Merge pull request #15399 from DaanDeMeyer/sd-bus-property-docs

sd_bus_get/set_property docs

sd-bus: Add sd_bus_get/set_property docs

docs: introduce documentation category for user/group stuff

We have so many different docs on various facets of user/group stuff,
let's add our own category for it.

Merge pull request #15376 from poettering/homed-btrfs-subvol-luks

homed: when doing luks homedir with btrfs inside, place subvol at top of fs

Merge pull request #15377 from poettering/userdb-no-shadow

don't try to access shadow from logind

Merge pull request #15392 from keszybz/flag-helper

Flag setting helper and some other minor cleanups

sd-bus: sd_bus_message_append fixes

docs: add some documentation about hooking up userdb/homed to desktop environments

Prompted by some inquires from the GNOME camp. let's document this here,
since other DEs might be interested too.

Add yet another tiny helper to manipulate flags

man: fix garbled paragraph in systemd.network(3)

The following message was emitted:

  "Element term in namespace  encountered in para, but no template matches."

busctl: wrap long lines

busctl: use the pager everywhere

There is no reason to assume that the user doesn't want the pager
even if they are looking at xml output or such.

man: extend documentation of the suspend= switch of pam_systemd_home

As suggested on #15343.

Fixes: #15343

docs: add brief document how to convert home directories to homed

login: Fix incorrect reporting of CanMultiSession=no on non-seat0 seats

bus: add sd_bus_message_new_method_call() helper

adds BusLocator variant called bus_message_new_method_call()

bus: s/BusAddress/BusLocator/

Mechanical rename in response to
https://github.com/systemd/systemd/pull/15331#issuecomment-611472240

Merge pull request #15379 from poettering/homed-man-ref-add

man: reference pam_systemd_home man page from systemd-homed man page

Merge pull request #15361 from mrc0mmand/yet-another-TEST-47-tweak

test: wait a bit after stopping the test service

bootctl: fix assert issue

Follow-up for b46c3e4913f7f234039ebd8104446450917cab8d

docs: fix typo now → not

docs: add missing dash

Merge pull request #15352 from poettering/user-group-name-valdity-rework

user/group name validity rework

Merge pull request #15318 from fbuihuu/inherit-umask-for-user-units

pid1: by default make user units inherit their umask from the user ma…

Merge pull request #15332 from keszybz/coredump-filter

CoredumpFilter=

man: reference pam_systemd_home man page from systemd-homed man page

They are very closely related after all.

logind: avoid shadow lookups when doing userdb client side

Let's not trigger MACs needlessly.

Ideally everybody would turn on userdb, but if people insist in not
doing so, then let's not attempt to open shadow.

It's a bit ugly to implement this, since shadow information is more than
just passwords (but accound validity metadata), and thus userdb's own
"privieleged" scheme is orthogonal to this, but let's still do this for
the client side.

Fixes: #15105

userdb: when doing client-side NSS look-ups optionally avoid shadow look-ups

pam-systemd-home: drop redundant newline

hwdb: Fix kbd brightness keys on Acer Predator PH 315-52

Acer defines Fn+F9/10 as keyboard brightness down/up on Predator PH
315-52 laptop. So, add the quirk to correct key mappings.

pid1: by default make user units inherit their umask from the user manager

This patch changes the way user managers set the default umask for the units it
manages.

Indeed one can expect that if user manager's umask is redefined through PAM
(via /etc/login.defs or pam_umask), all its children including the units it
spawns have their umask set to the new value.

Hence make user units inherit their umask value from their parent instead of
the hard coded value 0022 but allow them to override this value via their unit
file.

Note that reexecuting managers with 'systemctl daemon-reexec' after changing
UMask= has no effect. To take effect managers need to be restarted with
'systemct restart' instead. This behavior was already present before this
patch.

Fixes #6077.

manager: also log at debug level failure to read oom_score_adj

manager: add CoredumpFilter= setting

Fixes #6685.

Merge pull request #15345 from keszybz/systemctl-show-spaces

Show Environment= entries with spaces in systemctl

Add parser and printer for coredump filter mask

homed: when creating home directory as btrfs inside luks volume, place subvol inside it

When managing a home directory as LUKS image we currently place a
directory at the top that contains the actual home directory (so that
the home directory of the user won't be cluttered by lost-found and
suchlike). On btrfs let's make that a subvol though. This is a good idea
so that possibly later on we can make use of this for automatic history
management.

Fixes: #15121

import: use our new btrfs_subvol_make_fallback() at two places

btrfs-util: define helper that creates a btrfs subvol if we can, and a directory as fallback

man: add missing varname around keywords in systemd.unit.xml

man: explicitly note that ExecSt*Post does count for After/Before ordering

basic/parse-util: add safe_atoux64()

sleep: improve log msg slightly

Let's make the log msgs a bit longer, to make clearer what is going on
here...

Prompted bymy attempts to debug #15354

Merge pull request #15368 from poettering/color-fix

minor terminal ansi color seq fixes

mount-setup: change the system mount propagation to shared by default only at bootup

The commit b3ac5f8cb987 has changed the system mount propagation to
shared by default, and according to the following patch:
https://github.com/opencontainers/runc/pull/208
When starting the container, the pouch daemon will call runc to execute
make-private.

However, if the systemctl daemon-reexec is executed after the container
has been started, the system mount propagation will be changed to share
again by default, and the make-private operation above will have no chance
to execute.

systemctl: show Environment entries with whitespace

This makes the Environment entries more round-trippable: a similar format is
used for input and output. It is certainly more useful for users, because
showing [unprintable] on anything non-trivial makes systemctl show -p Environment
useless in many cases.

Fixes: #14723 and https://bugzilla.redhat.com/show_bug.cgi?id=1525593.
$ systemctl --user show -p Environment run-*.service
Environment=ASDF=asfd "SPACE= "
Environment=ASDF=asfd "SPACE=\n\n\n"
Environment=ASDF=asfd "TAB=\t\\" "FOO=X X"

shared/escape: add new escape style with \n\t escaped

Merge pull request #15331 from vcaputo/busdpi

bus: introduce some sd-bus convenience helpers

systemd-run: add --slice-inherit

Add a new option to easily place a slice within the systemd-run slice.

man: correct the default slice for systemd-run units

As suggested in #15362

Merge pull request #15234 from ssahani/mud-lldp

LLDP : Introduce Manufacturer Usage Description (MUD)

test-terminal-util: fix typo

terminal-util: fixate underlined yellow color too

non-underlined yellow uses RGB ANSI sequences while the underlined
version uses the paletted ANSI sequences. Let's unify that and use the
RGB sequence for both cases, so that underlined or not doesn't alter the
color.

catalog: add entry for SD_MESSAGE_UNSAFE_USER_NAME

docs: hook up the new USER_NAMES document everywhere

(Also correct the set of names we accept in User=, which was forgotten
to be updated in ae480f0b09aec815b64579bb1828ea935d8ee236.

docs: add a longer document explaining our rules on user/group names

user-util: rework how we validate user names

This reworks the user validation infrastructure. There are now two
modes. In regular mode we are strict and test against a strict set of
valid chars. And in "relaxed" mode we just filter out some really
obvious, dangerous stuff. i.e. strict is whitelisting what is OK, but
"relaxed" is blacklisting what is really not OK.

The idea is that we use strict mode whenver we allocate a new user
(i.e. in sysusers.d or homed), while "relaxed" mode is when we process
users registered elsewhere, (i.e. userdb, logind, …)

The requirements on user name validity vary wildly. SSSD thinks its fine
to embedd "@" for example, while the suggested NAME_REGEX field on
Debian does not even allow uppercase chars…

This effectively liberaralizes a lot what we expect from usernames.

The code that warns about questionnable user names is now optional and
only used at places such as unit file parsing, so that it doesn't show
up on every userdb query, but only when processing configuration files
that know better.

Fixes: #15149 #15090

userdbctl: drop redundant user name validity check

The userdb_by_name() invocation immediately following does the same check
anyway, no need to do this twice.

(Also, make sure we exit the function early on failure)

test: wait a bit after stopping the test service

Give systemd a chance to process the stop event before checking if the
PID has indeed leaked. This should fix the intermittent test fails in CI
even with a fixed systemd version, like this one:

```
Apr 08 10:22:09 testsuite-47.sh[345]: ++ cat /leakedtestpid
Apr 08 10:22:09 testsuite-47.sh[334]: + leaked_pid=342
Apr 08 10:22:09 testsuite-47.sh[334]: + systemctl stop testsuite-47-repro
Apr 08 10:22:10 testsuite-47.sh[334]: + ps -p 342
Apr 08 10:22:10 testsuite-47.sh[348]:     PID TTY          TIME CMD
Apr 08 10:22:10 testsuite-47.sh[348]:     342 ?        00:00:00 sleep
Apr 08 10:22:10 testsuite-47.sh[334]: + exit 42
```

Followup to 197298ff9fc930de450330095cc5b67d165d0801

Merge pull request #15358 from poettering/preset-clean-up

preset: let's clean up preset list a bit

LLDP: Add support to transmit MUD URL

preset: let's clean up preset list a bit

let's make sure we list all singleton units we define in the preset
list, either as disable or as enable. Only four were missing, let's add
them in.

Also, let's group the pstore one with the other ones that are enabled,
right at the top.

sd-lldp: Add support to receive MUD

Merge pull request #14930 from tomhughes/dnssec-canonicalise

Canonicalise names in DNS responses per RFC4034 requirements

units: add ProtectClock=yes

Add `ProtectClock=yes` to systemd units. Since it implies certain
`DeviceAllow=` rules, make sure that the units have `DeviceAllow=` rules so
they are still able to access other devices. Exclude timesyncd and timedated.

Remove message->priority field

A warning is emitted from sd_bus_message_{get,set}_priority. Those functions
are exposed by pystemd, so we have no easy way of checking if anything is
calling them.

Just making the functions always return without doing anything would be an
option, but then we could leave the caller with an undefined variable. So I
think it's better to make the functions emit a warnings and return priority=0
in the get operation.

sysctl: enable coredump for suid binaries

Right now the kernel will not dump anything that went through setuid or
setgid. But it is routine for daemons to do that, and it makes things hard to
debug.

systemd-coredump saves the coredump readable by the users the process was
running as. This should be enough to avoid information leakage. So let's also
tell the kernel to do the coredump.

For https://bugzilla.redhat.com/show_bug.cgi?id=1790972.

Both patterns are stored in the same file, so they are enabled or disabled
together. (Though suid_dumpable=2 is supposed to be safe even when writing to
plain files.)

fix manager_state

hwdb: Add accel orientation quirk for MPMAN MPWIN895CL tablet

Add a quirk to fix the accelerometer orientation on the MPMAN MPWIN895CL
tablet.

Merge pull request #15349 from keszybz/doc-work

Remove stray file and fix two minor issues in man pages

man: update rules

Apparently this step was forgotten in 935052a8aa11329061cbee234c99b03973163594.

Remove stray file

man: drop apostophe from section title

For whatever reason, this does not get rendered propely in the man
page and results in an invalid code:
W: manual-page-warning /usr/share/man/man7/systemd.special.7.gz 103: warning: macro `AQ' not defined

We say 'user manager' and 'system manager' in most other places, so let's just
use this form here too.

hwdb: Update database of Bluetooth company identifiers

bus: introduce some sd-bus convenience helpers

Many of the convenience functions from sd-bus operate on verbose sets
of discrete strings for destination/path/interface/member.

For most callers, destination/path/interface are uniform, and just the
member is distinct.

This commit introduces a new struct encapsulating the
destination/path/interface pointers called BusAddress, and wrapper
functions which take a BusAddress* instead of three strings, and just
pass the encapsulated strings on to the sd-bus convenience functions.

Future commits will update call sites to use these helpers throwing
out a bunch of repetitious destination/path/interface strings littered
throughout the codebase, replacing them with some appropriately named
static structs passed by pointer to these new helpers.

oss-fuzz: point the badge directly to our logs

semaphore: switch to upstream-ci

"debian/master" has been broken since
https://salsa.debian.org/systemd-team/systemd/-/commit/d6483013d5779d4d465a1e174e44a754b941d0e6
was merged.

detect-virt: also detect "microsoft" as WSL

From https://github.com/microsoft/WSL/issues/423#issuecomment-221627364:
> it's unlikely we'll change it to something that doesn't contain "Microsoft"
> or "WSL".

... but well, it happened. If they change it incompatibly w/o adding an stable
detection mechanism, I think we should not add yet another detection method.
But adding a different casing of "microsoft" is not a very big step, so let's
do that.

Follow-up for #11932.

Merge pull request #15298 from keszybz/show-property-value

systemctl --property-value as shortcut for --property --value

Merge pull request #15321 from topimiettinen/dbus-execute-add-protect-clock

dbus-execute: show also ProtectClock

Merge pull request #15290 from keszybz/unrelated-fixes

Three unrelated minor tweaks

Merge pull request #15297 from poettering/homed-no-fallocate

homed: fall back to ftruncate() if fallocate() is not supported on ba…

test: use show -P in places

Not all places are converted on purpose, to also test the other option
name.

systemctl: add -P as short for --value --property=

Merge pull request #15315 from DaanDeMeyer/deprecate-sd-bus-priority

sd-bus: Deprecate priority functions

capability: don't skip ambient caps setup if we actually have something to set

Follow-up for 7ea4392f1e444388caa706d6bd64fb7b30dc2903

Let's not hide errors needlessly aggressively.

Merge pull request #15310 from poettering/repart-no-enable

make systemd-repart static again, but condition it out if no config

shared/dissect-image: log messages from cryptsetup

Before:
```
write(2, "Device /dev/loop1p1 is too small.\n", 34) = -1 ENOTCONN (Transport
endpoint is not connected)
```

After:
```
$ journalctl -b -e | grep 'too small'
Apr 02 16:53:30 loora systemd[343579]: Device /dev/loop1p1 is too small.
```

resolve: reload /etc/hosts on inode change

On certain distributions such as NixOS the mtime of `/etc/hosts` is
locked to a fixed value. In such cases, only checking the last mtime of
`/etc/hosts` is not enough - we also need to check if the st_ino/st_dev
match up. Thus, let's make sure make sure that systemd-resolved also
rereads `/etc/hosts` if the inode or the device containing `/etc/hosts` changes.

Test script:

```bash
hosts="/etc/hosts"
echo "127.0.0.1 testpr" > "hosts_new"
mv "hosts_new" "$hosts"
resolvectl query testpr || exit 1
mtime="$(stat -c %y "$hosts")"
echo "127.0.0.1 newhost" > "hosts_tmp"
touch -d "$mtime" "hosts_tmp"
install -p "hosts_tmp" "$hosts"
sleep 10
resolvectl query newhost || exit 1
rm -f "hosts_tmp"
```

Closes #14456.

dbus-execute: show also ProtectClock

Show also `ProtectClock=` setting. This also lets `systemd-analyze security`
get the correct state for it.

Merge pull request #15309 from poettering/strv-split

remove dead-lock in strv_split()

sd-bus: remove unused priority logic

sd-bus: Deprecate priority functions

units: run systemd-repart only if there's configuration for it

Revert "units: make systemd-repart.service installable"

This reverts commit 7e1ed1f3b29162df25064b33dc55ac8cf432bb0b.

systemd-repart is not a user service that should be something people
enable/disable, instead it should just work if there's configuration for
it. It's like systemd-tmpfiles, systemd-sysusers, systemd-load-modules,
systemd-binfmt, systemd-systemd-sysctl which are NOPs if they have no
configuration, and thus don't hurt, but cannot be disabled since they
are too deep part of the OS.

This doesn't mean people couldn't disable the service if they really
want to, there's after all "systemctl mask" and build-time disabling,
but those are OS developer facing instead of admin facing, that's how it
should be.

Note that systemd-repart is in particular an initrd service, and so far
enable/disable state of those is not managed anyway via "systemctl
enable/disable" but more what dracut decides to package up and what not.

update TODO

string-util: make clear that split() + FOREACH_WORD() should die

string-util: make sure we eat even half complete words in split()

split() and FOREACH_WORD really should die, and everything be moved to
extract_first_word() and friends, but let's at least make sure that for
the remaining code using it we can't deadlock by not progressing in the
word iteration.

Fixes: #15305

string-util: some minor coding style updates

update TODO

Merge pull request #15210 from ssahani/networkctl-up-down

Merging by hand because github refuses merging because "Rebasing the commits of
this branch on top of the base branch cannot be performed automatically as this
would create a different result than a regular merge.".