Merge pull request #12252 from keszybz/libmount-dont-unescape

Don't unescape paths from libmount

Merge pull request #12223 from yuwata/network-wireguard-preshared-key-file

network: add PresharedKeyFile= setting and make reading key file failure fatal

pid1,shutdown: do not cunescape paths from libmount

The test added in previous commit shows that libmount does the unescaping
internally.

test-libmount: let's see how libmount parses stuff

With libmount-2.33.1-3.fc30.x86_64 I get:
/* test_libmount_unescaping_one escaped space + utf8 */
from '729 38 0:59 / /tmp/\342\200\236zupa\\040z\304\231bowa\342\200\235 rw,relatime shared:395 - tmpfs die\\040Br\303\274he rw,seclabel'
source: 'die Brühe'
source: 'die Br\303\274he'
source: 'die Brühe'
expected: 'die Brühe'
target: '/tmp/„zupa zębowa”'
target: '/tmp/\342\200\236zupa z\304\231bowa\342\200\235'
target: '/tmp/„zupa zębowa”'
expected: '/tmp/„zupa zębowa”'
/* test_libmount_unescaping_one escaped newline */
from '729 38 0:59 / /tmp/x\\012y rw,relatime shared:395 - tmpfs newline rw,seclabel'
source: 'newline'
source: 'newline'
source: 'newline'
expected: 'newline'
target: '/tmp/x
y'
target: '/tmp/x\ny'
target: '/tmp/x
y'
expected: '/tmp/x
y'
/* test_libmount_unescaping_one empty source */
from '760 38 0:60 / /tmp/emptysource rw,relatime shared:410 - tmpfs  rw,seclabel'
source: ''
source: ''
source: ''
expected: ''
target: '/tmp/emptysource'
target: '/tmp/emptysource'
target: '/tmp/emptysource'
expected: '/tmp/emptysource'
/* test_libmount_unescaping_one foo\rbar */
from '790 38 0:61 / /tmp/foo\rbar rw,relatime shared:425 - tmpfs tmpfs rw,seclabel'
source: 'tmpfs'
source: 'tmpfs'
source: 'tmpfs'
expected: 'tmpfs'
target: '/tmp/foo'
target: '/tmp/foo'
target: '/tmp/foo'
expected: 'n/a'

With https://github.com/karelzak/util-linux/issues/780 fixed, we get

/* test_libmount_unescaping_one foo\rbar */
from '790 38 0:61 / /tmp/foo\rbar rw,relatime shared:425 - tmpfs tmpfs rw,seclabel'
source: 'tmpfs'
source: 'tmpfs'
source: 'tmpfs'
expected: 'tmpfs'
target: '/tmp/foo
bar'
target: '/tmp/foo\rbar'
target: '/tmp/foo
bar'
expected: '/tmp/foo
bar'

l10n: Updated Lithuanian translation

NEWS: mention PresharedKeyFile=

test-network: add tests for WireGuardPeer.PresharedKey= and PresharedKeyFile=

network: make wireguard_decode_key_and_warn() take uint8_t buf[static WG_KEY_LEN]

network: warn when wireguard keys are stored in world readable files

network: add WireGuardPeer.PresharedKeyFile= setting

network: clear wireguard keys on failure or on exit

network: make reading PrivateKeyFile= failure always fatal

This also refactor wireguard_read_key_file().

fileio: add READ_FULL_FILE_UNBASE64 flag for read_full_file_full()

fileio: read_full_file_full() also warns when file is world readable and secure flag is set

fileio: introduce warn_file_is_world_accessible()

util: introduce READ_FULL_FILE_SECURE flag for reading secure data

Merge pull request #12241 from keszybz/two-man-link-additions

Two man link additions

inhibit: fix argv[] usage

Another fix in style of ed179fd71030ddd657500591dac37e7499fc7b2c and
bd169c2be0fbdaf6eb2ea7951e650d5e5983fbf6..

I hope we are soon complete with these.

Fixes: #12246

NEWS: add mention of time-set.target

man: add a lengthy example for NamePolicy= debugging

This is still rather opaque, and test-builtin is quite useful in this
case, let's advertise it a bit more.

man: say that .link NamePolicy= should be empty for Name= to take effect

The description of NamePolicy= implied this, but didn't spell it out. It's a
very common use case, so let's add a bit of explanation and ehance the example
a bit.

Inspired by https://bugzilla.redhat.com/show_bug.cgi?id=1695894.

Merge pull request #12244 from poettering/242-news-final

final 242 NEWS tweaks + another hwdb update

man: add references from the .mount and .service man pages to systemd-{mount,run} pages

Fixes: #12235

Merge pull request #12245 from poettering/empty-or-dash

introduce empty_or_dash() helper

man: elaborate on fd ownership in sd_event_add_io(3)

Replaces: #12239

units: add time-set.target

time-sync.target is supposed to indicate system clock is synchronized
with a remote clock, but as used through 241 it only provided a system
clock that was updated based on a locally-maintained timestamp.  Systems
that are powered off for extended periods would not come up with
accurate time.

Retain the existing behavior using a new time-set.target leaving
time-sync.target for cases where accuracy is required.

Closes #8861

coccinelle: add coccinelle script for empty_or_dash() use

man/systemd-sysusers: Fix typo in *from* to *form*

basic: add new helper call empty_or_dash_to_null()

We have a function like this at two places already. Let's unify it in
one generic location and let's port a number of users over.

tree-wide: introduce empty_or_dash() helper

At quite a few places we check isempty() || streq(…, "-"), let's add a
helper to simplify that, and replace that by a single function call.

hwdb: update hwdb

update NEWS for 242 final

Merge pull request #12238 from keszybz/one-genuine-bugfix+lots-of-line-wrapping

One genuine bugfix and lots of line wrapping

pam-systemd: use secure_getenv() rather than getenv()

And explain why in a comment.

man: correct units path usage according to FHS (#11388)

According to the Filesystem Hierarchy Standard, "The /usr/local hierarchy is for use by the system administrator when installing software locally. It needs to be safe from being overwritten when the system software is updated". So it should not be used by installed packages.

sysusers: use return_error_errno() where possible

sysusers: add missing initalizer

I assume that this is the error causing the invalid free in
https://bugzilla.redhat.com/show_bug.cgi?id=1670679.

logind: linewrap some long lines and remove unnecessary conditional

util: extend unbase64mem() to accept secure flag

When the flag is set, buffer is cleared on failure.

meson: drop misplaced -Wl,--undefined argument

Ld's man page says the following:

  -u symbol
  --undefined=symbol

  Force symbol to be entered in the output file as an undefined symbol. Doing
  this may, for example, trigger linking of additional modules from standard
  libraries. -u may be repeated with different option arguments to enter
  additional undefined symbols. This option is equivalent to the "EXTERN"
  linker script command.

  If this option is being used to force additional modules to be pulled into
  the link, and if it is an error for the symbol to remain undefined, then the
  option --require-defined should be used instead.

This would imply that it always requires an argument, which this does not
pass. Thus it will grab the next argument on the command line as its
argument. Before it took one of the many -lrt args (presumably) and now it
grabs something other random linker argument and things break.

[zj: this line was added in the first version of the meson configuration back
in 5c23128daba7236a6080383b2a5649033cfef85c. AFAICT, this was a mistake. No
such flag appeared in Makefile.am at the time.]

https://github.com/mesonbuild/meson/issues/5113

Merge pull request #12234 from yuwata/calendarspec-fix-oss-fuzz-14108

Calendarspec cleanups and fixes integer overflow

network: re-indent conf parsers in wireguard.c

calendarspec: fix possible integer overflow

Fixes oss-fuzz#14108.
https://bugs.chromium.org/p/oss-fuzz/issues/detail?id=14108

calendarspec: use _cleanup_ attributes for CalendarComponent

calendarspec: rename free_chain() to chain_free()

calendarspec: use structured initializers

nspawn: create boot_id and kmsg files for overmounting in /run, not /tmp

/tmp might not be mounted at all yet (given that we support
SYSTEMD_NSPAWN_TMPFS_TMP=0 to turn this off), and /tmp is a dir systemd
usually tries to unmount during shutdown (unlike /run), and we shouldn't
keep it busy. Hence let's just move these deleted files to /run so that
we don't keep /tmp needlessly busy.

lgtm: warn about strerror() use

meson: sort source files again

shared: add a single definition of libmount cleanup functions

Use a trivial header file to share mnt_free_tablep and mnt_free_iterp.
It would be nicer put this in mount-util.h, but libmount.h is not in the
default include path, and the build system would have to be adjusted to pass
pkg-config include path in various places, and it's just not worth the trouble.
A separate header file works nicely.

hwdb: Add accelerometer orientation quirk for the Teclast F6 Pro

test-journal: move tests to /var/tmp/ and set FS_NOCOW_FL

The journal files might not be tiny hence let's write them to /var/tmp/
instead of /tmp. Also, let's turn on NOCOW on the files, as these tests
might apparently be slow on btrfs.

Fixes: #12210

ask-passwd: slightly optimize handling arguments

It is not necessary to copy arguments for each console.

bus-util: treat org.freedesktop.DBus.Error.ServiceUnknown nicely when polkit does not exist

Fixes #12209.

Merge pull request #12208 from poettering/base-file-system-tweaks

base-filesystem: be nicer to read-only fs images

Merge pull request #12207 from poettering/portable-bus-policy-fix

portabled dbus policy fix

udevadm: drop unused option

tty-ask-pw-agent: use right array

No point in copying the array if we are not going to use the copy.

Prompted by: https://github.com/systemd/systemd/pull/12183#issuecomment-479591781

udev-util: allocate an event loop of our own for waiting

We can't use the per-thread default one here, as it might already be
running (for example, that's the case in portabled), and our event loops
are not recursive, hence running them a second time is not OK.

shared: be friendly to EROFS images

There are environments where /lib might not be necessary (think:
statically compiled portable service binary), hence don't insist on it
if the image is read-only.

shared: path_join() is your friend

shared: no need to initialize variable

portabled: fix method name

yikes.

portabled: reorder methods in vtable

Let's stick to the same order in the per-image vtable and the manager
vtable.

portabled: fix dbus policy

Let's whitelist the method calls actually defined, not some outdated old
names.

Merge pull request #12198 from keszybz/seccomp-parsing-logging

Seccomp parsing logging cleanup

Merge pull request #12205 from keszybz/update-release-docs

docs: let's not close the milestone early

docs: also document updates to stable repo

docs: let's not close the milestone early

Merge pull request #12202 from keszybz/seccomp-arm64

Fixes for S[GU]ID filter on arm64

seccomp: rework how the S[UG]ID filter is installed

If we know that a syscall is undefined on the given architecture, don't
even try to add it.

Try to install the filter even if some syscalls fail. Also use a helper
function to make the whole a bit less magic.

This allows the S[UG]ID test to pass on arm64.

test-seccomp: fix compilation on arm64

It has no open().

kernel-install: add a check that the vmlinuz arg is sane

docs: update release steps for meson

build-sys: bump package version

Merge pull request #12121 from poettering/contrib

pid1: pass unit name to seccomp parser when we have no file location

Building on previous commit, let's pass the unit name when parsing
dbus message or builtin whitelist, which is better than nothing.

seccomp_parse_syscall_filter() is not needed anymore, so it is removed,
and seccomp_parse_syscall_filter_full() is renamed to take its place.

basic/log: log any available location information in log_syntax()

We would log "(null):0: Failed to parse system call, ignoring: rseq" from
log_syntax_internal() from log_syntax() from seccomp_parse_syscall_filter_full()
from seccomp_parse_syscall_filter() from config_parse_syscall_filter(),
when generating the built-in @default whitelist. Since it was not based on the
unit file, we would not pass a file name.

So let's make sure that log_syntax() does not print "(null)" pointer (which is
iffy and ugly), and use the unit name as fallback or nothing if both are missing.
In principle, one of the two should be always available, since why use log_syntax()
otherwise, but let's make things more resilient by guarding against this case too.
log_syntax() is called from a thousand places, and often in error path, so it's
hard to verify all callers.

core: use a temporary variable for calculation of seccomp flags

I think it is easier to read this way.

test: use newer verb to set log levels

docs: fix path to unit files

core: fix build failure if seccomp is disabled

Revert "build: install /etc/systemd/{system,user}-generators"

This reverts commit 509276f2b7d44d472b66e79cbfa531c1de4c3801.

Merge pull request #12188 from poettering/coccinelle-fixlets

tree-wide: let's run coccinelle again

update NEWS

meson: bump so versions

Since we aren't quite ready for release v242 yet, let's not bump the
package version yet, but let's already bump the soversion.

NEWS: add preliminary contributor list

update .mailmap

Merge pull request #12056 from poettering/seccomp-suid-sgid

Introduce RestrictSUIDSGID= for disabling SUID/SGID file creation

update TODO

core: imply NNP and SUID/SGID restriction for DynamicUser=yes service

Let's be safe, rather than sorry. This way DynamicUser=yes services can
neither take benefit of, nor create SUID/SGID binaries.

Given that DynamicUser= is a recent addition only we should be able to
get away with turning this on, even though this is strictly speaking a
binary compatibility breakage.

units: turn on RestrictSUIDSGID= in most of our long-running daemons

man: document the new RestrictSUIDSGID= setting

analyze: check for RestrictSUIDSGID= in "systemd-analyze security"

And let's give it a heigh weight, since it pretty much can be used for
bad things only.

core: expose SUID/SGID restriction as new unit setting RestrictSUIDSGID=

test: add test case for restrict_suid_sgid()

seccomp: introduce seccomp_restrict_suid_sgid() for blocking chmod() for suid/sgid files

seccomp: add debug messages to seccomp_protect_hostname()

core: add a generic helper that forwards per-unit method calls from Manager

Quite often we have a method DoSomethingWithUnit() on the Manager object
that is the same as a function DoSomething() on a Unit object. Let's
shorten things by introducing a common function that forwards the
former to the latter, instead of writing this again and again.

Merge pull request #12013 from yuwata/fix-switchroot-11997

core: on switching root do not emit device state change based on enumeration results