test-network: add test for [IPv6SendRA] ReachableTimeSec= and RetransmitSec=

man: slightly rephrase RetransmitSec= setting

network/radv: introduce ReachableTimeSec= setting

To make the reachable time in the RA header sent by networkd
configurable.

sd-radv: allow to configure reachable time in RA header

Merge pull request #32391 from DaanDeMeyer/optimization

mkosi: Add environment variable to set the optimization level

Merge pull request #31987 from flatcar-hub/krnowak/usr-perm-check

sysext: Fix issues with merged hierarchy mode

Merge pull request #32387 from DaanDeMeyer/unit-test-fixes

Various unit test improvements

mkosi: Explicitly disable fortify for debian/ubuntu

We do the same for the other distributions, so let's do so for
debian/ubuntu as well.

NEWS: reword a few sentences

mkosi: Use awk to avoid dpkg-buildpackage warning

Let's strip unnecessary whitespace to avoid a dpkg-buildpackage
warning.

mkosi: Add environment variable to set the optimization level

test: Don't allocate scope if already running in unit with delegated cgroup

If we're already running in a unit with delegation turned on, let's
skip allocation of a scope unit and cgroup subroot. This allows journald
to correctly attribute the logs of all subprocesses spawned by tests such
as test-execute to the test-execute service when the test is running in a service.

test: Use log_setup()

Specifically, this will make tests log to the journal if stderr is
connected to the journal. This means we get proper log priorities
and such compared to if we just logged to stderr.

test-execute: Use new assertion macros

test: Add ASSERT_ERROR() and ASSERT_ERROR_ERRNO()

For when we expect something to fail with a specific error.

test: Make sure test_fdset_close_others does not affect logging fds

test-bpf-restrict-fs: Add @application to allowed filesystems as well

We might be booting from virtiofs which is fuse so we need @application
as well.

test-bpf-firewall: Skip if ping is not available

Merge pull request #32386 from DaanDeMeyer/mkosi

Various mkosi improvements

mkosi: Install various system users/groups in opensuse images

These don't get pulled in automatically and there doesn't seem to
be a "system-users" package so install the ones we need for the
integration tests manually.

mkosi: Backport Fedora basic users/groups sysusers files to CentOS

CentOS does not ship these sysusers dropins which set up basic system
users and groups. Until we can move to CentOS Stream 10, let's add the
dropins ourselves to make sure the base system users/groups are available
on CentOS.

mkosi: Install procps-ng in all images

Required for TEST-01-BASIC.

mkosi: Make sure systemd-libs is updated on Arch

The Arch Linux PKGBUILD does not (yet) have versioned dependencies
between the systemd packages, causing systemd-libs to not get updated
to 256-devel if systemd 256-devel is installed. Let's explicitly install
the newer version of systemd-libs as well for now until this problem is
fixed.

mkosi: Make sure ping is installed

Required for test-bpf-firewall.

mkosi: Disable rpm package notes

This introduces dependencies on various environment variables set
by rpmbuild which will not be set when rerunning meson inside the
VM/container so let's disable package notes to avoid these dependencies,
as the package notes aren't terribly useful in this scenario anyway.

mkosi: Make sure serial console line wrapping is re-enabled

mkosi: Update to latest

Merge pull request #32372 from yuwata/sd-radv-trivial-cleanups

sd-radv: several trivial cleanups

NEWS: fix typo

Merge pull request #32370 from YHNdnzj/vpick-check-early

shared/vpick: some minor cleanups

Merge pull request #32359 from poettering/vmspawn-hyperv-enlight

some hyperv related enhancement in detect-virt + vmspawn

ci: fix systemd-machined component name

Follow-up for d762f4d52d31c8eb6a6a7e517f107dfe8d443ee8.

Merge pull request #32276 from yuwata/network-global-use-domains-setting

network: introduce protocol-independent UseDomains= setting

sd-journal: downgrade log message "Unused data (entry_offset==0)"

This happens when journal is rotated after a data is written but before
an entry that linked to the data is not written yet.
This is neither data corruption, nor program error. Let's downgrade the
log level.

Closes #32153.

test: add test case for sd_journal_{get,seek,test}_cursor()

For issue #31516.

update NEWS

update TODO

vmspawn: enable vmgenid for all VMs

This passes an ID derived from the vmgenid down to all VMs. This is
useful to have an identifier for this VM generation id. We derive it
from the invocation ID, if we have one, otherwise we randomize it.

Eventually we should make use of the vmgenid changing to re-acquire MAC
addresses, DHCP leases as such. Let's for now enable the VMM side of the
concept as first step towards that.

sd-id128: add an app-specific flavour of the invocation ID too

vmspawn: add env var that can extend the qemu cmdline

This is a bit hackish, but really useful sometimes to play around with
some qemu switches.

vmspawn: enable hyperv enlightenments

THese are generally recommended (and libvirt/gnome-boxes default to them
hence). They are mostly relevant for Windows, but I think it makes sense
to enable them anyway for Linux too, simply to excercise #28001, and
they shouldn't hurt.

detect-virt: detect hyperv-enlightened qemu as qemu, not as hyperv

CPUID reporting hyperv should be taken with a grain of salt, and we
should prefer other mechanisms then.

Fixes: #28001

sd-event: fix sd_event_source_get_inotify_path()

Follow-ups for 74c4231ce5f6cddabc2500391a8d5fd69e89b79e.

Previously, the path is obtained from the fd, but it is closed in
sd_event_loop() to unpin the filesystem.
So, let's save the path when the event source is created, and make
sd_event_source_get_inotify_path() simply read it.

Replaced "machined" label with "machine" #32373

po: Translated using Weblate (Indonesian)

Currently translated at 100.0% (233 of 233 strings)

Co-authored-by: Andika Triwidada <andika@gmail.com>
Translate-URL: https://translate.fedoraproject.org/projects/systemd/main/id/
Translation: systemd/main

network/radv: sd-radv allows to update MAC address without stopping

sd-radv: use sd_radv_is_running()

This also drops several unnecessary conditions for checking sd-radv is running
or not in setting options, e.g. home agent or mac address.

sd-radv: shorten enumerated type definition

test-network: add test for global UseDomains= setting

network: introduce network- and protocol-independent default for UseDomains=

Follow-up for fb573007430ab0dbe45517b58837d2fa5cfa1a48.

Prompted by #32273.

timedate: handle gracefully if RTC lost time because of power loss

Apparently some RTC drivers return EINVAL in that case when we try to
read it. Handle that reasonably gracefully.

Fixes: #31854

shared/vpick: check deterministic suffix earlier

Follow-up for 421a4ba7e4a26332c271359a7a114a1da7a2afad

shared/vpick: flatten errno check

shared/vpick: use strdup_to where appropriate

Merge pull request #31872 from tfg13/main

stub+ukify: Add support for UKI .ucode section

Merge pull request #31889 from aplanas/fix_pcrlock_stdin

pcrlock: support measurement of big files

Merge pull request #32346 from yuwata/sd-radv-handle-header-param-gracefully

sd-radv: handle header param gracefully

cpio: fix assert

stub: get uname from image before loading addons

Otherwise uname is always NULL before calling `load_addons()`, so it's not being
checked if .uname matches between addons and UKI.

Fixes 68f85761e2eb1fd2243019980a64b174f07432c3

NEWS: note that portabled supports vpick too

Merge pull request #32142 from bluca/portable_vpick

portable: support vpick

Merge pull request #32251 from CodethinkLabs/vmspawn/docs_improvements

vmspawn docs improvements

Merge pull request #32365 from poettering/gpt-auto-doc-fix

man: tweak gpt-auto-generator docs a bit

man: correct where we look for auxiliary partitions

We look for the root fs on the device of the booted ESP, and for the
other partitions on the device of the root fs. On EFI systems this
generally boils down to the same, but there are cases where this doesn't
hold, hence document this properly.

Fixes: #31199

man: add explicit column for gpt guid value in table

man: add separate column for flag value to table

labeler: merge "logind" label into "login"

Existing issues/PRs were migrated to the login label using:
$ gh search issues --repo systemd/systemd --label logind --limit=1000 --json number -q .[].number | \
        xargs gh issue edit --add-label login --remove-label logind

man: vmspawn - clarify behaviour of omitting --linux=/--initrd=

man: vmspawn - clarify behaviour of omitting --vsock-cid=

man: removely overly verbose wording from the vmspawn man page

man: vmspawn - reference later example to show use of --private-users

man: clarify behaviour when omitting both -i/-D in vmspawn

man: fix entry for vmspawn's --ssh-key-type

man: add ssh example for vmspawn

man: add example --forward-journal= example for vmspawn

man: add machinectl import-raw example for vmspawn

pcrlock: add make_pcrlock_record_from_stream

To hash long files (like initrd) add the funcion
make_pcrlock_record_from_stream, that will read a long file (or stdin)
to generate the digests of multiple hashes, redading block by block.

Use this new function in verb_lock_raw and verb_lock_kernel_initrd.

Signed-off-by: Alberto Planas <aplanas@suse.com>

vmspawn: Fix shared memory check

We need the shared memory added if we're doing runtime mounts as well.

man: document the last remaining bits of the hostnamed D-Bus interface

ukify: Add support for .ucode UKI section

This commit teaches ukify how to build a .ucode section into UKIs. This
section is functionally an initrd, intended for microcode updates.

mkosi: Build command line into the image

This allows using systemd-vmspawn itself while still getting a decent
experience.

measure: Add .ucode UKI section support

This commit adds support for the new ".ucode" UKI section to
systemd-measure. It is functionally an initrd and is treated as such by
measure.

stub: Add support for .ucode UKI section

This commit adds support for loading, measuring and handling a ".ucode"
UKI section. This section is functionally an initrd, intended for
microcode updates. As such it will always be passed to the kernel first.

portable: support vpick

Resolve at attach/detach/inspect time, so that the image is pinned and requires
re-attaching on update, given files are extracted from it so just passing
img.v/ to RootImage= is not enough to get a portable image updated

vpick: add pick_filter_image_any filter that matches both dirs and images

Merge pull request #32349 from yuwata/sd-event-source-get-inotify-path

sd-event: introduce sd_event_source_get_inotify_path()

Merge pull request #32345 from yuwata/sd-radv-send

sd-radv: introduce sd_radv_send(), and reset timer on sending unsplicited RA

Merge pull request #31978 from nolange/fix_openssl_deprecations

Fix openssl deprecations

sd-event,sd-journal: fix error handling of inotify_add_watch_fd()

Fixes a bug in 97ef5391697c34ee1c763fa9bddcd20a29ff3159 and
858749f7312bd0adb5433075a92e1c35a2fb56ac.

update TODO

test: Make the sysext test to run with --root and without

I was bitten several times by testing things only with --root flag, so this
commit prepares the existing test cases to run on / too. This required the test
cases to clean up after themselves, thus I have put each test case in a
separate subshell and used traps to do the cleanups.

I needed to change the hierarchy used by the test extension to /opt, because
unmounting /usr often failed with EBUSY.

mkosi: Fix FORTIFY_SOURCE (again)

CentOS/Fedora use annobin which will complain if FORTIFY_SOURCE=0
is used so we disable those checks to avoid the warnings.

We also make sure that when we query the compilation flags so we can
add more, we set _fortify_level=0 and undefine _lto_flags so that we
don't get those flags in the result.

sysext: Determine extensions earlier

Before any directory in root filesystem is potentially made.

sysext: Use EPROTO for child failure

sysext: Use the new path-util helper

path-util: Add a helper for checking paths

The difference with the already existing path_equal_or_inode_same function is
that the new one does not swallow errors.

sd-event: introduce sd_event_source_get_inotify_path()

This may be useful when there are multiple inotify event sources exist.
Without this, users need to manage the event sources and paths.

man: drop spurious version info for error code

Follow-up for 87fe0a69606920dbdb11854be9223ddeef823fa1.

sysext: Make static const a macro instead

sysext: Use string table for parsing mutable mode