escape: add missing non-NULL parameter assertions

test-escape: Add tests for escaping bogus UTF-8 sequences

escape: Ensure that output is always valid UTF-8

This ensures that shell string escape operations will not produce output
with invalid UTF-8 from the input by escaping invalid UTF-8 data as if
they were single byte characters.

Merge pull request #26548 from poettering/user-record-ambient

add ambient/bounding set fields to user records, and set CAP_WAKE_ALARM by default for local regular user sessions

update NEWS

test: test setting ambient caps via pam_systemd.so

pam_systemd: process the two new capabilities user records fields in pam_systemd

And also: by default, for the systemd-user service and for local
sessions (i.e. those assigned to a seat): let's imply CAP_WAKE_SYSTEM
for them by default. Yes, let's pass one specific capability by default to local
unprivileged users.

The capability services exactly once purpose: to allow system wake-up
from suspend via alarm clocks, hence is relatively limited in focus. By
adding this tools such as GNOME's Alarm Clock app can simply allocate a
CLOCK_REALTIME_ALARM (or ask systemd --user to do this) timer and it
will wake up the system as necessary.

Note that systemd --user will not pass the ambient caps on by default,
so even with this change, individual services need to use
AmbientCapabilities= to pass this on to the individual programs.

Fixes: #17564 #21382

homectl: make the new caps field configurable via homectl

user-record: extend user records with an ambient and bounding caps set field

In particular the ambieht caps field is useful: we can use it later to
pass caps such as CAP_WAKE_ALARM to regular users on login.

mkosi: add some really basic tools to default mkosi image

"passwd" and "pscap" are extremely useful to debug basic OS behaviour,
and tiny. So let's add them to our default development images, just to
save us some headaches.

Merge pull request #26608 from medhefgo/boot-arm

boot: Some ARM fixes

man: fix typo in systemd.generator

boot: Provide div0 handlers for ARM

This is a cleaner approach to 59833064742310bfccf028b0278811ba5cff8dcf.

boot: Fix data model detection for ARM

For whatever reason, ARM does not define __ILP32__.

psi-util: fix error handling

We checked ERRNO_IS_NOT_SUPPORTED on a possible positive non-error code,
which isn't right.

Fix that. Also add caching, since we are about to call this more often.

sd-event: handle kernels that set CONFIG_PSI_DEFAULT_DISABLED more gracefully

If CONFIG_PSI_DEFAULT_DISABLED is set in the kernel, then the PSI files
will be there, and you can open them, but read()/write() will fail.
Which is terrible, since that happens so late. But anyway, handle this
gracefully.

Merge pull request #26605 from poettering/noxenix

journal error message fixes

journald: remove triplicate logging about failure to write log lines

Let's log exactly at one place about failed writing of log lines to
journal file: in shall_try_append_again().

Then, if we decide to suppress a retry-after-vacuum because we already
vacuumed anyway then say this explicitly as "supressed rotation",
because that's what we do here.

This removes triplicate logging about the same error, and logs exactly
once, plus optional one "suppressed rotation" message. (plus more debug
output). The triplicate logging was bad in particular because it had no
understanding of the actual error codes and just showed generic UNIX
error strings ("Not a XENIX named type file"). By relying on
shall_try_append_again() to do all logging we now get very clean error
strings for all conditions.

Fixes: #26496

journald: always pass error code to logging function, even if we don't use it with %m

We always want to pass the error code along with the log call, so that
it can add it to structured logging, even if the format string does not
contain %m.

journald: upgrade log message about missing mmap() support to LOG_ERR

in this case we really cannot proceed and fail. Let's log about this
loudly, since we simply fail the operation to write anything.

journald: downgrade various log messages from LOG_WARNING to LOG_INFO

None of these conditions are real issues, but they can simply happen
because we just swtched from /run to /var as backend for logging and
there are old files from different boots with different systemd versions
and so on.

Let's not make more noise than necessary: still log, but not consider it
a warning, but just some normal thing.

We are handling these issues safely after all: by rotating and starting
anew, i.e. there's no reason to be concerned.

journald: start log message uppercase, like every other one around

journald: make sure shall_try_append_again() logs about all return codes passed in, not just some

systemctl: print better message if default target is masked

If the default target is masked, `systemctl get-default` prints

  Failed to get default target: Operation not possible due to RF-kill

That's a bit too cryptic, so let's make it clear what's actually
happening.

Fixes #26589.

tests: temporarily disable time-util failing tests

These are failing since https://github.com/systemd/systemd/pull/26409
disable for now

Revert "dissect-image: don't probe swap partitions needlessly"

This reverts commit df4524cb3796529b435af309f5e6a2d92bcdaaa0.

This commit is just wrong. The thing is that we *don't* know
automatically that the partition contains a swap image, because it could
be encrypted.

Hence revert.

Fixes: #26595

update TODO

test: add coverage test for udevadm

Merge pull request #26578 from thkukuk/main

sd-login: add sd_uid_get_login_time interface #26574

rules: remove redundant duplicate comparisons

$ grep -F -n -o 'ENV{DISKSEQ}=="?*", ' rules.d/60-persistent-storage.rules
139:ENV{DISKSEQ}=="?*",
139:ENV{DISKSEQ}=="?*",
140:ENV{DISKSEQ}=="?*",
140:ENV{DISKSEQ}=="?*",

Reported-by: Alexey Gladkov <legion@kernel.org>
Fixes: 17d97d4c90f8 ("udev: create disk/by-diskseq symlink only when the device has diskseq")
Fixes: 583dc6d933d8 ("udev: also create partition /dev/disk/by-diskseq/ symlinks")

sd-login: document that result is in microseconds

sd-login: add sd_uid_get_login_time interface #26574

tpm2-util: use compound initialization when allocating tpm2 objects

tree-wide: Use correct SPDX license identifier

man: add two missing commands to synopsys

update TODO

Merge pull request #26579 from poettering/manager-env-clean-up

service manager env var clean-up fixes

mempool: fix tile alignment check

We should check alignment *after* determining the pointer points into
our pool, not before. Otherwise might might end up checking alignment of
the pointer relative to our base, even though it is taken relative to
some other base.

Follow-up for: a2b052b29f8bc141e94a4af95d1653a38a57eaeb
See: https://github.com/systemd/systemd/pull/26393#issuecomment-1442295012

libsystemd: sd_journal_get_seqnum() must be tagged with 254 symver, not 253

This is a follow-up for b1712fabd1702640b04b0acdbba2d78294313a4d which
was prepped for 253, but merged into early 254 development cycle. It
thus had the symbol it adds at the wrong symver. Fix thta.

Merge pull request #26409 from yuwata/parse-timestamp

fix parse_timestamp()

Merge pull request #26217 from bluca/dump_mem

Add D-Bus method and analyze command to dump malloc_info()

man: document REMOTE_ADDR/REMOTE_PORT along with the other env vars

manager: be more careful with env var clean-up

Let's add some more env vars we nowadays set for activated services to
the list of env vars we strip from the environment block we pass on.

Merge pull request #26574 from YHNdnzj/sd-login-new-interface

sd-login: add two interfaces for retriving session info

test: add tests for format_timestamp() and parse_timestamp() with various timezone

time-util: make parse_timestamp() use the RFC-822/ISO 8601 standard timezone spec

If the timezone is specified with a number e.g. +0900 or so, then
let's parse the time as a UTC, and adjust it with the specified time
shift.

Otherwise, if an area has timezone change, e.g.
---
Africa/Casablanca  Sun Jun 17 01:59:59 2018 UT = Sun Jun 17 01:59:59 2018 +00 isdst=0 gmtoff=0
Africa/Casablanca  Sun Jun 17 02:00:00 2018 UT = Sun Jun 17 03:00:00 2018 +01 isdst=1 gmtoff=3600
Africa/Casablanca  Sun Oct 28 01:59:59 2018 UT = Sun Oct 28 02:59:59 2018 +01 isdst=1 gmtoff=3600
Africa/Casablanca  Sun Oct 28 02:00:00 2018 UT = Sun Oct 28 03:00:00 2018 +01 isdst=0 gmtoff=3600
---
then we could not determine isdst from the timezone (+01 in the above)
and mktime() will provide wrong results.

Fixes #26370.

time-util: drop unnecessary assignment of timezone name

As mktime() does not use timezone neme.

time-util: rename variables

No functional changes, just refactoring.

time-util: shorten code a bit

No functional change, just refactoring.

time-util: use usec_add() and usec_sub_unsigned()

And move the check with USEC_TIMESTAMP_FORMATTABLE_MAX at the end,
as usec_add() can handle overflow correctly.

time-util: use result from startswith_no_case()

No functional change, just refactoring.

time-util: do not use strdupa()

The input string may come from command line, config files.

time-util: drop redundant else

time-util: add assertions

time-util: rename variables

time-util: align string table

time-util: use DEFINE_STRING_TABLE_LOOKUP_TO_STRING() macro

time-util: drop redundant space

time-util: drop unused definition of FORMAT_TIMESTAMP_WIDTH

man,catalog: fix typo

Follow-up for #26448.

shared: move cg_set_access() declaration to right header file

This function was moved from cgroup-util.c to cgroup-setup.c a while
back, but the prototype in the matching header files wasn't migrated.
Let's fix that.

journal-file: Improve debug messages

journal-file: Fix return value in bump_entry_array()

systemctl: use bus_message_hash_ops

man: link up sd_event_add_memory_pressure() more

analyze: add 'malloc' verb to dump malloc_info()

Gets the memory state of the manager:

root@image:~# systemd-analyze malloc
<malloc version=1>
<heap nr=0>
<sizes>
  <size from=33 to=33 total=396 count=12/>
  <unsorted from=20385 to=20385 total=20385 count=1/>
</sizes>
<total type=fast count=0 size=0/>
<total type=rest count=14 size=36589/>
<system type=current size=1691648/>
<system type=max size=1839104/>
<aspace type=total size=1691648/>
<aspace type=mprotect size=1691648/>
</heap>
<total type=fast count=0 size=0/>
<total type=rest count=14 size=36589/>
<total type=mmap count=0 size=0/>
<system type=current size=1691648/>
<system type=max size=1839104/>
<aspace type=total size=1691648/>
<aspace type=mprotect size=1691648/>
</malloc>

sd-login: add sd_session_get_start_time

sd-login: add sd_session_get_username

Merge pull request #26258 from DaanDeMeyer/boot-smbios

stub: Read extra kernel command line items from SMBIOS

manager: add GetMallocInfo() hidden/debug method

Return the output of malloc_info() via a file descriptor (in case it
gets large on a busy system). Useful to get live data about memory
usage when it is not possible to run under a profiler from the get-go.
Do not formally register the method, but add a 'hidden' interface
so that it cannot be seen by introspection or by looking at the
object.

Merge pull request #26535 from yuwata/systemctl-list-cleanups

systemctl-list: several cleanups

Merge pull request #26560 from yuwata/journal-send-fix-memleak-and-cleanups

sd-journal: several fixlets and cleanups for sd_journal_send()

core/dbus-socket: check the socket path is absolute

In config_parse_socket_listen(), we have checked the path is absolute,
however we have not in the dbus method.

execute: pass ambient caps from PAM through to invoked service

If a PAM service sets some ambient caps, we should honour that, hence
query it, and merge it with our own ambient settings.

This needs to be done manually since otherwise dropping privs via
setresuid() will undo all such caps, and we need to manually tweak
things to keep them.

Merge pull request #26563 from dtardon/fd-init

Initialize fds with -EBADF + drop one unneeded initialization

Merge pull request #26556 from keszybz/list-timers-optimize-left

Do not say " left" on every timer in LEFT column

systemctl: cleanups for list-paths

- Rename struct path_info -> PathInfo,
- Drop struct path_infos,
- Use CLEANUP_ARRAY(),

No functional change, just refactoring.

systemctl: cleanups for list-automounts

- Rename struct automount_info -> AutomountInfo,
- use CLEANUP_ARRAY(), and etc.

No functional change, just refactoring.

systemctl: cleanups for list-timers

- Rename struct timer_info -> TimerInfo,
- use CLEANUP_ARRAY().

No functional change, just refactoring.

systemctl: cleanups for list-sockets

- Rename struct socket_info -> SocketInfo.
- Drop own_triggered field, and always copy the triggered field.
- Use CLEANUP_ARRAY().

No functional changes, just refactoring.

vmm: Modernize get_smbios_table()

stub: Read extra kernel command line items from SMBIOS

Let's read more kernel command line arguments from SMBIOS OEM string
io.systemd.stub.kernel-cmdline-extra. This allows adding debug kernel
command line arguments when booting in qemy without having to modify
the UKI.

bootctl: drop unneeded initialization

vmm: Add smbios_find_oem_string()

This function can be used to find SMBIOS strings in the SMBIOS Type 11
table.

vmm: Add more const

SMBIOS tables are immutable, so let's access it via const pointers
where possible.

efi-string: Add efi_memchr()

tree-wide: initialize fds with -EBADF

Merge pull request #26458 from yuwata/core-network-namespace-remount-sysfs

core: remount sysfs when network and mount namespace are enabled

sd-event: fix error handling

Follow-up for 6d2326e036ceed30f9ccdb0266713c10a44dcf6c.

Merge pull request #26559 from yuwata/sd-event-memory-pressure-follow-ups

sd-event: follow-ups for memory pressure event source

systemctl-list-units: drop unused return value

systemctl-list-units: fix memleak on error

sd-journal: fix memleak and freeing invalid pointers

This also makes
- use GREEDY_REALLOC() or GREEDY_REALLOC0(),
- use CLEANUP_ARRAY() macro.

io-util: drop double evaluation in IOVEC_INIT_STRING()

This also makes IOVEC_INIT_STRING() and IOVEC_MAKE_STRING() identical.

io-util: introduce IOVEC_NULL

io-util: introduce iovec_array_free()

It will be used in later commits.

test-execute: add test for PrivateNetwork= with/without mount namespacing

core/namespace: mount new sysfs when new network namespace is requested

Even when a mount namespace is created, previously host's sysfs is used,
especially with RootDirectory= or RootImage=, thus service processes can
still access the properties of the network interfaces in the main network
namespace through sysfs.

This makes, sysfs is remounted with the new network namespace tag, except
when PrivateMounts= is explicitly disabled. Hence, the properties of the
network interfaces in the main network namespace cannot be accessed by
service processes through sysfs.

Fixes #26422.

core/namespace: introduce a new namespace mount mode PRIVATE_SYSFS

This is useful when a service running with a new network namespace.

The mount mode is not used yet, but will be used in a later commit.

core/namespace: rename SYSFS -> BIND_SYSFS

No functional change, just preparation for later commits.