TEST-17-UDEV: add more test cases for udev builtins

shell-completion: add factory_reset udev builtin command

udev-builtin-btrfs: refuse to call for irrelevant device node

If btrfs builtin command is called, then check if the specified device
node is owned by the device.
This also allows the command is called specifying any device node.

udev-builtin: make btrfs builtin command only check arguments when run in test mode

udev-builtin: add missing UDEV_RELOAD_BUILTIN_FACTORY_RESET

udev-builtin: align builtins table

po: Translated using Weblate (Japanese)

Currently translated at 100.0% (261 of 261 strings)

Co-authored-by: Y T <yi818670@gmail.com>
Translate-URL: https://translate.fedoraproject.org/projects/systemd/main/ja/
Translation: systemd/main

run: trivial followups (#36765)

run: refuse --pty-late for Type=oneshot services

Such combination makes no sense, as by the time the start job
of the oneshot service finishes the main process has already
exited.

Addresses https://github.com/systemd/systemd/pull/36691#discussion_r1988116881

run: void'ify sd_event_exit() call

run: "trigger" consists of more than timer units

nspawn: introduce --cleanup option (#34776)

This is useful when the previous invocation is unexpectedly killed.

Otherwise, if systemd-nspawn is killed forcibly, then unix-export
directory is not cleared and unmounted, and the subsequent invocation
will fail. E.g.
```
[   18.895515] TEST-13-NSPAWN.sh[645]: + machinectl start long-running
[   18.945703] systemd-nspawn[1387]: Mount point '/run/systemd/nspawn/unix-export/long-running' exists already, refusing.
[   18.949236] systemd[1]: systemd-nspawn@long-running.service: Failed with result 'exit-code'.
[   18.949743] systemd[1]: Failed to start systemd-nspawn@long-running.service.
```

meson: Check for lxml before generating indicies

Followup to c0cc01de8a0249fb80684c861e50c939aa67d91e

The targets that create indicies have
`install : want_html and have_lxml` but some other
code like the `install_symlink` was not gated by
accident.

We ican put the whole loop behind have_lxml as its
required for all the indicies.

cgroup v1 preliminaries (#36622)

man: remove libsystemd reference to legacy hierarchy

cgroup-util: drop is_cgroup_fs()

No need to bother with any cgroup v1 stuff anymore.

core/taint: we know we're always running on cgv2 now

core/main: refuse bootup with legacy cgroup hierarchy

First step towards a unified-only future (rework of internals
coming soon (TM))

cgroup-setup: drop hierarchy detection, always use v2

mount-setup: remove cgroup v1 hierarchy mounting

semaphore-runner: disable cgroup setup in lxc

lxc tries to mount /sys/fs/cgroup/ following host hierarchy by default,
which is problematic for us since we want to unconditionally use
cgroup v2 in cgns. Disable it hence and let pid1 figure it out.

semaphore-runner: drop outdated comment

mount-setup: generalize cgroupfs_recursiveprot_supported()

test-execute: use time event source rather than custom timeout check

Fixes CID#1593786.

TEST-13-NSPAWN: re-enable KILL test

nspawn: introduce --cleanup option to clear propagation and unix-export directories

This is useful when the previous invocation is unexpectedly killed.

Otherwise, if systemd-nspawn is killed forcibly, then unix-export
directory is not cleared and unmounted, and the subsequent invocation
will fail. E.g.
===
[   18.895515] TEST-13-NSPAWN.sh[645]: + machinectl start long-running
[   18.945703] systemd-nspawn[1387]: Mount point '/run/systemd/nspawn/unix-export/long-running' exists already, refusing.
[   18.949236] systemd[1]: systemd-nspawn@long-running.service: Failed with result 'exit-code'.
[   18.949743] systemd[1]: Failed to start systemd-nspawn@long-running.service.
===

Fix bootctl status to not print strange glyphs in logs (#36745)

network: fix unexpected removal of routes on restart even when KeepConfiguration=yes (#36756)

bootctl: do not print special glyphs to the log

The log line looked like this:
  bootctl[1457]: ! Mount point '/efi' which backs the random seed file is world accessible, which is a security hole! !
which doesn't look nice.

Also upgrade the message to error. This is something to fix.

basic/glyph-util: introduce optional_glyph() to wrap emoji_enabled()

basic/glyph-util: rename "special glyph" to just "glyph"

Admittedly, some of our glyphs _are_ special, e.g. "O=" for SPECIAL_GLYPH_TOUCH ;)
But we don't need this in the name. The very long names make some invocations
very wordy, e.g. special_glyph(SPECIAL_GLYPH_SLIGHTLY_UNHAPPY_SMILEY).
Also, I want to add GLYPH_SPACE, which is not special at all.

several fixes for Coverity (#36753)

test-cgroup-util: allow ESRCH in cg_pidref_get_path() and friends

As the process may be already dead.

Follow-ups for ca82f0cbe2db096bc7ff81280b5683ea1beae534.

test-network: check that network configuration is stable with KeepConfiguration=yes

Check that when networkd restarts, and the network configures
KeepConfiguration=yes, the network configuration is never changed.

Ensure this by dumping the `ip monitor` output when networkd is restarting.

Co-authored-by: Yu Watanabe <watanabe.yu+github@gmail.com>

network: do not remove static routes on other interfaces that are currently in the pending state

Otherwise, even if .network file has KeepConfiguration=yes, routes on
an interfaces may be removed on restart.

Fixes a bug introduced by 8d01e44c1f0e00b414d36bd1b46ecff548242208.

test: drop redundant parentheses in ASSERT_OK() and friends

This reverts 278e3adf50e36518c5a5dd798ca998e7eac5436e, and drop more
redundant parentheses, as they unfortunately does not suppress the
false-positive warnings by coverity.

meson: handle bool-compare warning as error

Then we can detect the error fixed by the previous commit like the following:

../src/libsystemd/sd-device/test-sd-device.c: In function ‘test_sd_device_enumerator_add_all_parents’:
../src/shared/tests.h:225:51: error: comparison of constant ‘0’ with boolean expression is always true [-Werror=bool-compare]
  225 | #define ASSERT_OK(expr) __coverity_check__((expr) >= 0)
      |                                                   ^~
../src/libsystemd/sd-device/test-sd-device.c:547:9: note: in expansion of macro ‘ASSERT_OK’
  547 |         ASSERT_OK(sd_device_enumerator_add_all_parents(e) >= 0);
      |         ^~~~~~~~~

test: fix wrong use of ASSERT_OK() and friends

tests: replace ASSERT_OK() and friends with coverity firendy function

We already have done the same for assert_se() since
d9fb7afb4890a93db478616e7bfc639b2129b466.

Hopefully this makes coverity silent about the false-positive side-effect
warnings.

test-macro: CONST_MAX() and friends may return (void*)0 when built under coverity

See 963c6c90af87fdf8b7dcb942991fb018b87fea07.

journal-remote: added custom headers support

udevadm: check number of passed arguments

We didn't check the number of arguments first, hence ended up outputting
some ugly complaints with `(null)` in a format string. And what's worse
accepted any number of arguments, where we'd ignore all but the first
two though.

firstboot: welcome user with emoji in firstboot wizard 🧙

Restore docs/PAX_CONTROL_GROUPS

This partially reverts 8d04b8198d4c0cca0118f731369ad7156f0726b6.
If we completely drop the file, users will get a 404. But this document
has been in place for a long time and is referred to in many other places,
incl. our old wiki at https://www.freedesktop.org/wiki/Software/.
The page already says that it's been replaced
("… Please consult this document only as a historical reference. …").
We should only remove it from the index (which
8d04b8198d4c0cca0118f731369ad7156f0726b6 did).

In general, let's be more careful about preserving link stability.
When we change something in a way that breaks URLs, we're creating
pain for users.

docs/ROOTFS_DISCOVERY: removed doubled dot

Inadvertent change in 487b95d9b6eb42c5213f413308b915e8be17d509.

mkosi: update debian commit reference

* d8c7f8f7f4 Update changelog for 257.4-2 release
* f74cf88300 Split bootctl to new systemd-boot-tools package
* 10a8764966 Update changelog for 257.4-1 release

analyze: don't connect to bus from analyze test run (#36719)

This thing should not be "live", hence don't try to connect to the bus,
or bind the private bus socket.

Fixes: #36540

emergency-action: sleep 5s before rebooting in various cases

This adds a new EMERGENCY_ACTION_SLEEP_5S flag, which when set will
delay the emergency action for 5s. This is supposed to be used together
with EMERGENCY_ACTION_WARN so that users can actually read the message
we output.

We enable this with all emergency action requests that already set
EMERGENCY_ACTION_WARN, except for the 7x ctrl-alt-del burst reboot,
where the user knows what they do and there's no real reason to wait,
they don't need to be informed.

This also enables both EMERGENCY_ACTION_WARN + EMERGENCY_ACTION_SLEEP_5S
for FailureAction= processing of regular units, where these were so far
off. (it leaves this off for SuccessAction= however!). This is a good
thing to make things more debuggable: if something fails and we reboot
this really deserves notification of the user.

(For SuccessAction= this logic does not apply, since the shutdown action
induced here is apparently intended part of the codeflow, for example in
systemd-reboot.service or a similar unit, where the shutdown is goal and
not exception and derserves no additional noisy reporting).

Inspired by: https://github.com/systemd/systemd/pull/36705#issuecomment-2717014120

docs/ROOTFS_DISCOVERY: minor wording and syntactic improvements

test-execute: prominently show which test we are about to enter

execute: add some minor debug logging

pid1: don't connect to oomd in test runs

analyze: don't connect to bus from analyze test run

This thing should not be "live", hence don't try to connect to the bus,
or bind the private bus socket.

Fixes: #36540

manager: explicitly create our private runtime directory

So far /run/systemd/ was created as side-effect of initializing the
D-Bus client/server. But in one of the next commits we'll suppress
connecting to D-Bus in test runs, hence let's move the logic our of the
D-Bus code and into manager_startup().

Then, also drop creating it again and again in PID 1 at various places,
and just rely on it to exist.

coredump,analyze: use read_full_file() for reading various top-level /proc/ files

Kernel API file systems typically use either "raw" or "seq_file" to
implement their various interface files. The former are really simple
(to point I'd call them broken), in that they have no understanding of
file offsets, and return their contents again and again on every read(),
and thus EOF is indicated by a short read, not by a zero read. The
latter otoh works like a typical file: you read until you get a
zero-sized read back.

We have read_virtual_file() to read the "raw" files, and can use regular
read_full_file() to read the "seq_file" ones.

Apparently all files in the top-level /proc/ directory use 'seq_file'.
but we accidentally used read_virtual_file() for them. Fix that.

Also clarify in a comment what the rules are.

Fixes: #36131

bootctl: make sure bootctl --image= works on image with /usr/ but without / (#36727)

```
Let's make sure we can use the tool on ParticleOS images. They have no
root fs by default (until they are instantiated), but always have /usr/.
Hence add DISSECT_IMAGE_USR_NO_ROOT which has the desired effect.
```

bootctl: tweak status output when operating on --image= files

Let's not claim the system was not booted with UEFI if we use --image=.
The system wasn't booted at all, after all. Hence supress the whole
section altogether in this case.

bootctl: make sure bootctl --image= works on image with /usr/ but without /

Let's make sure we can use the tool on ParticleOS images. They have no
root fs by default (until they are instantiated), but always have /usr/.
Hence add DISSECT_IMAGE_USR_NO_ROOT which has the desired effect.

update TODO

update TODO

test-localed-util: use ASSERT_OK() and friends

TEST-73-LOCALE: do not unnecessarily restart systemd-localed

It is not necessary to clear previous keymap assignment, as
`localectl set-keymap` will anyway overwrite the previous assignment.

This drops the unnecessary restart of systemd-localed in the loop.
The mkosi test image contains about 500~700 keymaps. The test
performance is greatly improved by reducing the number of restarts,
especially when the test is running with sanitizers.

On Fedora 41 with sanitizers,
Before:
1/1 systemd:integration-tests / TEST-73-LOCALE OK             1157.50s
After:
1/1 systemd:integration-tests / TEST-73-LOCALE OK              104.43s

Fix several issues found by Coverity (#36726)

copy: Bubble up ENOSPC immediately in fd_copy_directory()

It doesn't really make sense to continue once we start getting ENOSPC.

man: document how Restart= reacts to oom kill

Fixes: #36529

nsresource: fix GID check in io.systemd.UserDatabase.GetGroupRecord method

Fixes a bug in 8aee931e7ae1adb01eeac0e1e4c0aef6ed3969ec (v256).

getty-generator: don't use "3270!tty1" when instantiating serial-getty@.service on s390x

Path of the 3270 console in /sys is "/sys/class/tty/3270!tty1" but its device
node is "/dev/3270/tty1".

nsresource: fix error handling

boot: several follow-ups for reboot-on-error feature (#36721)

udev/net: enable new [EnergyEfficientEthernet] section

Also fixes a typo in setting name.

Follow-up for cdc9be29b1f4eefd5d384b0a9fed25675c66def5.
Addresses post-merge comments for #36302.

units: order oomd after swap.target

oomd only works well if we have swap, hence we should not start it
before swaps are up, in particular as we will print an annoying message
otherwise.

Fixes: #36704

test: wrap assignments in ASSERT_OK() and friends with parentheses

Hopefully fixes many CID reports.

test-netlink: fix use of ASSERT_OK()

Follow-up for 3841288e5f8583208550f8215443bf8da6080fd1.

homed: fix OOM check

Follow-up for f1b6417fea8ea1fb9a57f45b845ab1db944eca23.
Fixes CID#1593167.

homectl: insert missing 'else'

Follow-up for cc14c14782d542b35fa12bfdadfd64ffa700cedf.
Fixes CID#1593168 and CID#1593166.

boot: fallback to unrestricted allocation if initrd allocation doesn't fit below 4g (#36715)

Fixes: #36706

udev: use INTERFACE property rather than sysname when processing network interface (#36627)

sd-device replaces '!' in sysname with '/', hence sysname may be
different from ifname.
Let's use INTERFACE property when we need network interface name.

This fixes the following unexpected renaming of network interfaces
created with '!' in their name, e.g. 'hoge!foo' -> 'hoge_foo':
```
$ run0 ip link add 'hoge!foo' type dummy
$ ip link show 'hoge!foo'
Device "hoge!foo" does not exist.
$ ip link show 'hoge_foo'
410: hoge_foo: <BROADCAST,NOARP> mtu 1500 qdisc noop state DOWN mode DEFAULT group default qlen 1000
    link/ether ee:54:4a:dd:c4:c7 brd ff:ff:ff:ff:ff:ff
```

Closes #26156.

resolve: add warning comment to config file

There are way too many users configuring the DNS= setting by mistake,
because what it seems to do is different from what it actually does. We
do not have consensus to change its behavior, so let's at least add a
warning comment.

Fixes #33973

boot: introduce string tables for RebootOnError and sucure_boot_enroll

boot: fix use of uninitialized value on error

Follow-up for 0bdf94e588c8d781a91e5738525d673c0966a510.

netlink-util: move several function prototypes

netlink-util: allow to call rtnl_set_link_name() and friends with NULL rtnl

netlink-util: merge rtnl_get_link_info() and rtnl_get_ifname_full() into rtnl_get_link_info_full()

Then, this makes rtnl_get_ifname_full() and friends as inline wrappers of
rtnl_get_link_info_full().

test-netlink: use ASSERT_OK() and friends

tests: introduce ASSERT_PTR_EQ()

udev/net: replace device_unsigned_attribute() with device_get_sysattr_unsigned()

They are completely equivalent, except for logging.
This also drops duplicated log messages on failure paths.

udev/net: fix assignment of ID_NET_NAME=

E.g. sd_device object of network interface 'hoge!foo' has sysname 'hoge/foo'.
So, previously udevd assigned 'hoge/foo' rather than 'hoge!foo' to ID_NET_NAME,
hence even when renaming is not requested, such interface was renamed to 'hoge_foo'
(note '/' cannot be used in network interface name, hence escaped to underbar).

udev-event: fix filtering logic of renaming network interface

The device sysname may be different from the network interface name.

udev-event: set INTERFACE/INTERFACE_OLD property on rename only when the device is a network interface

This does not change any behavior, as currently udevd only supports
renaming for network interfaces.

Closes #26156.

udev-builtin-net_driver: use correct interface name

Previously, when the interface name contains '!', the builtin command
failed to get the driver of the interface.

sd_device: introduce device_get_ifname()

sd-device replaces '!' in sysname with '/'. Hence, sysname and ifname
may be different. Let's get network interface name through INTERFACE
property.

test: do not pass return value to log_error_errno() on success

test-sd-device: use ASSERT_OK() and friends

sd-device: reorder elements in sd_device object

No functional change, just refactoring.

sd-device: protect more properties often set by kernel and internally used by udevd

hostname: several follow-ups for wildcard hostname support (#36707)

test-cgroup-util: Check return values (#36024)

Reported by Coverity and
Fixes CID#1587767

boot: add reboot-on-error config option

Enabling this option will cause the system to reboot in case the selected
entry fails to load.

Fixes several recent CI issues (#36691)

- Fixes a race in systemd-run caused by
b7ba8d55b8e413ff326abc4814b92d42b8d3c3c3, which causes issue #36679.
- Skip verifying masked units in TEST-23.
- Avoid false-positive ASan warning by switching sanitizer run from
Fedora rawhide to Fedora 41, caused by recent update from
llvm-19.1.7-11.fc43 to llvm-20.1.0-1.fc43. Hopefully issue #36678 should
be fixed.

Closes #36678.
Closes #36679.

meson: drop split-usr, rootlibdir, and rootprefix from meson_options.txt

These options were deprecated by b0d3095fd6cc1791a38f57a1982116b4475244ba (v255).
Let's remove them completely.