may be provided by a
dynamically loaded library.

Replaces #25781.

test-network: add testcase for no managed interface

test-network: split out wait-online related test case

test-network: move one test case

dissect-image: let's lock down fstypes a bit

When we dissect images automatically, let's be a bit more conservative
with the file system types we are willing to mount: only mount common
file systems automatically.

Explicit mounts requested by admins should always be OK, but when we do
automatic mounts, let's not permit barely maintained, possibly legacy
file systems.

The list for now covers the four common writable and two common
read-only file systems. Sooner or later we might want to add more to the
list.

Also, it might make sense to eventually make this configurable via the
image dissection policy logic.

Merge pull request #25829 from poettering/empty-to-null-const-fix

string-util: don't add `const` to return pointer of empty_to_null() if input didn't have it

wait-online: exit with success when all interfaces are ready or unmanaged

Previously, when neither '--any' nor '--interface' options specified,
at least one of the interfaces must be in configured state.
This patch makes wait-online exit with success even if all interfaces
are in unmanaged state.

This may break backward compatibility in a rare situation. But in most
cases, this typically not change anything, as at least one interface
is managed by networkd.service when it is enabled.

This is mostly for making wait-online gracefully handle the case that
networkd.service and wait-online.service are enabled by mistake. In such
situation, all interfaces are typically not managed.

Fixes #25813.

creds: use empty_or_dash() where appropriate

string-util: rework empty_to_null() to not change "const" qualifier of input

This changes the definition from enpty_to_null() so that we are still
typesafe (i.e. only accept strings) but do not drop (or add) any const
to the returned string that wasn't also on the input.

Inspired by: https://github.com/systemd/systemd/pull/25805/commits/3196e2996f613a2e3568a791c503306b7c58d593