test-strxcpyx: check result of snprintf

sd-event: one more assert when turning off an event source

CID#1465866

journal-remote: more handling of sd_event_source_set_enabled failures

But avoid clobbering the return value if it works

CID#1465793
CID#1465794

Merge pull request #21341 from yuwata/network-route-flags

network: manage route and nexthop flags

build(deps): bump actions/checkout from 2 to 2.4.0

Bumps [actions/checkout](https://github.com/actions/checkout) from 2 to 2.4.0.
- [Release notes](https://github.com/actions/checkout/releases)
- [Changelog](https://github.com/actions/checkout/blob/main/CHANGELOG.md)
- [Commits](https://github.com/actions/checkout/compare/v2...ec3a7ce113134d7a93b817d10a8272cb61118579)

---
updated-dependencies:
- dependency-name: actions/checkout
  dependency-type: direct:production
  update-type: version-update:semver-minor
...

Signed-off-by: dependabot[bot] <support@github.com>

Merge pull request #21342 from evverx/dependabot-error

ci: try to fix a Dependabot error

Merge pull request #21337 from poettering/uid-alloc-range-split

split out UID allocation range stuff from user-record.c/h (i.e. login.defs parsing)

test: rename test-user-record → test-uid-alloc-range

It doesn't actually test any of the JSON stuff, hence name it
test-uid-alloc-range, since it tests the stuff from uid-alloc-range.

uid-alloc-range: maintain only a single default alloc range structure

Either way we need these four values, let's simplify the code by keeping
only one const struct of this around.

shared: split out UID allocation range stuff from user-record.h

user-record.[ch] are about the UserRecord JSON stuff, and the UID
allocation range stuff (i.e. login.defs handling) is a very different
thing, and complex enough on its own, let's give it its own c/h files.

No code changes, just some splitting out of code.

homework: sync dir after moving file in, not before

Merge pull request #21333 from poettering/homed-report-fs-and-access-mode

homed: report actual home dir access mode and fs type in effect

Merge pull request #21331 from poettering/luks-extra-mount-options

homed: allow per-user additional LUKS mount options

test: Create convenience macros to declare tests

ci: run the unit_tests and mkosi jobs on stable branches as well

To provide more coverage for the systemd-stable repo.

See: https://github.com/systemd/systemd-stable/issues/24

homework: split out password cache logic into its own .c/.h file

Preparation for extending it further down the line.

network: manage route and nexthop flags

network: mention that errors will be ignored

sd-netlink: introduce sd_rtnl_message_nexthop_get_flags()

sd-netlink: clear previous flags or state by _set_flags() or _set_state()

Otherwise, there is no way to reset the previous value.

Merge pull request #21329 from poettering/homed-compress-default

homed: default to btrfs compression

update TODO

doc: document the two new accessMode/fileSystemType fields

homed: include actual fs type + access mode as part of "status" section of user record

So far we have two properties for the intended fstype + access mode of
home dirs, but they might differ from what is actually used (because the
user record changed from the home dir, after it was created, or vice
versa). Let's hence add these props also to the "status" section of user
record, which report the status quo. That way we can always show the
correct, current settings.

homed: allow querying disk free status separetely from generating JSON from it

We later want to query per-home free status for implementing automatic
grow/shrink of home directories, hence let's separate the JSON
generation from the disk free status determination.

doc: document the new luksExtraMountOptions concept

homectl: make new LUKS extra mount option field settable

homework: also add a way to configure additional mount options via a JSON user record field

Fixes: #15120

man: run ninja -C build update-man-rules

homework: add a const where appropriate

keyring-util: add new keyring-util.h helpers

This adds to new helpers: keyring_read() for reading a key data from a
keyring entry, and TAKE_KEY_SERIAL which is what TAKE_FD is for fds, but
for key_serial_t.

The former is immediately used by ask-password-api.c

Merge pull request #21294 from keszybz/binfmt-misc

Improve systemd-binfmt logging, fix exit value

homework: turn off compression for files backing LUKS volumes

We need random access read/write files, and compression sucks for that,
hence disable it on the underlying files.

Compression in the home directory might be desirable, but if so it
should be done *inside* the home dir fs, not on the underlying fs.

tree-wide: don't ignore return code from sd_event_source_set_enabled()

CID#1465793
CID#1465794
CID#1465795

Merge pull request #21320 from poettering/namespace-mkdir-umask

make pid1 namespace code independent of umask

Merge pull request #21316 from evverx/pin-labeler

ci: pin labeler

docs: document new mount option env var

homed: add env var for overriding default mount options

This adds an esay way to override the default mount options to use for
LUKS home dirs via the env vars SYSTEMD_HOME_MOUNT_OPTIONS_EXT4,
SYSTEMD_HOME_MOUNT_OPTIONS_BTRFS, SYSTEMD_HOME_MOUNT_OPTIONS_XFS.

See: #15120

homework: default to btrfs compression

This follows what Fedora did with 34: enables compression by default,
lowering IO bandwidth and reducing disk space use, at the price of
slightly higher CPU use.

https://fedoraproject.org/wiki/Changes/BtrfsTransparentCompression

binfmt: add logging information

In delete_rule(), we already checked that the rule name is a valid file name
(i.e. no slashes), so we can just trivially append.

Also, let's always reject rules that we would later fail to delete. It's
probably better to avoid such confusion.

And print the operations we do with file name and line number. I hope this
helps with cases like https://github.com/systemd/systemd/pull/21178. At least
we'll know what rule failed.

$ sudo SYSTEMD_LOG_LEVEL=debug build/systemd-binfmt
Flushed all binfmt_misc rules.
Applying /etc/binfmt.d/kshcomp.conf…
/etc/binfmt.d/kshcomp.conf:1: binary format 'kshcomp' registered.

execute: always log a warning when setting SELinux context fails

Update also manual page to explain how the transition can still fail.

Merge pull request #21321 from yuwata/ether-addr-fix-local

ether-addr-util: fix ether_addr_is_local()

ci: run codeql-analysis daily

https://github.com/github/codeql-action

Apparently to judge from a couple of warnings I haven't seen
before it's a bit different from LGTM.

Change gendered terms to be gender-neutral (#21325)

Some typos are also fixed.

tests: add test case for UMask=+BindPaths= combination

Inspired by the test case described in #19899

namespace: make tmp dir handling code independent of umask too

Let's make all code in namespace.c robust towards weird umask. This
doesn't matter too much given that the parent dirs we deal here almost
certainly exist anyway, but let's clean this up anyway and make it fully
clean.

namespace: make whole namespace_setup() work regardless of configured umask

Let's reset the umask during the whole namespace_setup() logic, so that
all our mkdir() + mknod() are not subjected to whatever umask might
currently be set.

This mostly moves the umask save/restore logic out of
mount_private_dev() and into the stack frame of namespace_setup() that
is further out.

Fixes #19899

namespace: rebreak a few comments

umask-util: add helper that resets umask until end of current code block

pid1: add a manager_trigger_run_queue() helper

We have two different places where we re-trigger the run queue now.
let's unify it under a common function, that is part of the Manager
code.

Follow-up for #20953

test: add tests for MAC address helper functions

ether-addr-util: fix ether_addr_is_local() and add one more helper

Follow-up for 1f86a3fe52c71af7f46381bf45c2efe580a19dcc.

Merge pull request #20953 from msekletar/mount-ratelimit-followup-20329

Delay running mount start jobs when we /p/s/mountinfo event source is rate limited

test: add regression test for systemd-run --scope [--user]

systemd-run --scope --user failed to run in system 249.6, cf. #21297. Add tests
for systemd-run --scope and systemd-run --scope --user to make sure this does
not regress again.

macro-fundamental: fix bool → sd_bool

Merge pull request #21285 from poettering/boot-os-rel-fix

sd-boot/bootspec: os-release parsing fixes

Merge pull request #21241 from wat-ze-hex/2021-11-04-fix-bpf-foreign-realization

core, bpf: fix bpf-foreign cgroup controller realization

update TODO

ci: allow Dependabot to open up to 2 PRs

Apparently version updates aren't always disabled on old forks,
which leads to new PRs opened there. To somewhat mitigate the
issue let's limit the number of PRs Dependabot can create.

It was reported in https://github.com/yuwata/systemd/pull/2#issuecomment-967737195

types-fundamental: introduce sd_true + sd_false

I think we should stick to the rule that stuff defined in
types-fundamental.h either:

1. adds a prefixed concept "sd_xyz" that maps differently in the two
   environments

2. adds a non-prefixed concept "xyz" that adds a type otherwise missing
   in one of the two environments but with the same definition as in the
   other.

i.e. if have have some concept that might differ the way its set up in
the two environments it really should be prefixed by "sd_" to make clear
it has semantics we defined. Only drop the prefix if it really means the
exact same thin in all environments.

Now, sd_bool is defined prefixed, because its either mapped to "BOOLEAN"
(which is an integer) in UEFI or "bool" (which is C99 _Bool) in
userspace. size_t is not defined prefixed, because it's mapped to the
same thing ultimately (on the UEFI its mapped to UINTN, but that in turn
is defined as being the type for the size of memory objects, thus it's
really the same as userspace size_t).

So far "true" and "false" where defined unprefixed even though they map
to values of different types. typeof(true) in userspace would reveal
_Bool, but typeof(false) in UEFI would reveal BOOLEAN. The distinction
actually does matter in comparisons (i.e. (_Bool) 1 == (_Bool) 2 holds
while (BOOLEAN) 1 == (BOOLEAN) 2 does not hold).

Hence, let's add sd_true and sd_false, thus indicating we defined our
own concept here, and it has similar but different semantics in UEFI and
in userspace.

fundamental: rename type.h → types-fundamental.h

"type.h" is a very generic name, but this header is very specific to
making the "fundaemtnal" stuff work, it maps genric types in two
distinct ways. Hence let's make clear in the header name already what
this is about.

boot: line-break magic[] array to match osrel[] line breaks

bootspec: catch up with sd-boot's bootspec implementation

Let's parse the same fields and use them the same way as in sd-boot.

Fixes: #20093

boot: when we can't boot use the right boot loader entry display title in log message

boot: clean up unified boot loader entry name/version extraction

Let's make sure IMAGE_ID/IMAGE_VERSION are properly honoured, and
explain in a long comment why.

Let's also use ID= field again, which was lost by accident.

(While we are at it do some minimal OOM checks wherever we touch
something)

bootspec: fix comment that says exactly the opposite of what is true

boot: const arguments should be const

Unfortunately they forgot the "const" decoration on the MetaiMatch()
prototype, but let that omission not leak into our code, let's hide it
away in the innermost use.

boot: ternary op is your friend

boot: add comments what closely related ConfigEntry fields are about

try to fix a Dependabot error

```
updater | ERROR <job_232492775> Error processing actions/checkout (RuntimeError)
updater | ERROR <job_232492775> No files changed!
updater | ERROR <job_232492775> /home/dependabot/dependabot-updater/vendor/ruby/2.7.0/gems/dependabot-github_actions-0.166.0/lib/dependabot/github_actions/file_updater.rb:28:in `updated_dependency_files'
updater | ERROR <job_232492775> /home/dependabot/dependabot-updater/lib/dependabot/updater.rb:676:in `generate_dependency_files_for'
updater | ERROR <job_232492775> /home/dependabot/dependabot-updater/lib/dependabot/updater.rb:274:in `check_and_create_pull_request'
updater | ERROR <job_232492775> /home/dependabot/dependabot-updater/lib/dependabot/updater.rb:82:in `check_and_create_pr_with_error_handling'
updater | ERROR <job_232492775> /home/dependabot/dependabot-updater/lib/dependabot/updater.rb:56:in `block in run'
updater | ERROR <job_232492775> /home/dependabot/dependabot-updater/lib/dependabot/updater.rb:56:in `each'
updater | ERROR <job_232492775> /home/dependabot/dependabot-updater/lib/dependabot/updater.rb:56:in `run'
updater | ERROR <job_232492775> /home/dependabot/dependabot-updater/lib/dependabot/update_files_job.rb:17:in `perform_job'
updater | ERROR <job_232492775> /home/dependabot/dependabot-updater/lib/dependabot/base_job.rb:28:in `run'
updater | ERROR <job_232492775> bin/update_files.rb:21:in `<main>`
```

mount: retrigger run queue after ratelimit expired to run delayed mount start jobs

Fixes #20329

mount: make mount units start jobs not runnable if /p/s/mountinfo ratelimit is in effect

core: rename/generalize UNIT(u)->test_start_limit() hook

Up until now the main reason why we didn't proceed with starting the
unit was exceed start limit burst. However, for unit types like mounts
the other reason could be effective ratelimit on /proc/self/mountinfo
event source. That means our mount unit state may not reflect current
kernel state. Hence, we need to attempt to re-run the start job again
after ratelimit on event source expires.

As we will be introducing another reason than start limit let's rename
the virtual function that implements the check.

sd-event: introduce callback invoked when event source ratelimit expires

scope: count successful cgroup additions when delegating via D-Bus

Since commit 8d3e4ac7cd37200d1431411a4b98925a24b7d9b3 ("scope: refuse
activation of scopes if no PIDs to add are left") all "systemd-run --scope
--user" calls fail because cgroup attachments delegated to the system instance
are not counted towards successful additions. Fix this by incrementing the
return value in case unit_attach_pid_to_cgroup_via_bus() succeeds, similar to
what happens when cg_attach() succeeds directly.

Note that this can *not* distinguish the case when
unit_attach_pid_to_cgroup_via_bus() has been run successfully, but all
processes to attach are gone in the meantime, unlike the checks that commit
8d3e4ac7cd37200d1431411a4b98925a24b7d9b3 adds for the system instance. This is
because even though unit_attach_pid_to_cgroup_via_bus() leads to an internal
unit_attach_pids_to_cgroup() call, the return value over D-Bus does not include
the number of successfully attached processes and is always NULL on success.

Fixes: #21297

man: remove unintentionally repetitive words

Merge pull request #21302 from yuwata/udev-drop-colon-from-ID_NET_NAME_MAC

udev: drop colon from ID_NET_NAME_MAC

Merge pull request #21304 from poettering/chain-ssh-auth-keys

userdbctl: add support for chaining other ssh-authorized-keys commands from userdbctl

Merge pull request #21301 from yuwata/network-neighbor-use-hw-addr-data

network: neighbor: use "struct hw_addr_data"

ci: pin some workflows to SHAs

to let Dependabot keep track of them using SHAs

codeql-actions doesn't point to SHAs because it isn't clear
whether Dependabot supports their release cycle mentioned
at https://github.com/github/codeql-action/issues/307

ci: pin labeler

Turns out GHActions where `pull_request_target` is used are capable
of pwning repositories: https://securitylab.github.com/research/github-actions-preventing-pwn-requests/

labeler doesn't check out the source code or build anything so
it's safe in its current form but to avoid surprises let's just pin
it to the latest version. It's annoying to manage dependencies like this
manually so additionally dependabot.yml is introduced to make it
easier to keep GHActions up to date more or less automatically:
https://docs.github.com/en/code-security/supply-chain-security/keeping-your-dependencies-updated-automatically/keeping-your-actions-up-to-date-with-dependabot

test: use kbd-mode-map we ship in one more test case

Follow-up for be0cc2ce6c947aafadb3f42dba405269f670b31c.

Fixes https://github.com/systemd/systemd/pull/19670#issuecomment-965817823.

udev: drop colon from ID_NET_NAME_MAC

Fixes a bug introduced by eaba9bb3e69635d2c490c5e1b0d262b763753e1d.

ether-addr-util: introduce hw_addr_to_string_full()

man: document new --chain switch to userdbctl

And while we are at it, make 'ssh-authorized-keys' verb properly
documented. Given that OpenSSH documents the interface in its man page
it's fine to just document our implementation of it too.

userdbctl: add support for chaining command lines in "authorized-keys" verb

escape: return unused memory in quote_command_line()

process-util: use quote_command_line() at one more place

escape: add flags argument to quote_command_line()

That way, we can reuse the call at one more place (see later patch).

core: check fs type of BPFProgram= property path

Tests:

```
% stat --file-system --format="%T" /root/bpf/trivial/
bpf_fs

% systemd-nspawn -D/ --volatile=yes \
--property=BPFProgram=egress:/root/bpf/trivial/cgroup_skb_egress \
--quiet -- ping -c 5 -W 1 ::1
PING ::1(::1) 56 data bytes

--- ::1 ping statistics ---
5 packets transmitted, 0 received, 100% packet loss, time 4110ms
```

```
% stat --file-system --format='%T' /root/meh
btrfs

% systemd-nspawn -D/ --volatile=yes --property=BPFProgram=egress:/root/meh
--quiet -- ping -c 5 -W 1 ::1
```
sudo ./build/systemd-nspawn \
-D/ --volatile=yes --property=BPFProgram=egress:/home/hex --quiet -- \
ping -c 1 -W 1 ::1
PING ::1(::1) 56 data bytes
64 bytes from ::1: icmp_seq=1 ttl=64 time=0.017 ms

--- ::1 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms

core: fix bpf-foreign cg controller realization

Requiring /sys/fs/bpf path to be a mount point at the moment of cgroup
controllers realization does more harm than good, because:
* Realization happens early on boot, the mount point may not be ready at
the time. That happens if mounts are made by a .mount unit (the issue we
encountered).
* BPF filesystem may be mounted on another point.

Remove the check. Instead verify that path provided by BPFProgram= is
within BPF fs when unit properties are parsed.

Split in two commits for simple backport.

network: neighbor: accept an empty string assignment

network: neighbor: use "struct hw_addr_data" to store link layer address

ether-addr-util: expose hw_addr_hash_func()

sd-netlink: fix type of NDA_LLADDR attribute

Merge pull request #21273 from yuwata/hostname-device-tree

hostnamed: use /proc/device-tree to get chassis type

netif-util: fix stack-use-after-scope

Fixes a bug introduced by 0295b2fd1d97c68010c7528af13e2952886d52e0.

Fixes #21292.

ci: take CIFuzz's matrix into consideration

Otherwise the jobs will try to cancel each other out.

Follow-up to 3884837610168e6fb69fc2d5709f6c017a30beb9.

sd-id128: use /proc/device-tree

condition: use /proc/device-tree/