Merge pull request #3873 from DaanDeMeyer/snapshot-split

rhel: Look up entitlement keys and certificates in sandbox

Similar to how we handle rpm GPG keys, let's also look up the extra
stuff for RHEL in the sandbox in the same way.

Fixes #3854

Merge pull request #3869 from DaanDeMeyer/workspace

initrd: Stop passing --workspace-dir=

tree-wide: Remove numbered prefixes from config files

With the following changes, there's no more need for numbered prefixes
for ordering:

- Assume EPEL is available for CentOS Stream 9/10
- Stop enabling epel-next repository for CentOS Stream 9
- Remove orphan_file hack for ubuntu jammy since we do it internally now

So we make these changes and remove the numbered prefixes throughout the
tree.

Fix deprecation warning

fedora: Various ELN fixes

The logic for ELN was quite broken in various places, let's fix it
up so it actually builds properly.

centos: Optimize gpg key lookups

Currently we end up looking for the same gpg keys over and over again,
which is noticeably expensive as the lookup involves spawning a sandboxed.

Let's optimize by calculating the GPG keys and passing them around as
needed.

Remove mirror from default package cache directory cache key again

We added this initially to deal with pacman not having the mirror
in its cache key of repository metadata. The downside of this approach
is that we cannot cache packages across different mirrors. As an
aternative, let's simply not cache repository metadata for pacman in
the package cache directory.

While we're at it, remove the hack we did for zypper to ensure it had
the mirror in its cache key and also don't store its repository metadata
in the package cache directory. The reasoning here is while we can make
sure our own generated repository ids have the hashed mirror in them, we
cannot do so for any repositories added by users, which might end up causing
conflicts.

dnf: Share package cache between repositories with different baseurl=

Currently, the dnf5 package is not shared between repositories with the
same id but different baseurl=. For building images this is not ideal,
we do not want to have to redownload all packages when switching the
baseurl= or similar for a repository, so let's fix this by having
package_subdirs() return a tuple of source and destination path, and
in dnf's implementation of it, use the same package cache directory
for all repositories with the same id, regardless of the baseurl= used.

Note that this only applies to the package cache directory, the repository
metadata is still cached in the cache directory that is keyed by the baseurl=
or equivalent setting.

Make package_subdirs() return relative paths

Stop passing --workspace-dir= in mkosi-initrd and mkosi-addon

The default value when running as root is /var/tmp now so there's no
need to specify --workspace-dir= explicitly anymore. This allows the
workspace directory to be changed in the configuration file in
/etc/mkosi-initrd and /etc/mkosi-addon.

Fixes #3852

opensuse: Add support for RISC-V for Tumbleweed

Some small changes to enable building RISC-V images for openSUSE
Tumbleweed.

Signed-off-by: Fredrik Lönnegren <fredrik@frelon.se>

Revert "mkosi-initrd: add --workspace-directory option"

https://github.com/systemd/mkosi/issues/3852 is better fixed
by not configuring --workspace-dir at all within mkosi-initrd.
This allows it to be changed via the config file as the CLI argument
won't override it anymore and the default value used when running as
root is /var/tmp anyway.

This reverts commit 60ef8b5c7476ea287bb6b78711cf9280011d22f0.

fedora: Rework rawhide GPG key logic

- Drop secondary key logic as looking at https://github.com/rpm-software-management/distribution-gpg-keys/tree/main/keys/fedora,
  this hasn't been used for a long time.
- If repository key fetching is enabled, always look up the key remotely
  as e.g. on CentOS 9 or so the rawhide symlink might be horribly outdated.
- If not using repository key fetching, Use all local keys newer than the
  rawhide key as well to maximize the chances of including the current rawhide
  key.
- Resolve symlinks within the sandbox in find_rpm_gpgkey() as we might not be
  able to resolve the symlinks outside of the sandbox.

Include {sys,conf}ext info in metadata file

Signed-off-by: Alberto Planas <aplanas@suse.com>

Set MakeInitrd=yes in documentation for building custom initrd

Otherwise /etc/initrd-release won't exist in the initrd and systemd won't do the usual initrd stuff

Merge pull request #3853 from aafeijoo-suse/initrd-more-options

mkosi-initrd: add --workspace-dir option

man: clarify that $CACHE_DIRECTORY affects --workspace-directory

mkosi-initrd: add --workspace-directory option

Fixes #3852

mkosi-tools: add grub2-common to openSUSE tools tree

Otherwise, with `BiosBootloader=grub`:

```
A BIOS bootable image with grub was requested but mkimage was not found
```

And with UEFI, an assertion is reached:

```
Traceback (most recent call last):
  File "/home/dev/mkosi/mkosi/run.py", line 51, in uncaught_exception_handler
    yield
  File "/home/dev/mkosi/mkosi/run.py", line 91, in fork_and_wait
    target(*args, **kwargs)
    ~~~~~~^^^^^^^^^^^^^^^^^
  File "/home/dev/mkosi/mkosi/__init__.py", line 4964, in run_build
    build_image(
    ~~~~~~~~~~~^
        Context(
        ^^^^^^^^
    ...<7 lines>...
        )
        ^
    )
    ^
  File "/home/dev/mkosi/mkosi/__init__.py", line 4051, in build_image
    install_grub(context)
    ~~~~~~~~~~~~^^^^^^^^^
  File "/home/dev/mkosi/mkosi/bootloader.py", line 354, in install_grub
    grub_mkimage(
    ~~~~~~~~~~~~^
        context,
        ^^^^^^^^
    ...<3 lines>...
        sbat=sbat,
        ^^^^^^^^^^
    )
    ^
  File "/home/dev/mkosi/mkosi/bootloader.py", line 187, in grub_mkimage
    assert mkimage
           ^^^^^^^
AssertionError
```

mkosi-tools: virtiofsd is only available on a subset of architectures on debian/ubuntu

Package virtiofsd is not available, but is referred to by another package.
This may mean that the package is missing, has been obsoleted, or
is only available from another source

E: Package 'virtiofsd' has no installation candidate
‣ "/work/prepare final" returned non-zero exit code 123.

fedora: be more persistent when guessing what rawhide could be

If the key to use is rawhide, let's try and look up the symlink target and also
check the version online to scrounge in our local keys.

Use apt-ftparchive instead of reprepro

Afaict, this should work quite similar to the previous dpkg-scanpackages but
also doesn't use perl and is part of apt. Certain distros don't have reprepro
packaged, e.g. nixpkgs. It's also a simpler to work with and smaller compared
to reprepro.

fix dead/404 link

`mkosi.images` moved under a `mkosi` subdirectory

mkosi-tools: Drop systemd-boot-efi package

There's no need to install systemd-boot, systemd-stub, ... in the
tools tree as these are picked up from inside the image so let's stop
installing systemd-boot-efi in the tools tree.

Follow up for 9a0d8a8906695a35011ecfd81b36fe82c1577488

Add debug logging for version reported by systemd tools

mkosi-tools: move systemd-boot package to conf file matching older releases

Since debian 13/ubuntu 25.04 the tools needed at build time
(bootctl) are in the systemd-boot-tools package, so there's
no need to pull in the systemd-boot package in the tools image,
since it is an integration point that sets up the local ESP and
so on

README: clarify that companion tools can also be enabled from the git repo

Drop microsecond resolution for datetime.now()

The RPM INSTALLTIME attribute is an integer represetantion of the
installation time of the package, and datetime.now is a date
representation of a float timestamp.  This can produce some rounding
errors is powerful build servers.

For example, if the variable `_init_timestamp` has a value XXXXX.1 but
in the same sub-second the package gets installed, the registered
installation time will be the integer representation (XXXXX), making the
comparison done for exclusion of the package to be `True`.

This patch will remove the microsecond granularity of the datetime,
converting the timestamp on its integer representation, instead of the
default float one.  The comparison is still done in the datetime data
type.

Signed-off-by: Alberto Planas <aplanas@suse.com>

mkosi-initrd: install raid rule with 70 prefix

This aligns better with other common MD device rules installed from
mdadm/multipath/etc.

Closes: #3836
Signed-off-by: Jake Helmert <jhelmert@pacificbiosciences.com>

ci: give a hint about possible fixes for failing reuse lints

build(deps): bump github/codeql-action from 3.29.2 to 3.29.5

Bumps [github/codeql-action](https://github.com/github/codeql-action) from 3.29.2 to 3.29.5.
- [Release notes](https://github.com/github/codeql-action/releases)
- [Changelog](https://github.com/github/codeql-action/blob/main/CHANGELOG.md)
- [Commits](https://github.com/github/codeql-action/compare/181d5eefc20863364f96762470ba6f862bdef56b...51f77329afa6477de8c49fc9c7046c15b9a4e79d)

---
updated-dependencies:
- dependency-name: github/codeql-action
  dependency-version: 3.29.5
  dependency-type: direct:production
  update-type: version-update:semver-patch
...

Signed-off-by: dependabot[bot] <support@github.com>

mkosi-initrd: move udev rules files for dm and md

10-mkosi-initrd-dm.rules is used not only by LVM, but generic DM
devices. Hence, it must be in the base image.

10-mkosi-initrd-md.rules is used by MD raid, hence it must be in the
raid profile.

Follow-ups for b8bda09866bd64d99157010b4566c9872bb844b6 and
686f57d7f91f1c71bb10a69474e1ca795287bc71.
Fixes https://github.com/systemd/systemd/issues/36162.

mkosi-vm: Drop tpm_tis change

Follow up for 07c24a7d42b20d4fde14e6b0bf4b1d77ac299d13

Setting this for mkosi-vm means only tpm_tis is included and nothing
else is included which is bogus so revert the change.

shim: fix log message of installed binary

Followup to 10e50f8c55a56fc4260e171239b5fbdbde1b433d

mkosi-initrd/vm: ensure TPM2 core modules are installed in the initrd

On arm64 the tpm_tis modules are not built-in, so /dev/tpmrm0 does
not show up in the initrd and it times out, and unlocking using
the tpm doesn't work.
Ensure the modules are included in the initrd if they are not
built in.

Jul 28 23:19:45 localhost systemd[1]: Expecting device dev-tpmrm0.device - /dev/tpmrm0...
Jul 28 23:19:48 localhost (udev-worker)[212]: ctx=0xaaab038cd650 path=/lib/modules/6.12.33+deb13-cloud-arm64/kernel/drivers/char/tpm/tpm_tis_core.ko.xz error=No such file or directory
Jul 28 23:19:49 localhost (udev-worker)[210]: ctx=0xaaab038cd650 path=/lib/modules/6.12.33+deb13-cloud-arm64/kernel/drivers/char/tpm/tpm_tis_core.ko.xz error=No such file or directory
Jul 28 23:21:11 localhost systemd[1]: dev-tpmrm0.device: Job dev-tpmrm0.device/start timed out.

https://oracle.github.io/kconfigs/?config=UTS_RELEASE&config=TCG_TIS&config=TCG_TIS_CORE

FirmwareVariables: allow generating during image build

The build immediately fails if FirmwareVariables=%O/somefile is used, as
the config parser won't be able to find it, so it is not possible to
generate it during the image build itself (e.g: mkosi.postoutput)
in order to add generated keys to MOK. Set required=False.

env: export $EFI_ARCHITECTURE in hook scripts on EFI arches

Saves from having to do the translations manually a bunch of times

mkosi-tools: ukify moved to systemd-ukify in openSUSE

Since https://build.opensuse.org/request/show/1294979

Merge pull request #3826 from bluca/mok_install

shim: ensure binaries do not get installed to ESP with .signed suffix

shim: ensure binaries do not get installed to ESP with .signed suffix

Binaries in the ESP need to be .efi, not .efi.signed,
so truncate the filename if the source has it (like MOK
in Debian).

Fix new linter warning

ensure builds with cache over device boundaries

when running mkosi with the default cache dir/XDG_CACHE_HOME on a
different device than the mkosi working directory, mkosi falls back to
trying to copy the cache using `copy_tree` from tree.py.

the cache contains symlinks which are pointing to files on the host:

e.g. `mkosi.cache/debian...cache/usr/bin/mt -> /etc/alternatives/mt`

`os.listxattr()` defaults to `follow_symlinks=True`, which leads to
`FileNotFoundError`s if the files don't exist on the host, which stops
the build.

this patch ignores symlinks, but feels like a workaround, as our
assumption would be that such absolute links should not be traversed
outside the chroot in the first place.

Co-authored-by: ZauberNerd <zaubernerd@zaubernerd.de>

Change UnifiedKernelImages to enum and accept signed/unsigned

With custom firmware we enroll our keys in db, so local UKIs can be
built and there's no need to fail the build. Many distributions
ship signed bootloaders, but they still don't ship UKIs.
Add an enum and a parser (to keep backward compat), and if set to
unsigned build locally instead of failing when the bootloader is
signed.

Merge pull request #3815 from DaanDeMeyer/man

man: Clarify that apparmor needs resolved path to mkosi

Various man page fixes

mkosi-vm: install systemd-boot-efi-signed where available

Needed for Bootloader=systemd-boot-signed

Merge pull request #3813 from behrmann/ruff2

Change ruff check and ruff format order

ci: switch ruff check output format to github

ci: switch order of ruff check and ruff format

opensuse: Install OpenSUSE-release if another release package is not installed

Fixes #3782

qemu: Disable hpet for x86 VMs

hpet is an emulated clocksource that is generally discouraged in favor
of kvm-clock or tsc for virtual machines. While mkosi's virtual machines
already use kvm-clock, leaving hpet enabled causes qemu on the host to
consume a non-trivial amount of cpu, so let's disable the hpet feature since
we're not making use of it anyway.

mkosi-tools: install systemd-boot-tools for bootctl

Merge pull request #3805 from bluca/arm_ppc

ci: add couple more arm64 builds, add ppc64le builds

ci: add fedora/debian ppc64le build jobs

Lower rate limit, and cannot run integration tests as there's no KVM so
it's too slow, so add just two builds to ensure build regressions
don't happen

ci: add arm64 build jobs to cover fedora/suse/ubuntu as well

Packages are different enough, so cover them all to ensure images
can be built

Merge pull request #3803 from bluca/uefi_fixes

More non-uefi config fixlets

man: remove duplicate 'the' in FirmwareVariables description

Related: #3787

conf: pull in shim-signed only on amd64/arm64 on debian/ubuntu/kali

shim-signed only exists on amd64/arm64, not on other architectures,
not even uefi ones

mkosi-vm: only install systemd-boot on uefi on debian/ubuntu/kali

mkosi-vm: do not install bootloaders on non-UEFI arches

‣ Cannot make image bootable on UEFI on ppc64-le architecture

Can still boot with direct kernel booting on qemu, so disable
for now

Merge pull request #3796 from bluca/arm

Fixes for arm64 images, add CI job

ci: add one arm64 job

ci: do not run integration tests if there's no KVM

Without KVM tests are too slow and timeout after an hour

mkosi-vm: install cloud kernel for debian/arm64 builds

The non-cloud arm64 kernel does not enable some configs
that are needed for the qemu runs, like generic TPM support

qemu: fix booting aarch64 with TPM2

EDK2 nowadays does provide secureboot for arm. Not only that, TPM2 support is
only enabled in builds that enable secure boot, probably because it's all
part of the TCG modules.

Default to uefi_secure_boot on arm too, like x86.

Also do not pass qemu x86-only configuration options that break booting
arm.

qemu: do not pass -cpu max,pcid=off unless it's for x86_64

qemu-system-aarch64: can't apply global max-arm-cpu.pcid=off: Property 'max-arm-cpu.pcid' not found

Merge pull request #3766 from aafeijoo-suse/initrd-profiles-network-nfs

Add "nfs" (and "network") initrd profiles

Add "nfs" initrd profile

nfs-utils-2.8.4 will provide its own nfsroot-generator [1] to allow mounting the
real rootfs via NFSv4, so this initrd profile will enable this feature.

[1] http://git.linux-nfs.org/?p=steved/nfs-utils.git;a=commit;h=ed86ea08dadafbac948c6a45629a6f3282a77233

Add "network" initrd profile

This profile provides networking in the initrd using systemd-networkd.

mkosi-initrd: install procps

This package contains some useful system utilities: sysctl, pidof, free, top...

mkosi-tools: make sure p11-kit dir exists when configuring module

Fixes this failure, since I guess the dir may not exist:

‣  Running prepare script /tmp/tmphh1uwz2a/resources/mkosi-tools/mkosi.prepare…
/work/prepare: line 4: /buildroot/usr/share/p11-kit/modules/opensc.module: No such file or directory

mkosi-tools: Explicitly install p11-kit

Merge pull request #3797 from DaanDeMeyer/remove-packages-optimization

Do not try to install packages that are listed in RemovePackages=

This allows using RemovePackages= in mkosi.local.conf to prevent
certain packages listed in the regular configuration from being
installed in the first place.

We also add RemovePackages= to the cache manifest because it now
affects the cached images.

pacman: Don't fail if packages to remove aren't installed

We already do this for other package managers, let's do it for pacman
as well.

Merge pull request #3793 from bluca/ppc_s390_build

Make ppc64le/s390x buildable

opensuse: pull in grep/gzip/xz explicitly to avoid busybox in main image

Problem: 1: the installed busybox-xz-1.37.0-34.1.noarch conflicts with 'xz' provided by the to be installed xz-5.8.1-1.1.aarch64
 Solution 1: deinstallation of busybox-xz-1.37.0-34.1.noarch
 Solution 2: do not install xz-5.8.1-1.1.aarch64

gha: do not fail if kvm/vhost are not available

On ppc64le/s390x runners there's no kvm/vhost

Move efi-specific packages to efi-specific config files

opensuse: add ppc64le/s390x definitions

The repository URLs are a bit weird and do not match 1:1 with architecture
names

Support matching against architectures with uefi support

Rename sandbox verb to box

It's both shorter, and doesn't give the wrong impression that this
is about security sandboxing, so let's rename the sandbox name to
just box. Keep the old name as well of course for compat.

Fix /var/tmp directory cleanup

Currently, if /work does not exist, we go into the exception handler which
doesn't do anything if the errno is ENOENT, even though we still need to
remove the parent directory.

build(deps): bump github/codeql-action from 3.28.18 to 3.29.2

Bumps [github/codeql-action](https://github.com/github/codeql-action) from 3.28.18 to 3.29.2.
- [Release notes](https://github.com/github/codeql-action/releases)
- [Changelog](https://github.com/github/codeql-action/blob/main/CHANGELOG.md)
- [Commits](https://github.com/github/codeql-action/compare/ff0a06e83cb2de871e5a09832bc6a81e7276941f...181d5eefc20863364f96762470ba6f862bdef56b)

---
updated-dependencies:
- dependency-name: github/codeql-action
  dependency-version: 3.29.2
  dependency-type: direct:production
  update-type: version-update:semver-minor
...

Signed-off-by: dependabot[bot] <support@github.com>

Merge pull request #3788 from DaanDeMeyer/opensc

tests: Skip test_tools() when in sandbox

If we're running inside mkosi sandbox, we don't parse the default
tools tree configuration, which this test depends on, so skip it
when running in the sandbox.

Revert "Make user provided command line take preference over roothash="

This reverts commit 5a15c7d31d097a11f83cfae664b0b7bb40100fc3.

mkosi-tools: Make sure opensc module is registered with p11-kit

Otherwise openssl will fail to load keys off a yubikey when using
pkcs11-provider. For more discussion and why this isn't the default
everywhere, see https://gitlab.archlinux.org/archlinux/packaging/packages/opensc/-/issues/2.

resources: Make sure scripts are made executable in as_file()

We don't have access to permissions from the Traversables so we check
for a shebang in each file instead.

as_file() backport improvements

- Simplify
- Fully type
- Move to mkosi.resources

We're going to extend it in the next commit, so no point in keeping
it the same as upstream anymore.

Merge pull request #3783 from DaanDeMeyer/syntax-warning

Three fixes

Make /etc/machine-id from host available in relaxed sandbox as well

Make sure various host files are added to every relaxed sandbox

Let's not just make these available to mkosi sandbox, but to every
other relaxed sandbox we set up as well.

sandbox: Work around extra file descriptor opened by importing ctypes since python 3.14

Since python 3.14, importing ctypes opens an extra file descriptor which is used to allocate libffi
closures which are in turn used by ctypes to pass python functions as C callback function pointers. We
don't use this functionality, yet the file descriptor is still opened and messes with the file descriptor
packing logic since the file descriptor to libffi will be passed as a packed file descriptor to the
executable we're invoking. To avoid that from happening, we close libffi's file descriptor after importing
ctypes.

See https://github.com/python/cpython/issues/135893.

sandbox: Fix typo

Merge pull request #3780 from bluca/defer_compress

Fix combining compression and skipping partitions (for signing)

mkosi-obs: support splitting out and compressing partitions

Need to recompress the verity-sig partition after creating it,
and deleting the non-compressed split out partitions that are
already present as compressed but that sd-repart re-creates
when doing the signature attach operation.

compress: do not attempt to compress skipped partitions

When doing offline verity signing, split partitions and compression are
enabled, we attempt to compress a non-existing partition (verity-sig)
which will be created only later.
Do not attempt to compress partitions that are marked to be skipped by
repart.