network: set DynamicUser= to systemd-networkd.service

resolve: enable DynamicUser= for systemd-resolved.service

core: chown RuntimeDirectory= if DynamicUser= is set

When DynamicUser= is set, then RuntimeDirectory= should be always
chowned, as the service unit may enable RuntimeDirectoryPreserve=,
and the uid or gid may changed from the last run.
This also makes easier to migrate the service to use DynamicUser=.

timesync,shared: move logic requesting bus name to shared

Preparation for setting DynamicUser= to other services which
request bus names.

unit: drop After=systemd-sysusers.service from timesyncd

After=systemd-sysusers.service is not necessary, as timesyncd
already enables DynamicUser=.

nspawn: support pivot-root option during directory validation

Signed-off-by: Arnaud Rebillout <arnaud.rebillout@collabora.com>

Merge pull request #9059 from keszybz/rm-rf-generators

Allow removing generators dirs on real fs

Merge pull request #9061 from poettering/dump-string-table

add new DUMP_STRING_TABLE() macro and make use of it everywhere

Merge pull request #9058 from keszybz/fun-with-uint64_c

Fun with UINT64_C

detect-virt: add new --list command for showing all currently known VM/container envs

tree-wide: port various bits of the tree over to the new DUMP_STRING_TABLE() macro

volatile-mode: use the usual string table macros for implementing volatile_mode_from_string()

Let's shorten our code a bit, and also add the matching _to_string()
call.

coredumpctl: always output proper english sentence

Let's uppercase the first character, and finish them in a full stop.

string-table: add new DUMP_STRING_TABLE() macro

The macro is inspired by the other string table macros, and takes the
same arguments in the same order and dumps a string table to stdout.
Since it's typesafe it's nice to implement this as macro rather than
regular function.

This new macro is useful for implementing commands such as "systemctl -t
help" and similar, i.e. wherever we want to dump all values of an enum
to stdout.

Generator dirs might be on a real filesystem

Most of the time, tmpfs is used for /tmp, but this is not required.
Applied to both pid1 and systemd-analyze verify.

Fixes #8592.

basic/rm-rf: include the path in error messages

Attempted to remove disk file system under "/tmp/systemd-temporary-aWPkbQ", and we can't allow that.

systemd-nspawn: make SettingsMask 64 bit wide

The use of UINT64_C() in the SettingsMask enum definition is misleading:
it does not mean that individual fields have this width. E.g., with
enum {
   FOO = UINT64_C(1)
}
sizeof(FOO) gives 4. It only means that the shift is done properly. So
1 << 35 is undefined, but UINT64_C(1) << 35 is the expected 64 bit
constant. Thus, the use UINT64_C() is useful, because we know that the shifts
are done properly, no matter what the value of _RLIMIT_MAX is, but when those
fields are used in expressions, we don't know what size they will be
(probably 4). Let's add a define which "hides" the enum definition behind a
define which gives the same value but is actually 64 bit. I think this is a
nicer solution than requiring all users to cast SETTING_RLIMIT_FIRST before
use.

Fixes #9035.

sd-resolve: remove misleading casts

As shown in previous commit, UINT64_C() has no effect here, the field can still
be smaller. Remove it.

test-sizeof: show that a small 64 field is not enough to force the enum to be 64 bits

On both 32 and 64 bits, the result is:
enum Enum → 32 bits, unsigned
enum BigEnum → 32 bits, unsigned
enum BigEnum2 → 64 bits, unsigned
big_enum2_pos → 4
big_enum2_neg → 8

The last two lines show that even if the enum is 64 bit, and the field of an
enum is defined with UINT64_C(), the field can still be smaller.

man: fix typo in man page citation

Fixes #9045.

core/job: shortening

Follow-up for a7a7163df7fc8a9f794f6803b2f6c9c9b0745a1f.

Merge pull request #9036 from keszybz/rpm-macro-cleanup

rpm macro cleanup

rpm: add macros for common configuration dirs

%_environmnentdir /usr/lib/environment.d
%_modulesloaddir /usr/lib/modules-load.d
%_modprobedir /usr/lib/modprobe.d

This makes installing files there more convenient because people don't need to
construct the path from %_prefix/lib/… .

See https://lists.fedoraproject.org/archives/list/devel@lists.fedoraproject.org/thread/GBF5WJLTQVSXMHGYGBF3723ZYCWFBR7C/.

fs-util: don't alter errno in unlink_tempfilep()

Functions whose only purpose is to be used with _cleanup_() should not
touch errno, so that failing removals do not alter errno at unexpected
places.

This is already done in unlink_and_freep(), rmdir_and_freep(),
rm_rf_physical_and_freep(), hence do so for unlink_tempfilep(), too.

Follow-up for #9013

meson: use run_target for generating tags with ctags

In https://github.com/systemd/systemd/pull/6561, `run_target`
was changed to `custom_target`, which inadvertently caused
relative paths to be passed to ctags due to
https://github.com/mesonbuild/meson/issues/3589.
The switch to `run_target` causes absolute paths to be
passed again and makes it easier to jump from file to
file, hopefully delaying the need to exit Vim :-)

sd-resolve: tweak error assignment code a bit, use abs() and regular functions

Let's tweak the assignment of errors a bit, and automatically abs()
errnos, similar to how log_error_errno() and friends does it.

Macros are fine to use, but regular functions usually preferable if
there's no reason to use macros, because they avoid multiple evaluation
and suchlike. Hence, let's just use a regular funciton for assigning
errors, instead of macros.

Follow-up for #8993

rpm: simplify redirects to /dev/null

rpm: remove confusing --user before --global

Fixes #9027.

fix race between daemon-reload and other commands

When "systemctl daemon-reload" is run at the same time as "systemctl
start foo", the latter might hang. That's because commands like start
wait for JobRemoved signal to know when the job is finished. But if the
job is finished during reloading, the signal is never sent.

The hang can be easily reproduced by running

    # for ((N=1; N>0; N++)) ; do echo $N ; systemctl daemon-reload ; done
    # for ((N=1; N>0; N++)) ; do echo $N ; systemctl start systemd-coredump.socket ; done

in two different terminals. The start command will hang after 1-2
iterations.

This keeps track of jobs that were started before reload and finished
during it and sends JobRemoved after the reload has finished.

man: fix typo

Merge pull request #8981 from keszybz/ratelimit-and-dbus

Ratelimit renaming and dbus error message fix

core: keep the kernel coredump defaults when systemd-coredump is disabled

If systemd-coredump is disabled (at build time), PID1 should keep the
(old) kernel defaults as they are.

localectl: drop duplicate property entry

Merge pull request #8993 from keszybz/sd-resolve-coverity-and-related-fixes

sd-resolve coverity and related fixes

Merge pull request #8985 from yuwata/bus-macro-3

tree-wide: use BUS_DEFINE_PROPERTY_GET* macros

fs-util,test: add helper to remove tempfiles

This simplifies the use of tempfiles in tests and fixes "leaked"
temporary files in test-fileio, test-catalog, test-conf-parser.

Not the whole tree is converted.

Merge pull request #9026 from yuwata/followup-9021

core: refuse StateDirectory=private

core: use free_and_replace()

core: fix coding style

Merge pull request #8940 from poettering/nspawn-attrs

nspawn: make a couple of additional container parameters configurable

tmpfiles: fix up and complain paths referring to /var/run (instead of /run) automatically

tmpfiles.d relies on merging lines for the same file paths, as well as
detecting conflicts between lines for the same file paths. /var/run is a
prominent case that is an alias for /run, any many tmpfiles snippets
refer to paths in /var/run rather than /run currently, which breaks the
conflict detection and merging.

We can't really fix this comprehensively, as doing so would require us
to resolve symlinks early on, but that's precisely not what we want to
do, as tmpfiles is usually run very early on where the paths might not
be fully available yet (in particular as we might likely create them
ourselves).

Hence, let's at least detect and fix this case for the most prominent
case of this ambiguity, and also log explicitly about this, asking users
to fix the snippets in question so that the merging and conflict
detection works properly again.

inhibit: use pager for systemd-inhibit --list

core: refuse StateDirectory=private

Follow-up for e8865688735ba3bd34297fa89cca6bde7ba33997 (#9021).

tmpfiles: create /var/{lib,log,cache}/private during early boot

This directory is used by the DynamicUer= stuff when used in combination
with StateDirectory=/LogDirectory=/CacheDirectory=. Let's make sure the
dir exists early on with the right perms. This is not strictly necessary
as we'll also create the dir on demand if it is missing, but in the
interest of grabbing the name early on, and making things more explicit
let's also list this in a tmpfiles.d/ snippet.

core: refuse StateDirectory=private, as our internal DynamicUser=1 symlink is called that way

Let's better be safe than sorry.

nspawn: voidify more things

path-util: one more empty_or_root() change

nspawn: split out merging of settings object

Let's separate the loading of the settings object and the merging into
our arg_xyz fields into two.

This will become particularly useful when we eventually are able to load
settings from OCI runtime files in addition to .nspawn files.

nspawn: add a new --cpu-affinity= switch

Similar as the other options added before, this is primarily useful to
provide comprehensive OCI runtime compatbility, but might be useful
otherwise, too.

nspawn: show --help text in a pager

The text is long enough now, and we do auto-paging for systemctl
already, hence let's do it here too.

nspawn: add a new --oom-score-adjust= command line switch

This is primarily useful in order to provide comprehensive OCI runtime
compatibility with nspawn, but might have uses outside of it.

nspawn: properly handle and log about hostname setting errors

process-util: add new helper call for adjusting the OOM score

And let's make use of it in execute.c

basic: split parsing of the OOM score adjust value into its own function in parse-util.c

And port config_parse_exec_oom_score_adjust() over to use it.

While we are at it, let's also fix config_parse_exec_oom_score_adjust()
to accept an empty string for turning off OOM score adjustments set
earlier.

nspawn: add a new --no-new-privileges= cmdline option to nspawn

This simply controls the PR_SET_NO_NEW_PRIVS flag for the container.
This too is primarily relevant to provide OCI runtime compaitiblity, but
might have other uses too, in particular as it nicely complements the
existing --capability= and --drop-capability= flags.

nspawn: make the hostname of the container explicitly configurable with a new --hostname= switch

Previously, the container's hostname was exclusively initialized from
the machine name configured with --machine=, i.e. the internal name and
the external name used for and by the container was synchronized. This
adds a new option --hostname= that optionally allows the internal name
to deviate from the external name.

This new option is mainly useful to ultimately implement the OCI runtime
spec directly in nspawn, but it might be useful on its own for some
other usecases too.

conf-parser: shorten config_parse_string() by using free_and_strdup() and empty_to_null()

nspawn: add new --rlimit= switch, and always set resource limits explicitly for our container payloads

This ensures we set the various resource limits of our container
explicitly on each invocation so that we inherit less from our callers
into the payload.

By default resource limits are now set to the same values Linux
generally passes to the host PID 1, thus minimizing needless differences
between host and container environments.

The limits are now also configurable using a new --rlimit= switch. This
is preparation for teaching nspawn native OCI runtime support as OCI
permits setting resource limits for container payloads, and it hence
probably makes sense if we do too.

rlimit-util: tweak setrlimit_closest() a bit

POSIX doesn't declare too clearly how RLIM_INFINITY is set. Let's hence
filter it out explicitly early on, just as safety precaution should it
be defined weirdly on some arch, for example negative or below the
maximum value of the rlim_t type.

basic: be more careful when closing fds based on RLIMIT_NOFILE

Let's make sure we properly handle cases where RLIMIT_NOFILE is set to
infinity, zero or values outside of the "int" range.

man: document what happens if --kill-signal= is not used in nspawn and --boot neither

man: don't claim systemd-analyze was documented as part of the man-pages project

It's our own command, we document it in our own set of man pages.

rlimit-util: introduce setrlimit_closest_all()

This new call applies all configured resource limits in one.

rlimit-util: add a common destructor call for arrays of struct rlimit

core: move config_parse_limit() to the generic conf-parser.[ch]

That way we can use it in nspawn.

Also, while we are at it, let's rename the call config_parse_rlimit(),
i.e. insert the "r", to clarify what kind of limit this is about.

rlimit-util: rework rlimit_{from|to}_string() to work without "Limit" prefix

let's make the call more generic, so that we can also easily use it for
parsing "RLIMIT_xyz" style constants.

Merge pull request #9017 from keszybz/man-coredump

coredump documention enhancement

Merge pull request #9002 from yuwata/fix-timedate

Fixes timedated and cleanups hostnamed

Merge pull request #9016 from yuwata/fix-policy

polkit policy related fixes

Turn VALGRIND variable into a meson configuration switch

Configuration through environment variable is inconvenient with meson, because
they cannot be convieniently changed and/or are not preserved during
reconfiguration (https://github.com/mesonbuild/meson/issues/1503).
This adds -Dvalgrind=true/false, which has the advantage that it can be set
at any time with meson configure -Dvalgrind=... and ninja will rebuild targets
as necessary. Additional minor advantages are better consistency with the
options for hashmap debugging, and typo avoidance with '#if' instead of '#ifdef'.

man: fix ProcessSizeMax= description, describe how to disable coredumps

What the man page said was different than what the code did.
save_external_coredump() will store the core temporarily for backtrace
generation, and will delete if afterwards if it is too large. So to disable
processing, it's necessary to both set
Storage=none/Storage=journal+JournalSizeMax=0/Storage=external+ExternalSizeMax=0
and ProcessSizeMax=0. This updates the man page to reflect the code.

The man pages are extended to describe that Storage=none + ProcessSizeMax=0 is
the simplest way to disable coredump processing. All the storage and processing
options make this quite complicated, so let's add a copy-and-pasteable example
of how to disable coredump. Doing it through coredump.conf has the advantage
that we still log, and the effect is immediate, unlike masking the sysconf
file.

Fixes #8788.

timedatectl: do not wrap polkit policy message

If messages are wrapped, then only the last line is shown in the
dialog, at least polkit gui for Xfce. It may be a bug of polkit or
Xfce. But it is not necessary to wrap the message in the policy
file. So, let's fix them.

core: systemd1.manage-unit-files policy implies systemd1.manage-units

This makes e.g. `systemctl enable --now` ask password only once.

Follow-up for b07abe63d3abf03df559f7cb2c9863943df22274.

coredump: properly treat Storage=none as disabled storage

Also don't attempt to create /var/lib/systemd/coredump if storage
limit is set to 0 and coredump processing is disabled.

core: systemd1.manage-unit-files policy implies systemd1.reload-daemon

Closes #5013.

Merge pull request #9005 from fsateler/circular-deps

core: Fix some header dependencies

core: undo the dependency inversion between unit.h and all unit types

core: Break circular dependency between unit.h and cgroup.h

udev: create /dev/disk/by-label symlink for LUKS2 (#8998)

LUKS2 header supports to device label and blkid since 2.32 version
already supports this option.

Persistent udev storage rules should create symlink for this label.

For older devices this value is not set so changed rule should be compatible.

core/dbus-unit: do not pass whole Unit object

core/dbus-unit: introduce unit_can_{start,stop,isolate}_refuse_manual() functions

core: use BUS_DEFINE_PROPERTY_GET* macros

machine: use BUS_DEFINE_PROPERTY_GET* macros

resolve: use BUS_DEFINE_PROPERTY_GET* macros

timedate: use BUS_DEFINE_PROPERTY_GET* macros

timesync: use NULL instead of empty string

login: use BUS_DEFINE_PROPERTY_GET* macros

bus-util: add more macros for defining functions of getting dbus properties

timedate: do not copy input string before bus_verify_polkit_async()

This fixes the commit 2c3def62144c9d689ddda88a866b1e623074eaae which
breaks `timedatectl set-timezone` called by non-privileged user.

hostname: use free_and_strdup()

Also, this makes hostnamed check the input strings before
bus_verify_polkit_async().

sysusers: drop an unused variable

Follow-up for ec0327d69c260d9a3770e9d722dbdcde996651cc.

service: FileDescriptorStoreMax should also imply NotifyAccess

Commenting out "WatchdogTimeout=3min" in systemd-logind.service causes
NotifyAccess to go from "main" to "none", breaking support for logind
restart.  Let's fix that.

sd-resolve: fix check for packet size

The protocol is that a string is serialized with the nul byte at the end, and
the terminator is included in length. We'd call strndup with offset 0, length
len1-1, and then a second time with offset len1, length len2-1, so in the end
the check was off by one. But let's require the terminating nul too, even if
we don't access it.

CID #1383035.

sd-resolve: use structured initializers and _cleanup_

Also remove a break that cannot be reached and a resolve->dead check
that duplicates the loop condition.

sd-resolve: trivial indentation fixes

sd-resolve: do not assert on packet size received over a socket

This is external data, even if trusted. We should not assert on it, but verify
and return proper error instead, which assert_return does. In particular,
write(2) says that a partial write could occur when interupted by a signal.
When compiled with asserts disabled, we could access memory outside of the
allocated buffer.

CID #1237671.
Follow-up for 1a96c8e1ccb06f87b6bfaff4639390ecd00af588.

bash-completion: add missing options and commands of timedatectl

Follow-up for 6129ec852ee470a3682d55f87852ee7ccabb5520.

Merge pull request #8947 from yuwata/meson-0.44

meson: bump minimum required version to 0.44

sd-resolve: add helper macro for setting of ret/_errno/_h_errno

Just to make things a bit shorter. This fixes an error where errno==-EIO would be set
(negative value), introduced in 1a96c8e1ccb06f87b6bfaff4639390ecd00af588.

test-copy: remove unnecessary initialization

Initializing just some of the values doesn't make sense. We should handle them
all in the same way. In those tests there are no jumps, all steps are covered
with assert_se(), so we know everything will be set if we get to the end of the
function. And _not_ initializing those variables has the advantage that it
allows valgrind to catch potential initalization errors in the function being
tested.