cgroup-util: assert on attribute for cg_{get,set}_attribute()

It makes zero sense to ever perform IO operations on cgroup dirs.

cgroup-util: make cg_get_attribute_as_bool() return 0/1 directly

As with getenv_bool() and getxattr_at_bool(), to match
our usual style.

cgroup-util: rename cg_get_xattr_malloc -> cg_get_xattr

This is not a trivial wrapper around user-created-buffer-based
syscall, so do not use _malloc suffix. Most of our functions
return an internally allocated buffer and this one's not special.

basic,shared: mark eligible functions with _pure_/_const_ (#37623)

repart: Copy fs-verity status for CopyFiles= (#35401)

When populating a filesytem with CopyFiles=, we first copy the files to
a temporary directory. Make sure we use the (new) COPY_FS_VERITY flag
when doing that copy so that the `mkfs` that we invoke can see the files
with fs-verity enabled.

Closes #35352

core: introduce io.systemd.Unit.List (first PR) (#37432)

mountfsd: add ability to create dir owned by foreign UID range in unpriv $HOME (#37616)

Assorted systemd-machined fixes (#37622)

ci: add test case for io.systemd.MountFileSystem.MakeDirectory() and varlinkctl --push-fd=

varlinkctl: optionally push fds to server

mountfsd: add call for creating a foreign UID owned dir in dir owned by caller

In order to fully support unpriv containers placed in directories owned
by the foreign UID range, below some unpriv user $HOME, we need to away
to actually create these hierarchies in the first place.

Let's add a method call for that. It takes a dir fd, then validates that
its ownership matches the client's identity, and then creates a subdir,
chown()ing it to the foreign UID range. It then returns an fd to the
result.

The result could then be passed to MountDirectory() in order to get a
mount which can then be populated by some code running in a dynamic
userns.

sd-json: add json_dispatch_const_filename()

json_dispatch_const_filename() is to json_dispatch_filename() what json_dispatch_const_path() is to json_dispatch_path().

machine: fix log message, doesn't have to be scope unit, can by any

machine: rework machine_gc()

Let's check the leader alive state, and let's log about dbus errors.
This mimics (but is not quite identical to) what we do these days in
logind for GC'ing user sessions.

machine: shorten code

machine: as safety precaution also check parsed machine name

machine: also save/restore vsock CID properly

machine: modernizations of serializing/deserializing netif data

machine: save/restore machine leader pidfdid

machine: use the correct escaping calls for machine metadata

machine: properly remove unit name symlink on removal

machine: port machined state files to fopen_tmpfile_linkable()

Similar to the erlier commit for logind, switch to a more modern way to
write the state files.

machine: insist in a valid root directory

logind,machined: expose bus properties for leader PID fd ids, too

core: break line after sd_json_buildo( in varlink-manager.c

test: simple tests for io.systemd.Unit varlink interface

test: quote entire path to socket in io.systemd.Manager tests

core: add basic lookup by name/pidref in io.systemd.Unit.List

json: add unit tests for json_dispatch_const_unit_name()

json: json_dispatch_const_unit_name()

core: Unit Runtime in io.systemd.Unit.List method

core: skeleton for io.system.Unit interface and io.systemd.Unit.List method

repart: add 'fsverity' flag for CopyFiles= lines

We currently pass the CopyFlags that we use to populate the temporary
directory in the form of a constant at each of the copy_tree_at() call
sites.  De-duplicate that and move it into the `CopyFilesLine` struct,
initializing it from the parser.

Add our first non-constant flag: `fsverity=`.  This can be set to `off`
(the default) or `copy`, in which case we copy the fs-verity state from
the source files.

This arrangement is amenable to the introduction of more flags to
`CopyFiles=` lines, if we want to add them in the future.

Update the `repart.d(5)` manpage.

Closes #35352

Signed-off-by: Allison Karlitskaya <allison.karlitskaya@redhat.com>

repart: Collect CopyFiles= lines into structs

We currently convert the source:target pairs of the `CopyFiles=` lines
in `repart.d` files into a pairwise strv.  This works great if the only
thing that can be specified is a source and a target, but we're about to
add a flags field.

Let's start by making this a bit more explicit: we now turn each
`CopyFiles=` line into a `CopyFilesLine` struct.  We keep an array of
those in the `Partition` now, instead of the strv.

So far this is a whole lot of added complexity for nothing, but it's
necessary for the next step.

Signed-off-by: Allison Karlitskaya <allison.karlitskaya@redhat.com>

mkfs-util: add fsverity option to make_filesystem()

Add an fsverity flag to MkfsFlags and use it to pass the `-O verity`
option when creating an ext4 or f2fs filesystem: they share the same
argument for this.

The only other filesystem that currently supports fs-verity is btrfs and
it doesn't require a flag to be enabled when creating the filesystem.

Nothing uses this yet.

Signed-off-by: Allison Karlitskaya <allison.karlitskaya@redhat.com>

mkfs-util: turn quiet/discard to a flags field

Add a new `MakeFilesystemFlags` enum and use it to replace the existing
`quiet` and `discard` booleans on `make_filesystem()`.

Update the callers.  While we're doing that, consolidate some duplicated
logic in systemd-repart.

Signed-off-by: Allison Karlitskaya <allison.karlitskaya@redhat.com>

mkfs-util: rename a local variable

Change 'flags' to 'fork_flags' in preparation for using 'flags' as an
argument in the next commit.

Signed-off-by: Allison Karlitskaya <allison.karlitskaya@redhat.com>

test: add a testcase for copy_tree() and fs-verity

copy: add support for copying fs-verity status

Add a new member to CopyFlags to request copying of fs-verity status.

If copying of fs-verity is requested then we query the descriptor from
each regular file.  If it has one, we use it to setup fs-verity on the
destination, using the same parameters.

Signatures don't seem to be a particularly well-loved (or used) feature
of fs-verity and we don't bother to query them here.  Support for that
could be added later, if desired.

This change means that, with the correct combination of flags, we might
end up calling `fsync()` on a read-only file descriptor.  This is
permitted by POSIX and supported on Linux.

Nothing uses this yet.

Signed-off-by: Allison Karlitskaya <allison.karlitskaya@redhat.com>

fs-util: prefer linkat(AT_EMPTY_PATH) over /proc/self/fd/ shenanigans

The permission check got relaxed in kernel v6.10, so let's
switch the fallback order around.

This also effectively reverts 94d94f0c0a7d28816c815dc9770cc659769fe980,
as I just realized that link_fd() involves multiple paths and
we can't tell which one tripped ENOENT...

cgroup-util: drop handcrafted cg_is_empty(), always check cgroup.events populated field (#37624)

homed: generate proper error if we cannot create mountpoint for homedir

Let's make this easier to debug. (When this failed for me due to disk
full it took me a bit to figure out what was going on.)

udevadm-info: update error messages (#37619)

cgroup-util: remove now unused cg_read_event()

cg_get_keyed_attribute() is a more generic version of this,
and cg_is_empty_recursive() was the only user of this function,
which got converted in the previous commit.

cgroup-util: drop handcrafted cg_is_empty(), always check cgroup.events populated field

This effectively renames cg_is_empty_recursive() to cg_is_empty().
Note that all existing code calls the former and not the latter,
hence with cgv1 support being dropped it's trivial to consult
cgroup.events directly for populated state everywhere.

Additionally, use more generic cg_get_keyed_attribute() helper
rather than cg_read_event().

src/core/manager.c: log preset activity on first boot

This gives us a little more information about what units were enabled
or disabled on that first boot and will be useful for OS developers
tracking down the source of unit state.

An example with this enabled looks like:

```
NET: Registered PF_VSOCK protocol family
systemd[1]: Applying preset policy.
systemd[1]: Unit /etc/systemd/system/dnsmasq.service is masked, ignoring.
systemd[1]: Unit /etc/systemd/system/systemd-repart.service is masked, ignoring.
systemd[1]: Removed '/etc/systemd/system/sockets.target.wants/systemd-resolved-monitor.socket'.
systemd[1]: Removed '/etc/systemd/system/sockets.target.wants/systemd-resolved-varlink.socket'.
systemd[1]: Created symlink '/etc/systemd/system/multi-user.target.wants/var-mnt-workdir.mount' → '/etc/systemd/system/var-mnt-workdir.mount'.
systemd[1]: Created symlink '/etc/systemd/system/multi-user.target.wants/var-mnt-workdir\x2dtmp.mount' → '/etc/systemd/system/var-mnt-workdir\x2dtmp.mount'.
systemd[1]: Created symlink '/etc/systemd/system/afterburn-sshkeys.target.requires/afterburn-sshkeys@core.service' → '/usr/lib/systemd/system/afterburn-sshkeys@.service'.
systemd[1]: Created symlink '/etc/systemd/system/sockets.target.wants/systemd-resolved-varlink.socket' → '/usr/lib/systemd/system/systemd-resolved-varlink.socket'.
systemd[1]: Created symlink '/etc/systemd/system/sockets.target.wants/systemd-resolved-monitor.socket' → '/usr/lib/systemd/system/systemd-resolved-monitor.socket'.
systemd[1]: Populated /etc with preset unit settings.
```

Considering it only happens on first boot and not on every boot I think
the extra information is worth the extra verbosity in the logs just for
that boot.

polkit: reword 'Interactive authentication required' error

I guess the current wording of "Interactive authentication required." is
hard to grok for many users. Let's try to reword this, and say
explicitly:

1. That this is a form of "access denied" error
2. That interactive auth could remedy this
3. But that the client disabled interactive auth

I think these are the three primary elements the error msg needs to
convey. I tried to distill this in a short error string with this.

Fixes: #2081

core/cgroup: CGRuntime.cgroup_path indicates whether the cg is still alive

so drop redundant checks in attr getters. Memory and IO accounting
functions already follow this pattern.

varlinkctl: if returned error is an errno, print it as one in log message

hwdb: make Saitek PLC Pro Flight Rudder Pedals a joystick (#37601)

Fuzzy logic on joystick vs. advanced keyboard detection thinks the
rudders are a keyboard. Adding this forces udev to use this device as
joystick.

```
# udevadm info /dev/input/by-id/usb-Saitek_Saitek_Pro_Flight_Rudder_Pedals-event-joystick
P: /devices/pci0000:00/0000:00:14.0/usb1/1-3/1-3:1.0/0003:06A3:0763.000D/input/input22/event3
M: event3
R: 3
U: input
D: c 13:67
N: input/event3
L: 0
S: input/by-id/usb-Saitek_Saitek_Pro_Flight_Rudder_Pedals-event-joystick
S: input/by-path/pci-0000:00:14.0-usbv2-0:3:1.0-event-joystick
S: input/by-path/pci-0000:00:14.0-usb-0:3:1.0-event-joystick
E: DEVPATH=/devices/pci0000:00/0000:00:14.0/usb1/1-3/1-3:1.0/0003:06A3:0763.000D/input/input22/event3
E: DEVNAME=/dev/input/event3
E: MAJOR=13
E: MINOR=67
E: SUBSYSTEM=input
E: USEC_INITIALIZED=10981053700
E: ID_INPUT=1
E: ID_INPUT_JOYSTICK=1
E: ID_BUS=usb
E: ID_MODEL=Saitek_Pro_Flight_Rudder_Pedals
E: ID_MODEL_ENC=Saitek\x20Pro\x20Flight\x20Rudder\x20Pedals
E: ID_MODEL_ID=0763
E: ID_SERIAL=Saitek_Saitek_Pro_Flight_Rudder_Pedals
E: ID_VENDOR=Saitek
E: ID_VENDOR_ENC=Saitek
E: ID_VENDOR_ID=06a3
E: ID_REVISION=0101
E: ID_TYPE=hid
E: ID_USB_MODEL=Saitek_Pro_Flight_Rudder_Pedals
E: ID_USB_MODEL_ENC=Saitek\x20Pro\x20Flight\x20Rudder\x20Pedals
E: ID_USB_MODEL_ID=0763
E: ID_USB_SERIAL=Saitek_Saitek_Pro_Flight_Rudder_Pedals
E: ID_USB_VENDOR=Saitek
E: ID_USB_VENDOR_ENC=Saitek
E: ID_USB_VENDOR_ID=06a3
E: ID_USB_REVISION=0101
E: ID_USB_TYPE=hid
E: ID_USB_INTERFACES=:030000:
E: ID_USB_INTERFACE_NUM=00
E: ID_USB_DRIVER=usbhid
E: ID_PATH_WITH_USB_REVISION=pci-0000:00:14.0-usbv2-0:3:1.0
E: ID_PATH=pci-0000:00:14.0-usb-0:3:1.0
E: ID_PATH_TAG=pci-0000_00_14_0-usb-0_3_1_0
E: ID_FOR_SEAT=input-pci-0000_00_14_0-usb-0_3_1_0
E: LIBINPUT_DEVICE_GROUP=3/6a3/763:usb-0000:00:14.0-3
E: DEVLINKS=/dev/input/by-id/usb-Saitek_Saitek_Pro_Flight_Rudder_Pedals-event-joystick /dev/input/by-path/pci-0000:00:14.0-usbv2-0:3:1.0-event-joystick /dev/input/by-path/pci-0000:00:14.>
E: TAGS=:seat:uaccess:
E: CURRENT_TAGS=:seat:uaccess:
```

```
# lsusb |fgrep Sait
Bus 001 Device 013: ID 06a3:0763 Saitek PLC Pro Flight Rudder Pedals
```

Closes #34642.

tree-wide: Handle EINVAL as not supported for chattr_xxx()

F2FS returns EINVAL from FS_IOC_SETFLAGS when trying to set
FS_NOCOW_FL. Let's handle this by treating EINVAL as not supported.
While we're at it, make sure we use ERRNO_IS_IOCTL_NOT_SUPPORTED()
across the tree instead of ERRNO_IS_NOT_SUPPORTED() when calling any
of the chattr_xxx() functions.

Fixes #37593

socket-util: Move getsockopt_int() to implementation file

And switch back to negative_errno() at the same time.

sd-bus: mark two functions as pure

basic,shared: mark eligible functions with _pure_/_const_

Following the recent witch hunt done to static inline functions
I figure we should at least give the compiler some more hint
on optimizations.

shared/bitmap: minor modernizations

errno-list: errno_from_name() is pure but not const

Follow-up for 0c15577abe013e07dba47d5aac126a63ab2dfd33

fd-util: group close_fd_ptr() with fd funcs, not FILE/DIR stream ones

machinectl: fix indentation of status output field

One field is differently aligned then the others in the "status" output.
Fix that.

udevadm-info: make the error messages slightly more consistent

At least across the udevadm-info.c file. No functional changes.

udevadm-info: print the original input on error

Print the original input value on error instead of the consumed string
(which will be empty).

Previously:
$ udevadm info /dev/block/251:0 -e --attr-match='foo=\'
Failed to parse key/value pair : Invalid argument
$ udevadm info /dev/block/251:0 -e --attr-match='foo'
Missing '=' in key/value pair (null).

Now:
$ build/udevadm info /dev/block/251:0 -e --attr-match='foo=\'
Failed to parse key/value pair foo=\: Invalid argument

(The second scenario can't be hit anymore since
d89b3004da54228eb5ab2f3326a773a6e97924b9 due to an extra check before
calling parse_key_value_argument().)

update TODO

units: enable watchdog notifications for vmspawn

nspawn supports it and enables it. Let's do this for vmspawn too. It
already supports it in code. Let's make it also work in the unit file.

tree-wide: Clean up more includes

basic + fundamental: Clean up includes (#37595)

basic + fundamental: Clean up includes

Split out of #37344.

login-util: Mark session_id_valid() as pure

basic: Move userns_supported() to namespace-util.h

strv: Drop unnecessary macros

basic: Move LogRatelimit struct to log-ratelimit.h as well

docs: add man pages for sd_device_enumerator_[new,ref,unref,unrefp] (#37586)

For #20929.

Various cleanups (#37597)

Two follow ups for #37591 (#37594)

clangd: Enable UnusedIncludes feature again

Now that the entire free doesn't trigger any clang unused include
violations anymore, let's re-enable the clangd option as it's much
more useful now that the tree is clean.

clang-tidy: Skip public headers

We're very limited in our ability to change these due to backwards
compat, so let's skip them from analysis since we won't be able to
fix the errors anyway.

ci: Setup clang-tidy meson env with extra options

We want the relevant code to be compiled so that it can be analyzed
by clang-tidy.

core: Add missing bpf-dlopen.h includes to bpf skeleton headers

fundamental: Move declaration of free() to macro-fundamental.h

Let's put it together with the macro that needs it (mfree()). Also,
get rid of the unnecessary <stdlib.h> include in iovec-util-fundamental.h.

generate-sym-test: Only include required headers

If we don't use any symbols from a header, let's not include it.

netlink-internal: Make message_get_serial() static inline again

There was no need to move this function to the implementation file,
so let's make it static inline again.

Follow up for #37591.

forward: Move ChaseFlags forward declaration to forward.h

libsystemd: Clean up includes

For libsystemd's headers, the changes made depend on whether the
header is installed or not. For installed headers, the only change
made is that commonly included headers were moved to _sd-common.h.
For these headers, there should be no noticeable change in behavior
when including them. For non-installed headers, includes were replaced
with forward declarations where possible as usual.

Split out of #37344.

basic: Move ratelimit logging functions to log-ratelimit.h

shared: Followups for #37575

libudev: Clean up includes

Split out of #37344.

Bugprone argument comment 7 (#37556)

Follow up from https://github.com/systemd/systemd/pull/37507

treewide: correct argument name to user_icon / askpw_icon

killall: correct argument comment

validatefs: correct argument comments

These functions come from util-linux and can't be renamed.

sd-bus: rename 'add_callback' -> 'install_callback'

Throughout the whole codebase it is called install_callback.

tpm2-util: rename 'policy' -> 'pcrlock_policy'

Follow the used argument comment naming.

creds-util: correct argument comment

pcrlock: correct argument comment

cgroup-util: rename 'kill_log' -> 'log_kill'

Rename according to the implementation.

cgroup-util: rename 's' -> 'killed_pids'

machine-id-setup: correct argument comments

dissect-image: rename 'dest' -> 'where'

Consistently name dissect_image_mount*.

sd-bus: prefix return arguments with 'ret_' for sd_bus_message_peek_type

fuzz: correct argument comment

shared: Clean up includes

Split out of #37344.

linux: update kernel headers from v6.15-rc7