resolved: also rewrite private /etc/resolv.conf when configuration is changed via bus calls

This also moves log message generation into manager_write_resolv_conf(), so
that it is shorter to invoke the function, given that we have to invoke it at a
couple of additional places now.

Fixes: #3225

resolved: support IPv6 DNS servers on the local link

Make sure we can parse DNS server addresses that use the "zone id" syntax for
local link addresses, i.e. "fe80::c256:27ff:febb:12f%wlp3s0", when reading
/etc/resolv.conf.

Also make sure we spit this out correctly again when writing /etc/resolv.conf
and via the bus.

Fixes: #3359

Two CODING_STYLE additions

machinectl: Added stop as alias for poweroff (#3406)

networkd: remove unused variable (#3447)

this patch solves the following waring:

../src/network/networkd-ndisc.c:197:13: warning: unused variable ‘r’
[-Wunused-variable]
         int r;

fixes acac5b2f

cgtop: fix ret pointer usage (#3443)

cgtop: add option to show a single cgroup subtree (#3413)

When many services are running, it was difficult to see only the interesting ones.
This patch allows to show only the subtree of interest.

automount: handle expire_tokens when the mount unit changes its state (#3434)

This basically reverts 7b2fd9d51259f6cf350791434e640ac3519acc6c ("core:
remove duplicate code in automount_update_mount()").

This was not duplicate code. The expire_tokens need to be handled as well:
Send 0 == success for MOUNT_DEAD (umount successful), do nothing for
MOUNT_UNMOUNTING (not yet done) and an error for everything else.

Otherwise the automount logic will assume unmounting is not done and will
not send any new requests for mounting. As a result, the corresponding
mount unit is never mounted.

Without this, automounts with TimeoutIdleSec= are broken. Once the idle
timeout triggered a umount, any access to the corresponding filesystem
hangs forever.

Fixes #3332.

systemctl: install sigbus handler (#3435)

This makes systemctl robust regarding journal truncation.
This is a follow-up for 2cf4172a71860c6e44

Fixes:
Core was generated by `./systemctl status systemd-journald'.
Program terminated with signal SIGBUS, Bus error.
PID 8569 - core
TID 8569:
 #0  0x00007f246cc89ed6 __memcmp_sse4_1
 #1  0x0000557ebbc6f42c journal_file_init_header
 #2  0x0000557ebbc77262 journal_file_open
 #3  0x0000557ebbc42999 file_type_wanted
 #4  0x0000557ebbc42e08 add_any_file
 #5  0x0000557ebbc43832 add_directory
 #6  0x0000557ebbc4401c add_root_directory
 #7  0x0000557ebbc442e9 add_root_directory
 #8  0x0000557ebbc446fc add_search_paths
 #9  0x0000557ebbbacb5e show_journal_by_unit
 #10 0x0000557ebbb8376d print_status_info
 #11 0x0000557ebbb86a0b show_one
 #12 0x0000557ebbb87954 show
 #13 0x0000557ebbc20b1f dispatch_verb
 #14 0x0000557ebbb90615 systemctl_main
 #15 0x0000557ebbb9159f main
 #16 0x00007f246cb3e731 __libc_start_main
 #17 0x0000557ebbb75ae9 _start

Merge pull request #3392 from poettering/assorted-stuff

Assorted stuff

networkd-link: fix handler typo for route_remove() (#3433)

Obviously we've been using the wrong handler here. Fixes #3352.

core: Restrict mmap and mprotect with PAGE_WRITE|PAGE_EXEC (#3319) (#3379)

New exec boolean MemoryDenyWriteExecute, when set, installs
a seccomp filter to reject mmap(2) with PAGE_WRITE|PAGE_EXEC
and mprotect(2) with PAGE_EXEC.

Merge pull request #3409 from tomty89/update-2

networkd-dhcp6: DHCPv6 starting fixes

Merge pull request #3418 from htejun/cgroup2-log-compat

core: log cgroup legacy and unified hierarchy setting translations

core: always use "infinity" for no upper limit instead of "max" (#3417)

Recently added cgroup unified hierarchy support uses "max" in configurations
for no upper limit.  While consistent with what the kernel uses for no upper
limit, it is inconsistent with what systemd uses for other controllers such as
memory or pids.  There's no point in introducing another term.  Update cgroup
unified hierarchy support so that "infinity" is the only term that systemd
uses for no upper limit.

missing include added for build with -DDEBUG (#3424)

tests: introduce UNIFIED_CGROUP_HIERARCHY (#3419)

There are many cgroups-related changes (thanks, @htejun!)
This commit will simplify testing a bit.

Use:
make run UNIFIED_CGROUP_HIERARCHY=yes to enable cgroup-v2
make run UNIFIED_CGROUP_HIERARCHY=no to enable cgroup-v1

resolved: fix comments in resolve.conf for search domain overflows (#3422)

Write comments about "too many search domains" and "Total length of all search
domains is too long" just once. Also put it on a separate line, as
resolv.conf(5) only specifies comments in a line by themselves.

This is ugly to do if write_resolv_conf_search() gets called once for every
search domain. So change it to receive the complete OrderedSet instead and do
the iteration by itself.

Add test cases to networkd-test.py.

https://launchpad.net/bugs/1588229

hwdb: Add Thinkpad X1 carbon 4th gen to 70-pointingstick.hwdb (#3426)

Like many other recent thinkpads the factory default pointingstick
sensitivity on these devices is quite low, making the pointingstick
very slow in moving the cursor.

This extends the existing hwdb rules for tweaking the sensitivity to
also apply to the X1 carbon 4thgen model.

core: log cgroup legacy and unified hierarchy setting translations

To accommodate changes in kernel interface, cgroup unified hierarchy support
added several configuration items which overlap with the existing resource
control settings and there is simple config translation between the overlapping
settings to ease the transition.  As why certain cgroup knobs are being
configured can become confusing, this patch adds a master warning message which
is printed once when such translation is first used and logs each translation
with a debug message.

v2:

- Switched to log_unit*().

core: pass Unit into cgroup_context_apply() and use log_unit*()

cgroup_context_apply() and friends take CGroupContext and cgroup path as input
and has no way of getting back to the associated Unit and thus uses raw cgroup
path for logging.  This makes the log messages difficult to track down.
There's no reason to avoid passing in Unit into these functions.  Pass in Unit
and use log_unit*() instead.

While at it, make cgroup_context_apply(), which has no outside users, static.
Also, drop cgroup path from log messages where the path itself isn't too
interesting and can be easily obtained from the unit.

networkd-ndisc: do not start DHCPv6 when after NDISC timeout

For it's silly and unnecessary. Although it was apparently mandated by RFC 2462 in [5.5.2. Absence of Router Advertisements], that has been changed in the same section of RFC 4862, which obsoleted the former RFC.

core: add pre-defined syscall groups to SystemCallFilter= (#3053) (#3157)

Implement sets of system calls to help constructing system call
filters. A set starts with '@' to distinguish from a system call.

Closes: #3053, #3157

units: wait for plymouth to shut down in rescue.sevice (#3367)

In the same vein as commit ac59f0c12c117b9bb5b7e17f33987b0107791239 which added
the --wait option to the emergency service, this patch makes sure that plymouth
has exited before entering into the rescue mode.

networkd-dhcp6: generalize DHCPv6 client (re)starting

dhcp6_request_address() was merely a function to switch the DHCPv6 client from "stateless" mode to "stateful" mode. It was also a one-way switch. Also, to (re)start the client, we would need to repeat separate function calls.

In this patch, dhcp6_request_address() is made a general starter/manager of the DHCPv6 client. It now takes an extra parameter so we will be specifying which mode the DHCPv6 client should be started in. Also it will keep track of the current mode and compare with the newly requested mode, and only restart the client in case there is a difference between them.

This also makes sure that the DHCPv6 client will be (re)started accordingly as per the Router Advertisement flags.

systemctl: systemctl show --property' needs verification of property (#3364)

systemctl --property doesn't validate if a requested property is valid or not,
and always returns with an exit code of 0, regardless of whether the requested
property exists or not.

How reproducible:

This works fine:

Id=multi-user.target
But put in a non-existing property:

Id=default.targets.service
Id=default.targets.service
0
[root@shou18lkvm8 ~]# systemctl show --property Id this.is.rubbish; echo $?
Id=this.is.rubbish.service
0

After:

sus@maximus bz-95593]$ ./systemctl show --property Id this.is.rubbish; echo $?
Can't display property this.is.rubbish. Unit this.is.rubbish.service does not
exist.
4

fixes #2295

systemctl: Replace init script error codes with enum (#3400)

Now we just using constants for the init script exit status codes.
Replace those error codes with enum so that it's more meaningful
and readable.

network: fix wrong include of source file "ether-addr-util.c" (#3402)

Fixes: 9ed8b06c9be4a5efae432d5cf4b1c47d03e6f107

hwdb: add axis ranges for the Lenovo X220 touchpad (#3397)

Side-effect of https://bugs.freedesktop.org/show_bug.cgi?id=94989

man: document that systemctl -ff reboot does not require PID 1 to work (#3310)

As suggested in

https://github.com/systemd/systemd/issues/3282#issuecomment-220264509

update TODO

bash: use the actual journal fields used in the journal files for completion

dhcp-server: fix integer underflow

Let's better ignore an invalid message size parameter, than assume ridiculously
larger sizes.

pager: don't start pager if the terminal is explicitly set to TERM=dumb

As suggested here:

https://bugs.freedesktop.org/show_bug.cgi?id=64737#c8

This adds a new call terminal_is_dumb() and makes use of this where
appropriate.

tree-wide: check colors_enabled() before outputting ANSI color strings

tree-wide: use ansi_highlight() instead of ANSI_HIGHLIGHT where appropriate

Let's make sure SYSTEMD_COLORS is honour by more tools

sysv-generator: don't create Conflicts= deps towards shutdown.target anymore

This is redundant as SysV services get DefaultDependencides=yes anyway, and
thus conflict with shutdown.target anyway. Hence, let's simplify our code here.

util-lib: make localed's nonempty() generic, rename it to empty_to_null() and make use of it everywhere

networkd: bridge add support to configure VLAN filtering (#3344)

This patch implements support for IFLA_BR_VLAN_FILTERING configuration.

systemctl: return diffrent error code if service exist or not (#3385)

Before:
[sus@maximus bz-1256858]$ systemctl status rsyslog.service;echo $?
● rsyslog.service - System Logging Service
   Loaded: loaded (/usr/lib/systemd/system/rsyslog.service; enabled; vendor
preset: enabled)
  Drop-In: /etc/systemd/system/rsyslog.service.d
           └─50-CPUShares.conf
   Active: inactive (dead) since Mon 2016-05-30 11:54:25 IST; 2h 26min ago
     Docs: man:rsyslogd(8)
           http://www.rsyslog.com/doc/
  Process: 1159 ExecStart=/usr/sbin/rsyslogd -n $SYSLOGD_OPTIONS (code=exited,
status=0/SUCCESS)
 Main PID: 1159 (code=exited, status=0/SUCCESS)

May 30 11:07:50 maximus systemd[1]: Starting System Logging Service...
May 30 11:07:50 maximus systemd[1]: Started System Logging Service.
May 30 11:54:25 maximus systemd[1]: Stopping System Logging Service...
May 30 11:54:25 maximus systemd[1]: Stopped System Logging Service.
3
[sus@maximus bz-1256858]$ systemctl status hello.service;echo $?
● hello.service
   Loaded: not-found (Reason: No such file or directory)
   Active: inactive (dead)
3

After:
$ ./systemctl status hello.service;echo $?
Failed to dump process list, ignoring: Access denied
● hello.service
   Loaded: not-found (Reason: No such file or directory)
   Active: inactive (dead)
4
[sus@maximus bz-1256858]$  ./systemctl status rsyslog.service;echo $?
Failed to dump process list, ignoring: Access denied
● rsyslog.service - System Logging Service
   Loaded: loaded (/usr/lib/systemd/system/rsyslog.service; enabled; vendor
preset: enabled)
  Drop-In: /etc/systemd/system/rsyslog.service.d
           └─50-CPUShares.conf
   Active: inactive (dead) since Mon 2016-05-30 11:54:25 IST; 2h 24min ago
     Docs: man:rsyslogd(8)
           http://www.rsyslog.com/doc/
  Process: 1159 ExecStart=/usr/sbin/rsyslogd -n $SYSLOGD_OPTIONS (code=exited,
status=0/SUCCESS)
 Main PID: 1159 (code=exited, status=0/SUCCESS)

May 30 11:07:50 maximus systemd[1]: Starting System Logging Service...
May 30 11:07:50 maximus systemd[1]: Started System Logging Service.
May 30 11:54:25 maximus systemd[1]: Stopping System Logging Service...
May 30 11:54:25 maximus systemd[1]: Stopped System Logging Service.
3

Fixes: 1092

doc: clarify systemd.exec's paths definition (#3368)

Definitions of ReadWriteDirectories=, ReadOnlyDirectories=, InaccessibleDirectories=,
WorkingDirectory=, and RootDirecory= were not clear. This patch specifies when
they are relative to the host's root directory and when they are relative to the service's
root directory.

Fixes #3248

udevd: try close ctrl connection blocking socket only once when spawning a new worker (#3387)

Merge pull request #3389 from lucab/to-upstream/man-typos

man: fix recurring typo

man: fix recurring typo

util-lib: Add sparc64 support for process creation (#3348)

The current raw_clone function takes two arguments, the cloning flags and
a pointer to the stack for the cloned child. The raw cloning without
passing a "thread main" function does not make sense if a new stack is
specified, as it returns in both the parent and the child, which will fail
in the child as the stack is virgin. All uses of raw_clone indeed pass NULL
for the stack pointer which indicates that both processes should share the
stack address (so you better don't pass CLONE_VM).

This commit refactors the code to not require the caller to pass the stack
address, as NULL is the only sensible option. It also adds the magic code
needed to make raw_clone work on sparc64, which does not return 0 in %o0
for the child, but indicates the child process by setting %o1 to non-zero.
This refactoring is not plain aesthetic, because non-NULL stack addresses
need to get mangled before being passed to the clone syscall (you have to
apply STACK_BIAS), whereas NULL must not be mangled. Implementing the
conditional mangling of the stack address would needlessly complicate the
code.

raw_clone is moved to a separete header, because the burden of including
the assert machinery and sched.h shouldn't be applied to every user of
missing_syscalls.h

Merge pull request #3378 from keszybz/unit-write-drop-in-newline-removal

Remove newlines from drop in format strings + some formatting fixes

Fix FS_EXTENT_FL description (#3381)

man: cite systemd.offline-updates(7) instead of linking to old wiki page

man: punctuation fixes

Fixes #3376.

tree-wide: remove newlines from unit_write_drop_in

This reverts part of #3329, but all for a good cause.

core/unit: append newline when writing drop ins

unit_write_drop_in{,_private}{,_format} are all affected.

We already append a header to the file (and section markers), so those functions
can only be used to write a whole file at once. Including the newline at
the end feels natural.

After this commit newlines will be duplicated. They will be removed in
subsequent commit.

Also, rewrap the "autogenerated" header to fit within 80 columns.

Merge pull request #3326 from tomty89/update-2

networkd: IPv6 fixes

Merge pull request #3360 from glaubitz/master

Fix multiple unaligned accesses in test-dns-packet and sd-dhcp-server.

Typo fix: s/advertisment/advertisement/

systemctl: remove empty line between comment and action

It's harder to miss the comment without the newline ;)
See https://github.com/systemd/systemd/pull/3336#issuecomment-221749423
for context.

Merge pull request #3328 from poettering/ipv4ll-ipv4acd-fixes

various sd-Ipv4ll/sd-ipv4acd fixes

Merge pull request #3336 from eworm-de/systemctl-set-default

systemctl: return success for set-default, add-wants, add-requires...

login: Fix policy for org.freedesktop.login1.set-self-linger (#3365) (#3373)

We need to explicitly define authorizations for allow_inactive and
allow_active. Otherwise one is getting "Access denied" when run from a
local console:

$ loginctl enable-linger
Could not enable linger: Access denied

networkd: disable IPv6 for bridge slave

If an interface is managed as a bridge slave, we don't want any IP configuration for it. Therefore, disable IPv6 in such case.

networkd: unset master if not enslaved with networkd

When we manage an interface with networkd but not as a slave (i.e. no `Bridge=` or `Bond=` set in its .network), we do not want it to remain slaved.

networkd/sd-dhcp-server: Fix unaligned access in parse_request().

core: add cgroup memory controller support on the unified hierarchy (#3315)

On the unified hierarchy, memory controller implements three control knobs -
low, high and max which enables more useable and versatile control over memory
usage.  This patch implements support for the three control knobs.

* MemoryLow, MemoryHigh and MemoryMax are added for memory.low, memory.high and
  memory.max, respectively.

* As all absolute limits on the unified hierarchy use "max" for no limit, make
  memory limit parse functions accept "max" in addition to "infinity" and
  document "max" for the new knobs.

* Implement compatibility translation between MemoryMax and MemoryLimit.

v2:

- Fixed missing else's in config_parse_memory_limit().
- Fixed missing newline when writing out drop-ins.
- Coding style updates to use "val > 0" instead of "val".
- Minor updates to documentation.

Merge pull request #3329 from htejun/dbus-cgroup-fixes

dbus-cgroup fixes

core: fix missing newline when writing drop-in for WorkingDirectory (#3337)

Merge pull request #3356 from OpenDZ/tixxdz/nspawn-quick-v1

nspawn: filesystem uid patching fixes and other minor improvments

systemctl: fix code path (and memory leak) on error

systemctl: fix return values on success

systemctl: remove extra comma

resolve/test-dns-packet: Fix unaligned access in test_packet_from_file().

nspawn: rename arg_retain to arg_caps_retain

The argument is about capabilities.

nspawn: split out seccomp call into nspawn-seccomp.[ch]

Split seccomp into nspawn-seccomp.[ch]. Currently there are no changes,
but this will make it easy in the future to share or use the seccomp logic
from systemd core.

nspawn: rename is_procfs_sysfs_or_suchlike() to is_fs_fully_userns_compatible()

Rename is_procfs_sysfs_or_suchlike() to is_fs_fully_userns_compatible()
to give it the real meaning. This may prevent future modifications that
may introduce bugs.

nspawn: a bench of special fileystems that should not be shifted

Add some special filesystems that should not be shifted, most of them
relate to the host and not to containers.

{machine,system}ctl: always pass &changes and &n_changes (#3350)

We have to pass addresses of changes and n_changes to
bus_deserialize_and_dump_unit_file_changes(). Otherwise we are hit by
missing information (subsequent calls to unit_file_changes_add() to
not add anything).

Also prevent null pointer dereference in
bus_deserialize_and_dump_unit_file_changes() by asserting.

Fixes #3339

ipv4ll: shorten some checks by using IN_SET a bit

As suggested:

https://github.com/systemd/systemd/pull/3328#discussion-diff-64285764

sd-ndisc: small coding style fixes

Let's use usec_t internally always, when dealing with time values.

Let's use uint8_t* pointers if we are dealing with generic byte pointers.

sd-ndisc: add more whitespace

Whitespace doesn't hurt and helps structuring things.

sd-ndisc: stop discovery properly when something fails

sd-ndisc: rework size checking in ndisc_ra_parse()

Let's better check the size before we subtract. Also, let's change the size
argument to size_t, as it cannot be signed anyway.

Finally, use EBADMSG for indicating invalid packets, like we do everywhere
else.

sd-ndisc: simplify clamping of router "pref" parameter

sd-ndisc: append "event_source" to event source objects stored in structures

Otherwise it gets too confusing whether "timeout" refers to an event source or
just a timeout time specification.

sd-ndisc: add log_ndisc_errno() macro, to complement log_ndisc() like elsewhere

Also make use of it where appropriate.

sd-ndisc: use the right object to pass to log_ndisc()

There's no "client" object, in both cases. There's only "nd".

This wasn't noticed before, as the context object is currently not actually
used by the log macros.

sd-ndisc: Typo fix: s/advertisment/advertisement/

ipv4acd: rename "ll" parameter to "acd" everywhere

Appears to be a (confusing) left-over from copy/paste when this still was
ipv4ll code.

sd-ipv4ll: add a bit of logging to IPv4LL too

sd-ipv4acd: drop IPV4ACD_NETWORK definition

Appears to be a copy/paste mistake from sd-ipv4ll. Let's get rid of this.

ipv4acd: rework how we pick ipv4ll addresses

Let's make the seed actually work as stable seed, and use siphash24 to generate
the series of addresses, instead of the opaque libc random_r().

This not only makes the seed truly work as stable, portable seed, but also
makes the code quite a bit shorter, and removes a couple of memory allocations.

ipv4ll: change "seed" parameter to be uint64_t

Let's make clear this always has the same size, since otherwise it's not useful
for reproducible runs, which this is really about however.

ipv4acd: make sure our event handler callbacks never check uninitialized "r" for errors

ipv4acd: normalize time types to usec_t

We try to stick to usec_t for encoding time information, do that here too. In
particular, get rid of "int" second specifications, since signed timespans are
a weird thing.

ipv4acd: in case the state engine is reused, reset n_conflict timer to 0

ipv4acd: no need to memcpy() where assignment suffices

ipv4acd: introduce new "started" state

This state is active immediately after the state engine was started, but before
the first timer hits.

This way multiple _start() invocations on the same object are always detected
correctly.

ipv4acd: rename ipv4acd_stop() → ipv4acd_reset()

This is much less confusing, since there's also sd_ipv4acd_stop(), which was
idfferent from ipv4acd_stop().

After renaming it, let's also use the funciton when destroying ipv4acd objects,
as the code is pretty much the same for that.

ipv4acd: add "_event_source" suffix to event source objects

Otherwise the field "receive_message" is a bit too confusing, as it suggests it
actually stores a message object of some kind.

ipv4acd: make the iteration and conflict fields unsigned

They are counters after all, and can never go below zero, hence don't pretend
with the chose type that they could.

Also, prefix their name with "n_", to indicate that they are counters.

ipv4l-{acd,ll}: make sure ipv4 addresses are unsigned

And some other minor fixes.

ipv4acd: library code should never log

Or actually, not at any level higher than debug.

sd-ipv4{acl,ll}: don't make use of RefCnt objects

These objects are only useful when multiple threads are involved, as they
operate with atomic operations. Given that our libraries are explicitly not
thread-safe don't make use of RefCnt here, and make things a bit simpler.