resolved: turn on DNSSEC by default, unless configured otherwise

Let's make sure DNSSEC gets more testing, by defaulting DNSSEC to
"allow-downgrade" mode. Since distros should probably not ship DNSSEC enabled
by default add a configure switch to disable this again.

DNSSEC in "allow-downgrade" mode should mostly work without affecting user
experience. There's one exception: some captive portal systems rewrite DNS in
order to redirect HTTP traffic to the captive portal. If these systems
implement DNS servers that are otherwise DNSSEC-capable (which in fact is
pretty unlikely, but still...), then this will result in the captive portal
being inaccessible. To fix this support in NetworkManager (or any other network
management solution that does captive portal detection) is required, which
simply turns off DNSSEC during the captive portal detection, and resets it back
to the default (i.e. on) after captive portal authentication is complete.

Merge pull request #2628 from benjarobin/fix-pull-req-2611

time-util: Rename and fix call of deserialize_timestamp_value()

time-util: Rename and fix call of deserialize_timestamp_value()

The deserialize_timestamp_value() is renamed timestamp_deserialize() to be more
consistent with dual_timestamp_deserialize()
And add the NULL check back on realtime and monotonic

Merge pull request #2622 from keszybz/systemctl-m-h

systemctl: include -M or -H arguments in the hint

systemctl: include -M or -H arguments in the hint

https://github.com/systemd/systemd/issues/2431

Some newlines are added, but the output will still exceed 80 columns in many
cases. The fallback for oom conditions is changed from "n/a" to something
"<service>", and a similar pattern is used for the new code. This way we
have a realistic fallback for oom, which seems nicer than making the whole
function return an error code which would then have to be propagated.

$ systemctl -M fedora-rawhide restart systemd-networkd.service
Job for systemd-networkd.service failed because start of the service was attempted too often.
See "systemctl -M fedora-rawhide status systemd-networkd.service" and "journalctl -M fedora-rawhide -xe" for details.
To force a start use "systemctl -M fedora-rawhide reset-failed systemd-networkd.service"
followed by "systemctl -M fedora-rawhide start systemd-networkd.service" again.

Merge pull request #2611 from 0xAX/deserialize-clkid

time-util: introduce deserialize_timestamp_value()

logind: use deserialize_timestamp_value()

which is introduced in the ebf30a086d commit.

machine: use deserialize_timestamp_value()

which is introduced in the ebf30a086dfa commit.

time-util: introduce deserialize_timestamp_value()

The time-util.c provides dual_timestamp_deserialize() function to
convert value to usec_t and set it as value of ts->monotonic and
ts->realtime.

There are some places in code which do the same but only for one
clockid_t (realtime or monotonic), when dual_timestamp_deserialize()
sets value of both.

This patch introduces the deserialize_timestamp_value() which converts
 a given value to usec_t and write it to a given timestamp.

Merge pull request #2620 from bengal/assert-sd-event-now

dhcp: assert the success of sd_event_now()

dhcp: assert the success of sd_event_now()

The function must never fail.

Merge pull request #2618 from zonque/busproxy-removal

remove bus-proxyd

Merge pull request #2596 from keszybz/move-activate-to-bin

Move activate to bin, extend --fdnames functionality

Merge pull request #2617 from rabinv/master

missing.h: define IFLA_EXT_MASK

missing.h: define IFLA_EXT_MASK

We already define IFLA_PROMISCUITY and some other of these masks in
order to allow building with older headers.  Define IFLA_EXT_MASK too,
which was added in the same kernel version as IFLA_PROMISCUITY (v3.10).

Promote systemd-activate to /usr/bin/systemd-socket-activate

It has fairly wide functionality now and the interface has been
stable for a while. It it a useful testing tool.

The name is changed to better indicate what it does.

Merge pull request #2608 from poettering/resolved-prop-fix

bus property name fix in resolved

Merge pull request #2609 from 0xAX/service-dual-timestamp-serialization

service: remove unnecessary check that dual_timestamp is set

busctl: when formatting message contents, make sure to print all whitespaces

Previously we'd miss a necessary whitespace at the end of arrays, if more data
was following.

resolved: extend ResolveHostname() bus call so that it can parse IP addresses

If the hostname passed to ResolveHostname() is actually an IP address that is
correctly formatted as string parse it as such, avoid any DNS traffic and
return the data in parsed form.

This is useful for clients which can simply call the bus function now without
caring about the precise formatting of specified hostnames. This mimics
getaddrinfo()'s behaviour with the AI_NUMERICHOST flag set.

Note that this logic is only implemented for ResolveHostname(), but not for
calls such as ResolveRecord(), for which only DNS domain names may be used as
input.

The "authenticated" flag is set for look-ups of this type, after all no
untrusted network traffic is involved.

resolved: rename "SearchDomains" property in the Manager interface to "Domains"

Another property name fuck-up. The property contains both search and routing
domains and hence should be exposed as "Domains" rather than "SearchDomains".

The counterpart in the Link object was correctly named, and the
SetLinkDomains() and SetDomains() setter calls too, hence let's get this right,
too.

(Yepp, a minor API break actually, but given that this was so far not
documented, and only 3 days public let's fix this now)

resolved: fix definition of SD_RESOLVED_FLAGS_MAKE

resolved: drop references to two bus error codes no longer used

update TODO

service: remove unnecessary check

We call dual_timestamp_serialize() only if the s->watchdog_timestamp is
set. But the dual_timestamp_serialize() already checks a given dual
timestamp by the call of the dual_timestamp_is_set(). So we can remove
this check safely.

resolved: fix DNSSECSupported Link object property name

By mistake the "DNSSECSupported" bus property of the Link object got named
"DNSSECSupport". Internally, it's named correctly, and the counterpart on the
"Manager" object got named correctly too.

Technically this rename is an API break, but given that the interface is not
documented or widely announced yet, and just 3 days in a published release,
let's just fix this, and hope nobody notices.

activate: allow multiple, possibly invalid, fd names

Previous code only allowed a single name to be passed, and duplicated
it over all descriptors. For the sake of testing, allow different
names and in arbitrary number. If just one is given, duplicate it
to match the number of sockets. This matches previuos behaviour.

Since this is a testing tool, it seems useful to allow passing invalid
names to test application behaviour with invalid names. Hence, only
warn. When warning, escape the name.

basic/strv: fix strv_join for first empty argument

Empty strings were ignored in strv_join, but only if they were at the beginning
of the string. Empty strings after at least one non-empty item were treated
normally.

Previously:
{"x"} → "x"
{"x", ""} → "x"
{"x", "", ""} → "x::"
{""} → ""
{"", ""} → ""
{"", "", ""} → ""
{"", "x"} → "x"
{"", "x", ""} → "x:"
Now:
{"x"} → "x"
{"x", ""} → "x"
{"x", "", ""} → "x::"
{""} → ""
{"", ""} → ":"
{"", "", ""} → "::"
{"", "x"} → ":x"
{"", "x", ""} → ":x:"

Merge pull request #2603 from poettering/drop-compat-libs

Some spring cleaning

tree-wide: make more global variables static

let's export as little as we can

util: drop two unused calls from src/basic/

build-sys: drop aufs-util.[ch]

Left over cruft from the dkr excercise.

gitignore: remove stuff long lost

Drop some entries of stuff we long removed from the main git repo, either
because it was split out or removed altogether.

build-sys: drop Makefile symlink in src/basic/linux

The dir is not used otherwise, hence let's drop the Makefile, so that the dir
stops to exist, too.

core: drop Capabilities= setting

The setting is hardly useful (since its effect is generally reduced to zero due
to file system caps), and with the advent of ambient caps an actually useful
replacement exists, hence let's get rid of this.

I am pretty sure this was unused and our man page already recommended against
its use, hence this should be a safe thing to remove.

util-lib: drop json parser

This was used by the dkr logic, which is gone now, hence remove this too.
Should we need it one day again the git history never forgets...

Note that this only covers the JSON parser. The JSON generator used by
"journalctl -o json" remains, as its much much simpler and requires no
infrastructure except printf() and the most basic escaping.

build-sys: drop libsystemd-{id128,daemon,login,journal}.so compat libs

They have long been obsolete, and upstream distros and packages have mostly
switched over, let's get rid of it for good.

Merge pull request #2589 from keszybz/resolve-tool-2

Better support of OPENPGPKEY, CAA, TLSA packets and tests

Merge pull request #2601 from poettering/systemd-analyze-dump-align

core: fix indenting in dump output

resolve: always align flags to 8th column and print CAA flags

Left-over unknown flags are printed numerically. Otherwise,
it wouldn't be known what bits are remaining without knowning
what the known bits are.

A test case is added to verify the flag printing code:
============== src/resolve/test-data/fake-caa.pkts ==============
google.com. IN CAA   0 issue "symantec.com"
google.com. IN CAA   128 issue "symantec.com"
        -- Flags: critical
google.com. IN CAA   129 issue "symantec.com"
        -- Flags: critical 1
google.com. IN CAA   22 issue "symantec.com"
        -- Flags: 22

resolve: parse CAA records

Fix hashing of TLSA packets

Also add example files with TLSA and SSHFP records.

test-dns-packet: allow running without arguments

test-dns-packet: add framework to read and dump packets

Packets are stored in a simple format:
<size> <packet-wire-format> <size> <packet-wire-format> ...

Packets for some example domains are dumped, to test rr code for various
record types. Currently:
A
AAAA
CAA
DNSKEY
LOC
MX
NS
NSEC
OPENPGPKEY
SOA
SPF
TXT

The hashing code is executed, but results are not checked.

Also build other tests in src/resolve only with --enable-resolve.

Merge pull request #2600 from poettering/s390-alarm-clock

time-util: map ALARM clockids to non-ALARM clockids in now()

core: fix indenting in dump output

Fixes: #2593

time-util: map ALARM clockids to non-ALARM clockids in now()

Fixes: #2597

remove bus-proxyd

As kdbus won't land in the anticipated way, the bus-proxy is not needed in
its current form. It can be resurrected at any time thanks to the history,
but for now, let's remove it from the sources. If we'll have a similar tool
in the future, it will look quite differently anyway.

Note that stdio-bridge is still available. It was restored from a version
prior to f252ff17, and refactored to make use of the current APIs.

Merge pull request #2594 from keszybz/spelling

Spelling

Merge pull request #2595 from l10n-tw/master

Update zh_TW translation.

Update zh_TW translation.

Merge pull request #2590 from zonque/bus-endpoint-removal

Remove kdbus custom endpoint support

Typo

NEWS: journal device support is limited to current boot, grammar

Reword some sentences for better flow.

Merge pull request #2592 from mbiebl/typo-fixes

Typo fixes

Typo fixes

Merge pull request #2591 from jwilk/spelling

man: fix typos

man: fix typos

Remove kdbus custom endpoint support

This feature will not be used anytime soon, so remove a bit of cruft.

The BusPolicy= config directive will stay around as compat noop.

Merge pull request #2587 from haraldh/tpmv3

sd-boot: put hashed kernel command line in a PCR of the TPM

Merge pull request #2588 from phomes/core-enum-fix

core: use correct enum

resolved: add cleanup function to rewind packets

This makes the behaviour more consistent. Before we would not rewind
after some errors, but this seems to have been an unintentional
omission.

systemd-resolve: allow easy querying of openpgp keys

$ systemd-resolve --openpgp zbyszek@fedoraproject.org
d08ee310438ca124a6149ea5cc21b6313b390dce485576eff96f8722._openpgpkey.fedoraproject.org. IN OPENPGPKEY
        mQINBFBHPMsBEACeInGYJCb+7TurKfb6wGyTottCDtiSJB310i37/6ZYoeIay/5soJjlM
        yfMFQ9T2XNT/0LM6gTa0MpC1st9LnzYTMsT6tzRly1D1UbVI6xw0g0vE5y2Cjk3xUwAyn
        ...

Move initialize_libgcrypt to separate file

It's annoying to have the exact same function in three places.
It's stored in src/shared, but it's not added to the library to
avoid the dependency on libgcrypt.

Add memcpy_safe

ISO/IEC 9899:1999 §7.21.1/2 says:
Where an argument declared as size_t n specifies the length of the array
for a function, n can have the value zero on a call to that
function. Unless explicitly stated otherwise in the description of a
particular function in this subclause, pointer arguments on such a call
shall still have valid values, as described in 7.1.4.

In base64_append_width memcpy was called as memcpy(x, NULL, 0).  GCC 4.9
started making use of this and assumes This worked fine under -O0, but
does something strange under -O3.

This patch fixes a bug in base64_append_width(), fixes a possible bug in
journal_file_append_entry_internal(), and makes use of the new function
to simplify the code in other places.

core: use correct enum

from e903182e5b0daa941de47a9c08c824106cec7fe0

sd-boot: put hashed kernel command line in a PCR of the TPM

The UEFI BIOS already hashes the contents of the loaded image, so the
initrd and the command line of the binary are recorded.

Because manually added LoadOptions are not taken into account, these
should be recorded also.

This patch logs and extends a TPM PCR register with the LoadOptions.

This feature can be enabled with configure --enable-tpm

The PCR register index can be specified with
configure --with-tpm-pcrindex=<NUM>

configure: bump version number

delta: minor coding style fixes

no change in behaviour

man: document that resolved cares about /etc/hosts

Merge pull request #2581 from evverx/dev-mqueue-cond

units: don't try to mount the mqueue fs if we lack the privileges for it

Merge pull request #2576 from poettering/random-fixes

Random fixes

build-sys: bump so version

build-sys: run "make hwdb-update"

fill in contributors list in NEWS

core: don't choke if a unit another unit triggers vanishes during reload

Fixes: #1981

Merge pull request #2579 from evverx/TEST-1981

tests: add test for https://github.com/systemd/systemd/issues/1981

Merge pull request #2578 from keszybz/man-pages

man: follow up fixes for #2575

units: don't try to mount the mqueue fs if we lack the privileges for it

See https://github.com/systemd/systemd/pull/2576#discussion-diff-52592680

man: follow up fixes for #2575

Merge pull request #2575 from poettering/manfixes

A variety of man page fixes

man: correct explanation of "systemctl is-enabled" output

The "is-enabled" command doesn't care whether the symlinks are declared in the
[Install] section of a unit file or not, when returning "enabled". Any alias,
.wants/ or .requires/ symlinks suffice.

Fixes: #975

man: document that ExecStartPost= is only run if ExecStart= succeeded

Fixes: #846

man: document that "systemctl enable" supports abbreviated unit file names

Fixes: #1502

man: document that nss-myhostname handles *.localhost and *.localdomain too

(And similar for resolved)

Fixes: #1630

man: document that [Install] has no effect in unit file .d/*.conf drop-ins

Fixes: #1774
Fixes: #1090

man: document distinction between ConditionXYZ= and AssertXYZ=

References: #2468

man: document rescue.target and emergency.target in more detail

Fixes: #2523

units: don't try to mount the FUSE fs if we lack the privileges for it

See:

https://lists.freedesktop.org/archives/systemd-devel/2016-February/035740.html

nss-mymachines: never resolve unmapped UIDs/GIDs

Don't ever permit successful user or group lookups if no UID/GID mapping is
actually applied. THis way, we can be sure that nss-mymachines cannot be used
to insert invalid cache entries into nscd's cache.

https://bugzilla.redhat.com/show_bug.cgi?id=1285339

update TODO

build-sys: add TEST-06-SELINUX to dist

This is a follow-up to https://github.com/systemd/systemd/pull/2493

tests: add test for https://github.com/systemd/systemd/issues/1981

Merge pull request #2574 from zonque/netclass-remove

cgroup: remove support for NetClass= directive

Merge pull request #2495 from heftig/master

tty-ask-password: Split out password sending

Merge pull request #2555 from poettering/coredump-fixes

Coredump fixes and more

cgroup: remove support for NetClass= directive

Support for net_cls.class_id through the NetClass= configuration directive
has been added in v227 in preparation for a per-unit packet filter mechanism.
However, it turns out the kernel people have decided to deprecate the net_cls
and net_prio controllers in v2. Tejun provides a comprehensive justification
for this in his commit, which has landed during the merge window for kernel
v4.5:

  https://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=bd1060a1d671

As we're aiming for full support for the v2 cgroup hierarchy, we can no
longer support this feature. Userspace tool such as nftables are moving over
to setting rules that are specific to the full cgroup path of a task, which
obsoletes these controllers anyway.

This commit removes support for tweaking details in the net_cls controller,
but keeps the NetClass= directive around for legacy compatibility reasons.

update NEWS

core: treat JobTimeout=0 as equivalent to JobTimeout=infinity

Corrects an incompatibility introduced with 36c16a7cdd6c33d7980efc2cd6a2211941f302b4.

Fixes: #2537

core: simplify how we parse TimeoutSec=, TimeoutStartSec= and TimeoutStopSec=

Let's make things more obvious by placing the parse_usec() invocation directly in config_parse_service_timeout().