sysusers: always initialize ret_xyz when write_temporary_xyz() succeed

No functional change. Just for following our coding style.

dirent-util: follow our coding style

po: Translated using Weblate (Portuguese)

Currently translated at 100.0% (257 of 257 strings)

Co-authored-by: Américo Monteiro <a_monteiro@gmx.com>
Translate-URL: https://translate.fedoraproject.org/projects/systemd/main/pt/
Translation: systemd/main

socket: downgrade not-supported logging for SO_PASSSEC

Kernel 6.16 started returning EOPNOTSUPP when a required kconfig
is disabled. Downgrade to debug level in that case.

Fixes https://github.com/systemd/systemd/issues/37783

meson: drop -Wno-typedef-redefinition for clang

It was added in 1a40a3393e904fe4683f6d2b2450cfbd94a34000 for autotools,
sadly with no explanation, and forward-ported to meson in
5c23128daba7236a6080383b2a5649033cfef85c. Things seems to work fine without
it now so drop it.

Tested with clang-20.1.5-1.fc43.x86_64.

basic/forward: replace tab with space

po: Translated using Weblate (Portuguese)

Currently translated at 91.8% (236 of 257 strings)

Co-authored-by: Américo Monteiro <a_monteiro@gmx.com>
Translate-URL: https://translate.fedoraproject.org/projects/systemd/main/pt/
Translation: systemd/main

Several follow-ups for recent header cleanups (#37785)

meson: update generating lists

- config.h is not necessary when generating lists, hence drop it.
- linux/audit.h and libaudit.h are included by missing_audit.h,
  hence not necessary to include them explicitly.

ptyfwd: use hostname argument in pty_forward_set_window_title() if set

Fixes 23f9ff472409d5f1cd0f74c47fa6f86e9df44828

include: net/if.h requires features.h

The header uses __THROW, which is defined in features.h, to make the
header self-consistent.
Note, src/basic/include/sys/mount.h also uses __THROW, and includes
features.h.

journal: use poll.h rather than sys/poll.h

This does not change anything, as poll.h is a one-line wrapper of sys/poll.h.
Note that man pages e.g. poll(2) indicate to include poll.h rather than sys/poll.h.
So, let's use poll.h.

selinux-setup.c: drop redundant inclusion of selinux/selinux.h

The header is anyway included by selinux-util.h in below.

tree-wide: drop unnecessary inclusion of sys/quota.h

As it is included by quota-util.h anyway.

utmp-wtmp: replace _PATH_WTMPX -> WTMPX_FILE

_PATH_WTMPX is a kind of internal definition in glibc, and
WTMPX_FILE should be an exposed definition. Both are same,
let's use WTMPX_FILE.
Note, for utmp, we use UTMPX_FILE, rather than _PATH_UTMPX.
Let's use consistent macros.

forward: also include paths.h

It provides several important constants, especially _PATH_BSHELL, which
is used in PID1, executor, and run. The header has been included
indirectly through e.g. libmount.h, mntent.h, utmpx.h, and so on.
Let's explicitly include it in forward.h, as libmount.h and friends that
includes paths.h are irrelevant to _PATH_BSHELL, and we may easily fail
to build when code is touched.
The header is not heavy, hence should not hurt anything.

cryptsetup-util: move definition of crypt_token_max()

As it uses streq(), but string-util.h is not included in the header.

libcrypt-util: include random-util.h

Necessary for crypto_random_bytes(), which is used in the branch that
HAVE_CRYPT_GENSALT_RA is false. Unfortunately, our CIs tested only the
other branch.

meson: fix doubled # before include

Follow-up for b5337d1d524545e9938391e871f39cccc1d1fc14.

test: do not fail when lacking privs to create sysfs directory

4109s /* test_mdio_bus */
4109s src/libsystemd/sd-device/test-sd-device.c:55: Assertion failed: Expected "mkdir_p(syspath, 0755)" to succeed, but got error: Permission denied
4109s (mdio_bus) terminated by signal ABRT.
4109s src/libsystemd/sd-device/test-sd-device.c:37: Assertion failed: Expected "r = safe_fork("(mdio_bus)", FORK_CLOSE_ALL_FDS|FORK_DEATHSIG_SIGTERM|FORK_REOPEN_LOG|FORK_LOG|FORK_WAIT|FORK_NEW_MOUNTNS|FORK_MOUNTNS_SLAVE, NULL)" to succeed, but got error: Protocol error

Follow-up for 687a92a1b6a62b705acbb9065bb60fc6e84c9c20

forward: Drop socklen_t forward declaration

This is glibc specific and doesn't exist on musl, since removing only
means adding one more include in selinux-util.h, let's drop it.

Fixes #37779

nspawn: do basic port to PidRef

THis is sometimes a bit superficial, but in many cases allows us to use
pidfd for various of our operations.

machined: open up machine registration for unpriv clients also via D-Bus

This is already opened up via Varlink. Let's also open it up via D-Bus
with the same polikit operation.

machined: properly open up all missing method calls via D-Bus to unpriv clients

These method calls all already have polkit hookup, hence actually allow
them to go through on all levels.

This is mostly playing catchup with a variety of calls added over the
years.

coredump: fix 0-passed-as-pointer warning

nspawn: start polkit agent while we do polkit operations

Let's make sure unpriv nspawn can acquire privs even when invoked
outside of a desktop environment that has a polkit agent registered.

test: extend timeout and enable generating debugging logs

Not sure why the test failed, but maybe the test environment is too
slow? Even this does not fix the failure, by enabling debugging logs,
this hopefully provides more useful information for debugging.

For issue #37685.

run: ignore bus connection error in acquiring invocation ID (#37763)

This introduce bus_error_is_connection(), and use it where applicable.
Then, this makes connection errors in acquiring invocation ID by
systemd-run handled gracefully, like we already do other places.

Fixes #37675.

tree-wide: allow building with -Wgnu-variable-sized-type-not-at-end option for clang (#37499)

Follow-up for #36993.
Closes #37497.

run: ignore bus connection error in acquiring invocation ID

Similar to 2b983b43c6e4a0dc9d58671eaf2f508a8ce8e3b9, but for acquiring
invocation ID.

Fixes #37675.

sd-device: replace '!' with '/' before calling sd_device_new_from_subsystem_sysname()

Device ID uses device directory name as is, hence may contain '!', but
sd_device_new_from_subsystem_sysname() expects that the input is sysname.
So, we need to replace '!' with '/'.

Follow-up for 1393c5a2a42d6ff16afcdc3ac39f007921b9cb57.
Fixes #37711.

codeql: taint basename()

repart: fix CopyBlocks=auto for verity-sig partitions, even harder (#37704)

@DaanDeMeyer, this is for you.

Seems to work great here to duplicate ParticleOS onto another disk.

tree-wide: basename -> path_extract_filename (#34906)

tree-wide: introduce bus_error_is_connection() and use it where applicable

repart: use partition_designator_is_verity_sig() + partition_designator_is_verity() more

repart: try harder to find verity-sig partitions for CopyBlocks=auto

verity-sig partitions are not kernel concepts, hence dm-verity won't
link them for us from the slaves/ subdir in sysfs. Hence let's instead
look up the partition via udev's database.

Hence: when we search for the data+verity+verity-sig partitions then
search for the first two as usual, but search for the latter by looking
up the udev props on the first two, and then following the paths
provided therein.

Fixes: #34835

udev: add udev properties that point to verity/verity sig metadata partitions from data partitions

This extends the dissect_image builtin to actually add device node
references to the device nodes where the associated data is placed, if
we can find it.

This is kept very generic, and independent from the roothash properties
and suchlike, since it makes sense to make it possible to set these
properties also independently of the dissect-image builtin.

The device path is a /dev/disk/by-diskseq/ symlink, so that we have
stable reference that are not subject to dev_t reuses.

gpt: add partition_designator_is_verity() helper

And rework partition_designator_is_verity_sig() to be based on
partition_verity_sig_to_data(), so that we don't have to maintain two
lists of verity sig partition types.

sd-lldp-rx: add VLAN ID parsing (#37725)

While the `port_vlan_id` field was already present in the
`sd_lldp_neighbor`, it wasn't currently parsed from the LLDP packet.
Added support for that as well as a small parsing test.

Closes #28354.

TODO: drop completed entry

systemctl: replace basename() with path_extract_filename()

delta: rework how enumerate files

tree-wide: basename -> path_extract_filename

update TODO

generator: improve scope check (#37761)

Fixes: #35723

network: test-lldp-rx: set more variable as static const

sd-lldp-rx: add VLAN ID parsing

Closes #28354.

generator: check $SYSTEMD_SCOPE rather than cgroup membership

This is more explicit and ensures that even in testing environments we
operate the same way.

As side effect it also avoids the mess around SELinux blocking access to
cgroupfs.

Fixes: #35723

core: break lines in some overly long function calls

conf-files: use proper enum for flags parameters

journal: concurrent update fixes (#37757)

Fixes: #35229 #32436

core: adding CGroup for io.systemd.Unit.List (second PR) (#37646)

This PR adds CGroup context/runtime for io.systemd.Unit.List method.

This is follow up for https://github.com/systemd/systemd/pull/37432.

Bugprone argument comment 10 (#37755)

Follow up from https://github.com/systemd/systemd/pull/37712

journal: replace a bunch of assert() with friendlier checks

We should not rely that data stored in the journal files remains
entirely untouched at all times. Because we unallocate files, data might
go away any time. Hence, never assert() on any expectations on what the
file contains. Instead, handle it more gracefully as a corruption issue,
and return EBADMSG.

Fixes: #35229 #32436

journal: add 'const' at one more place

journal: determine compression once, not twice

This is just paranoia: let's determine the compression to use once,
instead of twice, after all te data is in journal files which might be
corrupted any time, and it would be weird if we came to different
results here each time.

journal: use EBADMSG for invalid data in file mmap

We must assume that any data in the mmap can change anytime because the
file is deallocated or similar. Let's strictly use EBADMSG for reporting
invalid file contents though (as opposed to using EINVAL if our own code
passes a wrong parameter somwhere).

core/varlink: split out dynamic-user stuff into its own source files

hwdb: Acer Nitro ANV15-51 Mic Toggle

mountfsd: support processing block devices with MountImage() (#37746)

Fixes: #35111

core: Various fixes for cgroup and pid namespaces (#36815)

meson: Don't fail install script if file doesn't exist

Depending on which optional features are enabled, the NSS module
might not have been built, which means the custom install script
will fail to remove the file. Let's pass -f so it succeeds regardless
of whether the file exists or not.

man: suggest using --unlock-tpm2-device=auto in cryptenroll example

When refreshing a tpm2 enrollment, it makes sense to use tpm2 to unlock
the device.

Fixes: #35279

meson: Add libmount feature

Let's reduce the dependencies required to build just libsystemd by
making libmount optional. The meson disabler feature makes this quite
trivial.

add CITATION.cff file

As per spec: https://citation-file-format.github.io/

Fixes: #35260

mountfsd: slightly relax check on image fds

Fixes: #35111

dissect-image: port to varlink_callbo_and_log()

varlink-util: format system errors via %m in varlink_call_and_log()

This kinda does what bee59ab901ca199d194f440cf37f7645004d3054 did for
varlinkctl also for the generic varlink_call_and_log() handler.

fixes for --machine= handling in run0 and journalctl (#37741)

Fixes: #32997

resolvectl: --raw improvements (#37743)

Fixes: #37737

core: adding CGroup runtime for io.systemd.Unit.List

core: adding CGroup context for io.systemd.Unit.List

core: *ret = NULL for early return in unit_mounts_for_build_json()

core: rework how we track cgroup realized state (#37733)

sd-bus: treat '@' as equivalent to '@.host'

We allow omission of the part before and the part after the @. But so
far we didn't allow omitting both. There's no real reason for
disallowing that, hence be systematic and allow it.

sd-bus: port to split_user_at_host()

journalctl: politely refuse if non-root usernames are specified for --machine=

We currently cannot support that (supporting that would probably require
some active component in the machine, or alternatively idmapped mounts
or so), hence politely refuse it.

See: https://github.com/systemd/systemd/issues/32997#issuecomment-2127700945

run: chop off username from --machine= argument before calling OpenMachinePTY()

Let's be compatible with sd-bus' logic to talk to machine, and support
the usual user@host syntax. We only want the host part, hence chop if
off before passing it to OpenMachinePTY().

Fixes: #32997

machined: open up OpenMachinePTY() for unpriv clients

The method call already does a PK check, it was just forgotten to
allowlist this in the dbus policy. And in the dbus vtable for
OpenMachinePTY() call. (It was allowlisted in the per-machine
vtable…)

Anyway, clean this up.

hostname-util: add new helper split_user_at_host()

Let's introduce a common helper for splitting user@host specifications
like we use them for --machine=.

resolvectl: improve error message if we do not support dumping payload of RR

man: reword --raw= explanation a bit

Explain what we mean by "payload", and for which RR types this is
intended.

And don#t claim we'd output a full packet, because we don't. We output
only the RR in binary.

Fixes: #37737

resolvectl: output slightly more data when --raw=payload is used

Let's also show A/AAAA data in binary form if --raw=payload is used. For
these RR types there's only a single data field, hence it's obbviously
meant.

Inspired by: #37737

 core: Make sure we handle DelegateSubgroup= in combo with cgroupns

Currently, if we use a cgroup namespace together with DelegateSubgroup=,
the subgroup becomes the root of the cgroup namespace because we move the
service process to the subgroup before we unshare the cgroup namespace, and
the current cgroup becomes the root of the cgroup namespace when we unshare
the cgroup namespace.

Let's fix the problem by not moving the service process to the subgroup until
we've unshared the cgroup namespace. Note that this doesn't break the primary use
case of CLONE_INTO_CGROUP since we still use it to immediately clone into the service
main cgroup, just not anymore into the subgroup, but this shouldn't matter in practice.

Additionally, we need special handling for control processes, as those *do*
need to get spawned into the subcgroup immediately if delegation is configured to
avoid violating the cgroupsv2 "no inner processes" rule.

Effectively, this leaves us with the following logic:
- In exec_spawn(), spawn into subgroup if we're spawning a control process
  that needs to be spawned into a subgroup immediately. Otherwise, spawn into
  main service cgroup.
- In exec_invoke(), move into subgroup early if we don't need a cgroup namespace.
  Otherwise, move into subgroup after we've unshared the cgroup namespace.

core: Disable pid namespacing for control processes

PID namespaces frankly don't make any sense for control processes, so
let's gracefully degrade to no pid namespaces for control processes.

meson: Remove unnecessary deps from libsystemd-static build

blkid, libmount and openssl are not used in src/basic or src/libsystemd,
and so shouldn't be required as deps of libsystemd static, so let's drop
them.

ptyfwd: introduce pty_forward_set_window_title() helper function

hwdb: add support for Loupedeck devices

Razer has partnered with Loupedeck to develop some devices.

Add support for the following devices:
- Loupedeck CT
- Loupedeck Live
- Loupedeck Live S
- Razer Stream Controller
- Razer Stream Controller X

sd-daemon: add sd_pidfd_get_inode_id() (#37679)

vmspawn: fix call to GetUnitByPID

This commit also adds a handler for SIGRTMIN+4 which is another signal
used to shutdown systemd.

test-daemon: add test case for sd_pidfd_get_inode_id()

sd-daemon: add sd_pidfd_get_inode_id()

We nowadays expose pidfdid at various places, e.g. envvars
and dbus properties. Also the sd_notify() MAINPID= message
has been complemented with MAINPIDFDID=. But acquiring
pidfdid is actually non-trivial especially considering
the 32-bit case, hence let's introduce a public helper
in sd-daemon specifically for that purpose.

pidfd-util: extract pidfd_get_inode_id_impl() and make it thread safe

Preparation for later commits.

pidfd-util: open an internal pidfd if none is passed in pidfd_check_pidfs()

I'd like to introduce a libsystemd helper for acquiring pidfd
inode id, which however means the fd passed to pidfd_check_pidfs()
can no longer be trusted. Let's add back the logic of allocating
a genuine pidfd allocated internally, which was remove in
5dc9d5b4eacbe32f58ad6ca18d70931ab89ea409.

man/sd_pid_get_owner_uid: don't limit -EBADF to socket fds

sd-login: reject invalid pidfd with -EBADF consistently

We got it mostly right except for one function, fix it.

sd-login: various modernizations (#37728)

io-util: protect against INT_MAX overflow in flush_fd()

core/cgroup: make various functions static

Not used externally anymore with previous commits.