tree-wide: drop unused reference to DecryptedImage

tree-wide: use dissected_image_relinquish()

dissect-image: introduce dissected_image_relinquish()

Merge pull request #24720 from yuwata/dissect-image-take-reference

dissect-image: make DissectedImage object take reference to DecryptedImage and LoopDevice

Merge pull request #24719 from yuwata/dissect-image-dissected-image-new

dissect-image: introduce dissected_image_new()

sd-device: refuse block device without subsystem

Previously, even if sd_device_get_subsystem() returns -ENOENT for block
device, we accepted that. This makes the check slightly stricter.

Merge pull request #24691 from yuwata/udev-node-check-existence

udev: check existence of device node

Merge pull request #24710 from yuwata/test-50-dissect-cleanups

TEST-50-DISSECT: cleanups

dissect-image: free crypt_device object before trying to activate with unique name

Otherwise we get error from libcryptsetup like the following:
systemd[1234]: Cannot use device /dev/loop5 which is in use (already mapped or mounted).

udev: downgrade log level when device node is already removed

Follow-up for 790da548b0c37af60aed2f46867ba3885ea78718.

dissect-image: introduce DISSECTED_PARTITION_NULL

Currently, it is not necessary to set partno or architecture in
dissect_image_new(), but just for safety.
Preparation for later commits.

dissect-image: split out dissected_image_new()

To make dissect_image() shorter.
No functional changes, just refactoring.

dissect-image: take a reference of LoopDevice into DissectedImage

To make LoopDevice object freed after DissectedImage is freed.
At least currently, this should not change anything. Preparation for
later commits.

loop-util: introduce reference counter for LoopDevice

dissect-image: take reference of DecryptedImage into DissectedImage

No functional changes. Preparation for later commits.

dissect-image: introduce reference counter for DecryptedImage

dissect-image: lazily deactivate decrypted DM volumes

The DM block device may be still used by other processes.

measure: rename measure_pcr() to measure_kernel()

Let's say what we actually measure, not what into (which is obvious
anyway).

This is generally more descriptive, but also good for later work that
allows measuring the boot phase too.

cryptsetup-util: introduce crypt_free_and_replace()

Merge pull request #24622 from yuwata/udev-open-with-noctty

udev: open with O_NOCTTY

Merge pull request #24708 from keszybz/not-available-in-tables

various: use "-" instead of "n/a" in tables

test-50-dissect: do not fail test on cleanup

These paths are read-only mount points. Hence, we cannot remove the
contents.

test-50-dissect: check mount destination instead of mount source

And rebreak long lines.

This should take no effective change, just refactoring.

Merge pull request #24670 from keszybz/early-boot-ordering

Early boot ordering

coredumpctl: rename table entry

"Disk Size" could be mistaken for "Size of the Disk".

various: use "-" instead of "n/a" in tables

In the context of a table, both would be generally understood to have the same
meaning. "n/a" is a strange beast. It was useful when tables were produced on
the typewriter with "---------" used to separate rows. It is visually more
pleasing to use "-", and there is no risk of it being mistaken for a row
separator.

Merge pull request #24703 from yuwata/dissect-image-verity-partition-make-fail

dissect-image: make verity_partition() actually fail when all attempts of activation failed

fd-util: rename CLOSE_AND_REPLACE() -> close_and_replace()

We have free_and_replace() and friends, they are all named with lower
letters, even they are macros, not functions.
For consistency, let's rename CLOSE_AND_REPLACE() with lower letters.

This also mekes the macro used more places.

dissect-image: make verity_partition() actually fail when all attempts of activation failed

dissect-image: split out verity_timeout()

To make verity_partition() shorten. No functional changes, just
refactoring.

man: explicitly document that "reboot -f" is different from "systemctl reboot -f"

Closes #24696.

nspawn: fix two error strings

add CAP_LINUX_IMMUTABLE to systemd-machined, so it can handle machinectl read-only requests

Without this, the 'machinectl read-only ...' command always fails.

sd-netlink: unexport sd-netlink

This effectively reverts 84e1001541151da71bae2137e2a1c254b5a3b89f.

The sd-netlink library has several issues, and we should not export it
without solving them. See issues #24258 and #24124.

Merge pull request #24692 from yuwata/dissect-image-fix-memleak

dissect-image: fix memleak

update TODO

Seeding RNG via SMBIOS is bad idea, since often measurement of SMBIOS
tables is used for TPM policies, under the assumption SMBIOS remains
static after a certain point.

tmpfiles: let's suffix path to dirs with '/' also in log messages

tmpfiles: drop redundant forward declarations

Merge pull request #24664 from yuwata/watchdog

watchdog: open /dev/watchdog0 only if it exists

Merge pull request #24688 from yuwata/watchdog-dbus-properties-follow-ups

pid1: follow-ups for watchdog DBus properties

journalctl: respect --quiet flag during file concistency verification

Fixes #24563.

Merge pull request #24685 from yuwata/uid-range

uid-range: several cleanups

dissect-image: handle all non-negative return values as success

No functional changes, just coding syle update.

dissect-image: fix memleak on failure

udev-node: do not create symlink to a non-existing device node

Previously, the stack directory contains empty regular files named with
device ID, and we create sd_device object from the device name.
Hence, we implicitly checked the existence of the device node.

However, now the files in the stack directory are symlink, and we
retrieve the path to the device node and its priority from the symlink.
Hence, the existence of the device node is not checked.
Let's check if the device node is still exist.

udev-node: split out stack_directory_read_one()

No functional changes, just refactoring.

watchdog: use /dev/watchdog0 only if it exists

Fixes #24661.

update TODO

pid1: drop redundant DBus properties

Follow-up for 10f3f4ed016b9fe92ca3d093fcfaed8278e69220.

We already have RuntimeWatchdogUSec or friends. Let's not introduce
redundant properties.

Also, drop the const qualifier for WatchdogLastPingTimestamp, as they
are actually not constant.

watchdog: explicitly initialize global variable

No functional change, as they were implicitly initialized with zero.

test: add tests for uid_range_coalesce()

uid-range: tie up number and array of uid range entries

This renames UidRange -> UidRangeEntry, and reintroduces UidRange which
contains the array of UidRangeEntry and its size.
No fucntional changes, just refactoring.

uid-range: make uid_range_intersect() take two UidRange objects

No functional changes, just refactoring.

uid-range: optimize to load uid_map file

If uid_map contains many lines, then the previous logic takes O(n^2 log n),
This makes O(n log n).

uid-range: escape from loop earlier

The array of uid range entries are already sorted. Hence, if x and y are
does not have intersection, then the remaining entries neither have
intersection with x.

uid-range: sort uid range entries in uid_range_coalesce()

As the logic in uid_range_coalesce() assumes the array of entries are
already sorted.
No functional changes, just refactoring.

uid-range: use parse_uid_range()

userdbctl: fix arrow direction

userdbctl: do not show meaningless boundaries when no uid range available

sd-device-monitor: do not trigger assertion when uid_map is not empty

Follow-up for c0aa23cf1ed4b3cbbcaf8b19d47e6e29dc28c9a0.

Fix Positivo DUO k116 key toggle touchpad

update TODO

xdg-autostart-service: expand tilde in Exec lines

In typical desktop file parsing it is expected that "~" expands to a
home directory.

Users may write an autostart file with "Exec=myCoolService
~/.someSpecialConfig" which worked before the systemd migration.

unit: drop ProtectClock=yes from systemd-udevd.service

This partially reverts cabc1c6d7adae658a2966a4b02a6faabb803e92b.

The setting ProtectClock= implies DeviceAllow=, which is not suitable
for udevd. Although we are slowly removing cgropsv1 support, but
DeviceAllow= with cgroupsv1 is necessarily racy, and reloading PID1
during the early boot process may cause issues like #24668.

Let's disable ProtectClock= for udevd. And, if necessary, let's
explicitly drop CAP_SYS_TIME and CAP_WAKE_ALARM (and possibly others)
by using CapabilityBoundingSet= later.

Fixes #24668.

fix typo in log

units: drop path to executable in $PATH

We don't have it other places, so let's make things a bit simpler.

units: make sure that initrd-switch-root.service pulls in .target

Normally we queue initrd-switch-root.target/isolate, which pulls in the
service via Wants= in the .target unit file. But if the service is instead
started directly, there may be nothing pulling in the target. Let's make
sure that the reference exists.

units: add dependency ordering for emergency.service conflicts

If we want to stop those services which would compete for access to
the console, we need to have an ordering so that they are actually
stopped before the other things starts, not asynchronously.

units: add ordering dependencies on initrd-switch-root.target

For shutdown, we queue shutdown.target/start, so in every unit which should be
stopped *before* shutdown, we need both Conflicts and an ordering dependency
with shutdown.target (either Before= or After= would work, because stop jobs
are always ordered before start jobs).

For initrd transition, we queue initrd-switch-root.service/isolate. This
automatically creates a /stop job for every running unit without
IgnoreOnIsolate. But no ordering dependency is created, unless the unit has a
(possibly transitive) ordering dependency on initrd-switch-root.service.
Since most units must stop before the transition, we should add the ordering
dependency. It is nicer to use Before=initrd-switch-root.target for this.
initrd-switch-root.target is ordered before initrd-switch-root.service, so
the effect it the same when both are in a transaction.

Fixes #23745.

To also cover the case where somebody is emergency mode in the initrd and
queues initrd-switch-root.service/start (not isolate), also add
Conflicts=initrd-switch-root.target, so various units are stopped properly.
This extends 2525682565b372b9b83c848bfe89c025fed47a1d to cover all the other
services that are touched. It could be consider "operator error", but it's
easy to make and it's nicer if we can make this more foolproof.

units/systemd-network-generator.service: add forgotten ordering for shutdown

units: reorder/split unit dependency blocks

The block is reordered and split to have:
  1. description + documentation
  2. (optionally) conditions
  3. all the dependencies
I think it's easier to read the units this way.
Also, the Conflicts+Before is seperated out to separate lines.
The ordering dependency is "fake", because it could just as well be
After=, we are adding it to force ordering wrt. shutdown.target, and
it plays a different role than the other Before=, which are about a
real ordering on boot.

test-date: do not fail even on ~50 years later

Fixes #16181.

test-seccomp: support systems that sched_setscheduler() is already limited

Fixes #17078.

meson: add libatomic dependency

Building with GCC 12.2 and binutils 2.39 fails on riscv64 Ubuntu Kinetic
with:

FAILED: systemd-oomd
/usr/bin/ld: systemd-oomd.p/src_oom_oomd-util.c.o:
in function `oomd_cgroup_context_acquire':
build/../src/oom/oomd-util.c:415:
undefined reference to `__atomic_exchange_1'

We have to link with -latomic.

Signed-off-by: Heinrich Schuchardt <heinrich.schuchardt@canonical.com>

bash-completion: add missing options to systemd-cryptenroll

Merge pull request #24671 from mrc0mmand/even-more-codeql

ci: enable a couple more possibly useful CodeQL queries

oom: include a header file instead of a source file

tree-wide: fix typo

ci: fix a couple of typos

ci: enable a couple more possibly useful CodeQL queries

ci: rename codeql-analysis.yml to codeql.yml

Just to be consistent with other repos under the systemd umbrella.

pid1: introduce dbus properties WatchdogDevice and friends

Closes #24665.

Merge pull request #24669 from dtardon/nested-asserts

Use nested ASSERT_PTR

tree-wide: use nested ASSERT_PTR

macro-fundamental: allow to nest ASSERT_PTR

E.g.,

int job_frobnicate(Job *j) {
        Unit *u = ASSERT_PTR(ASSERT_PTR(j)->unit);
        ...
}

Merge pull request #24663 from mrc0mmand/codeql-follow-up

A couple of CodeQL tweaks and follow ups

pstore: do not try to load all known pstore modules

Commit 70e74a5997 ("pstore: Run after modules are loaded") added After=
and Wants= entries for all known kernel modules providing a pstore.

While adding these dependencies on systems where one of the modules is
not present, or not configured, should not have a real affect on the
system, it can produce annoying error messages in the kernel log. E.g.
"mtd device must be supplied (device name is empty)" when the mtdpstore
module is not configured correctly.

Since dependencies cannot be removed with drop-ins, if a distro wants to
remove some of these modules from systemd-pstore.service, they need to
patch units/systemd-pstore.service.in. On the other hand, if they want
to append to the dependencies this can be done by shipping a drop-in.

Since the original intent of the previous commit was to fix [1], which
only requires the efi_pstore module, remove all other kernel module
dependencies from systemd-pstore.service, and let distros ship drop-ins
to add dependencies if needed.

[1] https://github.com/systemd/systemd/issues/18540

Merge pull request #24662 from mrc0mmand/test-exec-deserialization-tweaks

test: drop the use of `tempfile.mktemp()`

ci: limit scope for the CodeQL scan

Don't run the workflow unnecessarily for non-{cpp,python} related changes.

ci: drop LGTM stuff and move remaining bits into a new location

ci: run CodeQL on push to main/stable branches as well

Since we need results for the base branches as well in order to have
something to compare against.

Follow-up to cbe25d0dccdd3f2901a1e74a665c068f42dae9f5.

test: drop the use of `tempfile.mktemp()`

and use `uuid.uuid4()` instead to generate a sufficiently pseudo-random
file name.

Resolves: https://github.com/systemd/systemd/security/code-scanning/142

test: drop forgotten format()

Follow-up to fda00958bb08f2920cf8d42c5212fb45bdb42d6d.

ci: run CodeQL on every PR

Since LGTM is no longer enabled for the systemd repo (as it's going to
be discontinued by the EOY), let's run CodeQL on every PR instead to
replace it.

xdg-autostart-service: Use common boolean parser

Technically the desktop entry specification says value should be the
string "true" or "false". Pragmatically every desktop has their own
parsing rules which are typically less strict on how to interpret other
values.

This caused some regressions downstream when we switched to the
xdg-autostart-generator where existing handmade files contained values
with "True" or "False".

TODO: various things about partitioning

logind: schedule idle check full interval from now if we couldn't figure out atime timestamp

Merge pull request #24272 from dtardon/asserts

Use ASSERT_PTR more

boot: fix missing initialization

Fixes CID#1497847.

Merge pull request #24651 from yuwata/openssl-util

openssl-util: trivial cleanups