basic: remove an assertion from cunescape_one

The function takes a pointer to a random block of memory and
the length of that block. It shouldn't crash every time it sees
a zero byte at the beginning there.

This should help the dev-kmsg fuzzer to keep going.

tests: add a fuzzer for dev_kmsg_record

udev-rules: fix possible assertion

On 'remove' action, event->dev_db_clone is NULL. So, `IMPORT{db}` rule
on 'remove' action triggers assertion. This fixes the issue.

Revert "units: lock down logind with fs namespacing options"

basic/json: silence gcc warning about limited range of data type

With gcc-7.1.1-3.fc26.aarch64:
../src/basic/json.c: In function ‘json_format’:
../src/basic/json.c:1409:40: warning: comparison is always true due to limited range of data type [-Wtype-limits]
                                 if (*q >= 0 && *q < ' ')
                                        ^~
../src/basic/json.c: In function ‘inc_lines_columns’:
../src/basic/json.c:1762:31: warning: comparison is always true due to limited range of data type [-Wtype-limits]
                 } else if (*s >= 0 && *s < 127) /* Process ASCII chars quickly */
                               ^~

Cast to (signed char) silences the warning, but a cast to (int) for some reason
doesn't.

Merge pull request #10742 from poettering/c-utf8

default to C.UTF-8 locale, and many improvements to env var file parsing/kernel cmdline parsing

Merge pull request #10753 from keszybz/pager-no-interrupt

Add mode in journalctl where ^C is handled by the pager

core: drop dbus queue recursion check

We don't dispatch the queue recursively anymore, hence let's simplify
things a bit.

As pointed out by @fbuihuu:

https://github.com/systemd/systemd/pull/10763#discussion_r233209550

tests: add some tests for cmdline args containing spaces

update NEWS

update TODO

locale-util: introduce common helper locale_variables_free() for freeing locale variable arrays

fileio: automatically add NULL sentinel to parse_env_file()

Let's modernize things a bit.

localed: be more careful with the used types

fileio: drop "newline" parameter for env file parsers

Now that we don't (mis-)use the env file parser to parse kernel command
lines there's no need anymore to override the used newline character
set. Let's hence drop the argument and just "\n\r" always. This nicely
simplifies our code.

tree-wide: replace all remaining uses of parse_env_file() for parsing /proc/cmdline

Let's always go through the proc-cmdline.c APIs.

localed: no need to log twice about reload requests

localed: show proper bus error if we can in log message

localed: don't silently eat up errors, log something

locale-setup: default to C.UTF-8

Most distributions already were shipping a C.UTF-8 locale and even Fedora
now supports the C.UTF-8 locale, and there's clear indication that this
is going upstream too. Hence, let's default to it now too, if nothing
else is set.

Note that this is only a fallback if noting else is set, and since
distros generally configure a default for this behaviour shouldn't
really change in installed systems.

On new systems this makes vconsole.conf redundant.

locale-setup: rework to use new proc_cmdline_get_key_many() API

This way we use the same code to access /proc/cmdline as everywhere
else, and thus support it in containers and the SYSTEMD_PROC_CMDLINE env
var.

locale-setup: use precise type for locale variable iterator

locale-setup: use _cleanup_strv_free_

proc-cmdline: introduce new proc_cmdline_get_key_many() helper

This is like parse_env_file(), but from the kernel command line

proc-cmdline: split out rd. prefix handling in proc_cmdline_parse_given() and proc_cmdline_get_key()

This introduces a wrapper around extrac_first_word() called
proc_cmdline_extract_first(), which suppresses "rd." parameters
depending on the specified calls.

This allows us to share more code between proc_cmdline_parse_given() and
proc_cmdline_get_key(), and makes it easier to reuse this logic for
other purposes.

man: use <keycombo> more

basic/pager: ignore ^C when piping to less and K is not set

Normally, we want to immediately quit on ^C. But when we are running under
less, people may set SYSTEMD_LESS without K, in which case they can use ^C to
communicate with less, and e.g. start and stop following input.

Fixes #6405.

basic/cgroup-util: remove two unnecessary includes

Move LONG_LINE_MAX definition to fileio.h

All users of the macro (except for one, in serialize.c), use the macro in
connection with read_line(), so they must include fileio.h.  Let's not play
libc games and require multiple header file to be included for the most common
use of a function.

The removal of def.h includes is not exact. I mostly went over the commits that
switch over to use read_line() and add def.h at the same time and reverted the
addition of def.h in those files.

basic/pager: convert the pager options to a flags argument

Pretty much everything uses just the first argument, and this doesn't make this
common pattern more complicated, but makes it simpler to pass multiple options.

proc-cmdline: turn flags parameter into a proper typedef'ed enum

Let's add some extra typesafety.

Merge pull request #10759 from keszybz/udevd-more-configuration

Udevd more configuration options

travis: use double the normal timeout in the ASan & UBSan stage

This should somewhat address https://github.com/systemd/systemd/issues/10696.

Merge pull request #10747 from poettering/machinectl-list-fix

properly acquire os-release file from containers

Merge pull request #10763 from poettering/pending-reload-fix

when reloading, don't throttle unit/job dbus change signal generation

json: decrease DEPTH_MAX to 4k

This makes DEPTH_MAX lower value, as test-json fails with stack
overflow.

Note that the test can pass with 8k, but for safety, here set to 4k.

Fixes #10738.

hwdb: Add accelerometer orientation quirk for the Chuwi CoreBook tablet

travis: also compile and run unsafe unit tests

hwdb: Add Onda V820w accelerometer transformation matrix

Added accelerometer transformation matrix for the Onda V820w Tablet

unit: don't claim there was no IP traffic generated by a unit when we don't know

Only if we have some IP traffic accounting at all we should claim that.

core: split out audit message generation from unit_notify()

Just some refactoring, no change in behaviour.

man: document that env vars are not suitable for passing secrets

Prompted by the thread around:

https://lists.freedesktop.org/archives/systemd-devel/2018-November/041665.html

update TODO

Merge pull request #10757 from Antique/cgroupv2

Fix cgroupv2 bpf-devices issues

udev: downgrade message when we fail to set inotify watch up

My logs are full of:

systemd-udevd[6586]: seq 13515 queued, 'add' 'block'
systemd-udevd[6586]: seq 13516 queued, 'change' 'block'
systemd-udevd[6586]: seq 13517 queued, 'change' 'block'
systemd-udevd[6586]: seq 13518 queued, 'remove' 'bdi'
systemd-udevd[6586]: seq 13519 queued, 'remove' 'block'
systemd-udevd[9865]: seq 13514 processed
systemd-udevd[9865]: seq 13515 running
systemd-udevd[9865]: GROUP 6 /usr/lib/udev/rules.d/50-udev-default.rules:59
systemd-udevd[9865]: IMPORT builtin 'blkid' /usr/lib/udev/rules.d/60-persistent-storage.rules:95
systemd-udevd[9865]: IMPORT builtin 'blkid' fails: No such file or directory
systemd-udevd[9865]: loop4: Failed to add device '/dev/loop4' to watch: No such file or directory
(the last line is at error level).
If we are too slow to set up a watch and the device is already gone by the time
we try, this is not an error.

udev: also allow resolve_names= to be specified in udev.conf

udev: move ResolveNameTiming definition and parsers to udev-util.h

Follow-up for c4d44cba4d9bd9d92c86e06f21d5936cca1b8c16. No functional change,
but the parser is moved to libsystemd-shared.so.

udevd: allow more parameters to be set through udev.conf

Rebooting to set change the kernel command line to set some udev parameters is
inconvenient. Let's allow setting more stuff in the config file.

Also drop quotes from around "info" in udev.conf. We need to accept them for
compatibility, but there is no reason to use them.

bpf-devices: fix order of removing and adding BPF programs

The current code has multiple issues and it should never be done like
that.  If someone updates list of allowed devices we should attach new
program before we remove the old one for two reasons:

1. It takes some time to attach new program so there is a period of time
when all devices are allowed.

2. BPF programs have limit for number of instructions (4096) and if user
adds a lot of devices we might hit the instruction limit and the new
program will not be accepted which will result in allow all devices
because the old program was already removed.

In order to attach the new program before we remove the old one we need
to use BPF_F_ALLOW_MULTI flag every time.

Signed-off-by: Pavel Hrdina <phrdina@redhat.com>

udev: do not pass timeout_warn_usec around, calculate it on demand

It was always set to one third of timeout_usec, so let's simplify things by
calculating it using a helper function right before it is used.

Before 9d9264ba39f797d20100c8acfda3df895ab5aaa2, udevd.c would avoid setting
timeout_warn_usec to 0, using 1 instead. This wasn't necessary, because when
timeout_warn_usec is finally used in spawn_wait(), it is ignored if
timeout_usec is 0 or timeout_warn_usec is 0. So there was no need to handle
this case specially.

bpf-devices: fix cgroup v2 devices detection

If cgroup v2 bpf devices is supported we need to return 1, not -1.

Signed-off-by: Pavel Hrdina <phrdina@redhat.com>

core: make sure we don't throttle change signal generator when a reload is pending

Fixes: #10627

core: when we can't send the pending reload message, say we ignore it in the warning we log

No change in behaviour, just better wording.

core: rename queued_message → pending_reload_message

This field is only used for pending Reload() replies, hence let's rename
it to be more descriptive and precise.

No change in behaviour.

shared/dissect-image: drop parens

nspawn: add a hint to the message we emit when a child dies

From #10526:

$ sudo systemd-nspawn -i image
Spawning container image on /home/zbyszek/src/mkosi/image.
Press ^] three times within 1s to kill container.
Short read while reading cgroup mode.

tree-wide: port over other candidates for namespace_fork()

Let's always use the same, correct, way to join a namespace.

machined: when reading os-release file, join PID namespace too

This is required for /proc/self/fd/xyz to work, but that's what we need
to convert the O_PATH fd returned by chase_symlinks() back to a regular
file fd. Hence, let's do the joining of the namespaces fully and
correctly, by doing fork()+setns()+fork() with the PID and fs
namespaces.

This makes use of the new namespace_fork() helper we just added.

Fixes: #10549

sd-bus: port over to namespace_fork()

This is pretty similar code, let's replace it with the generic
namespace_fork() implementation.

core: add namespace_fork() helper, that forks, joins a set of namespaces and forks again

This helper is useful to ensure pidns/userns joining is properly
executed (as that requires a fork after the setns()). This is
particularly important when it comes to /proc/self/ access or
SCM_CREDENTIALS, but is generally the safer mode of operation.

core: use local variable m instead of u->manager

Merge pull request #10744 from poettering/logind-lock-down

units: lock down logind with fs namespacing options

units: also change portabled's syscall filter to a whitelist

Merge pull request #10614 from thom311/dhcp-identifier-set-iaid

endianness dependent behavior of dhcp_identifier_set_iaid()

tests: dbus.service was renamed to dbus-daemon.service in Rawhide

Fedora Rawhide renamed dbus.service to dbus-daemon.service - that
breaks tests which require working DBus (e.g. TEST-03-JOBS)

Excerpt from the dbus.spec:
The 'dbus' package is only retained for compatibility purposes. It will
eventually be removed and then replaced by 'Provides: dbus' in the
dbus-daemon package. It will then exclusively be used for other packages to
describe their dependency on a system and user bus. It does not pull in any
particular dbus *implementation*, nor any libraries. These should be pulled
in, if required, via explicit dependencies.

units: lock down systemd-logind.service with various fs namespacing options

now that logind doesn't mount $XDG_RUNTIME_DIR anymore we can lock down
the service using fs namespacing (as we don't need the mount to
propagate to the host namespace anymore).

dhcp: support endianness independent dhcp_identifier_set_iaid()

The previous code did htole64() followed by unaligned_write_be32() (the
XOR and shift in between is endianness agnostic). That means, on every
architeture there is always exactly one byte swap and the iaid is
dependent on endianness.

Since dhcp_identifier_set_iaid() is part of the DUID generation
algorithm, this cannot be fixed without changing the client-id.
In particular, as the client-id already depends on the machine-id (and
is thus inherrently host-specific), it is better to stick to the current
behavior.

However, add a parameter to switch between old and new behaviour.
Since the new behavior is unused, the only real purpose of this
change is to self-document the oddity of the function.

Fixes: 933f9caeeb2b3c1b951d330e04beb04226e5a890

dhcp: add test for dhcp_identifier_set_iaid()

logind: drop CAP_KILL from caps bounding set

logind doesn't kill any processes anymore, hence let's drop the
capability.

Merge pull request #10741 from poettering/signal-check

propeperly handle sd_event_add_signal() errors

units: set NoNewPrivileges= for all long-running services

Previously, setting this option by default was problematic due to
SELinux (as this would also prohibit the transition from PID1's label to
the service's label). However, this restriction has since been lifted,
hence let's start making use of this universally in our services.

On SELinux system this change should be synchronized with a policy
update that ensures that NNP-ful transitions from init_t to service
labels is permitted.

An while we are at it: sort the settings in the unit files this touches.
This might increase the size of the change in this case, but hopefully
should result in stabler patches later on.

Fixes: #1219

update TODO

Always rename an interface to its name specified in config if no NamePolicy= is specified

This is for issue #9006

Merge pull request #10603 from yuwata/udevd-parser

udevd: several cleanups for parsing options

journal-remote: log about inability to install signals

hostnamed,localed,timedate: properly propagate errors from sd_event_add_signal()

main() can't doesn't expect negative error codes as return.

update TODO

core: include unit name in emergency_action() reason message

Add unit name in StartLimitAction=, FailureAction= and SuccessAction=
emergency_action() reason messages, so that the problematic unit is
easily visible, for example:

    "unit dbus.service failed"

udev: use structured initializer at one more place

udev: drop redundant initializations for file descriptors

As udev_ctrl_new_from_fd() or udev_monitor_new_from_netlink_fd()
creates fd if negative fd is passed.

udev: handle sd_is_socket() failure

udev: drop util_log_priority() and use log_level_from_string()

The function util_log_priority() is almost same as
log_level_from_string(). The difference between them is only that
util_log_priority() accepts such that '3 hogehoge'.

udev: use parse_sec() to parse --event-timeout option

udev: include error cause of parsing --children-max option in log message

udev: introduce enum ResolveNameTiming for --resolve-names argument

udevd: use parse_sec() to parse --exec-delay option

udevd: explicitly set default value of global variables

update TODO

Merge pull request #10736 from yuwata/coredump-comment

fuzz: fix oss-fuzz#8658

Merge pull request #10734 from yuwata/network-use-structured-initializers

network: several cleanups

hwdb: revert airplane mode keys handling on Dell

That reverts the commits #8762 and #9868, those created double key events issues on some Dell laptops.

Merge pull request #10730 from yuwata/udev_device_get_ifindex_returns_zero

libudev: conserve previous behavior

Merge pull request #10731 from yuwata/fix-oss-fuzz-11344

Fixes oss-fuzz#11344

fuzz: add testcase of oss-fuzz#8658

fuzz: decrease DATA_SIZE_MAX

Fixes oss-fuzz#8658.

coredump: update comments

tree-wide: use CONFIG_PARSER_PROTOTYPE() macro

wait-online: use hashmap_free_with_destructor()

network: use hashmap_steal_first() rather than hashmap_first()+hashmap_remove()

network: use hashmap_clear_with_destructor() at one more place