core: Set /proc/pid/setgroups to allow for PrivateUsers=full

When trying to run dbus-broker in a systemd unit with PrivateUsers=full,
we see dbus-broker fails with EPERM at `util_audit_drop_permissions`.

The root cause is dbus-broker calls the setgroups() system call and this
is disallowed via systemd's implementation of PrivateUsers= by setting
/proc/pid/setgroups = deny. This is done to remediate potential privilege
escalation vulnerabilities in user namespaces where an attacker can remove
supplementary groups and gain access to resources where those groups are
restricted.

However, for OS-like containers, setgroups() is a pretty common API and
disabling it is not feasible. So we allow setgroups() by setting
/proc/pid/setgroups to allow in PrivateUsers=full. Note security conscious
users can still use SystemCallFilter= to disable setgroups() if they want
to specifically prevent this system call.

Fixes: #35425

core: Add PrivateUsers=full

Recently, PrivateUsers=identity was added to support mapping the first
65536 UIDs/GIDs from parent to the child namespace and mapping the other
UID/GIDs to the nobody user.

However, there are use cases where users have UIDs/GIDs > 65536 and need
to do a similar identity mapping. Moreover, in some of those cases, users
want a full identity mapping from 0 -> UID_MAX.

Note to differentiate ourselves from the init user namespace, we need to
set up the uid_map/gid_map like:
```
0 0 1
1 1 UINT32_MAX - 1
```

as the init user namedspace uses `0 0 UINT32_MAX` and some applications -
like systemd itself - determine if its a non-init user namespace based on
uid_map/gid_map files. Note systemd will remove this heuristic in
running_in_userns() in version 258 and uses namespace inode. But some users
may be running a container image with older systemd < 258 so we keep this
hack until version 259.

To support this, we add PrivateUsers=full that does identity mapping for
all available UID/GIDs.

Fixes: #35168

test-time-util: do more suppression of time zone checks

The issue is directly triggered by tzdata-2024b, where the setting of timezone
started to fail and the tests stopped passing. But those timestamps in 1/1/1970
appear to have some problems already before:

  $ sudo date -s 'Thu 1970-01-01 13:00:01 WET'
  Thu Jan  1 03:00:01 PM EET 1970
  $ sudo date -s 'Thu 1970-01-01 12:00:01 WET'
  date: cannot set date: Invalid argument
  Thu Jan  1 02:00:01 PM EET 1970
  $ rpm -q tzdata
  tzdata-2024a-9.fc41.noarch

The same issue appears with other timezones. So move the first timestamp one
day forward to avoid the issue.

After the previous problem is solved, we also get the problem already seen
previously where the roundtrip returns a time that is off by one hour:

@86401000000 → Fri 1970-01-02 00:00:01 WET → @82801000000 → Thu 1970-01-01 23:00:01 WET
Assertion 'x / USEC_PER_SEC == y / USEC_PER_SEC' failed at src/test/test-time-util.c:415, function test_format_timestamp_impl(). Aborting.

Extend the override to suppress this.

test: Implement TEST_PREFER_QEMU and use it in one of the mkosi jobs

We want to make sure the integration tests that don't require qemu
can run successfully both in an nspawn container and in a qemu VM.
So let's add one more knob TEST_PREFER_QEMU=1 to run jobs that normally
require nspawn in qemu instead.

Running these tests in qemu is also possible by not running as root but
that's very implicit so we add an explicit knob instead to make it explicit
that we want to run these in qemu instead of nspawn.

mkosi: update opensuse packaging commit due to force push

meson: avoid error message if git is not installed

[1/9] Generating version.h with a custom command
/home/zbyszek/src/systemd/tools/vcs-tag.sh: line 17: git: command not found

If git is not available, do not try to call it.

ci: Implement coverage on top of mkosi  (#35407)

ci: Implement coverage on top of mkosi

dmi: add RISC-V 64bit support

docs/CONTRIBUTING: adjust grammar, info about tests and labels

Unfortunately our CI fails pretty much constantly, so instead of saying that
"tests don't pass", weasel this into "unit tests don't pass". Also fix grammar.

Labels are adjusted automatically now, so remove that sentence.

mkosi: update fedora commit reference

* 433efb38f4 Only apply the new Recommends in fedora
* 8dc31eaf04 Recommend qemu-kvm-core instead of qemu-kvm
* 53cfdea02a Update tmpfiles --destroy-data patch
* 04f0a692da Version 257~rc3
* 243a055429 Make systemd-network-generator co-owned by -udev and -networkd
* 37c10f5b03 Pull in qemu from systemd-container

Use nicer syntax in two places in CI (#35455)

test-execute: Make /coverage writable in DynamicUser= tests

DynamicUser=yes implies ProtectSystem=yes, so let's explicitly make
sure the coverage directory is writable in these tests.

test-execute: Don't make rootfs read-only if we're collecting coverage

The test needs to be able to write coverage data to the rootfs so don't
make / read-only.

test: Skip TEST-38-FREEZER if coverage is enabled

The test freezes regularly when run with coverage so let's skip it
if coverage is enabled.

creds-util: Improve one log message

test-creds: Migrate to new assertion macros

mkosi: disable Fedora specific drop-in config when running with sanitizers (#35460)

Hopefully fixes #35335.

TEST-64: use more idiomatic loop syntax

mkosi/ci: use a bash array to pass options

This patch initially also changed the configuration, but that'll be done in a
different way, so all that remains is the syntax change.
An array is nicer because the array definition can have inline comments and
doesn't use continuation symbols which are easy to mess up in edits.

po: Translated using Weblate (Slovenian)

Currently translated at 100.0% (257 of 257 strings)

Co-authored-by: Martin Srebotnjak <miles@filmsi.net>
Translate-URL: https://translate.fedoraproject.org/projects/systemd/main/sl/
Translation: systemd/main

po: Translated using Weblate (Portuguese (Brazil))

Currently translated at 100.0% (257 of 257 strings)

Co-authored-by: Geraldo S. Simião Kutz <geraldo.simiao.kutz@gmail.com>
Translate-URL: https://translate.fedoraproject.org/projects/systemd/main/pt_BR/
Translation: systemd/main

mkosi: disable Fedora specific drop-in config when running with sanitizers

Hopefully fixes #35335.

Revert "mkosi: extend DefaultTimeoutStopSec= when running on sanitizers"

This reverts commit b75befc3c98bcfa57ab801a24234ecab1c0b34a9.

Unfortunately, it does not work. Let's revert.

More test coverage (#35451)

Add some simple tests to cover lines reported as not covered by
coveralls.

man: remove references to invalid rd.systemd.image_policy option

The option with the `rd.` prefix is not implemented, the image policy is not
applied in the initrd.

hwdb: Make 3D mice work out-of-the-box

According to https://en.wikipedia.org/wiki/3Dconnexion, 3D mice are:
human interface devices for manipulating and navigating
computer-generated 3D imagery. These devices are often referred to as
3D motion controllers, 3D navigation devices, 6DOF devices (six
degrees of freedom) or a 3D mouse.

Applications that want to support 3D mice on Linux are expected to
either use spacenavd and its library, or consume the HID output
directly.

This patch makes it possible for a number of applications that use 3D
mice directly to work out of the box, such as PrusaSlicer and its
derivatives.

test-format-table: add test for unsetting table name

This should extend coverage to another part that previously wasn't covered.

test-format-table: add smoke test for int/uint formatting

When looking at coverage data, I noticed that some types of ints have no
coverage whatsoever.

test-format-table: convert to ASSERT_* macros

shared/tests: adjust error messages

Grammar is improved a bit and some messages are shortened.

build(deps): bump softprops/action-gh-release from 2.0.8 to 2.1.0

Bumps [softprops/action-gh-release](https://github.com/softprops/action-gh-release) from 2.0.8 to 2.1.0.
- [Release notes](https://github.com/softprops/action-gh-release/releases)
- [Changelog](https://github.com/softprops/action-gh-release/blob/master/CHANGELOG.md)
- [Commits](https://github.com/softprops/action-gh-release/compare/c062e08bd532815e2082a85e87e3ef29c3e6d191...01570a1f39cb168c169c802c3bceb9e93fb10974)

---
updated-dependencies:
- dependency-name: softprops/action-gh-release
  dependency-type: direct:production
  update-type: version-update:semver-minor
...

Signed-off-by: dependabot[bot] <support@github.com>

build(deps): bump github/codeql-action from 3.26.10 to 3.27.5

Bumps [github/codeql-action](https://github.com/github/codeql-action) from 3.26.10 to 3.27.5.
- [Release notes](https://github.com/github/codeql-action/releases)
- [Changelog](https://github.com/github/codeql-action/blob/main/CHANGELOG.md)
- [Commits](https://github.com/github/codeql-action/compare/e2b3eafc8d227b0241d48be5f425d47c2d750a13...f09c1c0a94de965c15400f5634aa42fac8fb8f88)

---
updated-dependencies:
- dependency-name: github/codeql-action
  dependency-type: direct:production
  update-type: version-update:semver-minor
...

Signed-off-by: dependabot[bot] <support@github.com>

build(deps): bump ninja from 1.11.1.1 to 1.11.1.2 in /.github/workflows

Bumps [ninja](https://github.com/scikit-build/ninja-python-distributions) from 1.11.1.1 to 1.11.1.2.
- [Release notes](https://github.com/scikit-build/ninja-python-distributions/releases)
- [Changelog](https://github.com/scikit-build/ninja-python-distributions/blob/master/HISTORY.rst)
- [Commits](https://github.com/scikit-build/ninja-python-distributions/compare/1.11.1.1...1.11.1.2)

---
updated-dependencies:
- dependency-name: ninja
  dependency-type: direct:production
  update-type: version-update:semver-patch
...

Signed-off-by: dependabot[bot] <support@github.com>

pid1: assume user namespaces are unavailable if we get -EINVAL from clone (#35440)

Bash completion: no more ANSI colorcode in pathnames

Bash completion: no more ANSI colorcode in pathnames

ukify: ellipsize CN to not exceed maximum length

Currently the generation of the certificate fails if len(fqdn) >= 43.
Ellipsize the fqdn to let the tests pass in all cases.

Fixes https://github.com/systemd/systemd/issues/34581.

basic/namespace-util: fix double logging after fork failure

[   10.056930] (journald)[104]: Failed to fork off '(sd-mkuserns)': Invalid argument
[   10.063727] systemd[1]: systemd-modules-load.service: About to execute: /usr/lib/systemd/systemd-modules-load
[   10.071148] (journald)[104]: Failed to fork process (sd-mkuserns): Invalid argument

safe_fork_full() already logs at debug level, so the caller shouldn't.

pid1: assume user namespaces are unavailable if we get -EINVAL from clone()

As reported in https://github.com/systemd/systemd/issues/35400,
on riscv64, with Linux version 6.6.51-linux4microchip+fpga-2024.09, we get:

[   10.063727] systemd[1]: systemd-modules-load.service: About to execute: /usr/lib/systemd/systemd-modules-load
[   10.071148] (journald)[104]: Failed to fork process (sd-mkuserns): Invalid argument

Fixes https://github.com/systemd/systemd/issues/35400.

'r' is used to make the repeated checks shorter. Without that, the long variable
name is distracting.

core/service: preserve RuntimeDirectory= even if oneshot service exits

Follow-up for c26948c6dae1d2ca13499b36f193b13a0760834c

We only want to get rid of cred mount here, and RuntimeDirectory=
is documented to be retained for SERVICE_EXITED state.

Fixes #35427

NEWS: adjust grammar

Follow-up for 1072618023cc3fc7f6f23e31e559f4d6e695aaff.

TEST-13-NSPAWN: enable debugging logs by nspawn run by systemd-run

Otherwise, it is hard to debug issue #35209.

NEWS: metion changes for networkd

kernel-install: remove .extra.d/ directory too

When a UKI is removed, the per-UKI .extra.d/ directory (addons,
extensions, etc) is left behind.

systemctl: skip checking inhibitors when dbus.service is not running

Fixes a bug introduced by 804874d26ac73e0af07c4c5d7165c95372f03f6d.

Fixes #35416.

mkosi: update to latest

mkosi: extend DefaultTimeoutStopSec= when running on sanitizers (#35420)

Hopefully fixes #35335.

mkosi: move setting for journald to mkosi.extra

mkosi: extend DefaultTimeoutStopSec= when running on sanitizers

Hopefully fixes #35335.

mkosi: install correct package for mypy

Package "mypy" doesn't exist on all distro, install the correct package
depending on the distro.

Another tweak for the preparation of removal of sysvinit compat (#35414)

meson: install README.logs independently of HAVE_SYSV_COMPAT

That file provides compatiblity (or more precisely the explanation for the lack
of compatibility) with syslog daemons. Those are used quite independently of
sysvinit. For example, RHEL uses rsyslog with systemd. We create
/var/log/journal, so it's no biggie to also provide /var/log/README with the
explanation. Let's keep it, since it might help some confused users, even when
compat with sysvinit is gone.

Revert "link README.logs from tmpfiles.d/legacy.conf only if available"

This reverts commit c946b1357562e8643575dbbda2c8c6fff2c0e4f7.

The next patch will resolve the issue in a different way.

po: Translated using Weblate (Georgian)

Currently translated at 100.0% (257 of 257 strings)

Co-authored-by: Temuri Doghonadze <temuri.doghonadze@gmail.com>
Translate-URL: https://translate.fedoraproject.org/projects/systemd/main/ka/
Translation: systemd/main

po: Translated using Weblate (Ukrainian)

Currently translated at 100.0% (257 of 257 strings)

Co-authored-by: Yuri Chornoivan <yurchor@ukr.net>
Translate-URL: https://translate.fedoraproject.org/projects/systemd/main/uk/
Translation: systemd/main

po: Translated using Weblate (Turkish)

Currently translated at 100.0% (257 of 257 strings)

Co-authored-by: Oğuz Ersen <oguz@ersen.moe>
Translate-URL: https://translate.fedoraproject.org/projects/systemd/main/tr/
Translation: systemd/main

po: Translated using Weblate (Swedish)

Currently translated at 100.0% (257 of 257 strings)

Co-authored-by: Luna Jernberg <bittin@reimu.nl>
Translate-URL: https://translate.fedoraproject.org/projects/systemd/main/sv/
Translation: systemd/main

po: Translated using Weblate (Korean)

Currently translated at 100.0% (257 of 257 strings)

Co-authored-by: 김인수 <simmon@nplob.com>
Translate-URL: https://translate.fedoraproject.org/projects/systemd/main/ko/
Translation: systemd/main

po: Translated using Weblate (Indonesian)

Currently translated at 100.0% (257 of 257 strings)

Co-authored-by: Andika Triwidada <andika@gmail.com>
Translate-URL: https://translate.fedoraproject.org/projects/systemd/main/id/
Translation: systemd/main

po: Translated using Weblate (French)

Currently translated at 100.0% (257 of 257 strings)

Co-authored-by: Léane GRASSER <leane.grasser@proton.me>
Translate-URL: https://translate.fedoraproject.org/projects/systemd/main/fr/
Translation: systemd/main

mkosi: Simplify sanitizer setup

Let's get rid of 20-sanitizers.conf and just move it into
mkosi.sanitizers instead.

Typo fix in man/systemd.resource-control

execute: free syscall_log hashmap when done

Fixes #35394

catalog: update Polish translation

Includes changes up to e1f9d3c84b66d1b86adaae4c7aebf89514685d51

po: Translated using Weblate (Polish)

Currently translated at 100.0% (257 of 257 strings)

Co-authored-by: Piotr Drąg <piotrdrag@gmail.com>
Translate-URL: https://translate.fedoraproject.org/projects/systemd/main/pl/
Translation: systemd/main

sysupdate: add missing full stop in the polkit message (#35391)

Follow-up for e55e7a5a613712dc9a94d40a1fea1f02d359961f.

po: update translations

po: update Japanese translation

sysupdate: add missing full stop to the polkit message

Follow-up for e55e7a5a613712dc9a94d40a1fea1f02d359961f.

meson: update version

NEWS: update date

TEST-67-INTEGRITY: several fixes (#35366)

Fixes #35363.

Chores for RC3 (#35383)

nsresourced: log about correct errno (#35386)

Split out from #35242

network/queue: do not increase reference counter when remove request is not queued

Fixes a bug introduced by ef45f5c8d0bfbeda2a57b28bba9831f044b23b21.
Fixes #35164.

nsresourced: log about correct errno in userns_destroy_cgroup()

cgroup-util: use RET_NERRNO where appropriate

TEST-67-INTEGRITY: blkid should not provide the underlying loopback block device

Fixes #35363.

TEST-67-INTEGRITY: modernize test code

- make udevd generate debugging logs for loopback and DM devices,
- insert 'udevadm wait' at several places to make the device processed
  by udevd,
- cleanup generated integritysetup service before moving to next
  algorithm,
- drop unnecessary exit on command failure,
- also test data splitting mode for all algorithms.

nspawn: make sure --private-users-ownership=no and =off work the same way

We usually want to use "extended booleans" for cases like this, i.e.
that "off", "no" and "0" can be used interchangably for turning
something off.

sysext: coding style fixes & fix a memory leak

Follow-up for: bbec1c87d3bf8d14eeb1ee3b4df973a53cca2e58

po: update translations

ninja -C build systemd-update-po

hwdb: update

ninja -C build update-hwdb

NEWS: update contributors list

Minor follow-ups for recent PRs (#35381)

service: don't second guess invocation mode again

let's just check the debug invocation boolean, and not recheck the
restart mode again. It's mostly redundant (because the boolean should
not have been become true if the restart mode was not set accordingly).

Moreover, i think we might want to eventually allow a manual way to
enable debug invocation mode, and hence this pointless checking would
become a problem.

Also, we never check the restart mode again in other cases, hence we
shouldn't here either.

nspawn: improve error message when we cannot look into a container tree due to perms

tests: fix access mode of root inode of throw-away container images

Otherwise the root inode will typically have what mkdtemp sets up, which
is something like 0700, which is weird and somewhat broken when trying
to look into containers from unpriv users.

nspawn: don't try to unregister a machine we never registered

When registering we condition this on "arg_register". Let's do the same
when unregistering, otherwise we might end up trying to unregister a
machine we never registered.

shared/bootspec: mark _to_string funcs as _const_

Addresses https://github.com/systemd/systemd/pull/34959#discussion_r1860451777

shared/bootspec: use FOREACH_ELEMENT where appropriate, avoid unneeded memzero()

shared/bootspec: move boot_entry_addons_done() up, drop separate prototype

Follow-up for e2501a851e10f5279862b2bccbdd9184572cce6a

basic/fileio: minor coding style cleanup

Follow-up for bbec1c87d3bf8d14eeb1ee3b4df973a53cca2e58

man: split systemd.conf(5) into multiple sections

No changes in wording, let's just make a very long man page a bit more
digestable by adding sections, and then reordering settings to fit into
them.

Update TODO

bootspec fixups (#34959)

ukify: Switch to JSON HWID description format (#35208)

Fixes #35176

bootspec: Look at /loader/addons in XBOOTLDR

The bootspec util-lib's handling of global addons didn't previously
match the behavior of sd-stub, and this commit corrects that.

First, bootspec didn't load global addons from the XBOOTLDR dir, but the
stub does. So, bootspec now enumerates addons in XBOOTLDR, not just ESP

Second, the stub only loads resources (including addons) from the
partition that it was found on. Thus, we must keep track of which
partition the global addons come from, and which partition each boot
entry comes from. In other words: global addons found on the ESP will
NOT apply to UKIs found in XBOOTLDR, and bootspec now reflects that.

bootspec: Fixup loading of local addons for UKIs

Follow-up for 59b3df9

bootspec: Fixup memory leak

This would previously leak memory: the array was deleted but contents
inside of the array were not