test: Lint integration-test-wrapper.py

test: Fix typing errors in integration-test-wrapper.py

test: Format integration-test-wrapper.py

ukify: Fix typing error

Move mypy.ini and ruff.toml to top level

This allows reusing them for integration-test-wrapper.py as well.

integration-test-wrapper: Remove unneeded format strings

mkosi: Add github CLI to tools

mkosi: Add dnf and dnf5 to sanitizer workaround list

mkosi: Install clangd everywhere

mkosi: Use bash to execute command -v

command is only an executable on Fedora due to a downstream patch,
on Arch for example it's only a builtin so we have to use bash to
execute command -v to get proper results on Arch.

mkosi: Add shellcheck to tools

mkosi: update to latest

NEWS: add blurb thanking Nick Owens

Nick's largely responsible for nerd-sniping me into fixing #34516
and did most of the testing.

hwdb: add entry for Chuwi Hi10 X1 (#35331)

https://www.chuwi.com/product/items/chuwi-hi10-x1.html
Rotated -90 degrees in the Z axis.

curl-util: do not configure new io event source when the event loop is already dead

Similar to c5ecf0949460dd0bf3211db128a385ce6375252e, but for io event source.

Fixes #35322.

measure: add 'dtbauto' option in help message

'dtbauto' command line was missing from the help string. Add it.

po: Translated using Weblate (French)

Currently translated at 100.0% (257 of 257 strings)

Co-authored-by: Léane GRASSER <leane.grasser@proton.me>
Translate-URL: https://translate.fedoraproject.org/projects/systemd/main/fr/
Translation: systemd/main

networkd-test.py: fix interface state checker

After 259125d53d98541623b69e83000b5543f2352f5e, network interfaces
declared by .netdev files are created after systemd-networkd sends READY
notification. So, even when networkd is started, the netdevs may not
be created yet, and 'ip' command may fail. Let's also check the return
code of the command.

This also
- drops never worked stdout checks,
- makes the test fail if the interface is not created within the timeout.

nspawn: improve log message on bad incoming sd_notify() message

It's the PID that is wrong, not the UID/GID, be precise.

nspawn: fix userns_mkdir() invocation

The wrong error code was logged.

But actually given that userns_mkdir() is fine with existing dirs, let's
drop the redundant conditionalization.

Follow-up for: a1fcaa1549d86098d0ba75254b6afc96c786b3b6

shutdown: propagate one more error from sync_making_progress()

No functional change, just refactoring, as anyway all errors will be
ignored by the caller.

namespace-util: handle -ENOSPC by userns_acquire() gracefully in is_idmapping_supported() (#35313)

Follow-up for edae62120f13b24d51812d1d7c0ab24acb420305.
Fixes #35311.

shutdown: close DM block device before issuing DM_DEV_REMOVE ioctl

Otherwise, the ioctl() may fail with EBUSY.

Follow-up for b4b66b26620bfaf5818c95d5cffafd85207694e7.
Hopefully fixes #35243.

basic/linux: update kernel headers from v6.12

Undeprecate commandline params forcequotacheck, fastboot, and forcefsck

Those are historical names, but there is nothing wrong with them. The files on
/ (/fastboot, /forcefsck, and /forcequotacheck) are problematic because they
require a modification of the root file system. But the commandline params work
fine. They have the obvious advantage compared to our "modern" option that they
are much easier to type without looking up the spelling in the docs. Undeprecate
them to avoid unnecessary churn.

namespace-util: update log messages

namespace-util: handle -ENOSPC by userns_acquire() gracefully in is_idmapping_supported()

Follow-up for edae62120f13b24d51812d1d7c0ab24acb420305.
Fixes #35311.

link README.logs from tmpfiles.d/legacy.conf only if available

The file README.logs is installed only if SysVInit support is enabled.
Thus the link should depend on it as well.

varlink: apparently on old kernels SO_PEERPIDFD returns EINVAL

hwdb: add support for PineTab2 to 60-sensor.hwdb (#35304)

Add accelerometer support for PineTab2

userdbctl: two trivial fixlets (#35296)

Fixes: #35294

tpm2-util: fix parameter name

man: split cryptenroll man page into sections (#35297)

userdbctl: respect selected disposition also when showing gid boundaries

Follow-up for: ad5de3222f7

userdbctl: fix counting

Fixes: #35294

userbdctl: show 'mapped' user range only inside of userns

Outside of userns the concept makes no sense, there cannot be users
mapped from further outside.

cryptenroll: it's called PKCS#11, not PKCS11

In the --help text we really should use the official spelling, just like
in the man page.

man: add enrollment type sections to cryptenroll man page

We have the same sections in the --help text, hence we even more so
should have them in the man page.

bash-completion: add --list-devices to systemd-cryptenroll

And also use it to list suitable block devices.

core/service: service_add_fd_store() consumes passed fd

Without this change, the fd is closed twice on failure.

Fixes a bug introduced by dff9808a628c31b7ecb1f1aba8fdc3be06ce8372.

Fixes #35288.

hwdb: Add quirk for Logitech MX Keys for Mac

The KEY_102ND and KEY_GRAVE keys are switched on the
Logitech MX Keys for Mac, so switch them back

Keep tmpfiles/legacy.conf even if SysVInit support is dropped (#35278)

po: Translated using Weblate (Ukrainian)

Currently translated at 100.0% (257 of 257 strings)

Co-authored-by: Yuri Chornoivan <yurchor@ukr.net>
Translate-URL: https://translate.fedoraproject.org/projects/systemd/main/uk/
Translation: systemd/main

tmpfiles: add period at end of the sentence

The license that is immediately above is properly punctuated and it looks
sloppy when our line below isn't.

tmpfiles: narrow scope of HAVE_SYSV_COMPAT condition for legacy.conf

That file contains a bunch of entries of which only some are related to SysV.
The rest are just "traditional APIs" that need to stay. In particular,
/var/lock a.k.a. /run/lock is used by many programs (LVM, iscsi, alsactl).
Similarly, the README about /var/log is something that should stay as long as
we have people migrating from older systems or using the copiuos documentation
that mentions /var/log/messages.txt on the Internet.

/var/lock/subsys is only used by sysvinit, and our code to support /forcefsck,
/fastboot, and /forcequotacheck is conditionalized on HAVE_SYSV_COMPAT, so
conditionalize those here on HAVE_SYSV_COMPAT too.

cgroup-util: fix memory leak on error

CID#1565824

Follow-up for f6793bbcf0e3f0a6daa77add96183b88d5ec2117

network: update state files before replying bus method (#35255)

Follow-up for 2b07a3211ba8b1b81d6cebb9650d5cb24554b08a.

Fixes the failure found in
https://autopkgtest.ubuntu.com/results/autopkgtest-noble-upstream-systemd-ci-systemd-ci/noble/amd64/s/systemd-upstream/20241115_182040_92382@/log.gz
. Relevant logs:
```
Nov 16 02:48:36 systemd-networkd[2706]: veth99: Reconfiguring with /run/systemd/network/25-dhcp-client-ipv6-only.network.
Nov 16 02:48:36 systemd-networkd[2706]: veth99: NDISC: Started IPv6 Router Solicitation client
Nov 16 02:48:36 systemd-networkd[2706]: veth99: IPv6 Router Discovery is configured and started.
Nov 16 02:48:36 systemd-networkd[2706]: veth99: NDISC: Sent Router Solicitation, next solicitation in 3s
Nov 16 02:48:36 systemd-networkd[2706]: veth99: NDISC: Received Router Advertisement from fe80::1034:56ff:fe78:9abd: flags=0xc0(managed, other), preference=medium, lifetime=30min
Nov 16 02:48:36 systemd-networkd[2706]: veth99: NDISC: Invoking callback for 'router' event.
Nov 16 02:48:36 systemd-networkd[2706]: veth99: link_check_ready(): dynamic addressing protocols are enabled but none of them finished yet.
Nov 16 02:48:36 systemd-networkd[2706]: veth99: DHCPv6 client: Starting in Solicit mode
Nov 16 02:48:36 systemd-networkd[2706]: veth99: DHCPv6 client: State changed: stopped -> solicitation
Nov 16 02:48:36 systemd-networkd[2706]: veth99: Acquiring DHCPv6 lease on NDisc request
Nov 16 02:48:36 systemd-networkd[2706]: veth99: DHCPv6 client: Sent Solicit
Nov 16 02:48:36 systemd-networkd[2706]: veth99: DHCPv6 client: Next retransmission in 1s
Nov 16 02:48:37 systemd-networkd[2706]: veth99: DHCPv6 client: Sent Solicit
Nov 16 02:48:37 systemd-networkd[2706]: veth99: DHCPv6 client: Next retransmission in 1s
Nov 16 02:48:39 systemd-networkd[2706]: veth99: NDISC: Received Neighbor Advertisement from fe80::1034:56ff:fe78:9abd: Router=yes, Solicited=yes, Override=no
Nov 16 02:48:39 systemd-networkd[2706]: veth99: NDISC: Invoking callback for 'neighbor' event.
Nov 16 02:48:39 systemd-networkd[2706]: veth99: DHCPv6 client: Processed Reply message
Nov 16 02:48:39 systemd-networkd[2706]: veth99: DHCPv6 client: T1 expires in 50s
Nov 16 02:48:39 systemd-networkd[2706]: veth99: DHCPv6 client: T2 expires in 55s
Nov 16 02:48:39 systemd-networkd[2706]: veth99: DHCPv6 client: Valid lifetime expires in 2min
Nov 16 02:48:39 systemd-networkd[2706]: veth99: DHCPv6 client: State changed: solicitation -> bound
Nov 16 02:48:39 systemd-networkd[2706]: veth99: DHCPv6 address 2600::15/128 (valid for 1min 59s, preferred for 1min 59s)
Nov 16 02:48:41 systemd-networkd[2706]: veth99: Received updated DHCPv6 address (configured): 2600::15/128 (valid for 1min 58s, preferred for 1min 58s), flags: no-prefixroute, scope: global
Nov 16 02:48:41 systemd-networkd[2706]: veth99: DHCPv6 addresses and routes set.
Nov 16 02:48:41 systemd-networkd[2706]: veth99: link_check_ready(): IPv4LL:no DHCPv4:no DHCPv6:yes DHCP-PD:no NDisc:no
Nov 16 02:48:41 systemd-networkd[2706]: veth99: State changed: configuring -> configured
```
The interface veth99 entered the configured state after 5 seconds, but
at the same time, the `wait_online()` in the test script considered the
test failed.
The function `wait_online()` first invokes
`systemd-networkd-wait-online` with `--timeout=20`, then check setup
states of interfaces with 5 seconds timeout. So, the failure suggests
that `systemd-networkd-wait-online` finishes immediately, as the state
file was not updated when it is invoked, and thus it handles the
interface veth99 already in the configured state.

po: Translated using Weblate (Slovenian)

Currently translated at 100.0% (257 of 257 strings)

Co-authored-by: Martin Srebotnjak <miles@filmsi.net>
Translate-URL: https://translate.fedoraproject.org/projects/systemd/main/sl/
Translation: systemd/main

po: Translated using Weblate (Finnish)

Currently translated at 100.0% (257 of 257 strings)

Co-authored-by: Jiri Grönroos <jiri.gronroos@iki.fi>
Translate-URL: https://translate.fedoraproject.org/projects/systemd/main/fi/
Translation: systemd/main

po: Translated using Weblate (Ukrainian)

Currently translated at 100.0% (257 of 257 strings)

Co-authored-by: Dmytro Markevych <hotr1pak@gmail.com>
Translate-URL: https://translate.fedoraproject.org/projects/systemd/main/uk/
Translation: systemd/main

po: Translated using Weblate (French)

Currently translated at 100.0% (257 of 257 strings)

Co-authored-by: Léane GRASSER <leane.grasser@proton.me>
Translate-URL: https://translate.fedoraproject.org/projects/systemd/main/fr/
Translation: systemd/main

test-network: actually check metric and preference

Otherwise, nexthop ID may contain e.g. 300, then
===
AssertionError: '300' unexpectedly found in
'default nhid 3860882700 via fe80::1034:56ff:fe78:9a99 proto ra metric 512 expires 1798sec pref high\n
 default nhid 2639230080 via fe80::1034:56ff:fe78:9a98 proto ra metric 2048 expires 1798sec pref low'
===

network: update state files before replying bus method

Follow-up for 2b07a3211ba8b1b81d6cebb9650d5cb24554b08a.

killall: gracefully handle processes inserted into containers via nsenter -a

"nsenter -a" doesn't migrate the specified process into the target
cgroup (it really should). Thus the cgroup will remain in a cgroup
that is (due to cgroup ns) outside our visibility. The kernel will
report the cgroup path of such cgroups as starting with "/../". Detect
that and print a reasonably error message instead of trying to resolve
that.

process-util: refuse to operate on remote PidRef

Follow-up for 7e3e540b88db5546d0c63103619d96b033871b7b

cryptenroll: fix typo

test-audit-util: Migrate to new assertion macros

core/exec-invoke: suppress placeholder home only in build_environment() (#35219)

Alternative to https://github.com/systemd/systemd/pull/34789
Closes #34789

units: add initrd directory to list of conditions for systemd-confext

systemd-sysext has the same check, but it was forgotten for confexts.
Needed to activate confexts from the ESP in the initrd.

hwdb: add new Cube Mix Plus (i18D) rotation info

Added rotation information for the new version of Cube Mix Plus (i18D).

sd-varlink: mark sd_varlink_server_{ref,unref} as _public_ (#35241)

Co-authored-by: Thorsten Kukuk <kukuk@suse.com>

user-record: don't synthesize default list of self-modfiable fields for non-regular users. (#35133)

A follow-up for a192250eda1e5cc1f8fc799cf9b85d37e7fa0519

/cc @AdrianVovk

man/kernel-command-line: fix typo

network/ndisc: process zero lifetime options at first (#35212)

Fixes two issues reported at #33468.

cryptenroll: show better log message if slot to wipe does not exist

```
$ systemd-cryptenroll /dev/vda3
SLOT TYPE
   0 password
$ systemd-cryptenroll --wipe-slot 1 /dev/vda3
Failed to wipe slot 1, continuing: No such file or directory
```

update TODO

po: Translated using Weblate (Hebrew)

Currently translated at 100.0% (257 of 257 strings)

Co-authored-by: Yaron Shahrabani <sh.yaron@gmail.com>
Translate-URL: https://translate.fedoraproject.org/projects/systemd/main/he/
Translation: systemd/main

ssh-generator: silence "Binding to socket" messages

user-record: distinguish explicit and implicit empty modifiable lists case

We now distinguish two cases: where the list of self modifiable fields
is explicitly set to empty, and where the default is empty.

Let's display them differently in the output. When set explicitly to
empty let's mention the admin, otherwise just say "none".

user-record: only synthesize default list of self-modifiable fields for *regular* users

For system users we should lock things down, hence generate an empty
list.

This is mostly a safety precaution, but also hides really confusing
output of "userdbctl user" for an system user.

Follow-up for: a192250eda1e5cc1f8fc799cf9b85d37e7fa0519

test: fix generate-sym-test using the wrong array (#35185)

For my understanding bsearch is searching in the wrong array. Or, if
it's the right one, then the size is wrong. In another commit I made the
arrays different by mistake and that triggered a SIGSEV during tests.

vmspawn: enable memory pressure logic for vmspawn

systemctl: grey out tasks limit the same way we grey out the fd store limit in the output

"systemctl status systemd-logind" otherwise looks a bit weird, since the
tasks and the fdstore lines are so close to each other but formatted
quite differently when it comes to coloring.

style: Fix formatting

core/exec-invoke: suppress placeholder home only in build_environment()

Currently, get_fixed_user() employs USER_CREDS_SUPPRESS_PLACEHOLDER,
meaning home path is set to NULL if it's empty or root. However,
the path is also used for applying WorkingDirectory=~, and we'd
spuriously use the invoking user's home as fallback even if
User= is changed in that case.

Let's instead delegate such suppression to build_environment(),
so that home is proper initialized for usage at other steps.
shell doesn't actually suffer from such problem, but it's changed
too for consistency.

Alternative to #34789

core/exec-invoke: minor cleanup for apply_working_directory() error handling

Assign exit_status at the same site where error log is emitted,
for readability.

basic/user-util: split out placeholder suppression from USER_CREDS_CLEAN into its own flag

No functional change, preparation for later commits.

basic/user-util: introduce shell_is_placeholder() helper

mkosi: Enable clangd execution for all distributions

update TODO

test-network: add test case for IPv6 Core Conformance test v6LC.2.2.23

test-network: split out check_router_preference() from test_router_preference()

This also drop high2.network and low2.network, and edit high.network and
low.network during the test.

network/ndisc: first process options with zero lifetime

Fixes IPv6 Core Conformance test failures reported at #33468.
https://www.ipv6ready.org/docs/Core_Conformance.pdf
Test v6LC.2.2.23 h and j: Processing Router Advertisement with Route
Information Option (Host Only)

When a RA contains route option with ::/0 prefix, then previously that
may contradict with the default route requested with the RA header.
If the route option has zero lifetime, the existing default route should
be removed, and a new route based on the RA header should be configured.
If the route option has non-zero lifetime, the RA header should be
ignored.

So, we first need to process options with zero lifetime (not only
route option, as the similar reasons), then configure the default route
based on the RA, finally process options with non-zero lifetime.

network/ndisc: sd_ndisc_router_route_get_preference() does not return -EOPNOTSUPP anymore

ndisc-option: use memcpy_safe() at one more place

As 'len' may be 8.

Follow-up for a163404cc88914142ef8bbfaab0eb39d1a990c02.

ukify: fix parsing of SignTool configuration option

This partially reverts 02eabaffe98c9a3b5dec1c4837968a4d3e2ff7db.
As noted in https://github.com/systemd/systemd/pull/35211:
> The configuration parsing simply stores the string as-is, rather than
> creating the appropriate object

One way to fix the issue would be to store the "appropriate object", i.e.
actually the class. But that makes the code very verbose, with the conversion
being done in two places. And that still doesn't fix the issue, because we need
to map the class objects back to the original name in error messages.

So instead, store the setting as a string and only map it to the class much
later. This makes the code simpler and fixes the error messages too.

Resolves https://github.com/systemd/systemd/pull/35193

man: fix copy-and-paste error

Follow-up for 85a1360ecffd8929151e09279ea62dedea364dfa.

man: add several future version info tags

po: update Japanese translations

network/netdev: fix typo

Follow-up for 09db4106064dd600c64d12a4e06bd88143b2e4f7.

nspawn: Include arm_fadvise64_64 in syscall allow_list

Add the `arm_fadvise64_64` syscall to the allow_list, in addition
to the existing `fadvise64` and `fadvise64_64` syscalls, as this is
the syscall actually defined for `arm` architecture.  Adding it fixes
the syscall being rejected in arm32 containers.

Fixes #35194

po: Translated using Weblate (Hebrew)

Currently translated at 89.1% (229 of 257 strings)

Co-authored-by: Yaron Shahrabani <sh.yaron@gmail.com>
Translate-URL: https://translate.fedoraproject.org/projects/systemd/main/he/
Translation: systemd/main

po: Translated using Weblate (German)

Currently translated at 95.7% (246 of 257 strings)

Co-authored-by: Weblate Translation Memory <noreply-mt-weblate-translation-memory@weblate.org>
Translate-URL: https://translate.fedoraproject.org/projects/systemd/main/de/
Translation: systemd/main

po: Translated using Weblate (German)

Currently translated at 95.7% (246 of 257 strings)

Co-authored-by: Ettore Atalan <atalanttore@googlemail.com>
Translate-URL: https://translate.fedoraproject.org/projects/systemd/main/de/
Translation: systemd/main

po: Translated using Weblate (Russian)

Currently translated at 100.0% (257 of 257 strings)

Co-authored-by: Sergey A <Ser82-png@yandex.ru>
Translate-URL: https://translate.fedoraproject.org/projects/systemd/main/ru/
Translation: systemd/main

mkosi: Update packaging specs (#35196)

mkosi: update debian commit reference

* 51cd22f368 Update changelog for 257~rc2-3 release
* 5308c3b905 Backport patch to remove faulty unit test assertion
* b7d805151b Update changelog for 257~rc2-2 release
* 5afc23b288 Backport patch to fix FTBFS due to failing unit test
* 0ca89ce40c Update changelog for 257~rc2-1 release
* f27216d493 Update lintian override to ignore false positive typos
* 2caa74f473 d/rules: adjust blhc override to account for source files being moved
* 6b48328ead systemd-ukify: recommend systemd-repart
* 5e01b67f43 systemd-ukify: downgrade dependency on systemd, not mandatory
* 3a4dd59e41 Install new systemd-keyutil binary in the systemd-repart package
* e64cffab71 Drop all patches, merged upstream
* 0fcef228c7 Update upstream source from tag 'upstream/257_rc2'
* a01322bb29 d/t/control: add more packages to dummy hint-testsuite-triggers

mkosi: update fedora commit reference

* 7bd1d09f7f Change sysusers u! lines to u because we don't have support in rpm
* 943bd94cf6 Version 257~rc2
* 6162965002 Disable freezing of user sessions
* 0c236cedb9 Upload sources
* ea947ce068 Version 257~rc1
* 834ba50e79 Use %posttrans instead of %postun to restart services
* 8dafa3810b Disable OpenSSL v3 ENGINE on RHEL
* 8f44e8097d Add forgotten patch
* 86ca699d18 Backport user manager reexec changes
* 009c64d6a2 Use %systemd_preun in systemd-resolved

mkosi: update arch commit reference

* 29a73017cd upgpkg: 256.8-1: new upstream release
* cda4f7b35e add a hint on my personal testing repository

meson: update version