TEST-64: use more idiomatic loop syntax

mkosi/ci: use a bash array to pass options

This patch initially also changed the configuration, but that'll be done in a
different way, so all that remains is the syntax change.
An array is nicer because the array definition can have inline comments and
doesn't use continuation symbols which are easy to mess up in edits.

pid1: assume user namespaces are unavailable if we get -EINVAL from clone (#35440)

Bash completion: no more ANSI colorcode in pathnames

Bash completion: no more ANSI colorcode in pathnames

ukify: ellipsize CN to not exceed maximum length

Currently the generation of the certificate fails if len(fqdn) >= 43.
Ellipsize the fqdn to let the tests pass in all cases.

Fixes https://github.com/systemd/systemd/issues/34581.

basic/namespace-util: fix double logging after fork failure

[   10.056930] (journald)[104]: Failed to fork off '(sd-mkuserns)': Invalid argument
[   10.063727] systemd[1]: systemd-modules-load.service: About to execute: /usr/lib/systemd/systemd-modules-load
[   10.071148] (journald)[104]: Failed to fork process (sd-mkuserns): Invalid argument

safe_fork_full() already logs at debug level, so the caller shouldn't.

pid1: assume user namespaces are unavailable if we get -EINVAL from clone()

As reported in https://github.com/systemd/systemd/issues/35400,
on riscv64, with Linux version 6.6.51-linux4microchip+fpga-2024.09, we get:

[   10.063727] systemd[1]: systemd-modules-load.service: About to execute: /usr/lib/systemd/systemd-modules-load
[   10.071148] (journald)[104]: Failed to fork process (sd-mkuserns): Invalid argument

Fixes https://github.com/systemd/systemd/issues/35400.

'r' is used to make the repeated checks shorter. Without that, the long variable
name is distracting.

core/service: preserve RuntimeDirectory= even if oneshot service exits

Follow-up for c26948c6dae1d2ca13499b36f193b13a0760834c

We only want to get rid of cred mount here, and RuntimeDirectory=
is documented to be retained for SERVICE_EXITED state.

Fixes #35427

NEWS: adjust grammar

Follow-up for 1072618023cc3fc7f6f23e31e559f4d6e695aaff.

TEST-13-NSPAWN: enable debugging logs by nspawn run by systemd-run

Otherwise, it is hard to debug issue #35209.

NEWS: metion changes for networkd

kernel-install: remove .extra.d/ directory too

When a UKI is removed, the per-UKI .extra.d/ directory (addons,
extensions, etc) is left behind.

systemctl: skip checking inhibitors when dbus.service is not running

Fixes a bug introduced by 804874d26ac73e0af07c4c5d7165c95372f03f6d.

Fixes #35416.

mkosi: extend DefaultTimeoutStopSec= when running on sanitizers (#35420)

Hopefully fixes #35335.

mkosi: move setting for journald to mkosi.extra

mkosi: extend DefaultTimeoutStopSec= when running on sanitizers

Hopefully fixes #35335.

mkosi: install correct package for mypy

Package "mypy" doesn't exist on all distro, install the correct package
depending on the distro.

Another tweak for the preparation of removal of sysvinit compat (#35414)

meson: install README.logs independently of HAVE_SYSV_COMPAT

That file provides compatiblity (or more precisely the explanation for the lack
of compatibility) with syslog daemons. Those are used quite independently of
sysvinit. For example, RHEL uses rsyslog with systemd. We create
/var/log/journal, so it's no biggie to also provide /var/log/README with the
explanation. Let's keep it, since it might help some confused users, even when
compat with sysvinit is gone.

Revert "link README.logs from tmpfiles.d/legacy.conf only if available"

This reverts commit c946b1357562e8643575dbbda2c8c6fff2c0e4f7.

The next patch will resolve the issue in a different way.

po: Translated using Weblate (Georgian)

Currently translated at 100.0% (257 of 257 strings)

Co-authored-by: Temuri Doghonadze <temuri.doghonadze@gmail.com>
Translate-URL: https://translate.fedoraproject.org/projects/systemd/main/ka/
Translation: systemd/main

po: Translated using Weblate (Ukrainian)

Currently translated at 100.0% (257 of 257 strings)

Co-authored-by: Yuri Chornoivan <yurchor@ukr.net>
Translate-URL: https://translate.fedoraproject.org/projects/systemd/main/uk/
Translation: systemd/main

po: Translated using Weblate (Turkish)

Currently translated at 100.0% (257 of 257 strings)

Co-authored-by: Oğuz Ersen <oguz@ersen.moe>
Translate-URL: https://translate.fedoraproject.org/projects/systemd/main/tr/
Translation: systemd/main

po: Translated using Weblate (Swedish)

Currently translated at 100.0% (257 of 257 strings)

Co-authored-by: Luna Jernberg <bittin@reimu.nl>
Translate-URL: https://translate.fedoraproject.org/projects/systemd/main/sv/
Translation: systemd/main

po: Translated using Weblate (Korean)

Currently translated at 100.0% (257 of 257 strings)

Co-authored-by: 김인수 <simmon@nplob.com>
Translate-URL: https://translate.fedoraproject.org/projects/systemd/main/ko/
Translation: systemd/main

po: Translated using Weblate (Indonesian)

Currently translated at 100.0% (257 of 257 strings)

Co-authored-by: Andika Triwidada <andika@gmail.com>
Translate-URL: https://translate.fedoraproject.org/projects/systemd/main/id/
Translation: systemd/main

po: Translated using Weblate (French)

Currently translated at 100.0% (257 of 257 strings)

Co-authored-by: Léane GRASSER <leane.grasser@proton.me>
Translate-URL: https://translate.fedoraproject.org/projects/systemd/main/fr/
Translation: systemd/main

mkosi: Simplify sanitizer setup

Let's get rid of 20-sanitizers.conf and just move it into
mkosi.sanitizers instead.

Typo fix in man/systemd.resource-control

execute: free syscall_log hashmap when done

Fixes #35394

catalog: update Polish translation

Includes changes up to e1f9d3c84b66d1b86adaae4c7aebf89514685d51

po: Translated using Weblate (Polish)

Currently translated at 100.0% (257 of 257 strings)

Co-authored-by: Piotr Drąg <piotrdrag@gmail.com>
Translate-URL: https://translate.fedoraproject.org/projects/systemd/main/pl/
Translation: systemd/main

sysupdate: add missing full stop in the polkit message (#35391)

Follow-up for e55e7a5a613712dc9a94d40a1fea1f02d359961f.

po: update translations

po: update Japanese translation

sysupdate: add missing full stop to the polkit message

Follow-up for e55e7a5a613712dc9a94d40a1fea1f02d359961f.

meson: update version

NEWS: update date

TEST-67-INTEGRITY: several fixes (#35366)

Fixes #35363.

Chores for RC3 (#35383)

nsresourced: log about correct errno (#35386)

Split out from #35242

network/queue: do not increase reference counter when remove request is not queued

Fixes a bug introduced by ef45f5c8d0bfbeda2a57b28bba9831f044b23b21.
Fixes #35164.

nsresourced: log about correct errno in userns_destroy_cgroup()

cgroup-util: use RET_NERRNO where appropriate

TEST-67-INTEGRITY: blkid should not provide the underlying loopback block device

Fixes #35363.

TEST-67-INTEGRITY: modernize test code

- make udevd generate debugging logs for loopback and DM devices,
- insert 'udevadm wait' at several places to make the device processed
  by udevd,
- cleanup generated integritysetup service before moving to next
  algorithm,
- drop unnecessary exit on command failure,
- also test data splitting mode for all algorithms.

nspawn: make sure --private-users-ownership=no and =off work the same way

We usually want to use "extended booleans" for cases like this, i.e.
that "off", "no" and "0" can be used interchangably for turning
something off.

sysext: coding style fixes & fix a memory leak

Follow-up for: bbec1c87d3bf8d14eeb1ee3b4df973a53cca2e58

po: update translations

ninja -C build systemd-update-po

hwdb: update

ninja -C build update-hwdb

NEWS: update contributors list

Minor follow-ups for recent PRs (#35381)

service: don't second guess invocation mode again

let's just check the debug invocation boolean, and not recheck the
restart mode again. It's mostly redundant (because the boolean should
not have been become true if the restart mode was not set accordingly).

Moreover, i think we might want to eventually allow a manual way to
enable debug invocation mode, and hence this pointless checking would
become a problem.

Also, we never check the restart mode again in other cases, hence we
shouldn't here either.

nspawn: improve error message when we cannot look into a container tree due to perms

tests: fix access mode of root inode of throw-away container images

Otherwise the root inode will typically have what mkdtemp sets up, which
is something like 0700, which is weird and somewhat broken when trying
to look into containers from unpriv users.

nspawn: don't try to unregister a machine we never registered

When registering we condition this on "arg_register". Let's do the same
when unregistering, otherwise we might end up trying to unregister a
machine we never registered.

shared/bootspec: mark _to_string funcs as _const_

Addresses https://github.com/systemd/systemd/pull/34959#discussion_r1860451777

shared/bootspec: use FOREACH_ELEMENT where appropriate, avoid unneeded memzero()

shared/bootspec: move boot_entry_addons_done() up, drop separate prototype

Follow-up for e2501a851e10f5279862b2bccbdd9184572cce6a

basic/fileio: minor coding style cleanup

Follow-up for bbec1c87d3bf8d14eeb1ee3b4df973a53cca2e58

man: split systemd.conf(5) into multiple sections

No changes in wording, let's just make a very long man page a bit more
digestable by adding sections, and then reordering settings to fit into
them.

Update TODO

bootspec fixups (#34959)

ukify: Switch to JSON HWID description format (#35208)

Fixes #35176

bootspec: Look at /loader/addons in XBOOTLDR

The bootspec util-lib's handling of global addons didn't previously
match the behavior of sd-stub, and this commit corrects that.

First, bootspec didn't load global addons from the XBOOTLDR dir, but the
stub does. So, bootspec now enumerates addons in XBOOTLDR, not just ESP

Second, the stub only loads resources (including addons) from the
partition that it was found on. Thus, we must keep track of which
partition the global addons come from, and which partition each boot
entry comes from. In other words: global addons found on the ESP will
NOT apply to UKIs found in XBOOTLDR, and bootspec now reflects that.

bootspec: Fixup loading of local addons for UKIs

Follow-up for 59b3df9

bootspec: Fixup memory leak

This would previously leak memory: the array was deleted but contents
inside of the array were not

sd-stub: Fixup typo & measurement order

A previous commit accidentally reversed the measurement order of the
confext initrds and sysext initrds via a minor typo. This commit fixes
the typo and restores the original measurement order

Follow-up: ac32323

sysext: set SELinux context for hierarchies and workdir

man: several more assorted fixes

Continuation of 4ebbb5bfe88ac3d793c395472648660c33251546.
Closes #35307.

machine: increase timeouts in attempt to fix #35115 (#35117)

An attempt to fix https://github.com/systemd/systemd/issues/35115

sd-varlink: fix bug when enqueuing messages with fds asynchronously

When determining the poll events to wait for we need to take the queue
of pending messages that carry fds into account. Otherwise we might end
up not waking up if such an fd-carrying message is enqueued
asynchronously (i.e. not from a dispatch callback).

man/systemd-system.conf: Correct "struct" to "strict" (#35364)

cryptsetup: convert pkcs11/fido2 to iovec for key handling

key-data might be NULL. Fixes crash:

0  0x0000559c62120530 in attach_luks_or_plain_or_bitlk (cd=0x559c6b192830, name=0x7ffd57981dc4 "root", token_type=TOKEN_FIDO2, key_file=0x0, key_data=0x0, passwords=0x0, flags=524296, until=0)
    at ../src/cryptsetup/cryptsetup.c:2234
        pass_volume_key = false
        r = 1469577760
        __func__ = '\000' <repeats 29 times>
1  0x0000559c6212279c in run (argc=6, argv=0x7ffd5797fe98) at ../src/cryptsetup/cryptsetup.c:2597
        discovered_key_data = {iov_base = 0x0, iov_len = 0}
        key_data = 0x0
        token_type = TOKEN_FIDO2
        destroy_key_file = 0x0
        flags = 524296
        until = 0
        passphrase_type = PASSPHRASE_NONE
        volume = 0x7ffd57981dc4 "root"
        source = 0x7ffd57981dc9 "/dev/disk/by-uuid/8372fb39-9ba4-461a-a618-07dcaae66280"
        status = CRYPT_INACTIVE
        tries = 0
        key_file = 0x0
        config = 0x7ffd57981e05 "luks,discard,fido2-device=auto,x-initrd.attach"
        use_cached_passphrase = true
        try_discover_key = true
        discovered_key_fn = 0x7ffd5797fa70 "root.key"
        passwords = 0x0
        cd = 0x559c6b192830
        verb = 0x7ffd57981dbd "attach"
        r = 0
        __func__ = "\000\000\000"
2  0x0000559c621231e6 in main (argc=6, argv=0x7ffd5797fe98) at ../src/cryptsetup/cryptsetup.c:2674
        r = 32553
        __func__ = "\000\000\000\000"

Follow-up for 53b6c99018f918a5d2c9000ac5fe3a2440115ea7

updatectl: fix DBus method signature for SetFeatureEnabled

The signature was changed to 'sit' in sysupdated during review, but updatectl
kept using 'sbt'

Revert "Revert "man: use MIT-0 license for example codes in daemon(7)""

This reverts commit 7a9d0abe4df81a020e2e457405f8509b2afb7c04.

Revert "man: use MIT-0 license for example codes in daemon(7)"

This reverts commit 6046cc3660810efcc6fe50b1c850ea642218245b.

man: use MIT-0 license for example codes in daemon(7)

This page contains many short example codes. I do not think we should
add SPDX-License-Identifier for all codes.

Closes #35356.

man: assorted fixes (#35326)

Closes #35307.

test: Use env in testsuite readme

Let's make sure we use env when we're setting environment variables
to rely less on shell specifics.

core/device: ignore ID_PROCESSING udev property on enumerate (#35332)

Fixes #35329.

Check inode number to see if we are in init namespace (#35306)

This is a more comprehensive fix compared to #35273. Also adds a minimal
test only.

Based on Luca's #35273 but generalizes the code a bit.

In v258 we really should get rid of the old heuristics around userns and
cgroupns detection, but given we are late in the v257 cycle this keeps
them in.

test: Dump coredumps from journal in the integration test wrapper

Fixes #35277

networkd-test.py: disable IPv6AcceptRA= if not necessary

To speed up the test. Otherwise, it takes about few seconds interfaces
to enter the configured state. And may networkd-wait-online timeouts.

TEST-17: add reproducer for issue #35329

Without the previous commit, the test case will fail.

core/device: ignore ID_PROCESSING udev property on enumerate

This partially reverts the commit 405be62f05d76f1845f347737b5972158c79dd3e
"tree-wide: refuse enumerated device with ID_PROCESSING=1".

Otherwise, when systemd-udev-trigger.service is (re)started just before
daemon-reexec, which can be easily happen on systemd package update, then
udev database files for many devices may have ID_PROCESSING=1 property,
thus devices may not be enumerated on daemon-reexec. That causes many
units especially mount units being deactivated after daemon-reexec.

Fixes #35329.

test: mask tmpfiles.d file shipped by selinux policy package in containers

This tmpfiles.d wants to write to sysfs, which is read-only in containers,
so systemd-tmpfiles --create fails in TEST-22-TMPFILES when ran in nspawn
if the selinux policy package is instealled. Mask it, as it's not our
config file, we don't need it in the test.

mkosi: Use shared extra tree between initrd and main image

Let's share more between initrd and main system and use a shared
extra tree to achieve that.

mkosi: Make sure mkosi.clangd always runs on the host

If the editor that invokes mkosi.clangd is a flatpak, let's make sure
that mkosi is run on the host and not in the flatpak sandbox since it
won't be installed there.

Various mkosi and integration test fixes (#35336)

test: Lint integration-test-wrapper.py

test: Fix typing errors in integration-test-wrapper.py

test: Format integration-test-wrapper.py

ukify: Fix typing error

Move mypy.ini and ruff.toml to top level

This allows reusing them for integration-test-wrapper.py as well.

integration-test-wrapper: Remove unneeded format strings

mkosi: Add github CLI to tools

mkosi: Add dnf and dnf5 to sanitizer workaround list

mkosi: Install clangd everywhere

mkosi: Use bash to execute command -v

command is only an executable on Fedora due to a downstream patch,
on Arch for example it's only a builtin so we have to use bash to
execute command -v to get proper results on Arch.