exec-util: use strv_from_stdarg_alloca()

No functional change, just refactoring.

exec-util: use open_terminal() in fork_agent() for safety

exec-util: drop handling of ENXIO in opening /dev/tty

This effectively reverts 0bcf1679007e71d1d37666c10ab1f8d46de8d570.

The handling is not necessary anymore after 61242b1f0f9cac399deb67c88c3b62d38218dba3.

exec-util: split out common checks before fork_agent() to can_fork_agent()

No functional change, just refactoring.

polkit-agent: modernize code a bit

- Use _cleanup_close_pair_ attribute for the pipe FDs,
- Return earlier on failure in forking polkit agent.

exec-util: allow to invoke polkit/ask-password agent even if STDIN is not a tty

Closes #35018.

systemd-cryptenroll.xml: fix typo

format-table: trivial cleanups (#35572)

man: update example in systemd-measure.xml (#35506)

In the example from systemd-measure(1), do not bind to PCR 7 in
addition to the PCR policy.

As long as this is still done by default, see #35280.

Revert "run: disable --expand-environment by default for --scope"

This reverts commit 8167c56bfa97525a7b12e7c5685576657364e3cf.

We've announced the breaking change during v254-v257. Let's actually
apply it for v258.

pretty-print: don't use OSC 8 for incompatible URLs (#35223)

cgroup-util: introduce cg_get_cgroupid_at()

Suggested in https://github.com/systemd/systemd/pull/35242#discussion_r1862658163

nsresourced: drop unneeded REMOVE_PHYSICAL flag for rm_rf()

Even without REMOVE_PHYSICAL, rm_rf() permits cgroupfs.

process-util: modernize is_main_thread(); make sure get_process_ppid() won't return ppid == 0 (#35561)

Split out from #35242

sd-varlink: properly export sd_varlink_reset_fds()

This function was listed in the public sd-varlink.h header, but not
actually made public. Fix that. It's quite useful, the comment in it
describes the usecase nicely.

Fixes: #35554

libfido2-util: show also verity features when listing FIDO2 devices (#35295)

This way, users don't have to check those features using an external
program, or wait for later failure when trying to enroll using an
unsupported feature.

E.g.:

```
# systemd-cryptenroll --fido2-device list
PATH         MANUFACTURER PRODUCT               RK  CLIENTPIN UP  UV
/dev/hidraw2 Yubico       YubiKey OTP+FIDO+CCID yes no        yes no
```

Add credential support for mount units (#34732)

Add `EXEC_SETUP_CREDENTIALS` flag to allow using credentials with mount units.
Fixes: #23535

test-bpf-restrict-fs: Migrate to new assertion macros

condition: add new ConditionKernelModuleLoaded=

This introduces a new unit condition check: that matches if a specific
kmod module is allowed. This should be generally useful, but there's one
usecase in particular: we can optimize modprobe@.service with this and
avoid forking out a bunch of modprobe requests during boot for the same
kmods.

Checking if a kernel module is loaded is more complicated than just
checking if /sys/module/$MODULE/ exists, since kernel modules typically
take a while to initialize and we must check that this is complete (by
checking if the sysfs attr "initstate" is "live").

journalctl: also mangle unit name when --invocation= or --list-invocations is specified (#35542)

Fixes #35538.

Fixing VLAN ranges in man systemd.network.

Otherwise it doesn't hold that VLANs 100-400 are allowed (because 201-299 are disallowed).

profile.d: don't bail if $SHELL_* variables are unset

If - for whatever reason - a script uses set -u (nounset) and includes
/etc/profile.d/70-systemd-shell-extra.sh (e.g. transitively via
/etc/profile) the script would fail with:

    /etc/profile.d/70-systemd-shell-extra.sh: line 15: SHELL_PROMPT_PREFIX: unbound variable

For example:

    $ cat > foo.sh <<EOF
    #!/bin/sh
    set -u

    source /etc/profile
    EOF
    $ chmod 700 foo.sh
    $ ./foo.sh
    /etc/profile.d/70-systemd-shell-extra.sh: line 15: SHELL_PROMPT_PREFIX: unbound variable

Fix this by using shell parameter substitution[^1] (which is a POSIX
shell concept) to set the $SHELL_* variables to the empty string if
undefined.

[^1]: https://pubs.opengroup.org/onlinepubs/9699919799.2018edition/utilities/V3_chap02.html

virt: drop userns detection heuristic

Now that we have an explicit userns check we can drop the heuristic for
it, given that it's kinda wrong (because mapping the full host UID range
into a userns is actually a thing people do).

Hence, just delete the code and only keep the userns inode check in
place.

virt: dont check for cgroupns anymore

Now that we have a reliable pidns check I don't think we really should
look for cgroupns anymore, it's too weak a check. I mean, if I myself
would implement a desktop app sandbox (like flatpak) I'd always enable
cgroupns, simply to hide the host cgroup hierarchy.

Hence drop the check.

I suggested adding this 4 years ago here:

https://github.com/systemd/systemd/pull/17902#issuecomment-745548306

userdbctl: use ansi_highlight_green_red() where appropriate

format-table: drop pointless table_data_rgap_color() func

Follow-up for aab79f52784b4778ae0534452757d9fbf608076a

format-table: minor modernization

man: document unprivileged is not for reading properties

Document the fact that read-only properties may not have the flag
SD_BUS_VTABLE_UNPRIVILEGED as that is not obvious especially given the
flag is accepted for writable properties.

Based on the check in `add_object_vtable_internal` called by
`sd_bus_add_object_vtable` (as of the current tip of the main branch
f7f5ba019206cacd486b0892fec76f70f525e04d):

    case _SD_BUS_VTABLE_PROPERTY: {
            [...]
            if ([...] ||
                [...]
                (v->flags & SD_BUS_VTABLE_UNPRIVILEGED && v->type == _SD_BUS_VTABLE_PROPERTY)) {
                    r = -EINVAL;
                    goto fail;
            }

(where `_SD_BUS_VTABLE_PROPERTY` means read-only property whereas
`_SD_BUS_VTABLE_WRITABLE_PROPERTY` maps to writable property).

This was implemented in the commit
adacb9575a09981fcf11279f2f661e3fc21e58ff ("bus: introduce "trusted" bus
concept and encode access control in object vtables") where
`SD_BUS_VTABLE_UNPRIVILEGED` was introduced:

    Writable properties are also subject to SD_BUS_VTABLE_UNPRIVILEGED
    and SD_BUS_VTABLE_CAPABILITY() for controlling write access to them.
    Note however that read access is unrestricted, as PropertiesChanged
    messages might send out the values anyway as an unrestricted
    broadcast.

journalctl: make --invocation and --list-invocations accept unit name with glob

Previously, journalctl -I -u GLOB was not supported, while
journalctl -u GLOB works fine. Let's make them consistent.

journalctl: move get_possible_units() to journalctl-util.c

No functional change. Preparation for the next commit.

journalctl: make --invocation and --list-invocations accept unit name without suffix

Fixes #35538.

libfido2-util: show also verity features when listing FIDO2 devices

This way, users don't have to check those features using an external program, or
wait for later failure when trying to enroll using an unsupported feature.

Fix unit tests in unprivileged docker container (#35556)

mkosi: use inetutils package instead of hostname for Archlinux

In Arch the hostname binary is in a different package

Follow-up for cf48bde7aea52b18ac3fa218d3f60fd3d533ef66

mailmap: fix entries for Tobias Klauser

Map all previous, no longer used e-mail addresses to my current e-mail
address.

analyze: add --mask to --help text (#35548)

process-util: make sure we don't report ppid == 0

Previously, if pid == 0 and we're PID 1, get_process_ppid()
would set ret to getppid(), i.e. 0, which is inconsistent
when pid is explicitly set to 1. Ensure we always handle
such case by returning -EADDRNOTAVAIL.

process-util: use our usual tristate semantics for is_main_thread()

While at it, _unlikely_ is dropped, as requested in
https://github.com/systemd/systemd/pull/35242#discussion_r1880096233

test-fd-util: compare FDs to /bin/sh instead of /dev/null

/dev/null is a character device, so same_fd() in the fallback path
that compares fstat will fail, as that bails out if the fd refers
to a char device. This happens on kernels without F_DUPFD_QUERY and
without kcmp.

/* test_same_fd */
Assertion 'same_fd(d, e) > 0' failed at src/test/test-fd-util.c:111, function test_same_fd(). Aborting.

Fixes #35552

test-fd-util: skip test when lacking privileges to create a new namespace

To reproduce, as an unprivileged user start a docker container and build
and run the unit tests inside it:

$ docker run --rm -ti debian:bookworm bash
...
/* test_close_all_fds */
Successfully forked off '(caf-plain)' as PID 10496.
Skipping PR_SET_MM, as we don't have privileges.
(caf-plain) succeeded.
Failed to fork off '(caf-noproc)': Operation not permitted
Assertion 'r >= 0' failed at src/test/test-fd-util.c:392, function test_close_all_fds(). Aborting.

Partially fixes #35552

test-capability: CAP_LINUX_IMMUTABLE is not available in unprivileged containers

have ambient caps: yes
Capabilities:cap_chown,cap_dac_override,cap_fowner,cap_fsetid,cap_kill,cap_setgid,cap_setuid,cap_setpcap,cap_net_bind_service,cap_net_raw,cap_sys_chroot,cap_mknod,cap_audit_write,cap_setfcap=ep
Failed to drop auxiliary groups list: Operation not permitted
Failed to change group ID: Operation not permitted
Capabilities:cap_dac_override,cap_net_raw=ep
Capabilities:cap_dac_override=ep
Successfully forked off '(getambient)' as PID 12505.
Skipping PR_SET_MM, as we don't have privileges.
Ambient capability cap_linux_immutable requested but missing from bounding set, suppressing automatically.
Assertion 'x < 0 || FLAGS_SET(c, UINT64_C(1) << CAP_LINUX_IMMUTABLE)' failed at src/test/test-capability.c:273, function test_capability_get_ambient(). Aborting.
(getambient) terminated by signal ABRT.
src/test/test-capability.c:258: Assertion failed: expected "r" to succeed, but got error: Protocol error

Partially fixes #35552

Define flags for manager_is_inhibited() (#35253)

test: set nsec3-salt-length=8 in knot.conf

TEST-75-RESOLVED fails on Ubuntu autopkgtest due to this warning from
knot:

 notice: config, policy 'auto_rollover_nsec3' depends on default nsec3-salt-length=8, since version 3.5 the default becomes 0

Explicitly set nsec3-salt-length=8 to silence.

basic/user-util: modernize getgroups_alloc() a bit (#35226)

Split out from #35219 for inclusion in v258

logind: define flags enum for manager_is_inhibited()

The most common case of block=true, ignore_inactive=false is mapped to flags=0.

For https://github.com/systemd/systemd/issues/34091.

logind: drop one duplicate param in manager_is_inhibited()

In the review in https://github.com/systemd/systemd/pull/30307#pullrequestreview-2255002732
removal of the excessive boolean parameters was requested. We don't need
a separate boolean param here, since we always pass true with a uid and
false otherwise.

pretty-print: don't use OSC 8 for incompatible URLs

string-util: split out EOT check in strip_tab_ansi()

Let's unify the eot check in one place in order to make things more
readable.

analyze: add missing --mask option to --help text

Follow-up for: 3e7a029c2856e7814b930443cc2d4fb089377592

analyze: tab fix

network: optionally bring up interface before joining bridge (#34438)

Closes #34247.

journalctl: do not override explicitly specified -b or -n with -e or -k

Fixes #35248.

systemctl: downgrade log level of ECONNREFUSED from system dbus.service

To suppress log message when 'systemctl poweroff' or friends invoked in
rescue shell, which does not have dbus.service.

libfido2-util: reorder dl symbols alphabetically

man/systemd-cryptenroll: sort --fido2-credential-algorithm after --fido2-device

And also fix a typo.

network: optionally bring up interface before joining bridge

Closes #34247.

network: introduce link_up_now()

This is currently not used. Preparation for later commit.

Revert "coredumpctl: Don't treat no coredumps as failure"

This reverts commit dfe79b9ed21b0feeb5a120e8b994f46cff7cf5b0.

bus-creds/time-util: use first_word() and skip_leading_chars() more (#35421)

Prompted by
https://github.com/systemd/systemd/pull/35403#discussion_r1863855098

core: Add ProtectHostname=private (#35447)

This PR allows an option for systemd exec units to enable UTS namespaces
but not restrict changing hostname via seccomp. Thus, units can change
hostname without affecting the host. This is useful for OS-like
containers running as units where they should have freedom to change
their container hostname if they want, but not the host's hostname.

Fixes: #30348

tree-wide: replace ANSI_XYZ with ansi_xyz()

Continuation of f0484e096c9cfc22ae99f7452a366e2545255e30.

coredumpctl: Don't treat no coredumps as failure

Having to deal with a process that fails or doesn't fail depending on
whether there are coredumps or not is incredibly annoying for users.

boot: Fix typo in looking_for_dtbauto

Signed-off-by: Samuel Dionne-Riel <samuel@dionne-riel.com>

test: mount unit with credential

Verify mount unit credential file is present.

Add credential support for mount units

Add EXEC_SETUP_CREDENTIALS flag to allow using credentials with mount units.
Fixes: https://github.com/systemd/systemd/issues/23535

core: Fix time namespace in RestrictNamespaces=

RestrictNamespaces= would accept "time" but would not actually apply
seccomp filters e.g. systemd-run -p RestrictNamespaces=time unshare -T true
should fail but it succeeded.

This commit actually enables time namespace seccomp filtering.

discover-image: extend r/o check on images via path

If we have no path, let's check the parent's path.

basic/user-util: modernize getgroups_alloc() a bit

- Make sure ret is initialized if we return >= 0
- Reduce variable scope

basic/user-util: use FOREACH_ARRAY at one more place

basic/time-util: modernize parse_time() a bit

sd-bus/bus-creds: use first_word() where appropriate

sd-bus/bus-creds: use proper NULL instead of 0

units/initrd-parse-etc.service: replace systemctl start with OnSuccess=

journald: extend STDOUT_STREAMS_MAX to 64k

Closes #35390.

core: improve finding OnSuccess=/OnFailure= dependent (#35468)

Previously if one service specified the same unit as their
success and failure handler we bailed out of resolving the triggering unit
even though it is still unique.

tree-wide: fd_get_path() already understands AT_FDCWD natively

Revert "test: skip TEST-13-NSPAWN.nspawn/machined, TEST-86-MULTI-PROFILE-UKI and TEST-07-PID1.private-pids.sh"

The release is done, re-enable the skipped flaky tests for main.

This reverts commit ab828def6de85c93eef3b4c07b04fddf41d3a44c.

NEWS: add placeholder for v258

meson: update version to 258~devel

Finalize NEWS and meson.version for v257

Chores for v257 (#35525)

copy: do not try to copy zero size data

Hopefully fixes the following sanitizer issue:
===
[ 3754.797377] systemd-journald[776]: ../src/src/shared/copy.c:463:37: runtime error: variable length array bound evaluates to non-positive value 0
[ 3755.101713] systemd-journald[776]: Received SIGTERM from PID 1 (systemd).
[ 3755.124580] systemd-journald[776]: Journal stopped
Found 1 sanitizer issues (0 internal, 0 asan, 0 ubsan, 0 msan).
===

TEST-07-PID: wait for sleep command being executed by sd-executor

Hopefully fixes #35528.

sd-varlink: add function to configure server object info (#35519)

NEWS: update list of contributors

Update hwdb

ninja -C build update-hwdb

test: skip TEST-13-NSPAWN.nspawn/machined, TEST-86-MULTI-PROFILE-UKI and TEST-07-PID1.private-pids.sh

These new tests are flaky, so disable them temporarily, until after
the release, to avoid pushing out new flakiness to consumers. They
will be re-enabled immediately after.

test: add TEST_SKIP_SUBTESTS/TEST_SKIP_TESTCASES

Inverse of the TEST_MATCH_SUBTEST/TEST_MATCH_TESTCASE variables

Cryptenroll pager and tweaks (#35517)

test: use mkdir -p in TEST-25-IMPORT

[   15.896174] TEST-25-IMPORT.sh[473]: + mkdir /var/tmp/scratch
[   15.902524] TEST-25-IMPORT.sh[519]: mkdir: cannot create directory ‘/var/tmp/scratch’: File exists

https://github.com/systemd/systemd/actions/runs/12248114409/job/34167155679?pr=35520

Update syscall tables (#35520)

hostnamectl: respect SYSTEMD_COLORS

Instead of the wrapper functions the color defines where used directly.
This was especially a problem for ANSI_HIGHLIGHT_YELLOW which is not
legible at all for light themes such as solarized. The 16 color palette
fallback can be set to a sane yellow or orange on that matter but it was
not used though `SYSTEMD_COLORS=16` was set.

Use the proper wrapper functions and let the right color be selected the
way other components do it already.

cryptsetup: add debug message

cryptenroll: show which devices support "hmac secret"

We'd silently skip devices which don't have the feature in the list.
This looked wrong esp. if no devices were suitable. Instead, list them
and show which ones are usable.

$ build/systemd-cryptenroll --fido2-device=list
PATH          MANUFACTURER PRODUCT                HMAC SECRET
/dev/hidraw7  Yubico       YubiKey OTP+FIDO+CCID  ✓
/dev/hidraw10 Yubico       Security Key by Yubico ✗
/dev/hidraw5  Yubico       Security Key by Yubico ✗
/dev/hidraw9  Yubico       Yubikey 4 OTP+U2F+CCID ✗

sd-varlink: modernize pointer style in function signatures

various: set info on varlink server object

The values that were previously hardcoded in sd-varlink.c are now defined
in new varlink_set_info_systemd() and that function is called everywhere
where we create a server.

sd-varlink: add sd_varlink_server_set_info

Fixes https://github.com/systemd/systemd/issues/35508.

As reported in the bug, the values were hardcoded for the systemd project.
https://varlink.org/Service lists vendor, product, version, url, and interfaces
as the mandatory parameters, so add an interface to set the first four. The
last field is set automatically based on the registered interfaces as before.

If the values are not filled in, we return empty strings. With NULL,
'varlinkctl info' would say:
  (string):1:25: Object field 'vendor' has wrong type null, expected string.

mkosi: several improvements for running with sanitizers (#35480)

seccomp-util: add getxattrat and friends

The new syscalls are added in kernel-6.13:
https://github.com/torvalds/linux/commit/6140be90ec70c39fa844741ca3cc807dd0866394

basic: update syscall tables