Merge pull request #28870 from ssahani/rto-min-network

network: Route - allow to set TCP RTO

Merge pull request #28846 from ssahani/custom-duid-dhcp4-26745

network: DHCP6 client- Allow to send manual DUID

Merge pull request #28697 from 1awesomeJ/new_bsod

systemd-bsod: Add "--continuous" option

Make systemd-bsod not a public binary

dissect: Set SYSTEMD_DISSECT_DEVICE to path of loop device

For some use cases we want to operate on the loop device that
systemd-dissect has attached the loop device to, so let's make that
easily accessible.

CI: network dhcp6 - Add test for custom client identifier

network: DHCP6 client- Allow to send manual DUID

```
[DHCPv6]
DUIDType=custom
DUIDRawData=00:00:ab:11:f9:2a:c2:77:29:f9:5c:00
```

```
Client Identifier
    Option: Client Identifier (1)
    Length: 12
    DUID: 0000ab11f92ac27729f95c00
    DUID Type: Unknown (0)
```

CI: network - Add test for route TCP RTO

network: Route - allow to set TCP RTO

test: Check that SELinux policy is available before running SELinux test (#28868)

* test: Check that SELinux policy is available before running SELinux test

---------

Co-authored-by: Frantisek Sumsal <frantisek@sumsal.cz>

Merge pull request #28832 from dtardon/list-clear

Add LIST_CLEAR() helper that empties the list

Merge pull request #28869 from DaanDeMeyer/repart-trailing

repart: Make sure we keep trailing slashes in ExcludeFiles=

systemd-bsod: Add "--continuous" option

Merge pull request #28751 from yuwata/mount-revert

Revert "mount: check right before invoking /bin/umount if it makes sense"

meson: Use rsync to copy test data directories

install_subdir() does not copy symlinks but copies the file they
point to. We also get a very ugly warning in the meson install
output:

"""
Warning: trying to copy a symlink that points to a file. This will copy the file,
but this will be changed in a future version of Meson to copy the symlink as is. Please update your
build definitions so that it will not break when the change happens.
"""

Let's fix both problems at once by using rsync which does the right
thing. Verified by running systemd-dissect --mtree on both the install
output before and after and all the symlinks are now correctly preserved.

repart: Make sure we keep trailing slashes in ExcludeFiles=

We conditionalize behavior based on whether these paths have trailing
slashes or not, so let's make sure we keep them intact.

parse-helpers: Add PATH_KEEP_TRAILING_SLASH

path-util: Add path_simplify_full()

Sometimes its useful to keep a trailing slash in the path so let's
add path_simplify_full() and a flag to do just that.

bus-polkit: don't propagate error from polkit

An error reply from polkit is a valid case and should not be propagated
as failure of async_polkit_callback(). It should only be saved here.
It'll be returned by bus_verify_polkit_async() later, when it's called
for the same method again.

Follow-up for #26365.

systemd-stub: ignore EFI shell unauthenticated kernel command line if we are in confidential vms

open-file: add missing assert

systemctl-show: rename cleanup function

tree-wide: use LIST_POP()

tree-wide: use LIST_CLEAR()

list: add LIST_CLEAR() helper that empties the list

core/mount: disable timer event source when USEC_INFINITY

Setting USEC_INFINITY to timer event source should not cause any
problem. But, disabling timer event source should be preferable.

[zjs: simplify the call to sd_event_source_set_enabled()]

Merge pull request #28862 from DaanDeMeyer/swap

mkosi: Add a swap partition

mkosi: Add a swap partition

systemd-oomd keeps complaining about the lack of swap partition, so
let's add one.

repart: Default to swap format for swap partitions

documentation: add man page data for confext

Merge pull request #28758 from keszybz/negative-errno-macro

Use macros to reduce indentation in errno error handling

journalctl: minor follow-up for --lines=

Follow-up for 8d6791d2aa98c989101f572278e9b0a63edfec42

Addresses https://github.com/systemd/systemd/pull/28777#discussion_r1295790102

core: stage /run/host/os-release with a symlink to avoid possible race condition

If someone reads /run/host/os-release at the exact same time it is being updated, and it
is large enough, they might read a half-written file. This is very unlikely as
os-release is typically small and very rarely changes, but it is not
impossible.

Bind mount a staging directory instead of the file, and symlink the file
into into, so that we can do atomic file updates and close this gap.
Atomic replacement creates a new inode, so existing bind mounts would
continue to see the old file, and only new services would see the new file.
The indirection via the directory allows to work around this, as the
directory is fixed and never changes so the bind mount is always valid,
and its content is shared with all existing services.

Fixes https://github.com/systemd/systemd/issues/28794

Follow-up for 3f37a82545d461ab

Merge pull request #28859 from poettering/btrfs-subvol-fix

btrfs: create subvol fix

btrfs: use ERRNO_IS_NOT_SUPPORTED() where appropriate

btrfs: drop O_PATH from dir_fd passed to btrfs_subvol_make() if needed

Let's make sure btrfs_subvol_make() can operate on O_PATH fds, just like
mkdirat().

Fixes a bunch of tmpfiles errors at boot if we try to create btrfs
subvols, introduced by e54c79ccc2e90a375640815b05f28ec22664e44c

Fixes: e54c79ccc2e90a375640815b05f28ec22664e44c

journalctl: support --lines=+N for showing the oldest N entries

After f58269510727964cb5c10e7d2f9849c442ea1f80, the wrong behavior
occurred when --since= and --lines= are both specified is fixed.
However, it seems that the old behavior is already being somewhat
widely used, and the function itself makes sense, i.e. to allow --lines=
to output the first N journal entries.

Therefore, let's support prefixing the number for --lines= with '+',
and provide such functionality.

Related: #28746

Merge pull request #28854 from keszybz/mailmap-and-license-info

Mailmap and license info

hwdb: update autosuspend rules

ninja -C build update-hwdb-autosuspend

manager: fix error handling after failure to set up child

exec_child() is supposed to set *exit_status when returning failure.
Unfortunately, we didn't do that in two cases. The result would be:
- a bogus error message "Failed at step SUCCESS spawning foo: …",
- a bogus success exit status.

Bugs introduced in 390902012c5177b6b01bc634b2e9c704073d9e7d and
ad21e542b20f0fb292d1958d3a759bf3403522c2.

The code is reworked to add some asserts and not set exit_status in the caller
so that it's clearer (also to the compiler) that it needs to be set.

shared/barrier: remove parens

nspawn,shared: make ERRNO_IS_SECCOMP_FATAL an inline func with _NEG_ variant

Also rebreak comments and lines.

No functional change.

shared/kbd-util: simplify error handling in keymap_exists()

Once we know the return value, we can just return it, no need to
exit the loop.

various: use _NEG_ macros to reduce indentation

No functional change intended.

libsystemd-network: use _NEG_ macros to reduce indentation

No functional change intended.

libsystemd: use _NEG_ macros, adjust some comments

No functional change.

manager: use _NEG_ macros to reduce indentation, reword comments, drop parens

errno-util: allow ERRNO_IS_* to accept types wider than int

This is useful if the variable is ssize_t and we don't want to trigger a
warning or truncation.

With gcc (gcc-13.2.1-1.fc38.x86_64), the resulting systemd binary is identical,
so I assume that the compiler is able to completely optimize away the type.

sd-id128: introduce ERRNO_IS_NEG_MACHINE_ID_UNSET

shared/cgroup-show: do not format path twice

Also, invert the "negative" condition to positive so that it matches the assert
right above. Also, print the path in the debug message.

tree-wide: use cocinnelle to apply _NEG_ macros

basic/errno-util: add wrappers which only accept negative errno

We do 'IN_SET(r, -CONST1, -CONST2)', instead of 'IN_SET(-r, CONST1, CONST2)'
because -r is undefined if r is the minimum value (i.e. INT_MIN). But we know
that the constants are small, so their negative values are fine.

Mark all base64 files as generated

This makes them ignored by license review.

bsod: fix license tag

mailmap: "reduce contributor count by 13"

This merges the counts for a few people who existed with and without accents,
or with different capitalizations, and suffixes. Also, stop overriding
NeilBrown's spelling of the name.

Note: IIUC, we have two Luca Bruno's: lucab@debian.net is not the same as the
other Luca BRUNO who works on coreos.

@@ -386 +385,0 @@
-     2 Damjan Georgievski
@@ -401 +399,0 @@
-     1 Daniel Berrange
@@ -425 +423 @@
-    11 Daniel P. Berrangé
+    12 Daniel P. Berrangé
@@ -888 +885,0 @@
-     1 Jiri Pirko
@@ -891 +888 @@
-     1 Jiří Pírko
+     2 Jiří Pírko
@@ -1105 +1102 @@
-    12 Luca BRUNO
+    18 Luca BRUNO
@@ -1107 +1104 @@
-     8 Luca Bruno
+     2 Luca Bruno
@@ -1160,2 +1157 @@
-     1 Marc-Andre Lureau
-    17 Marc-André Lureau
+    18 Marc-André Lureau
@@ -1313,2 +1309 @@
-    31 Michal Sekletar
-   168 Michal Sekletár
+   199 Michal Sekletár
@@ -1383,3 +1378 @@
-     2 Neal Gompa
-     1 Neal Gompa (ニール・ゴンパ)
-    12 Neil Brown
+     3 Neal Gompa (ニール・ゴンパ)
@@ -1387,0 +1381 @@
+    12 NeilBrown
@@ -1494,2 +1488 @@
-     1 Perry Yuan
-     1 Perry.Yuan
+     3 Perry Yuan
@@ -1941,2 +1934 @@
-     2 Viktar Vauchkevich
-     2 Viktar Vaŭčkievič
+     4 Viktar Vaŭčkievič
@@ -2016,2 +2008 @@
-     1 Yao Wei
-     1 Yao Wei (魏銘廷)
+     2 Yao Wei (魏銘廷)
@@ -2145 +2135,0 @@
-     1 gdamjan
@@ -2256 +2245,0 @@
-     1 perry_yuan
@@ -2331 +2320 @@
-    18 Дамјан Георгиевски
+    21 Дамјан Георгиевски

update TODO

update TODO

update TODO

Merge pull request #28733 from goenkam/maanya/systemd-scoped

core: add confext support for ExtensionImages= and ExtensionDirectories=

tools: update-hwdb-autosuspend.sh: Point at HEAD, not master branch

Many Chromium projects have moved from 'master' to 'main', where
'master' is no longer updated. Point at HEAD instead, which should
always represent the default branch.

I don't actually rerun/regenerate the database, since I don't really run
systemd environments to test that update on.

test: add test for confext service-scoped support

allow ExtensionImages= and ExtensionDirectories= settings to support confext images

add an @ option for confext

Merge pull request #28839 from DaanDeMeyer/repart-followups

Repart followups

repart: Add verity configuration section and options

Merge pull request #28838 from DaanDeMeyer/repart-subvolume

mkosi: Create a few subvolumes in the root partition

repart: Massage the minimize for XFS a bit

A 1.5 multiplier doesn't seem to be sufficient for XFS as seen in
mkosi CI. Let's increase it to 2 for XFS to hopefully get better
results.

resolved: fixed bugs reported in varlink statistics (#28796)

Fixes https://github.com/systemd/systemd/issues/28791

Follow-up for bc837621a38efbaff14fbe33bfe5c34dac805343

mkosi: Update to v15.1 release

mkosi: Create a few subvolumes in the root partition

Let's exercise the repart Subvolumes= setting by creating a few
subvolumes in the root partition when we create it.

repart: Rework read-only logic

verity sig partitions can't actually be marked read-only, so let's
not do that to avoid an ugly warning about that. Instead, let's just
make sure that we mark verity hash and verity data partitions as
read-only.

repart: Allow using Subvolumes= with automatic --offline

If we fail to allocate a loopback device and subvolumes are configured,
we fail instead of falling back to a regular file.

p11kit: check the flags associated with the slot instead of flags associated with the token

The logic around checking PKCS11 tokens (used by systemd-cryptenroll) contains a bug.
The code is checking the flags field of a pkcs11 token_info structure against a set of flags defined for the pkcs11 slot_info structure. This PR changes the check so that the correct structure's flag field is being checked.
(Reference to the PKCS#11 spec:http://docs.oasis-open.org/pkcs11/pkcs11-base/v2.40/os/pkcs11-base-v2.40-os.html, section CK_SLOT_INFO).

mkfs-util: Don't set MKE2FS_DEVICE_PHYS_SECTSIZE

We only care about the logical sector size and if the physical sector
size isn't set and we're operating on a file, mke2fs will default the
physical sector size to the logical block size anyway.

This change makes sure that if we're operating on a block device and
set an explicit logical sector size, that doesn't affect the physical
sector size.

repart: Put function call closer to its error handling

Merge pull request #28812 from DaanDeMeyer/sector-size

repart: Use 4096 as the fallback sector size for verity/luks/filesystems

Merge pull request #28833 from DaanDeMeyer/copy-subvolume

repart: Add Subvolumes= setting

sysupdate: Use sector size for partition size calculations

Merge pull request #28829 from DaanDeMeyer/mount-fd

tree-wide: Mount file descriptors via /proc/<pid>/fd

Merge pull request #28835 from mrc0mmand/more-tests

test: add coverage for #27953

fd-util: Use /proc/pid/fd instead of /proc/self/fd

Currently, we mount via file descriptors using /proc/self/fd. This
works, but it means that in /proc/mounts and various other files,
the source of the mount will be listed as /proc/self/fd/xxx. For other
software that parses these files, /proc/self/fd/xxx doesn't mean anything,
or worse, it means the completely wrong thing, as it will refer to one of
their own file descriptors instead.

Let's improve the situation by using /proc/pid/fd instead. This allows
processes parsing /proc/mounts to do the right thing more often than not.
One scenario where even this doesn't work if when containers are involved,
as with the pid namespace unshared, even /proc/pid/fd will mean the wrong
thing, but it's no worse than /proc/self/fd which will always means the wrong
thing.

This also doesn't work if we mount via file descriptor and then exit, as the pid will
be gone, but it does work as long as the process that did the mount is alive, which
makes it useful for systemd-dissect --with for example if the program we run in the
image wants to parse /proc/mounts.

test: explicitly specify a UTF-8 locale for UTF-8 shenanigans

As things don't work well without it:

$ LANG=C printf "\ufffe\n"
\uFFFE

test: add coverage for #27953

test: drop unnecessary log level setup

As we do that globally via a dropin.

repart: Add Subvolumes= setting

This setting indicates which directories in the target partition
should be btrfs subvolumes. If set, we'll try to create these
directories as subvolumes.

Note that this only works when running as root without --offline,
as mkfs.btrfs does not support creating subvolumes.

mkdir: Add support for creating subvolumes to mkdir_p_root()

We pass in the paths which should be subvolumes and try to create
those as subvolumes if we can.

copy: Add support for creating subvolumes to copy_tree_at()

The subvolumes set is a set of source inodes similar to how the
denylist hashmap contains source inodes as keys. It indicates
directories in the source tree that should become subvolumes in
the target tree.

fs-util: Add XO_SUBVOLUME flag for xopenat()

When specified, xopenat() will try to create a btrfs subvolume and
fall back to creating a regular directory.

btrfs-util: Move subvolume creation to basic/btrfs.h

Also make btrfs_subvol_make() an openat style function.

path-util: Make ret argument optional for path_extract_directory()

Merge pull request #28828 from DaanDeMeyer/sysupdate-fdisk

fdisk-util: Make fdisk_new_context_fd() more generic

dissect-image: Fix mount_point_is_available()

We call dir_is_empty() to check if the directory is empty but don't
take the result into account when returning from the function.

tree-wide: Always include <net/if.h> before related linux headers

Otherwise, we get redefinition errors if <net/if.h> is included later
on by another header.

repart: Use 4096 as the fallback sector size for verity/luks/filesystems

When we don't know the sector size of the actual block device, because
we're building an image in a loopback file and no sector size was specified
explicitly, let's use 4096 as the sector size for filesystems, verity and
LUKS. This should be the most compatible option, since 4096 will also work
on devices with sector size 512 or 2048.

For the actual GPT partition table size, we stick with 512 as the default
value since UEFI firmware and the kernel will only try to read the GPT
partition table from the first LBA on the device and the sector size for
most devices is still 512. It can also be trivially modified when copying
the image to another device using --copy-from + --sector-size.

tree-wide: Use fdisk_new_context_at() more

fdisk-util: Make fdisk_new_context_fd() more generic

Let's make this an openat() style function so we can also pass a
device path.

Merge pull request #28827 from gioele/docs-fix-network-online-example-unit

docs/NETWORK_ONLINE: Move `Type=`, `RemainAfterExit=` to `[Service]` + Use `until` instead of `while !`

docs/NETWORK_ONLINE: Use `until` instead of `while !`

`until` is the standard POSIX shell builtin to be used when waiting for
a condition to appear.

docs/NETWORK_ONLINE: Move `Type=`, `RemainAfterExit=` to `[Service]`

`Type=` and `RemainAfterExit=` belong in `[Service]`, not `[Unit]`.

Fixes #28826

Revert "mount: check right before invoking /bin/umount if it makes sense"

This reverts commit 1483892a421ca34bc841a8e8b1f385744c0407ed.

As the commit says, it does not solve the race. Moreover, it introduces
an regression #28410.

Also, checking by `path_is_mount_point()` may trigger automount. From
statx(2),
> AT_NO_AUTOMOUNT
>     Don't automount the terminal ("basename") component of pathname
>     if it is a directory that is an automount point.
Similar statements can be found in fstatat(2), which is used in the
fallback call for statx() in glibc, and name_to_handle_at(2), which is
used as the fallback when statx() failed.
So, `path_is_mount_point()` may _do_ trigger automount for parent paths.
That should be avoided especially on shutdown.

The original issue #25527 that is 'fixed' by the commit is not serious,
and should be fixed by making umount command handle path gracefully:
https://github.com/util-linux/util-linux/issues/2132

Fixes #28410.