network/radv: allow to send Router Advertisement from e.g. Tun interface

Sending router advertisement requires an IPv6LL address and
IFF_MULTICAST flag. The length of the hardware address is irrelevant.

Closes #38170.

network: split link_may_have_ipv6ll() into two

This renames and splits link_may_have_ipv6ll() into
link_ipv6ll_enabled_harder() and link_multicast_enabled(),
as they are completely irrelevant to each other.

Also, this makes link_ipv6ll_enabled_harder() work non-Wireguard
interfaces.

Include more headers explicitly (#38169)

Similar to the recent change like
4f18ff2e29b8054f30b084abcabf5f689f4b340b.

detect-virt: add bare-metal support for GCE

Google Compute Engine are not only virtual but can be also physical
machines. Therefore checking only the dmi is not enough to detect if it
is a virtual machine. Therefore systemd-detect-virt return "google"
instead of "none" in c3-highcpu-metal machine.
SMBIOS will not help us to make the difference as for EC2 machines.
However, GCE use KVM hypervisor for these VM, we can use this
information to detect virtualization. [0]

Issue and changes has been tested on SUSE SLE-15-SP7 images with
systemd-254 for both GCE, bare-metal and VM.

[0] -
https://cloud.google.com/blog/products/gcp/7-ways-we-harden-our-kvm-hypervisor-at-google-cloud-security-in-plaintext

kernel-install: several follow-ups for --entry-type= (#38160)

Follow-ups for b6d499768394297b1d313cdc72dab0720dc315f6 (#37897).

systemd-run: add --no-pager, use pager for --help

NEWS: clean up uses of backticks

Backticks are good in markdown files, where they signify text to be rendered
with a mono-space font. But our text files doesn't use markdown, and backticks
are just a particularly bad type of quote (ugly, assymetrical, with a special
significance in shell context). Update older NEWS entries to not use them.

NEWS: adjust whitespace and texts for v258

mkosi: Two fixlets for CentOS (#38165)

basic: rename cap-list.c -> capability-list.c

This also renames relevant files in the same way.

Addresses https://github.com/systemd/systemd/pull/37904#discussion_r2191950396

man/kernel-install: mention --entry-type= option in the man page

Follow-up for b6d499768394297b1d313cdc72dab0720dc315f6.

kernel-install: regroup options in help meesage

And slightly updates the description.

Follow-up for b6d499768394297b1d313cdc72dab0720dc315f6.

kernel-install: do not mix || and &&

This also slightly updates log message, and make it shown only when
verbose mode is enabled.

Follow-up for b6d499768394297b1d313cdc72dab0720dc315f6.

tree-wide: include asm/sgidefs.h to make _MIPS_SIM_ABI32 and friends defined

The header provides _MIPS_SIM_ABI32 and friends. Glibc indirectly includes
the header through sys/syscall.h or unistd.h, but let's explicitly include
the header where we use _MIPS_SIM_ABI32 and friends.

quota-util: explicitly include linux/quota.h

The header linux/quota.h provides e.g. QIF_DQBLKSIZE or PRJQUOTA, which
is used where the quota-util.h is included.
Let's explicitly include the header with 'IWYU pragma: export' tag.

sd-device: trivial cleanups (#38162)

mkosi: Fix installation conditions for rpmautospec-rpm-macros

rpmautospec-rpm-macros is only in EPEL 9 so let's gate it properly
on that by splitting up the epel packages config file into two.

erofs-utils is in EPEL 9 and in CentOS Stream 10.

Several follow-ups for recent SELinux changes (#38161)

network/bridge-vlan: allow to configure bridge vlan on stacked bridge master interface

Fixes #38157.

mkosi: Drop epel-next repository for CentOS

It does not exist for CentOS Stream 10, it's only relevant for CentOS
Stream 9 in some corner cases which don't apply to us, so let's not enable
it to avoid complexity instead of only enabling it for CentOS Stream 9.

Follow up for 3800adc9e5e067e3869d95c75733368e11f4570a

Cleanups for missing_xyz.h headers (#37904)

Continuation of #37960.

The same concern as expalined in #37960 exists also in
missing_syscall.h. If we use enough new glibc, a function we want to use
may be already provided by glibc, but our baseline glibc may not. And it
is hard to detect in our daily development.

This moves all prototypes of syscalls to relevant headers, and missing
syscall functions are defined in relevant .c files of libc wrapper. This
way, we can use usual header as is, e.g. when we want to write code with
`move_mount()`, we can simply use sys/mount.h without checking if it is
supported by our baseline glibc.

journal: fix typo

Follow-up for df5b3426f60bb626f46f93fbdacecae274c1645b.

man: fix typo

Follow-up for 7aefb194e754cae9c166539a103e9fd6b7e59798.

conf-files: make conf-file enumerators provide more detailed information of enumerated files (#38006)

This introduces `struct ConfFile` that stores detailed information of an
enumerated file, and introduces `conf_files_list_full()` and friends
that provide results in `ConfFile`.
Then make udev, hwdb, catalog, and cat-files use the new function and
struct to make them not read files outside of specified root directory.

raw-clone: move definition to .c file

Then, we can decrease the number of headers to be indirectly included
by including raw-clone.h. No functional change.

reboot-util: merge with raw-reboot.h

The header raw-reboot.h is only used with reboot-util. Let's merge them.

docs: mention src/include/ directories

include: use unit8_t for uuid

To emphasize it is an array of bytes.
This also align variables.
No functional changes. Just refactoring.

include: move trivial kernel header wrappers to src/include/override/

libc-wrapper: introduce a tiny libc wrapper

Then, move syscall definitions to the wrapper, and prototypes are moved
to relevant headers.

This also adds checks for add_key() and request_key(), as one day
glibc may be going to add some of them separatedly.

The check for fspick in meson.build is dropped, as it is currently
unused in our code.

This also moves
- basic/missing_bpf.h -> include/override/linux/bpf.h,
- basic/missing_keyctl.h -> include/override/linux/keyctl.h.

basic: move basic/missing_syscall_defs.h -> include/override/sys/syscall.h

This also moves syscall tables and generators to the same directory.

Note, inclusion of asm/sgidefs.h is dropped, as it is already included
by unistd.h and sys/syscall.h.

tree-wide: several cleanups for generating symbol lists and gperf files

- pass our system include directories to make generators use our libc
  wrappers and latest kernel headers,
- include relevant headers in generated gperf file,
- use files() rather than find_program(), as the result of
  find_program() cannot be passed to 'input' of custom_target(),
- move generate-bpf-delegate-configs.py to src/core/, as it is only used
  by libcore.

include: move libc header wrappers to src/include/override/, and kernel headers to src/include/uapi/

Preparation for later changes.

mkosi: various improvements (#38156)

sd-device: replace 'type *func()' -> 'type* func()'

sd-device: do not set errno needlessly

core/selinux-access: insert an empty line after function arguments

Follow-ups for fe3f2ac0734e64dcd729b00992a6261cbf4cc846 and
e3fef210c8903a9a3871ea5ba9b558b6cdbabea3.

selinux-util: downgrade log level to LOG_DEBUG when error code is zero

Previously, the logger is only used in error paths, but since
fe3f2ac0734e64dcd729b00992a6261cbf4cc846, the logger is also used in a
success path. Let's not log loudly on success.

This also drops unused log_selinux_enforcing().

catalog: do not read catalog files outside of specified root directory

hwdb-util: do not read hwdb files outside of specified root directory

hwdb-util: coding style update

- use 'r' for storing results,
- use RET_GATHER().

udev-rules: do not read udev rules files outside of specified root directory

TEST-17-UDEV: conditionalize test cases for testuser

Then, we can also run the test script in our local machine.

udevadm: do not read udev rules files outside of the specified root directory

With this change, an invalid symlink and an empty file is silently
ignored. Hence, the test code is slightly updated.

pretty-print: make conf_files_cat() not show files outside of the specified root.

Then, make the function show the original and resolved path if they are
different.

With this change, procfs needs to be mounted on /proc/, hence the test
code is slightly updated.

pretty-print: several cleanups for cat_files()

- drop redundant error messages in cat_files(), as cat_file() internally
  logs errors,
- show an empty line and filename before opening file, to make not mix
  any error messages with the previous file,
- drop unnecessary fflush(),
- use RET_GATHER() and continue to show files even if some files cannot
  be shown.

conf-files: introduce conf_files_list_full() and friends that provides results in ConfFile

conf-files: make conf_files_list() and friends internally use struct ConfFile

No functional change, just refactoring.

conf-files: introduce struct ConfFile to store information of found conf file

It is currently unused, will be used later. Preparation for later changes.

chase: allow to request O_PATH fd even with CHASE_NONEXISTENT

test-cgroup: Ignore ENOENT from cg_create(); test-cgroup-util: Ignore ENXIO in one more place (#38158)

This was the only test failure building systemd-252-51.el9 in a
container, also previously reported against 252-rc1 under Gentoo in
#25015

This is a forward-port of the patch we actually started using for CIQ's
builds of the EL9-derived package, which was:

```diff
--- systemd-252/src/test/test-cgroup.c 2022-10-31 18:59:18.000000000 +0000
+++ systemd-252-test/src/test/test-cgroup.c 2025-07-10 00:47:07.541000000 +0000
@@ -62,7 +62,7 @@
         log_info("Paths for test:\n%s\n%s", test_a, test_b);

         r = cg_create(SYSTEMD_CGROUP_CONTROLLER, test_a);
-        if (IN_SET(r, -EPERM, -EACCES, -EROFS)) {
+        if (IN_SET(r, -EPERM, -EACCES, -EROFS, -ENOENT)) {
                 log_info_errno(r, "Skipping %s: %m", __func__);
                 return;
         }
```

I confirmed that the `ERRNO_IS_NEG_FS_WRITE_REFUSED` macro is equivalent
to checking the first 3 error codes above, so the addition of the check
for `ENOENT` is still just as relevant as it was in 252, but adding it
into the macro would be inconsistent with its name, description, and
possible other uses. Hence, in this PR I'm adding the extra check into
the `if`.

journalctl: do not fail on SIGTERM/SIGINT or STDOUT disconnect when running with --follow (#38116)

Closes #38114.

io.systemd.Manager.Describe fix context/runtime split (#38135)

This PR rearranges fields in io.systemd.Manager.Describe according to
the guidance by Lennart:

> If a property can be set in a unit file, ever, then it belongs in context.
> Otherwise, it belongs to runtime.

Closes #38124.

Plumbing to perform SELinux checks in varlink API (#38146)

This PR does minimal changes to introduce varlink support. Ideally, the
code should switch to using `mac_selinux_get_our_label()` and new
`mac_selinux_get_peer_label()`. But I leave it for now to minimize
breakage. `mac_selinux_get_peer_label()` remains unused.

This is a prep step to merge
https://github.com/systemd/systemd/pull/38032

test-cgroup-util: Ignore ENXIO in one more place

NEWS: mention about the exit code change in journalctl --follow

test: drop unnecessary disablement of pipefail

main-func: drop unused DEFINE_MAIN_FUNCTION_WITH_POSITIVE_SIGNAL()

journalctl: do not fail on SIGTERM/SIGINT, or when STDOUT is disconnected

The current behavior is not useful when e.g. pipefail is enabled.
Let's exit cleanly in such cases.

Closes #38114.

test-cgroup: Ignore ENOENT from cg_create()

which was the only test failure building systemd-252-51.el9 in a
container, also previously reported against 252-rc1 under Gentoo
in #25015

man/systemd.exec: explain how BPF token works

Add a small paragraph explaining how BPF token works, how it's being
created and its relationship between the BPF filesystem.
Move all the relevant documentation in the PrivateBPF= section and let
point all the BPFDelegate* options to that one.

journald: support reloading configuration at runtime

Introduce ERRNO_IS_FS_WRITE_REFUSED(), and use it in binfmt_mounted() (#38117)

- This introduces ERRNO_IS_FS_WRITE_REFUSED(), and apply it where
usable.
- This makes unexpected errors in access_fd() called by binfmt_mounted()
propagated to the caller.
- Renames binfmt_mounted() to binfmt_mounted_and_writable(), as it also
checks the fs is writable.
- Voidifies one disable_binfmt() call in shutdown.c.

userdb: Add userdb.transient credentials

To implement --bind-user in systemd-vmspawn, we need a transient
version of these credentials. These are useful when the home directory
of the user is mounted into the container/vm and every trace of the user
will be (mostly) gone again when the container/vm is shut down.

selinux: mac_selinux_unit_access_check_varlink macros

selinux: mac_selinux_access_check_varlink_internal()

selinux: check_access()

core: leave a comment about context/runtime split

core: move ControlGroup move runtime to context

core: move ConfirmSpawn from runtime to context

core: move ShowStatus/Log* from runtime to context

core: move WatchdogDevice from runtime to context

core: move RuntimeWatchdog* + RebootWatchdog + KExecWatchdog from runtime to spec

core: fix double Environment present in both context and runtime

core: move Version/Arch/Features/Taints/UnitPath from context to runtime

selinux: get_our_contexts()

selinux: rename mac_selinux_access_check_internal() -> mac_selinux_access_check_bus_internal()

selinux-utils: rename and expose log_selinux_enforcing_errno()

selinux-util: mac_selinux_get_peer_label()

ruff: Default to python 3.7 version

For some use cases we still want python 3.7 compat so let's default
to that and only target python 3.9 in a few specific cases.

Add --entry-type=type1|type2 option to kernel-install.

Both kernel-core and kernel-uki-virt call kernel-install upon removal. Need an additional argument to avoid complete removal for both traditional kernel and UKI.

Signed-off-by: Li Tian <litian@redhat.com>

tree-wide: Use "mkosi box" instead of "mkosi sandbox"

The box verb was added as a synonym for sandbox. sandbox still works,
but let's switch to box as it's shorter.

mkosi: Drop unnecessary [Match] sections

These are already satisfied in every path that includes pkgenv.conf.

mkosi: Simplify centos/fedora configuration

Both EPEL 9 and 10 now have the packages we need except for dhcp-server
so let's get rid of the EPEL conditionals and simply skip the tests that
require dhcp-server on CentOS.

While we're at it, make sure we use the new Architecture=uefi match in
mkosi to simplify the uefi checks.

mkosi: update mkosi commit reference to 184472f0f1f831ca29953546ec01fd941ff763a6

* 184472f0f1 mkosi-tools: make sure p11-kit dir exists when configuring module
* 9fb807884e mkosi-tools: Explicitly install p11-kit
* 9131877d60 Support matching against architectures with uefi support
* f1eab5a783 Rename sandbox verb to box
* d609f55d98 Fix /var/tmp directory cleanup
* 4997b9495c build(deps): bump github/codeql-action from 3.28.18 to 3.29.2

socket-activate: Always send NOTIFY=ready

Even if we're not using --accept=, it's very useful to be able to
synchronize on systemd-socket-activate having binded to its listen
socket, so let's always send READY=1. This means the payload can't
send READY=1 anymore but it's doubtful whether that's useful in this
case in the first place.

Two trivial nspawn fixes (#38152)

vmspawn: Use virtio-blk-pci for image instead of virtio-scsi-pci

We don't need a full blown SCSI controller just to present the main
root drive device to the VM. Let's simplify the storage stack by using
virtio-blk-pci instead.

Additionally, virtio-blk-pci is a builtin module in Arch and Fedora
which means we can do qemu direct kernel boot without needing an initrd.

escape: Make quote_command_line() argument const

vmspawn: Disable hpet for vmspawn x86 virtual machines

hpet is an emulated clocksource that is generally discouraged in favor
of kvm-clock or tsc for virtual machines. While vmspawn's virtual machines
already use kvm-clock, leaving hpet enabled causes qemu on the host to
consume a non-trivial amount of cpu, so let's disable the hpet feature since
we're not making use of it anyway.

Revert "resolve: query the parent zone for DS records"

This reverts commit 49ff90c70debc59f5a52e5cec5a92507d9868b9d.

nspawn: Use in_child_chown() in one more place

nspawn: Improve log message

zsh-completion: generate completion for systemd-run from systemd-analyze

continuation of #37641

news: fix typo

man: clean up list of literals

ci: also set TEST_RUNNER environment variable in coverage test

Otherwise, integration-test-wrapper.py will fail.
```
Traceback (most recent call last):
  File "/home/runner/work/systemd/systemd/test/integration-tests/integration-test-wrapper.py", line 693, in <module>
    main()
    ~~~~^^
  File "/home/runner/work/systemd/systemd/test/integration-tests/integration-test-wrapper.py", line 677, in main
    runner = os.environ['TEST_RUNNER']
             ~~~~~~~~~~^^^^^^^^^^^^^^^
  File "<frozen os>", line 717, in __getitem__
KeyError: 'TEST_RUNNER'
```

Follow-up for c0a5801f7b034f3473c10f627d54671e1588963b.

shutdown: voidify disable_binfmt()

man: fix typo

Follow-up for 7baf4034304e2e658473a48a0ccbe0656da7f2f6.

binfmt-util: rename binfmt_mounted() -> binfmt_mounted_and_writable()

As it does not only check if binfmt_misc is mounted, but also check if
it is writable.