importd: validate local image names with the right helper

A while back we introduced image_name_is_valid() for validating image
file names. It's more liberal than hostname_is_valid() in many ways (and
allows version suffixes and such). Since importd deals in offline images
(as opposed to machined otherwise which deals in running machines),
let's hence use the right helper to validate the identifiers.

importlisttransfersxclient

importctl: add support for selecting image class to download

importd: tighten checks in fds passed to us

importd: add support for downloading sysext/confext/portable images too

This adds "Ex" versions of all bus calls import implements, that make
two changes:

1. A "class" parameter is added that allows choosing between
   machine/sysext/confext/portable images to download. Depending on the
   chose class the target directory is selected differently (i.e. not
   just /var/lib/machines/, but alternatively /var/lib/portables/,
   /var/lib/extensions/, /var/lib/confexts/.

2. The boolean flags are replaced by a 64bit flags parameter.

import: merge PullFlags enum into ImportFlags

The two enums are mostly the same, the former is just an extension of
the latter. Let's merge them, to simplify things. This is particularly
useful as we then can reuse this systematically as D-Bus method call
flags too, in a generic fashion that works for both imports and pulls
the same.

Pretty much just renaming of flags.

importctl: port tabular output for format-table.h APIs

importctl: modernize signal handling

importctl: add standalone client to importd

This is pretty much a 1:1 copy of the importd specific part of
machinectl.

We turn this into a separate tool, so that we can eventually make the
tool generic to also download other DDIs, not just machine images.

importd: modernize signal handling a bit

importd: trivial modernizations

importd: switch to pidref

curl-util: fix downloads from file:// URLs

if we try to open file:// URLs that don't exist, we'll not get IO/timer
events about it, hence it is not sufficient to check for completion in
these events. Let's add a defer event, to deal with that.

Also, curl_multi_info_read() is a queue, make sure to handle all events
that might be queued.

sd-event: make return code of sd_event_get_exit_code() optional

fd-util: O_DIRECTORY is fine in fd_verify_safe_flags() too

test74: create ssh empty dir all at the same place

A follow up for 8fddb50fd4de43993c4906baf19dae89ff8a021b, which mirrors
the change also in test 74.

machinectl: mention -V in --help text

Follow-up for f82dcc3fc35883a73c8a03ad82d35abffc458676

busctl: don't hit an assert if we call invalid bus method names

We should validate this explicitly and generate a clear error string,
rather then hit an assert() later in the code.

vmspawn: actually pass UUID down to qemu

qemu then adds this to SMBIOS product uuid, and we can actually read it
from the payload.

Followup for b0dc766852b2022080f123ac52aa90f2692c12e2

CI: free up diskspace before mkosi jobs

The runner has a lot of useless things installed, taking ~10GB, and
jobs have started to fail when booting images due to lack of disk
space, so delete some directories to make room.

2024-02-27T20:20:58.0998709Z ##[warning]You are running out of disk space. The runner will stop working when the machine runs out of disk space. Free space left: 0 MB

Co-authored-by: Daan De Meyer <daan.j.demeyer@gmail.com>

user-record: Add preferredSession{Type,Launcher}

These will be used by display managers to pre-select the user's
preferred desktop environment and display server type. On homed, the
display manager will also be able to set these fields to cache the
user's last selection.

tree-wide: switch dlopen hooks over to DLSYM_PROTOTYPE()/DLSYM_FUNCTION()

We have these pretty macros, let's use them everywhere (so far we mostly
used them for newer additions only).

This PR is mostly an excercise in "perl -p -i -e", but there are some
special cases:

* idn-util.c exposes a function whose prototype in the official library
  headers is marked with the "const" attribute, and this apparently does
  not propagate along typeof() correctly and then
  __builtin_types_compatible_p() fails later because it detects that
  prototype and original function don't match in prototype.

* libbpf removed some symbols in newer versions, hence we need to define
  some prototypes manually to still be able to build.

* libcryptsetup marked a symbol as deprecated we want to use (knowing it
  is deprecated). By using the macros this is detected by the compiler.
  We work around it via the usual warning off macros.

Note by using these macros we assume that all symbols are known during
build time. Which might not be the case. We might need to revert this
commit for some symbols if this trips up builds on older distros.

uki: Support zboot efistub kernel

Generic EFI zboot added since kernel 6.1
https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/tree/drivers/firmware/efi/libstub/Makefile.zboot?h=v6.1
https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/tree/drivers/firmware/efi/libstub/zboot-header.S?h=v6.1

build(deps): bump meson from 1.3.1 to 1.3.2 in /.github/workflows

Bumps [meson](https://github.com/mesonbuild/meson) from 1.3.1 to 1.3.2.
- [Release notes](https://github.com/mesonbuild/meson/releases)
- [Commits](https://github.com/mesonbuild/meson/compare/1.3.1...1.3.2)

---
updated-dependencies:
- dependency-name: meson
  dependency-type: direct:production
  update-type: version-update:semver-patch
...

Signed-off-by: dependabot[bot] <support@github.com>

build(deps): bump actions/upload-artifact from 4.3.0 to 4.3.1

Bumps [actions/upload-artifact](https://github.com/actions/upload-artifact) from 4.3.0 to 4.3.1.
- [Release notes](https://github.com/actions/upload-artifact/releases)
- [Commits](https://github.com/actions/upload-artifact/compare/26f96dfa697d77e81fd5907df203aa23a56210a8...5d5d22a31266ced268874388b861e4b58bb5c2f3)

---
updated-dependencies:
- dependency-name: actions/upload-artifact
  dependency-type: direct:production
  update-type: version-update:semver-patch
...

Signed-off-by: dependabot[bot] <support@github.com>

test: enable PAM debug logs in TEST-46-HOMED

build(deps): bump github/codeql-action from 3.22.12 to 3.24.6

Bumps [github/codeql-action](https://github.com/github/codeql-action) from 3.22.12 to 3.24.6.
- [Release notes](https://github.com/github/codeql-action/releases)
- [Changelog](https://github.com/github/codeql-action/blob/main/CHANGELOG.md)
- [Commits](https://github.com/github/codeql-action/compare/012739e5082ff0c22ca6d6ab32e07c36df03c4a4...8a470fddafa5cbb6266ee11b37ef4d8aae19c571)

---
updated-dependencies:
- dependency-name: github/codeql-action
  dependency-type: direct:production
  update-type: version-update:semver-minor
...

Signed-off-by: dependabot[bot] <support@github.com>

build(deps): bump redhat-plumbers-in-action/differential-shellcheck

Bumps [redhat-plumbers-in-action/differential-shellcheck](https://github.com/redhat-plumbers-in-action/differential-shellcheck) from 5.0.2 to 5.1.0.
- [Release notes](https://github.com/redhat-plumbers-in-action/differential-shellcheck/releases)
- [Changelog](https://github.com/redhat-plumbers-in-action/differential-shellcheck/blob/main/docs/CHANGELOG.md)
- [Commits](https://github.com/redhat-plumbers-in-action/differential-shellcheck/compare/91e2582e40236f831458392d905578d680baa138...b9df2a9417f69c056e0aeaf870abd9a2065a403e)

---
updated-dependencies:
- dependency-name: redhat-plumbers-in-action/differential-shellcheck
  dependency-type: direct:production
  update-type: version-update:semver-minor
...

Signed-off-by: dependabot[bot] <support@github.com>

Merge pull request #31498 from ssahani/bond

netdev: bond - add support for peer_notif_delay

Merge pull request #31502 from yuwata/network-lldp-json

network: support to dump LLDP neighbors in JSON format

Merge pull request #31555 from yuwata/sd-ndisc-trivial-cleanups

sd-ndisc: trivial cleanups

sd-ndisc: drop unused sd_ndisc_router_get_raw()

sd-ndisc: use _packed_ attribute

Merge pull request #31551 from keszybz/rpm-macro-kernel-install

New rpm macro %_kernel_install_dir

icmp6-packet: check the alignment of struct nd_opt_hdr for safety

Addresses https://github.com/systemd/systemd/pull/31492#discussion_r1507481748.

test-network: add more test cases for LLDP

sd-lldp-rx: drop unused functions

These are not used anymore.

network/lldp: do not save LLDP neighbors under /run/systemd

Now LLDP neighbors are exposed through varlink. Hence, it is not
necessary to save to a file.

networkctl: use varlink method to dump LLDP neighbors

`networkctl lldp` and `networkctl status INTERFACE` now use varlink
call to the networkd to query LLDP neighbors.

Then, this allows to dump LLDP neighbors in JSON format.

Co-authored-by: Tomáš Pecka <tomas.pecka@cesnet.cz>

networkctl: rename check_netns_match() -> varlink_connect_networkd()

Then optionally return the varlink connection to the caller.

network/varlink: add varlink method to get LLDP neighbors

The method provides the list of LLDP neighbors.

Co-authored-by: Tomáš Pecka <tomas.pecka@cesnet.cz>

sd-lldp-rx: serialize LLDP neighbors to JSON format

Add functions serializing LLDP neighbors to JSON (JsonVariant).

The entry contains a chassis id, system name and port id of the remote
neighbor. Also it possibly contains an integer coding the enabled system
capabilities and port description.

Merge pull request #31492 from yuwata/icmp6-packet

sd-ndisc: introduce ICMP6Packet and relevant functions, and use them

fix the value of default shells to use /bin and not /usr/bin

Partially reverts commit b0d3095fd6cc1791a38f57a1982116b4475244ba.

While it is generally worthwhile for systemd to drop split-usr support,
these options are NOT about split-usr support. The universal location of
POSIX sh is always /bin/sh. Bash is pretty reasonably standardized there
too.

This happens irrespective of /bin being a symlink to /usr/bin.
Ramifications of this change include things like:

- portably running shell scripts that might run very nearly anywhere
- /etc/shells support

For standardization and compatibility reasons, these commands with these
paths need to be consistently found on any system, and thus distros make
sure this works, although even on split-usr systems /usr/bin/bash may be
a symlink to /bin/bash.

Embedding the *access path* of bash as /usr/bin/bash in systemd, for
example in libnss_systemd.so, means that login shells must agree with
systemd on how they invoke the shell. End result: users fail to login
because of access violations.

This cannot be fixed by "fixing PAM" because PAM does not follow
symlinks by design: one example is that it needs to treat rbash as
different from bash.

Fixes: https://bugs.gentoo.org/919749
Signed-off-by: Eli Schwartz <eschwartz93@gmail.com>

ssh-generator: don't do AF_VSOCK stuff if we run in a container

Tighten our VM check: whether we run in a VM is not enough to do
AF_VSOCK. We also need to check if we are run in a container, because if
we run in a container inside a VM then we should *not* do the AF_VSOCK
stuff, but leave the port free for the VM itself.

As discussed here:

https://github.com/systemd/systemd/pull/31544#issuecomment-1971455401

rpm/macros: add %_kernel_install_dir

This makes it easier for people packaging kernel-install plugins
to get the path right.

E.g. https://src.fedoraproject.org/rpms/python-virt-firmware/pull-request/3
fixes an issue where %{_libdir}/kernel/install.d was used,
which gives incorrect results on 64-bit architectures.
%_kernel_install_dir will make this even easier.

rpm/macros: drop compat define with a typo

Search on sourcegraph.com doesn't yield any users. And each
use would emit a warning, so I think it's safe to assume that
it has no users.

Merge pull request #31544 from mrc0mmand/more-test-tweaks

A couple of fixlets for TEST-46-HOMED's ssh tests

ssh-generator: handle gracefully if AF_VSOCK works, but /dev/vsock doesn't

Apparently this case exists, let's handle it gracefully.

Prompted by: https://github.com/systemd/systemd/pull/31544#issuecomment-1971241397

Revert "options" rename in json bootctl output

Revert the rename from "options" to "finalCmdline" in 122650b4a0
while the bigger https://github.com/systemd/systemd/pull/31339 is still
under review.

test: create sshd's runtime directory (Debian variant)

sshd.service on Debian uses RuntimeDirectory=sshd, without which sshd
complains:

[ 4065.834904] sshd[711]: Missing privilege separation directory: /run/sshd
[ 4065.835785] systemd[1]: mysshserver@0-127.0.0.1:4711-127.0.0.1:58232.service: Deactivated successfully.
[ 4065.836433] testsuite-46.sh[708]: kex_exchange_identification: read: Connection reset by peer
[ 4065.836433] testsuite-46.sh[708]: Connection reset by 127.0.0.1 port 4711

Resolves: #31518

test: avoid SIGPIPE from ssh | tail -n 1

Addresses: https://github.com/systemd/systemd/issues/31518#issuecomment-1968295678

test: use ECDSA keys for ssh-related tests

This should make the test faster, especially on machines without
acceleration.

test: shell & cleanup cleanup

Merge pull request #31430 from CodethinkLabs/vmspawn/machinectl_vmspawn_support

machinectl: initial vmspawn support

Drop build-api support

It appears the build-api effort at
https://github.com/cgwalters/build-api hasn't really caught on.
systemd appears one of the very few projects actually supporting it.

It does confuse certain tools though. E.g. debhelper by finding a
configure script wrongly assumes this is an autoconf project and thus
needs to be told explicitly that this is in fact a Meson project [1].

Given that Meson is an established build system by now, it appears ok to
drop this compat layer, which will never be fully complete anyway.

[1] https://salsa.debian.org/systemd-team/systemd/-/blob/debian/master/debian/rules?ref_type=heads#L281

semaphore: speed up build

- avoid stripping debug symbols and creating dbgsym packages
- avoid LTO, slows down build a lot
- avoid compressing packages, they are thrown out immediately after use
- avoid building udeb packages, not needed

dissect-image: fix build

PRs #31531 and #31524 were merged in quick succession. They are fine
both on their own. But in combination they break the build. Fix it.

vmspawn: only add to cmdline if tpm was started

Merge pull request #31531 from poettering/verity-userspace-optional

dissect: make use of userspace verity keyring optional

Merge pull request #31524 from poettering/secure-getenv-naming-fix

change naming order getenv_xyz_secure() → secure_getenv_xyz() to match glibc

Merge pull request #31526 from poettering/proc-cmdline-underscorify

make sure we use underscores for kernel cmdline option names, not dashes

machinectl: support vmspawn as a backend

vmspawn: support machined registration

Merge pull request #31514 from CodethinkLabs/ptyfwd_issues

ptyfwd/terminal-util: improve edge case handling

dissect: condition usespace verity keyring via kernel cmdline option + env var

dissect-image: add flag for explicitly enabling userspace verity signature checking

let's make userspace verity signature checking optional. This adds a
dissection flag to enable the logic and patches through all our users to
enable it by default, thus effectively not changing anything from the
status quo ante. However, know we have a knob to turn this off in
certain scenarios.

env-util: also rename getenv_uint64_secure() → secure_getenv_uint64()

As in the previous commit, let's not change the order of the words
compared to the underlying glibc API.

env-util: rename getenv_bool_secure() → secure_getenv_bool()

The glibc API is behind the wrapper is called "secure_getenv()", hence
our wrapper really should keep the order too, otherwise things are just
too confusing.

man: add a few missing entries to kernel-command-line man page

tree-wide: use "_" rather than "-" as separator in kernel cmdline options

Most of our kernel cmdline options use underscores as word separators in
kernel cmdline options, but there were some exceptions. Let's fix those,
and also use underscores.

Since our /proc/cmdline parsers don't distinguish between the two
characters anyway this should not break anything, but makes sure our own
codebase (and in particular docs and log messages) are internally
consistent.

Merge pull request #31444 from bluca/semaphore

semaphore: set upstream build profile and set default branch to debian/master

Merge pull request #31293 from ragazenta/netdev_rps

udevd: Add ReceivePacketSteeringCPUMask for systemd.link

resolved: exit function if varlink_dispatch() returns > 0

varlink_dispatch() returns > 0 if it already replied to the method call,
hence this is reason to return from the handler function, and not
proceed.

userbdb: pass log level from main daemon to worker

test-network: Add test for bond peer_notif_delay

netdev: bond - add support for peer_notif_delay

 Specify the delay, in milliseconds, between each peer
notification (gratuitous ARP and unsolicited IPv6
Neighbor Advertisement) when they are issued after
a failover event. This delay should be a multiple of
the MII link monitor interval (miimon).

 The valid range is 0 - 300s. The default value is 0,
which means to match the value of the MII link monitor interval.

shared/ptyfwd: detect String Terminator or BEL when parsing an OSC sequence

shared/ptyfwd: allow window title but not background color as a valid state

Previously if a PTYForward instance had the window title set but no
background color set then it would crash in an assertion as
pty_forward_ansi_process didn't require both to be present.

systemd-vmspawn could get into this state if it failed to get the
terminal tint color.

Now any method that would have called background_color_sequence now
becomes just a NOP if the background color is not set.

This allows keeping the functionality to set window titles even if the
terminal doesn't support the background coloring.

basic/terminal-util: accept ST or BEL to end escape sequence queries

Currently scan_background_color_response only accepts BEL (\x07) to end
a response, however some terminals (namely kitty in my case) will reply
with the string terminator (ST - https://en.wikipedia.org/wiki/ANSI_escape_code).

This commit changes the behaviour to now accept either ending.

basic/terminal-util: add check for poll timeout in get_default_background_color

Currently the return value 0 is not checked for, this indicates a
timeout and should be handled to prevent doing a blocking read on a file
descriptor with no data ready.

network/ndisc: drop redundant sd_ndisc_router_get_icmp6_ratelimit()

This effectively reverts 9175002864d8876f375e0df089d142d239282528.

The retrans time field in RA message is for neighbor solicitation,
and the commit d4c8de21a07d015f2f2c787e0735be5e4d02fb3c makes the value
assigned to the correct sysctl property.

Let's deprecate the option, and drop the redundant functions.

nspawn: minor coding style tweaks to nspawn-register.c

Merge pull request #31511 from jamacku/prepare-for-diff-shellcheck

Prepare for new version of Differential ShellCheck & scanning of shell completion scripts

cgroup-setup: clarify '<=' is evaluated earlier

Follow-up for 31323f21bb0ae7c712f43500c42997c91a6d20bf.

The code is correct, but let's silence Coverity.

Closes CID#1534787.

test-network: Add test for rps_cpu_mask option

udevd: Add ReceivePacketSteeringCPUMask for systemd.link

Takes a list of CPU indices or ranges separated by either whitespace or commas. Alternatively,
takes the special value "all" in which will include all available CPUs in the mask.
CPU ranges are specified by the lower and upper CPU indices separated by a dash (e.g. "2-6").
This option may be specified more than once, in which case the specified CPU affinity masks are merged.
If an empty string is assigned, the mask is reset, all assignments prior to this will have no effect.
Defaults to unset and RPS CPU list is unchanged. To disable RPS when it was previously enabled, use the
special value "disable".

Currently, this will set CPU mask to all `rx` queue of matched device (if it has multiple queues).

The `/sys/class/net/<dev>/queues/rx-<n>/rps_cpus` only accept cpu bitmap mask in hexadecimal.

Fix: #30323

TODO: fix typo

Follow-up for 666a348d1c98873c55115924751e6f2d3bdb7435.

test-network: fix typo

Follow-up for a663ddc04e43a9234e00e47aed98bf2bbeb1573a.

sd-ndisc: ignore Router Advertisement messages sent by the same interface

sd-ndisc: use ICMP6Packet and ndisc_option_parse()

sd-ndisc: introduce ndisc_option_parse() helper function

icmp6-packet: introduce ICMP6Packet and several relevant functions

semaphore: set upstream build profile and set default branch to debian/master

Leave TEST_UPSTREAM=1 for now in case we switch branches via the hook

semaphore: enable backports to get new dependencies

Required due to building with debian/master branch

test/README: document how to add a new empty release to the PPA to migrate the CI to a new version

test/README: update ubuntu IRC channel for CI help

install: fix compiler warning about empty directive argument

On ppc64el with gcc 13.2 on Ubuntu 24.04:

3s In file included from ../src/basic/macro.h:386,
483s                  from ../src/basic/alloc-util.h:10,
483s                  from ../src/shared/install.c:12:
483s ../src/shared/install.c: In function ‘install_changes_dump’:
483s ../src/shared/install.c:432:64: error: ‘%s’ directive argument is null [-Werror=format-overflow=]
483s   432 |                         err = log_error_errno(changes[i].type, "Failed to %s unit, unit %s does not exist.",
483s       |                                                                ^~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
483s ../src/shared/install.c:432:75: note: format string is defined here
483s   432 |                         err = log_error_errno(changes[i].type, "Failed to %s unit, unit %s does not exist.",

Merge pull request #31515 from keszybz/small-cleanups-after-review-of-stable-batch

Small cleanups after review of stable batch

Merge pull request #31442 from YHNdnzj/towards-cgroup-v1-deprecation

core: refuse cgroupv1 unless SYSTEMD_CGROUP_ENABLE_LEGACY_FORCE