missing_syscall: drop raw_getpid()

This used to be relevant since in old versions of glibc an internal
cache is maintained, while we might sidestep their invalidation
with raw_clone(). After glibc 2.25 getpid() is a trivial wrapper
for the syscall, and hence there's no need to have a separate
raw_getpid().

locale-util: modernize is_locale_utf8() a bit

sd-journal/journal-send: use is_main_thread() where appropriate

basic/sys/mount: sort includes

missing_fs: drop FS_KEY_DESCRIPTOR_SIZE

We now directly import linux/fscrypt.h, so this def is duplicate

dirent-util: add several assertions in posix_getdents()

Follow-up for e86a492ff08526e5adf85fa881c76f80adc3c84a.

path: Close inotify FD asynchronously

inotify FD may take several milliseconds to close.  We measured
daemon-reload

        default: (0.427 ± 0.05) s
        async:   (0.323 ± 0.02) s

with 5 path units out of 422 units. I.e. ~1% of units cause ~25% of
delay, hence this fix seems like low-hanging fruit on the daemon-reload
critical path.

Particular inotify slowness pointed out by @fbuihuu.

pam-systemd: default to "lightweight" sessions if area is selected

We currently don't support invoking a per-area service manager instance,
hence don't try to pull in one if we log into an area.

Once we add support for per-area service managers we can relax this
again.

varlink: optionally create leading dirs when binding AF_UNIX socket

This is such a common case, let's make it easy to do this.

log: explicitly size log_target_max_level()

We always validate that the target value is below _LOG_TARGET_SINGLE_MAX
before acessing it, but we don't actually size the array like that.
let's fix that.

This doesn#t effectively change anything, but it makes things more
explicit what the limit here is.

test: Connect test unit to console when running interactively (#36586)

dns-stream: only read DNS packet data if we identified the peer properly

If we use TCP fastopen to connect to a DNS server via TCP, and it
responds really quickly between our connection attempt and our immediate
check back, then we have not identified the peer yet, and will not be
able to use the peer metadata to fill in our packet info.

Let's fix that, and simply not read from the socket until identification
is complete.

Fixes: #34956

resolved: pick up new DNSSEC KSC from 2024

Import thew new key from https://data.iana.org/root-anchors/root-anchors.xml.

The old one remains valid, as per provided data.

Fixes: #36260

basic: remove unnecessary definition in missing_xyz.h (#36565)

hwdb: add rotation profile matrix for Rog Ally X (2024) (#36591)

chattr-util: two trivial cleanups (#36593)

tree-wide: several cleanups and fixlets prompted by Coverity (#36431)

Coverity fixups (#36503)

Details in individual commits.

exec-invoke: add missing assertions and drop unnecessary conditions

Fixes CID#1534358.

exec-invoke: modernize get_supplementary_groups()

- drop unused argument 'group',
- rename output arguments,
- add missing assertions for output arguments,
- always initialize output arguments on success.

hwdb-util: drop unused value assignment

The values assigned to 'r' were never used, and overwritten by the next
call of read_line_full().

Fixes CID#1548043 and CID#1548064.

pe-binary: fix array overrun

This is a kind of paranoia, as memeqzero() does not read anyting if
length is zero. But, strictly speaking C language does not allow such,
and Coverity warn about that.

Fixes CID#1561177.

pe-binary: trivial coding style fixlets

generator: insert parentheses to make the code clearer

Silence CID#1563781.

fileio: move call of label_ops_post() before error handling of creating files

Fixes CID#1563946.

async: voidify call of fsync()

Fixes CID#1564787.

network: Use RTNH_COMPARE_MASK in route_can_update() (#36585)

Let's only compare flags that can be set by userspace and not all flags.

Fixes a bug introduced by 7027cdbd79c26d5a8890759a37d70165c8aeb214 (v256).
Fixes #36544

copy: slightly optimize around chattr_fd()

dirent-util: introduce simple wrapper of posix_getdents()

glibc exports getdents64 syscall as is, but musl exports it as
posix_getdents(). Let's introduce a simple wrapper of posix_getdents().

Note, our baseline for glibc is 2.31. Hence, we can assume getdents64()
always defined when building with glibc.

TEST-13-NSPAWN.nss-mymachines: Use negative matching switch

The test expects _not_ to find the patterns but the run_and_grep would
still print 'FAIL:' message. Use the dedicated -n option that inverts
the semantics cleaner than shell's !.

user-record: Make user and group matching functions total

Since we can evaluate even the case with invalid ids (non-matching) we
can switch the function to pure boolean with no error cases and simpler
(none) return error handling.

userdb: Fix return value of groupdb_by_name()

The commit 7419291670 ("userdb: move UserDBMatch handling from userdbctl
into generic userdb code to allow it to be done server side")
unintentionally passes return value from group_record_match() as its
return value and thus diverges from other search functions that return 0
on success. Align that by returning 0 instead of 1, all existing callers
are invariant to this change.

user-record: Handle invalid uid/gid case

I'm not that familiar with outer code to guide Coverity with an
assert(), so consider invalid uid/gid as non-matching in order to avoid
-EINVAL for bit shifts calculation.

Fixes: CID#1590746

basic: introduce our own sys/mount.h implementation

To resolve conflict with sys/mount.h and linux/mount.h or linux/fs.h.

The conflict between sys/mount.h and linux/mount.h is resolved in
glibc-2.37 (774058d72942249f71d74e7f2b639f77184160a6), but our baseline
is still glibc-2.31. Also, even with the version or newer, still
sys/mount.h conflicts with linux/fs.h, which is included by
linux/btrfs.h.

This introduces our own implementation of sys/mount.h, that can be
simultaneously included with linux/mount.h and linux/fs.h. This also
imports linux/fs.h, linux/mount.h, and several other dependent headers.
The introduced sys/mount.h header itself may not be enough simple, but
by using the header, we can drop most of workarounds in other source files.

missing_audit: AUDIT_NLGRP_READLOG is defined since kernel v3.16

More specifically, since 451f921639fea4600dfb9ab2889332bdcc7b48d3.
Now, our kernel baseline is 5.4. Hence, we can drop the definition.

basic/linux: import capability.h from kernel 6.14-rc4

missing_wait: add short comment about P_PIDFD

missing_timerfd: TFD_TIMER_CANCEL_ON_SET is defined since glibc-2.26

missing_threads.h: threads.h exists since glibc-2.28

missing_socket: drop unnecessary definitions

All removed definitions are in glibc-2.31

missing_securebits: remove unnecessary header

Our kernel baseline is 5.4, hence all entries in the headers are defined
in linux/securebits.h.

missing_resource.h: RLIMIT_RTTIME is defined since glibc-2.14

Now our baseline is glibc-2.31.

basic/linux: import prctl.h from linux 6.14-rc4

missing_network: drop unnecessary definitions

They are already defined in glibc-2.31.

missing_namespace: drop unnecessary entries

Our kernel baseline is 5.4.

basic/linux: import loop.h from kernel 6.14-rc4, and drop missing_loop.h

missing_keyctl: import keyctl.h from kernel 6.14-rc4

basic/linux: import ioprio.h from kernel 6.14-rc4

This also fixes the maximum allowed ioprio class: 8 -> 7

missing_input: replace the header with genuine linux header

basic/linux: import hidraw.h and hid.h from linux-6.14-rc4

missing_fs: drop unnecessary entries

Now our kernel baseline is 5.4.

missing_fcntl: drop definitions covered by glibc-2.31

Note, this also fixes the definition for O_TMPFILE for parisc and hppa,
it should be 040000000 (seven zeros) rather than 0400000000 (eight zeros).

meson: cleanup glibc header checkers

missing_type: char16_t and char32_t are always defined in uchar.h since C11

Now, we use C17, hence the fallback definitions can be dropped.

missing_stdlib: secure_getenv() exists since glibc-2.17

alloc-util: reallocarray() exists since glibc-2.26

memory-util: explicit_bzero() exists since glibc-2.25

missing_syscall: drop unnecessary definition of AT_EMPTY_PATH

It is defined since glibc-2.14 (46998f745736b3c8df5901a27b6c2a19f5cc5e98),
and the value was never changed.

missing_syscall: drop unnecessary ifdefs for syscall number

Nowadays, we define syscall numbers for newer syscalls.
Hence the conditions are not necessary.

This also adds several comments about when syscalls are introduced.

missing_syscall: drop unnecessary syscall number definitions

missing_syscall: drop unused rt_sigqueueinfo wrapper

The syscall is unused since 19e1a908b512410e0968fec9259a8fc221001f12.

missing_syscall: copy_file_range is supported by glibc since 2.27

Now our baseline of glibc is 2.31, hence it is OK to drop our
definition.

missing_syscall: renameat2 is supported by glibc since 2.28

Now our baseline of glibc is 2.31, hence it is OK to drop our
definition.

missing_syscall: setns is supported by glibc since 2.14

Also, CLONE_PIDFD is defined in sched.h since 2.31.
Now our baseline of glibc is 2.31, hence it is OK to drop our
definition.

missing_syscall: name_to_handle_at is supported by glibc since 2.14

Now our baseline of glibc is 2.31, hence it is OK to drop our
definition.

missing_syscall: gettid is supported by glibc since 2.30

Now our baseline of glibc is 2.31, hence it is OK to drop our
definition.

missing_syscall: getrandom is supported by glibc since 2.25

Now our baseline of glibc is 2.31, hence it is OK to drop our
definition.

missing_syscall: memfd_create() is supported by glibc since 2.27

Now, our baseline of glibc is 2.31, hence it is OK to drop it.

chattr-util: drop mostly unused 'previous' argument from chattr_path() and friends

mount-tool: various tweaks (#36584)

Split out from #36337

tty-askpw-agent: react to SIGTERM while waiting for console (#36568)

I noticed that systemd-tty-password-agent would time out when asked to
stop via SIGTERM, and eventually be killed, under some circumstances. It
took me a while but i figured out what was going on:

systemd-ask-pw-agent blocks SIGTERM because it wants async notifications
on SIGTERM via signalfd() to listen on. That mostly works great: except
for one case: if we actually get a pw query request, and hence need to
acquire the terminal: we issue open_terminal() in that case, but if the
terminal is used otherwsie we'll hang, and because SIGTERM is blocked
we'll hang and cannot exit cleanly.

Address that: optionally, in open_terminal() look for SIGTERM by
unblcking the signal mask via ppoll() while we wait.

test: Connect test unit to console when running interactively

When running interactively, let's connect the test unit directly
to the console. This enables adding "bash" anywhere within an
integration test to get a shell within the test environment.

test: Disable status messages when we start running a test

As soon as we start running a test, we want pid 1 to stop showing
status messages so let's tell pid 1 to stop showing status messages.

test: Move getty-pre.target logic into integration-test-wrapper.py

Also pull in getty-pre.target via Wants= so it actually gets pulled
into the transaction.

test: Check stdin for interactivity, not stderr

io-util: fix ppoll_usec() bypass

If a non-zero timeout is specified we should not bypass ppoll() even if
no fds are specified, since it will still act as a time based sleep in
that case.

units: don't block on terminating agents

Terminating the plymouth/console agents when the wall agent takes over
can happen asynchronously, after all the pw queries are async anyway and
hence can be seen by both the plymouth/console agents and the wall
agent.

By stopping the two agents with "--no-block" we add a bit of robustness,
since trouble of them exiting won't block the wall agent to start.

This addresses the issue the previous commit fixes in a different way.

tty-askpw-agent: react to SIGTERM while waiting for console

I noticed that systemd-tty-password-agent would time out when asked to
stop via SIGTERM, and eventually be killed, under some circumstances.
It took me a while but i figured out what was going on:

systemd-ask-pw-agent blocks SIGTERM because it wants async notifications
on SIGTERM via signalfd() to listen on. That mostly works great: except
for one case: if we actually get a pw query request, and hence need to
acquire the terminal: we issue open_terminal() in that case, but if the
terminal is used otherwsie we'll hang, and because SIGTERM is blocked
we'll hang and cannot exit cleanly.

Address that: optionally, in acquire_terminal() look for SIGTERM by
unblcking the signal mask via ppoll() while we wait.

mount-tool: never bind to device on explicit x-systemd.device-bound=no

mount-tool: correct arg_bind_device check

mount-tool: accept fstab-style identifiers for remote what too

fstab-style identifiers have stable translation to absolute paths
in the file system, hence it makes no sense to reject them
even for remote mounts.

mount-tool: some modernizations and log message tweaks

tests: remove cache=unsafe from TEST-64-UDEV-STORAGE

mkosi switch to the newer -blockdev qemu option in systemd/mkosi#3557 [1], but
cache=unsafe is an option only -drive supports.

Since the qemu-system_x86-64 man page [2] says this, cache.writeback=on is the
default and mkosi setting the other two options to the values corresponding to
unsafe, it should be fine to drop the cache=unsafe option.

┌─────────────┬─────────────────┬──────────────┬────────────────┐
│             │ cache.writeback │ cache.direct │ cache.no-flush │
├─────────────┼─────────────────┼──────────────┼────────────────┤
│writeback    │ on              │ off          │ off            │
├─────────────┼─────────────────┼──────────────┼────────────────┤
│none         │ on              │ on           │ off            │
├─────────────┼─────────────────┼──────────────┼────────────────┤
│writethrough │ off             │ off          │ off            │
├─────────────┼─────────────────┼──────────────┼────────────────┤
│directsync   │ off             │ on           │ off            │
├─────────────┼─────────────────┼──────────────┼────────────────┤
│unsafe       │ on              │ off          │ on             │
└─────────────┴─────────────────┴──────────────┴────────────────┘

[1] https://github.com/systemd/mkosi/pull/3557
[2] https://manpages.ubuntu.com/manpages/noble/en/man1/qemu-system-x86_64.1.html

core: DelegateNamespaces= does not depend on seccomp (#36580)

sd-id128: gracefully handle systems where kernel keyring access is blocked

In various scenarios we invoke containers with access to the kernel
keyring blocked. Let's make sure we can handle this properly: when the
invocation ID is stored in in the kernel keyring and we try to read it
and get EPERM we should handle it gracefully, like EOPNOTSUPP.

osc-context: several follow-ups (#36579)

vmspawn: switch from -drive to -blockdev option

core/main: don't write shutdown OSC context outside of pid1

Follow-up for 98c283131cda67c98946ef373e3bb33aa52de59a

run: send out TERM= only if actually set

Follow-up for 4d6eb6441a5332c285e35907894c7d4f3463ba64

run: log about osc_context_open_chpriv() failure

Follow-up for 575922c914c732bb77c99aee54c84dc365d60631

osc-context: drop unneeded temporary variable

login/pam_systemd: use isatty_safe()

Follow-up for d8069b8add9a2290d7ed85012f8459fccfc632ed

Revert "sd-json: add new sd_json_variant_unset_field() call"

This reverts commit b6a2df630701de0bcf77850ced213d7fc3d0c4de.

The functionality is entirely redundant, we already have
sd_json_variant_filter() which does the same, and is in fact even more
powerful, since it takes a list instead of a single field to remove.

hwdb: Add accel orientation quirk for the GPD Pocket 4

hwdb: add Code Mercenaries Hard- und Software GmbH Virtual RC USB

It's official VRC USB dongle. Make it work in SDL apps, wine,
Steam, ... and fix the erratic mouse events when the dongle is in use.

Add a few more bypass environment variables

When we're building ParticleOS images, we don't want the package
manager (or mkosi) to run systemd-sysusers, systemd-tmpfiles or
systemctl preset so let's add a few more bypass environment
variables that we can set to have execution of these skipped like
we already have $SYSTEMD_HWDB_UPDATE_BYPASS and $KERNEL_INSTALL_BYPASS.

core: Add DelegateNamespaces= (#36532)

build(deps): bump github/codeql-action from 3.27.5 to 3.28.10

Bumps [github/codeql-action](https://github.com/github/codeql-action) from 3.27.5 to 3.28.10.
- [Release notes](https://github.com/github/codeql-action/releases)
- [Changelog](https://github.com/github/codeql-action/blob/main/CHANGELOG.md)
- [Commits](https://github.com/github/codeql-action/compare/f09c1c0a94de965c15400f5634aa42fac8fb8f88...b56ba49b26e50535fa1e7f7db0f4f7b4bf65d80d)

---
updated-dependencies:
- dependency-name: github/codeql-action
  dependency-type: direct:production
  update-type: version-update:semver-minor
...

Signed-off-by: dependabot[bot] <support@github.com>

build(deps): bump ossf/scorecard-action from 2.4.0 to 2.4.1

Bumps [ossf/scorecard-action](https://github.com/ossf/scorecard-action) from 2.4.0 to 2.4.1.
- [Release notes](https://github.com/ossf/scorecard-action/releases)
- [Changelog](https://github.com/ossf/scorecard-action/blob/main/RELEASE.md)
- [Commits](https://github.com/ossf/scorecard-action/compare/62b2cac7ed8198b15735ed49ab1e5cf35480ba46...f49aabe0b5af0936a0987cfb85d86b75731b0186)

---
updated-dependencies:
- dependency-name: ossf/scorecard-action
  dependency-type: direct:production
  update-type: version-update:semver-patch
...

Signed-off-by: dependabot[bot] <support@github.com>

build(deps): bump redhat-plumbers-in-action/differential-shellcheck

Bumps [redhat-plumbers-in-action/differential-shellcheck](https://github.com/redhat-plumbers-in-action/differential-shellcheck) from 5.4.0 to 5.5.3.
- [Release notes](https://github.com/redhat-plumbers-in-action/differential-shellcheck/releases)
- [Changelog](https://github.com/redhat-plumbers-in-action/differential-shellcheck/blob/main/docs/CHANGELOG.md)
- [Commits](https://github.com/redhat-plumbers-in-action/differential-shellcheck/compare/cc6721c45a8800cc666de45493545a07a638d121...dd551ce780d8af741f8cd8bab6982667b906b457)

---
updated-dependencies:
- dependency-name: redhat-plumbers-in-action/differential-shellcheck
  dependency-type: direct:production
  update-type: version-update:semver-minor
...

Signed-off-by: dependabot[bot] <support@github.com>