man: drop reference to /bin/ from docs regarding binary search path

We don't support "split /usr" systems anymore, hence no point in
mentioning /bin/ anymore as being part of the binary search path.

man: soft deprecate use of ";" for separating multiple command lines in ExecStart=

So far we supported this syntax:

    ExecStart=foo ; bar

as equivalent to:

    ExecStart=foo
    ExecStart=bar

With this change we'll "soft" deprecate the first syntax. i.e. it's
still supported in code, but not documented anymore.

The concept was originally added to make things easier for 3rd party
.ini readers, as it allowed writing unit files with a .ini framework
that doesn't allow multiple assignments for the same key. But frankly,
this is kinda pointless, as so many other of our knobs require the
double assignment.

Hence, let's just stop advertising the concept, let's simplify the docs,
by removing one entirely redundant feature from it.

Replaces: #34570

tree-wide: always do dlopen() with RTLD_NOW + RTLD_NODELETE

Let's systematically use RTL_NOW|RLTD_NODELETE as flags passed to
dlopen(), across our codebase.

Various distros build with "-z now" anyway, hence it's weird to specify
RTLD_LAZY trying to override that (which it doesn't). Hence, let's
follow suit, and just do what everybody else does.

Also set RTLD_NODELETE, which is apparently what distros will probably
end up implying sooner or later anyway. Given that for pretty much all
our dlopen() calls we never call dlclose() anyway, let's just set this
everywhere too, to make things systematic.

This way, the flags we use by default match what distros such as fedora
do, there are no surprises, and read-only relocations can be a thing.

Fixes: #34537

Merge pull request #34612 from poettering/hwdb-micmutify-subset

hwdb: various fixes to mm kbd hwdb files

build(deps): bump systemd/mkosi

Bumps [systemd/mkosi](https://github.com/systemd/mkosi) from 2c9954fa51a3a995bbdc02db6ef51f5bd27bc1ba to 3454f7bd4ef0336ec80a117d593baaef0fe53398.
- [Release notes](https://github.com/systemd/mkosi/releases)
- [Commits](https://github.com/systemd/mkosi/compare/2c9954fa51a3a995bbdc02db6ef51f5bd27bc1ba...3454f7bd4ef0336ec80a117d593baaef0fe53398)

---
updated-dependencies:
- dependency-name: systemd/mkosi
  dependency-type: direct:production
...

Signed-off-by: dependabot[bot] <support@github.com>

bpf: fix cross build failure on Debian

For compiling bpf code, the system include directory needs to be
constructed. On Debian-like systems, this requires passing a multiarch
directory. Since clang's -dump-machine prints something other that the
multiarch triplet, gcc was interrogated earlier, but that also yields a
wrong result for cross compilation and was thus skipped resulting in
clang not finding asm/types.h.

Rather than, -dump-machine we should ask for -print-multiarch (which
rarely differs). Whenever gcc is in use, this is right (even for cross
building). Since clang does not support -print-multiarch and its
-dump-machine never matches Debian's multiarch, we resort to asking gcc
when building natively. For cross builds using clang, we are out of
luck.

hwbd: use newer KEY_PICKUP_PHONE, KEY_HANGUP_PHONE, KEY_SELECTIVE_SCREENSHOT, KEY_NOTIFICATION_CENTER keycodes where appropriate

According to kernel commit cd80ec795156346236e9b1cd9f5cbff5a9bbd212
these were added expressly for these thinkpads, hence use them now.

hwdb: use KEY_ROTATE_DISPLAY for various cases of display rotation keys

The keycode is reletively new. Let's fix some "FIXMEs" and actually make
use of the keycode wherever it appears appropriate according to
commentary.

hwdb: there's KEY_BRIGHTNESS_AUTO these days, hence hook it up where a FIXME suggests that

hwdb: make key map match comment for one laptop

No idea what the right fix is here, the commnt says "touchpad off" but
uses "f22" which is touchpad "on".

let's trust the comment, because it's more literal, and assume this was
a mistake.

linux: import input.h and friends

The CIs apparently have rally old headers, where KEY_BRIGHTNESS_AUTO is
missing, let's hence ship our own copies from a current kernel.

Revert "Preset user units on first boot as well"

This reverts commit 0a40325573b91ea71070653865f7f6a9cada2bef.

update TODO

Update sd_bus_message_append_array.xml

fix pointer constness in documentation

build(deps): bump actions/checkout from 4.1.7 to 4.2.0

Bumps [actions/checkout](https://github.com/actions/checkout) from 4.1.7 to 4.2.0.
- [Release notes](https://github.com/actions/checkout/releases)
- [Changelog](https://github.com/actions/checkout/blob/main/CHANGELOG.md)
- [Commits](https://github.com/actions/checkout/compare/692973e3d937129bcbf40652eb9f2f61becf3332...d632683dd7b4114ad314bca15554477dd762a938)

---
updated-dependencies:
- dependency-name: actions/checkout
  dependency-type: direct:production
  update-type: version-update:semver-minor
...

Signed-off-by: dependabot[bot] <support@github.com>

build(deps): bump github/codeql-action from 3.25.15 to 3.26.10

Bumps [github/codeql-action](https://github.com/github/codeql-action) from 3.25.15 to 3.26.10.
- [Release notes](https://github.com/github/codeql-action/releases)
- [Changelog](https://github.com/github/codeql-action/blob/main/CHANGELOG.md)
- [Commits](https://github.com/github/codeql-action/compare/afb54ba388a7dca6ecae48f608c4ff05ff4cc77a...e2b3eafc8d227b0241d48be5f425d47c2d750a13)

---
updated-dependencies:
- dependency-name: github/codeql-action
  dependency-type: direct:production
  update-type: version-update:semver-minor
...

Signed-off-by: dependabot[bot] <support@github.com>

build(deps): bump meson from 1.5.1 to 1.5.2 in /.github/workflows

Bumps [meson](https://github.com/mesonbuild/meson) from 1.5.1 to 1.5.2.
- [Release notes](https://github.com/mesonbuild/meson/releases)
- [Commits](https://github.com/mesonbuild/meson/compare/1.5.1...1.5.2)

---
updated-dependencies:
- dependency-name: meson
  dependency-type: direct:production
  update-type: version-update:semver-patch
...

Signed-off-by: dependabot[bot] <support@github.com>

Add %posttrans versions of the systemd %postun scriptlets

On upgrades, only the %postun scriptlets of the old package version
run. This means that any changes related to restarting daemons require
two releases before they're actually used.

%postun is used because it runs after the old package has been removed,
which is important as it means any lingering dropins from the old package
will have been removed as well.

To allow deploying fixes in just a single release while still running after
the old package has been removed, let's introduce %posttrans versions of these
scriptlets as %posttrans of the new package runs on upgrade and install after
the old package has been removed.

systemd-integritysetup: accept integrity-algorithm=xxhash64

Signed-off-by: Daniel Dawson <danielcdawson@gmail.com>

Merge pull request #34582 from DaanDeMeyer/repart

repart: copy denylist fixes

json: add json_dispatch_const_user_group_name()

This is the same as json_dispatch_user_group_name() but fills in the
string as "const char*" to the JSON field. Or in other words, it's what
sd_json_dispatch_const_string() is to sd_json_dispatch_string().

Note this drops the SD_JSON_STRICT flags from various dispatch tables
for these fields, and replaces this by SD_JSON_RELAX, i.e. the opposite
behaviour. As #34558 correctly suggests we should validate user names
in lookup functions using the lax rules, rather than the strict ones,
since clients not knowing the rules might ask us for arbitrary
resolution.

(SD_JSON_RELAX internally translates to valid_user_group_name() with the
VALID_USER_RELAX flag).

See: #34558

Merge pull request #34534 from keszybz/man-exitrd

Formally document exitrds

Merge pull request #34583 from DaanDeMeyer/ukify

ukify: Use SizeOfImage from linux image as virtual size of .linux section

update TODO

Merge pull request #34564 from YHNdnzj/systemctl-status-job-id

systemctl: also show job id in status output

Merge pull request #34508 from intelfx/work/fix-io-reporting

core/cgroup: cache IO accounting data when pruning a cgroup

ukify: Remove special casing for .linux section

Now that we properly leave sufficient space for inline execution of
the .linux section, let's remove the special casing of the .linux
section as it doesn't need to be the last section anymore now.

ukify: Use SizeOfImage from linux image as virtual size of .linux section

The SizeOfImage is bigger than the image itself so that space is
guaranteed to be available for in place execution of the linux image. Let's
make sure we take this into account and use SizeOfImage as the section's virtual
size instead of the size of the image itself.

Fixes #34578

tpm2-util: show loaded libraries in 'systemd-analyze has-tpm2'

After 3b16e9f41983f697bc38c40bb8e7119c1bb4f7c8, even the libraries are
documented in the man page, it is useful to mention which libraries are
checked in the command output.

Of course, the dependencies are kind of implementation detail, and may
be changed in the future version, but that's especially why I think
showing the library deps in the output is useful.

systemd-analyze is a debugging tool, and already shows many internal
states. I think there is nothing to prevent from showing the deps.

Prompted by #34477.

logind-dbus: really cancel scheduled shutdown

Fixes #34554

ukify: Drop unused size() method

repart: Apply denylist to individual files as well

repart: Shortcut copy if source or target starts with exclude path

If the source or target we're copying to is a subdirectory of any of the
directories specified in ExcludeFiles= or ExcludeFilesTarget=, shortcut the
entire copy operation.

Merge pull request #34572 from keszybz/fix-printing-of-RootImageOptions

Fix printing of RootImageOptions

Merge pull request #34548 from SimonPilkington/fix-creds-cat

creds: fix cat with encrypted credentials

shared: adjust whitespace and formatting

systemctl: fix printing of RootImageOptions

The type is a(ss), so a custom printer is required.

Fixes https://github.com/systemd/systemd/issues/33967.

seccomp-util: include @sandbox in @default

Every services and containers should be able to protect their users and
limit the impact of security bugs thanks to the security syscalls
provided by seccomp and Landlock.  The goal of these syscalls is to
improve security with additional restrictions.  They are designed to be
safely used by unprivileged (and then potentially malicious) users.

Remove the now-redundant "seccomp" entry for nspawn.

man: fix formatting in file-hierarchy

Somebody wrapped the text, but whitespace is preserved in <programlisting>, so
the output was mangled. It also doesn't make sense to run systemd-path as root
(as indicated by '#'), so drop that. Also, this chunk should be a separate
paragraph.

systemctl: also show job id in status output

Prompted by one ASG talk ;)

shared/bus-map-properties: move bus_map_job_id() from wait-for-units

mkosi: update arch commit reference

* d5a2dc54da Use vmlinux.h from linux-headers
* 59912d804f update checksums...
* 83edb5244e build: set ssh privsep dir to /usr/share/empty.sshd
* 65363cc5ba build: explicitly enable vmlinux-h=generated
* 14e6d27dd4 build: drop deprecated default-hierarchy option
* 81e7545ca3 systemd.install: stop applying ACL ourselves
* 147c214201 systemd-hook: use systemd-notify --booted to detect if systemd is running
* 010bc3c05c upgpkg: 256.6-1: new upstream release

Fix reference to FileDescriptorStoreMax= directive

NEWS: Document change to systemd-creds 'cat' verb

See: https://github.com/systemd/systemd/pull/34548

machine: resolve race condition in TEST-13-NSPAWN.machinectl.sh

I encountered this race condition while working on TEST-13-NSPAWN.varlinkctl.sh.
The long-running machine's init script sometimes does not have time to start and
register signals. As result, occasiounally failed tests.

creds: fix cat with encrypted credentials

Fixes: https://github.com/systemd/systemd/issues/34547

TODO: add one more systemctl rfe

Merge pull request #34549 from weblate/weblate-systemd-main

Translations update from Fedora Weblate

po: Translated using Weblate (Portuguese (Brazil))

Currently translated at 97.2% (246 of 253 strings)

po: Translated using Weblate (Portuguese (Brazil))

Currently translated at 96.0% (243 of 253 strings)

Co-authored-by: Fábio Rodrigues Ribeiro <farribeiro@gmail.com>
Translate-URL: https://translate.fedoraproject.org/projects/systemd/main/pt_BR/
Translation: systemd/main

po: Translated using Weblate (Portuguese (Brazil))

Currently translated at 96.0% (243 of 253 strings)

po: Translated using Weblate (Portuguese (Brazil))

Currently translated at 89.3% (226 of 253 strings)

Co-authored-by: Gabriel Elyas <gabrielelyas@protonmail.com>
Translate-URL: https://translate.fedoraproject.org/projects/systemd/main/pt_BR/
Translation: systemd/main

units: Order ldconfig after systemd-tmpfiles-setup.service

tmpfiles might be linking the configuration for ldconfig into /etc
so make sure it runs after it so that the configuration is guaranteed
to be in place.

repart: Determine verity sig size based on partition designator

Verity= is an image build concept, not a first boot concept, whereas
a partition designator is always available, so let's do the size stuff
based on that.

core/cgroup: cache IO accounting data when pruning a cgroup

When removing a cgroup in unit_prune_cgroup(), read IO metrics to cache
them similar to the existing treatment of the CPU and memory usage data.

Note that we do not do this for the IP metrics as the firewall objects
are only destroyed in unit_free() and thus stay alive long enough to
be read out directly by all interested parties.

Fixes #26988.

man: say that SYSEXT_SCOPE=initrd also applies to exitrds

We generally do _not_ want the same sysexts to be loaded in both initrd and
exitrd phases. The environment is completely different and it's unlikely that
the same code can be useful in both places. Nevertheless, it can be useful in
_some_ cases, for example when the sysexts contains debugging tools.

I think we don't need to differentiate between initrds and exitrds through
SYSEXT_SCOPE, because the two types are made available in completely different
locations and loaded through a different mechanism, with very little chance of
an initrd being loaded as an exitrd without an explicit admin action (or the
other way around). So let's not complicate our code or definitions by an
explicit "exitrd" sysext designator, but just clarify that "initrd" also
encompasses exitrds in this context.

man: reword some sentences with umbiguous subjects

A sencence like "The system manager does, a, b, c, which is really d, and e.",
it is generally understood that the manager also does "e". This can be
quite confusing if the manager cannot do "e", in our case unmount the file
system on which it is sitting.

Similary, we cannot "fall back to x if it is missing", since "it" in that
sentence means "x".

man: slightly enhance docs about "exitrd" and remove TODO entry for it

The concept is fairly well established and present in our docs in various
places.

Say that the exitrd is also marked by the presence of /etc/initrd-release.

repart: Use swap format for swap partition even if encrypted

repart: Add a log message when we're about to fsync().

Merge pull request #34517 from DaanDeMeyer/clangd

mkosi: Add back support for running clangd within mkosi

mkosi: Add missing SPDX line

mkosi: Add back support for running clangd within mkosi

This allows hacking on systemd without installing any build
dependencies except mkosi on the host machine.

Preset user units on first boot as well

We need to make sure the presets from /usr/lib/systemd/user-preset
are applied as well. Currently only the ones from
/usr/lib/systemd/system-preset are applied.

Merge pull request #34511 from YHNdnzj/strv-extend-strv-consume

basic/strv: introduce strv_extend_strv_consume()

Merge pull request #34502 from yuwata/strv_find_closest

strv: introduce strv_find_closest()

Merge pull request #34515 from YHNdnzj/machined-machines-by

machined: modernize a bit

core/cgroup: drop `allow_cache` parameter in `unit_get_io_accounting()`

The name of the parameter is misleading and it does not save us much
work because it is not used during regular unit property queries.
It is only used during unit_log_resources(), and the cgroup is already
dead by that point so it won't be read anyway.

tree-wide: use strv_extend_strv_consume() where appropriate

basic/strv: introduce strv_extend_strv_consume()

machined-dbus: move manager_add_machine() and _get_machine_by_pid() to -core

machined: rename machine_{units,leaders} to machines_by_*

Also port machines_by_leader to store PidRef-s.

machined: fix bogus error check for machine_link()

basic/strv: make string_strv_hash_ops static, add missing assertions

shared/bus-map-properties: modernize map_basic() and bus_map_strv_sort()

basic/memory-util: make mempcpy_typesafe() take number of obj rather than raw size

Follow-up for eda6223942a172fa6777901cf5fbd47438f285ce

basic: replace size_multiply_overflow() with MUL_ASSIGN_SAFE where applicable

basic/macro: move DECIMAL_STR_FMT to shared/tests

This shall never be used outside of test functions.

Add an extra debug log to dissect_image()

machine: fix bus method argument name: who -> whom

Follow-up for cd2fb04960b8aa0b353d12005b8cfc3b9d2bcfee.

verbs: use strv_find_closest()

This also makes the list of verbs is always shown on failure.

strv: introduce strv_find_closest()

Follow-up for 1e1ac5d53b0f126b6c4419506c7c42b67c07537f.

Merge pull request #34510 from keszybz/mkosi-version-checks

Bump minimum required mkosi version

mkosi: bump mkosi MinimumVersion

dbff64ddf06f64ab94bd314df27d6c089b75de52 bumped the hash to
a commit after 24.3, so let's tell the users that 25~devel is
the minimum required.

mkosi: supress error messages from git

When updating, I get a message like:
fatal: Not a valid object name a67221c3f0d0b81b9b5b3230a71d09044342f1a4^{commit}

The failure here is expected, it just means that an update is
necessary, so suppress output.

sd-ipv4acd: fix assertion triggered when an ARP received in STARTED state

When a network is busy, an ARP may be received before the timer event
source triggered first time.

Fixes #34489.

NEWS: fix typos and remove backticks

Merge pull request #34499 from YHNdnzj/sd-path-trivial-cleanup

sd-path: trivial cleanups

Merge pull request #34496 from YHNdnzj/tmpfiles-neg-errno

tmpfiles: ERRNO_IS_NOINFO -> _IS_NEG_, correct negative errno checks

firstboot: add similar input suggestion

This uses the same logic as similar verb suggestion for command line
utilities. Try to be helpful when the user entered something invalid
instead of just showing the prompt again.

basic/memory-util: introduce mempcpy_typesafe

boot: use INC_SAFE where appropriate

Merge pull request #34480 from yuwata/test-seccomp-suppress-sync

seccomp-util: pass negative fds as is to fsync() and friends

kernel-install: add uki.conf example

sd-path: trivial cleanups for sd_path_lookup{,_strv}()

sd-path: modernize from_user_dir()

Deduplicate logic through sd_path_lookup() and from_home_dir().
Besides, rename to from_xdg_user_dir() to indicate
it's a XDG thing.

tmpfiles: ERRNO_IS_NOINFO -> _IS_NEG_, correct negative errno checks

tmpfiles: use RET_GATHER more

man: update PCR and Secure Boot key names and paths

firstboot: Prompt for keymap

It's rather crucial to have a good firstboot experience that you
can immediately set the right keymap so let's make sure we prompt
for it.

hwdb: add keymaps for Acer Nitro 5 AN515-47 (#34493)

This fixes the microphone mute key and NitroSense key for Acer Nitro 5 AN515-47,
so they can be recognized by desktop environments.

test: add tests for seccomp_suppress_sync()