man: `machinectl(1)`: Fix description of subcommand `poweroff`

man: `systemd-nspawn(1)`: Fix some typos

Merge pull request #34556 from ryantimwilson/extra-fds

Add ExtraFileDescriptor property to StartTransientUnit dbus API

Merge pull request #34669 from bluca/semaphore

Update mkosi debian ref and try to speed up semaphore build

mkosi: mark test as skipped when QEMU crashes

On Ubuntu/Debian infrastructure QEMU crashes a lot, so mark the test
as skipped in that case as there's nothing we can do about it and
we shouldn't mark runs as failed

semaphore: do not build docs

There are other CI runs that build manpages, speed up build which is close to 1hr limit

semaphore: stop building and running extra unit tests

This slows down the build, which is often near the 1hr limit. There are
other jobs running the extra unit tests.

mkosi: update debian commit reference

* 51389fefca Upstream profile: skip dh_strip_nondeterminism
* 647fd0d40c Install kernel-install uki.conf example
* ddfeb24f55 autopkgtest: skip gdm3 on armel for smoke tests

Add ExtraFileDescriptor property to StartTransientUnit dbus API

This adds the ExtraFileDescriptor property to StartTransient dbus API
with format "a(hs)" - array of (file descriptor, name) pairs. The FD
will be passed to the unit via sd_notify like Socket and OpenFile.

systemctl show also shows ExtraFileDescriptorName for these transient
units. We only show the name passed to dbus as the FD numbers will
change once passed over the unix socket and are duplicated, so its
confusing to display the numbers.

We do not add this functionality for systemd-run or general systemd
service units as it is not useful for general systemd services.
Arguably, it could be useful for systemd-run in bash scripts but we
prefer to be cautious and not expose the API yet.

Fixes: #34396

Merge pull request #34472 from ikruglov/ikruglov/io-systemd-Machine

machine: implement varlink interfaces io.systemd.Machine.{List, Unregister, Terminate, Kill}

Semaphore: switch from /tmp to /var/tmp to avoid disk space issues

Builds have been failing as we run out of space in /tmp/, move to
/var/tmp

machine: tests for varlink interfaces

- io.systemd.Machine.List
- io.systemd.Machine.Kill
- io.systemd.Machine.Terminate
- io.systemd.Machine.Register
- io.systemd.Machine.Unregister

machine: extend io.systemd.Machine.List output with sshPrivateKeyPath field

Effectivelly, this is an implementation of GetMachineSSHInfo in dbus.

machine: use JSON_BUILD_PAIR_STRING_NON_EMPTY() in io.systemd.Machine.List output

machine: introduce io.systemd.Machine.Kill varlink method

machine: introduce io.systemd.Machine.Terminate varlink method

machine: introduce io.systemd.Machine.Unregister varlink method

machine: io.systemd.Machine.List supports 'pid' filter

Merge pull request #34644 from yuwata/udev-node-diskseq

udev-node: do not create stack directory for by-diskseq symlink

test: set TEST_NESTED_KVM as default

mkosi: Switch to Fedora 41

It's due for release soon and will fix the flakyness of TEST-58-REPART
so let's bump the Fedora 40 job to Fedora 41.

sd-json: use sd_json_dispatch_const_string() in sd_json_dispatch_string()

Also, do similar for json_dispatch_user_group_name().

tree-wide: drop doubled empty lines

network: use Network.name for bus path

No functional change, just refactoring.

networkctl: sort ifindexes in status command

Before:
$ networkctl status
● Interfaces: 372, 368, 373, 375, 376, 377, 378, 379, 381, 391, 3, 1201, 1202, 1184, 1610, 9, 8, 1340, 2, 1, 1256, 7

After:
$ networkctl status
● Interfaces: 1, 2, 3, 7, 8, 9, 368, 372, 373, 375, 376, 377, 378, 379, 381, 391, 1184, 1201, 1202, 1256, 1340, 1610

homectl: drop unnecessary brackets

Follow-up for 164ca24d7464253e5f8375226b792ef8f6eaffd0.

Merge pull request #34491 from AdrianVovk/sysupdate-fixups

Quick sysupdate fixups

po: Translated using Weblate (Kabyle)

Currently translated at 3.1% (8 of 253 strings)

Co-authored-by: ButterflyOfFire <butterflyoffire@protonmail.com>
Translate-URL: https://translate.fedoraproject.org/projects/systemd/main/kab/
Translation: systemd/main

Merge pull request #34408 from Werkov/fix-device-limits

core/cgroup: Apply IODevice*= directives in configured order

core: warn if a generator is world-writable

... because that is obviously a security risk.

hwdb: add SCAI SKU prefix for Samsung keyboard mapping (#34648)

udev-node: introduce node_remove_symlink()

Also
- make the failure propagated,
- remove /dev/block or /dev/char if empty.

Hopefully, no effective functionality changed. Just refactoring.

udev-node: rename node_symlink() -> node_create_symlink()

Also adds short comment for the NULL arguments.

No functional change, just refactoring.

test: add test case for issue #34637

udev-node: skip stack directory creation for diskseq

The disk/by-diskseq symlink should not be shared with multiple block
devices. Hence, it is not necessary to create stack directory for the
symlink that manages which device owns the symlink.

This is not just a optimization.
If a service unit tries to mount a disk image but the service fails, then
the diskseq of the loop device for the image may be continuously increased
during restart, and inodes in /run may increase rapidly, as the stack
directories are cleaned up only when udev queue is empty.

Fixes #34637.

TODO: fix typo

Follow-up for 26e6986527fe553edf35a442a520deb10c45a155.

Merge pull request #34432 from YHNdnzj/path-lookup-refactor

path-lookup: several cleanups

busctl: Support file descriptors in busctl

Previously using file descriptors as input arguments in busctl was
unsupported with "UNIX file descriptor not supported as type."

We fix this by parsing the file descriptor as an integer and verifying
it is an available file descriptor in busctl.

Fixes: #14954
Replaces: #34551

shutdown: In sync_with_progress(), log first then send SIGKILL

The order of these 2 lines was swapped in commit
758760a3610e3c6674de8a1d51b12b991eafef7c. Put them in the right order,
and take yuwata's comment into account.

sd-json: reorder enum so that SD_JSON_FORMAT_OFF is first

This doesn't really matter, all bits in a word are created equal, but having
the "off" value in the middle seems strange.

path-lookup: move xdg_user_dirs() to xdg-autostart-generator

This is the only place where xdg_user_dir() is needed and
makes sense. All other invocations have been replaced with
user_search_dirs() - see previous commits for details.

path-lookup: refactor lookup_paths_init() search paths handling

* Rename user_dirs() -> user_unit_search_dirs() and port to
  user_search_dirs()
* Use STRV_IFNOTNULL to guard paths that could be NULL,
  assert otherwise

path-lookup: introduce user_search_dirs() (shall replace xdg_user_dirs())

xdg_user_dirs() doesn't seem well-organized currently.
In all other xdg_user_*() funcs we assume /etc/xdg/systemd
to be a symlink to /etc/systemd/, hence it is the odd one out.
Also, when the relevant envvar is unset, it only returns
the global search dirs.

sd_path_lookup() actually covers this nicely with SD_PATH_SEARCH_*,
where the combined search paths (from user home and system) are used.
Therefore, let's introduce a wrapper for that, and deprecate xdg_user_dirs()
(would be removed in later commits).

path-lookup: assert that LOOKUP_PATHS_{EXCLUDE,TEMPORARY}_GENERATED are not used in conjunction

path-lookup: unify *_generator_binary_paths()

path-lookup: modernize get_paths_from_environ()

Use retval rather than additional param to indicate
whether the normal paths shall be appended.

path-lookup: shortcut patch_root_prefix() if no root_dir

path-lookup: unify acquire_{config,control,attached}_dir()

Note that -ENXIO reported by xdg_user_config_dir() is now properly
propagated rather than ignored, as unlike XDG_RUNTIME_DIR, XDG_CONFIG_HOME
has a default value hence ENXIO is not really expected.

path-lookup: use path_strv_contains() rather than strv_contains()

path-lookup: clean up acquire_{generator,transient}_dirs() a bit

path-lookup: modernize runtime_directory() too

path-lookup: deduplicate xdg_user_*() with sd_path_lookup()

While at it, place ret param at last.

path-lookup: move from basic/ to libsystemd/

So that sd_path_lookup() can be utilized to replace
duplicate functions.

path-lookup: move find_portable_profile() to portable-util

path-lookup: move NETWORK_DIRS to network-util.h

unit-file: make unit_type_may_{alias_template} static inline

basic/unit-file: move to shared/

Preparation for later commits, where path-lookup would be
moved into libsystemd.

Note that it currently includes sd-id128.h, hence shared/
seems more appropriate anyway.

Use case insensitive comparison for the machine's architechture

boot loader specification states:

architecture: refers to the architecture this entry is for. The argument
should be an architecture identifier, using the architecture vocabulary
defined by the EFI specification (i.e. IA32, x64, IA64, ARM, AA64, …).
If specified and it does not match the local system architecture this
entry should be hidden. The comparison should be done case-insensitively.

Example: architecture aa64

https://uapi-group.org/specifications/specs/boot_loader_specification/#type-1-boot-loader-entry-keys

Merge pull request #34638 from YHNdnzj/laccess-error-check

various: correct laccess() error check

Merge pull request #34639 from DaanDeMeyer/repart-fix

Two repart fixes

fs-util: rename laccess to access_nofollow

In order to distinguish it from libc function naming.

test: Add test for per-device cgroup properties

Reported in #34126

chase: Fix shortcut

We can't shortcut chaseat() if CHASE_PARENT is set.

repart: Don't copy root directory mode from source file

If the source is a file, don't copy the mode and such from it to
the root directory, even if the target is /.

various: correct laccess() error check

laccess is our own macro that uses RET_NERRNO.

Merge pull request #34608 from DaanDeMeyer/ukify

ukify: Rework multi-profile UKIs

man: Use proper conjunction and remove superfluous or

repart: Handle empty arg_copy_source in file_is_denylisted()

man: consolidate list of active unit states into a shared table

Avoids the need to maintain the same list over and over again, and
link it to the defition table in the implementation as a reminder
too

ukify: Rework multi-profile UKIs

The API introduced in https://github.com/systemd/systemd/pull/34295
is less than ideal:

- It doesn't consider signing at all (ukify can't sign separately yet)
- Measurement is completely broken (all profile sections are marked to
  not be measured)
- It focuses on a very niche use case of extending existing UKIs and makes
  the more common use case of building a UKI with several profiles included
  much harder than needed.

Let's instead rework the API to focus on the primary use case of building
a UKI with multiple profiles added to it immediately. We require the profiles
to be built upfront as separate PE binaries with UKI. There's no need to sign
or measure these, they're solely vehicles for profile sections. This saves us
from having to complicate the command line and config parsing to support defining
multiple profiles.

To add the profiles when building a UKI, we introduce the new --add-profile
switch which takes a path to a PE binary describing a profile. The required
sections are read from each PE binary, measured and added as a profile.

The integration test is disabled until the new API is merged and exposed in
mkosi so that building a UKI with profiles can be left to mkosi and the integration
test will only test the switching between profiles and not the building of UKIs
with profiles.

Merge pull request #34610 from poettering/exec-start-single-line

Soft deprecate multiple ExecStart= command lines within a single assignment

ukify: Fix Profile config setting

ukify: Introduce pe_strip_section_name()

Revert "ukify: add new --extend= switch for importing an existing UKI's sections to later extend"

This reverts commit b6570095ce889b07242d36cd05fa1d1899d0bc6c.

Revert "ukify: introduce new --measure-base= switch"

This reverts commit bc3e2c5a5774ae7b212817d04e04abccf30088ae.

Merge pull request #34590 from poettering/file-hier-removals

man: remove some irrelevant dirs from file-hierarchy(7)

Merge pull request #34600 from poettering/varlink-idl-add-flags-everywhere

sd-varlink: maintain "more" flag support in the IDL structures

repart: open target devices before UUID creation

This is to ensure that the UUIDs from the CopyBlocks= devices are copied
to the corresponding new partition instead of creating a new UUID for
it. With this verity partitions can be copied, keeping their UUIDs to
ensure that they still match up with what is specified in roothash=.

homectl: fix inverted table footer condition

Fixup for 2413a0fab4fdad7eef3ce1d4b57664be5795b002.

man/systemd-stub: reword descriptions of .dtb and .profile sections

- The text was clearly edited in variuos places to e.g. allow multiple
  sections, so it first said that sections are singletons, and immediately
  after that that some section are not.
- Replace "regardless of the kernel" with "regardless of the kernel version".
  The kernel is very much involved e.g. in loading of the initrds.
- Various other small rewordings to make the text more legible.

nsresourced: Fix declaration of bpf_rdonly_cast()

Fixes compilation error

"""
[780/3171] /usr/bin/clang -std=gnu11 -Wno-compare-distinct-pointer-types -fno-stack-protector -O2 -target bpf -g -c -D__aarch64__ -I. -isystem /usr/include/ -idirafter /usr/include ../src/nsresourced/bpf/userns_restrict/userns-restrict.bpf.c -o src/nsresourced/bpf/userns_restrict/userns-restrict.bpf.unstripped.o -I/usr/src/kernels/6.11.1-0.hs1.hs+fb.el9.aarch64
FAILED: src/nsresourced/bpf/userns_restrict/userns-restrict.bpf.unstripped.o
/usr/bin/clang -std=gnu11 -Wno-compare-distinct-pointer-types -fno-stack-protector -O2 -target bpf -g -c -D__aarch64__ -I. -isystem /usr/include/ -idirafter /usr/include ../src/nsresourced/bpf/userns_restrict/userns-restrict.bpf.c -o src/nsresourced/bpf/userns_restrict/userns-restrict.bpf.unstripped.o -I/usr/src/kernels/6.11.1-0.hs1.hs+fb.el9.aarch64
../src/nsresourced/bpf/userns_restrict/userns-restrict.bpf.c:27:7: error: conflicting types for 'bpf_rdonly_cast'
   27 | void *bpf_rdonly_cast(void *, __u32) __ksym;
      |       ^
/usr/src/kernels/6.11.1-0.hs1.hs+fb.el9.aarch64/vmlinux.h:143063:14: note: previous declaration is here
 143063 | extern void *bpf_rdonly_cast(const void *obj__ign, u32 btf_id__k) __weak __ksym;
        |              ^
1 error generated.
"""

logind: add support for hidraw devices

Add support for opening /dev/hidraw devices via logind's TakeDevice().
Same semantics as our support for evdev devices, but it requires the
HIDIOCREVOKE ioctl in the kernel.

core: fix copy/paste error

core: load IPE policy on boot

IPE is a new LSM being introduced in 6.12. Like IMA, it works based on a
policy file that has to be loaded at boot, the earlier the better. So
like IMA, if such a policy is present, load it and activate it.

If there are any .p7b files in /etc/ipe/, load them as policies.
The files have to be inline signed in DER format as per IPE documentation.

For more information on the details of IPE:

https://microsoft.github.io/ipe/

Merge pull request #34447 from DaanDeMeyer/homectl-firstboot-groups

home: Prompt for auxiliary groups in homectl firstboot

man: using WantedBy=default.target is not a good idea

We had several users, that wrote their unit files with
WantedBy=default.target because it should be started "every time".
But for example in Fedora/CentOS/RHEL, this often breaks for
example selinux relabels (where we just want to do a relabel and reboot).

homectl: Acquire bus connection after querying for user input

Otherwise when the user takes a long time to enter input the operation
to create the user's home will fail with "transport endpoint not connected".

home: Prompt for shell in homectl firstboot

home: Prompt for auxiliary groups in homectl firstboot

Move show_menu() to terminal-util.h

Merge pull request #34616 from DaanDeMeyer/mkosi

Various mkosi fixes

mkosi: Stop installing bpftrace

bpftrace nudges the Fedora Rawhide images towards compiler-rt18 while the
sanitizer builds pull in clang19, leading to the sanitizer libraries
not being found at runtime. Let's drop bpftrace for now so that compiler-rt19
is pulled in in the main image.

mkosi: Pass ASAN_OPTIONS to subimages

systemd built with sanitizers is installed in subimages and tools
might get invoked in postinstall scripts so we have to disable ASAN
in the subimages as well during the image build.

mkosi: Don't sync if the packaging specs repo is dirty

tree-wide: Fix Wformat warnings

The latest clang has started catching more integer promotions which
cause us to pass the wrong type to printf() format specifiers so let's
fix those.

man: drop reference to /bin/ from docs regarding binary search path

We don't support "split /usr" systems anymore, hence no point in
mentioning /bin/ anymore as being part of the binary search path.

man: soft deprecate use of ";" for separating multiple command lines in ExecStart=

So far we supported this syntax:

    ExecStart=foo ; bar

as equivalent to:

    ExecStart=foo
    ExecStart=bar

With this change we'll "soft" deprecate the first syntax. i.e. it's
still supported in code, but not documented anymore.

The concept was originally added to make things easier for 3rd party
.ini readers, as it allowed writing unit files with a .ini framework
that doesn't allow multiple assignments for the same key. But frankly,
this is kinda pointless, as so many other of our knobs require the
double assignment.

Hence, let's just stop advertising the concept, let's simplify the docs,
by removing one entirely redundant feature from it.

Replaces: #34570

Merge pull request #34546 from ikruglov/ikruglov/refactor-GetMachineAddresses

machine: generalise logic of GetMachineAddresses/GetOsRelease to later use it in corresponding varlink interfaces

update TODO

sd-varlink: mark functions that can take 'more' flag in IDL structures with an explicit flag

Let's mark functions that accept the 'more' flag explicitly for that,
and validate for this explicitly.

This is preparation for
https://github.com/varlink/varlink.github.io/issues/26, if we get that
one day. Let's make sure that from day #1 we have this info available
even if we don't generate this in the IDL for now.

Also enables the two flags for all interfaces we export that use the
logic.