network: add missing entry in serialization/deserialization

network: serialize/deserialize address family

network: refuse the case To= and From= are in different address family

Merge pull request #13317 from ddstreet/werror

Fix build warnings, so Ubuntu CI can pass --werror to meson

 po: update Ukrainian translation (#13329)

* Update Ukrainian translation

* po: update Ukrainian translation

unit-file: downgrade accidentaly high-prio debug log message

networkctl: avoid outputting '(null)' for LLDP ports without description

src/boot/efi/meson.build: if meson --werror is true, set gcc -Werror

This part of the build does not use the normal meson parameters, so
we need to explicitly check for the meson --werror parameter, and if
it's true, set the gcc -Werror parameter for this subdir's build.

src/boot/efi/linux: elide __attribute__((regparm(0))) on non-i386

This attribute is x86_32-only, so when building on non-intel archs it
generates a compiler warning.  When building with -Werror this turns
into an error, so only include the attribute on i386 arch builds.

src/boot/efi/shim: elide __attribute__((sysv_abi)) on non-intel archs

This attribute is x86-only, so when building on non-intel archs it
generates a compiler warning.  When building with -Werror this turns
into an error, so only include the attribute on intel archs.

src/basic/missing_syscall: add comment lines for PR 13319 changes

Add a comment line explaining that the syscall defines might be
defined to invalid negative numbers, as libseccomp redefines them
to negative numbers if not defined by the kernel headers, which is
not obvious just from reading the code checking for defined && > 0

README: add an OSS-Fuzz badge

Since bug reports, backtraces, coverage reports and build logs are scattered
across at least four different places and there is no publicly available dashboards
the badge can point to, let's just point it to the build logs, which hopefully are going to be
a little bit more usable once https://github.com/google/oss-fuzz/issues/2690 is
addressed.

update-utmp: fix assertion failure if rescue.target, multi-user.target and graphical.target are all inactive

If rescue.target, multi-user.target and graphical.target are all
inactive, get_current_runlevel() is not able to determine current
runlevel, and returns with zero. This zero runlevel value results to
assertion failure in utmp_put_runlevel().

 # systemctl stop rescue.target multi-user.target graphical.target
 # systemctl start systemd-update-utmp-runlevel.service

 systemd[1]: Stopped target Graphical Interface.
 systemd[1]: Stopped target Multi-User System.
 systemd[1]: Starting Update UTMP about System Runlevel Changes...
 systemd-update-utmp[67]: Assertion 'runlevel > 0' failed at src/shared/utmp-wtmp.c:275, function utmp_put_runlevel(). Aborting.
 systemd[1]: systemd-update-utmp-runlevel.service: Main process exited, code=dumped, status=6/ABRT
 systemd[1]: systemd-update-utmp-runlevel.service: Failed with result 'core-dump'.
 systemd[1]: Failed to start Update UTMP about System Runlevel Changes.

Let's just print a warning in this case and skip the utmp update, to
avoid systemd-update-utmp-runlevel.service failures.

Merge pull request #13273 from RPigott/zshcomp

Enable resolvectl zsh completions

sysusers: properly mark generated accounts as locked

Previously, we'd only set the shell to /usr/bin/nologin and lock the
password for system users. Let's go one step further and also lock the
whole account.

This is a paranoid safety precaution, since neither disabling the shell
like this nor disabling the password is sufficient to lock an account,
since remote shell tools generally allow passing different shells, and
logins into ftp or similar protocols don't know the shell concept anyway.
Moreover, in times of ssh authentication by password is just one
option of authentication among many.

Takes inspiration from the recommendations in usermod(8)'s -L switch:

    "Note: if you wish to lock the account (not only access with a
    password), you should also set the EXPIRE_DATE to 1."

Merge pull request #13298 from RPigott/busctl

zsh: add busctl completions

hwdb: acceleration mount matrix for a Medion Akoya E3221 (#13310)

src/basic/missing_syscall: change #ifndef to #if ! (defined && > 0)

The #ifndef check used to work for missing __NR_* syscall defines, but
unfortunately libseccomp now redefines missing syscall number to negative
numbers, in their public header file, e.g.:
https://github.com/seccomp/libseccomp/blob/master/include/seccomp.h.in#L801

When systemd is built, since it includes <seccomp.h>, it pulls in the
incorrect negative value for any __NR_* syscall define that's included in
the seccomp.h header (for those syscalls that the kernel headers don't
yet define, e.g. when built with older/stable-distro kernels).  This leads
to bugs like:
https://bugs.launchpad.net/ubuntu/+source/systemd/+bug/1821625

This changes the check so that it can override the negative number that
libseccomp defines, instead of trying to use the negative syscall number.
To avoid gcc warnings (which are failures with meson --werror), this checks
without generating a redefinition gcc warning.

I have no idea why libseccomp decided to define missing syscalls
to negative numbers inside their *public* header file, causing
problems like this.

shared/unit-file: fix systemctl cat user@.service

I assumed that unit_name_to_instnace() returns NULL if there is no instance.
In fact it returns "", so the check for instance was wrong.

Also avoid unnecessary call to unit_name_is_valid().

Merge pull request #13302 from yuwata/network-set-put-fixes

network: fixes related to set_put()

Merge pull request #13318 from ddstreet/s390_seccomp

add s390 pkey_mprotect syscall number, and s390 mmap syscall definitions

core: Avoid race when starting dbus services

In high load scenarios it is possible for services to be started
before the NameOwnerChanged signal is properly installed.

Emulate a callback by also queuing a GetNameOwner when the match is
installed.

Fixes: #12956

test: ppc64* qemu is qemu-system-ppc64

hwdb: Fix airplane mode spam on HP Spectre x360 Convertible

Added additional rule matching my HP Spectre x360 Convertible from 2015 (skylake)

shell-completion: complete --match argument for busctl

src/shared/seccomp-util.c: Add mmap definitions for s390

src/basic/missing_syscall: add s390 syscall number for __NR_pkey_mprotect

The syscall number for s390 was added to the kernel at:
https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=b41c51c8e194c0bdfb4b1778a137aea8246c86cd

TODO: add more, and drop implemented stuff

test: store coredumps in journal

To make debugging much easier, especially for crashes in tests under
QEMU, let's store the entire coredump bundle in the systemd journal,
which is usually kept around by various CIs. Right now, we usually end
up with a journal, but without the coredump itself, which is pretty
useless.

hwdb: Add axis overrides for HP Envy x360 (#13304)

Merge pull request #13303 from yuwata/bootctl-segfaults

bootctl: fix segfaults

networkd: Keep track of static neighbors

We need to keep track of the static neighbors that are configured on the
interface so that we can delete stale entries that were removed.

bootctl: arg_dolloar_boot_path() may return NULL

bootctl: clear arg_xbootldr_path when acquire_xbootldr() succeeds

network: add missing link_ref()

network: fix potential memleaks related to set_put()

man: add example for IPv6 Prefix Delegation

firstboot: drop duplicate trailing whitespace from root pw question

Since ask_password() (and related calls) already append one char, we
ended up appending two. That's not pretty. Let's fix this, and do it
like in all other cases ask_password() (or an equivalent function) is
called.

docs: fix env var name in random seed markdown documentation

Fix typo in `analyze-security.c`.

zsh: add busctl completions

fuzzit: get MSan to track origins

It's just a follow-up to https://github.com/systemd/systemd/pull/13281
that should make it a little bit easier to make sense of
MSan reports.

https://clang.llvm.org/docs/MemorySanitizer.html#origin-tracking

Merge pull request #13281 from evverx/unleash-msan

fuzzit: an attempt to unleash MSan on all the fuzzers

fuzzit: collapse a series of commands

Now that the ids are gone, we can generate commands simply
using names as we go

fuzzit: switch to a new organization

man: Fix grammar in systemd.kill.xml

fuzzit: unleash MSan on all the fuzzers

logind: set description for inhibitor event source

networkd: Routes should take the gateway into account

Otherwise, changing the default gateway doesn't purge old gateway routes
left on the system during daemon restart. This also fixes removing other
foreign gateway routes that don't match the expected configuration.

Tested:
    Changed gateway addresses prior to the patch and they lingered on
    the system during each reconfiguration. Applied this patch and
    reconfigured gateways and other routes multiple times and it removed
    the foreign routes that had gateways that didn't match.

Signed-off-by: William A. Kennington III <william@wkennington.com>

shell-completion: add resolvectl commands to zsh completion

shell-completion: enable resolvectl zsh completion

Merge pull request #13265 from keszybz/timedated-ntp-logging

Timedated logging and service priority

timedated: always enable&start the service with highest priority

This removes a special case that was implemented before: if some service
was already enabled, we'd treat it as having higher priority.

From https://bugzilla.redhat.com/show_bug.cgi?id=1735584#c4:
> Setting ntp off and on should give the same result as just setting it
> on. There should be no stickiness (hidden state). It should behave like
> running an ansible role.
>
> The other service might have been enabled because no other was installed at
> the time. If I install a new NTP service with a higher priority, setting ntp
> on should enable and start the new service, and disable all other. Also, if
> for some reason multiple services are enabled, after setting ntp on there
> should be only one enabled to avoid systemd selecting between them randomly
> on the next boot.

systemctl: Add unit file states to state help message

man: fix typo in resolvectl(1) man page

timedated: log about unit enablement actions and enhance logs in general

The general idea is that for things which can occur repeatedly, like SetNTP
being called with the same argument, we only log at debug level. For things
which change state, like when we realize that a unit that wasn't enabled
before needs to be enabled, we log at info level.

Also, don't return success if there are no units loaded.

unit: drop Before=sysinit.target from systemd-random-seed.service

Follow-up for 26ded55709947d936634f1de0f43dcf88f594621.

The commit says,

> Note that with this change sysinit.target (and thus early boot) is NOT
systematically delayed until the entropy pool is initialized,

But the dependency was not dropped.

This was found by David Seifert (@SoapGentoo).

meson: create (empty) /etc/systemd/system during installation

We explicitly create /etc/systemd/user and other parts of the basic directory
tree. I think we should create /etc/systemd/system too. (The alternative would
be to not create those other directories too, but I think it's nice to have
the basic directory structure in place after installation.)

https://bugzilla.redhat.com/show_bug.cgi?id=1737362

Merge pull request #12884 from mrc0mmand/numapolicy-test

test: introduce TEST-36-NUMAPOLICY

shared/exit-status: fix off-by-one in comment

shared/exit-status: fix lookup

FLAGS_SET() is the wrong operator here, because we want to see if
*any* bits are set. Add test.

https://github.com/systemd/systemd/pull/12884#issuecomment-518238410

Merge pull request #13258 from yuwata/login-revert-handle-ignore-assertion

Revert "logind: remove unused check"

test: add a simple sanity check for systems without NUMA support

test: give strace some time to initialize

The `coproc` implementation seems to be a little bit different in older
bash versions, so the `strace` is sometimes started AFTER `systemctl
daemon-reload`, which causes unexpected fails. Let's help it a little by
sleeping for a bit.

test: skip the test on systems without NUMA support

test: make sure the strace process is indeed dead

It may take a few moments for the strace process to properly terminate
and write all logs to the backing storage

test: support MPOL_LOCAL matching in unpatched strace versions

The MPOL_LOCAL constant is not recognized in current strace versions.
Let's match at least the numerical value of this constant until the
strace patch is approved & merged.

test: replace `tail -f` with journal cursor which should be...

more reliable

test: introduce TEST-36-NUMAPOLICY

test: allow overriding QEMU_OPTIONS from the outside

udev: do not try to import properties on commented out lines

Fixes #13257.

timedated: minor code simplifications

Merge pull request #13256 from keszybz/minor-sd-network-cleanup

Minor sd-network cleanup and other coverity-inspired changes

Revert "logind: remove unused check"

This reverts commit f2330acda408a34451d5e15380fcdd225a672473.

Fixes #13255.

login: drop space in empty line

pid1: replace asprintf() with strjoin()

It's nicer. And coverity doesn't need to complain about unchecked return
value (CID#1401780).

sd-hwdb: use return value from ordered_hashmap_iterate()

Why not? Coverity CID#1402329.

libsystemd-network: make option_append() atomic and make the code a bit clearer

Comparisons are done in the normal order (if (need > available), not if (available < need)),
variables have reduced scope and are renamed for clarity.

The only functional change is that if we return -ENAMETOOLONG, we do that
without modifying the options[] array.

I also added an explanatory comment. The use of one offset to point into three
buffers is not obvious.

Coverity (in CID#1402354) says that sname might be accessed at bad offset, but
I cannot see this happening. We check for available space before writing anything.

unit: make logind can access ESP

Fixes the following error:
```
logind[601]: Failed to open file system "/dev/block/259:1": Operation not permitted
```

Merge pull request #13253 from yuwata/udev-update-logs

udev: update log messages

udev-node: fix misleading log messages

This fixes the following logs:
```
drm_dp_aux2: Handling device node '/dev/drm_dp_aux2', devnum=c238:2, mode=037777777777, uid=4294967295, gid=4294967295
drm_dp_aux2: Preserve permissions of /dev/drm_dp_aux2, 037777777777, uid=4294967295, gid=4294967295
```

udev-event: log device name on spawning commands

time-util: improve detection of synchronized clock

Instead of checking for the STA_UNSYNC flag in the timex status, check
the maximum error. It is updated by the kernel, increasing at a rate of
500 ppm. The maximum value is 16 seconds, which triggers the STA_UNSYNC
flag.

This follows timedatex and allows timedated to correctly detect a clock
synchronized by chronyd when configured to not synchronize the RTC.

Merge pull request #13243 from keszybz/two-cryptsetup-quickfixes

Two cryptsetup quickfixes

cryptsetup: don't assert on variable which is optional

https://github.com/systemd/systemd/commit/50d2eba27b9bfc77ef6b40e5721713846815418b#commitcomment-34519739

In add_crypttab_devices() split_keyspec is called on the keyfile argument,
which may be NULL.

cryptsetup: use unabbrieviated variable names

Now that "ret_" has been added to the output variables, we can name
the internal variables without artificial abbrevs.

Merge pull request #13225 from mrc0mmand/networkd-test-replace-adduser-with-useradd

test: use `useradd` instead of `adduser`

test: print an error when networkctl returns an unexpected EC

If networkctl crashes, like recently with SIGABRT, it returns absolutely
no output, which may be confusing during debugging. Help it a little
with a short informative message.

analyze-security: move assert above first use of the variable (#13238)

Merge pull request #13239 from poettering/coverity-fixes

four coverity fixes

man: reword DeviceAllow= documentation

Don't claim we'd use cgroup.deny much. It's just a way to remove stuff
from device lists, which is nothing we allow users to explicitly
configure.

Also, extend documentation when wildcards may be used, and when not.

job: fix coverity issue

Fixes coverity issue 1403550

test-chase-symlinks: fix coverity issue

Fixes coverity issue 1403708

unit-file: fix coverity issue

Fixes coverity issue 1403820

cryptsetup-generator: fix coverity issue

Fixes coverity issue 1403772

NEWS: Remove DisableControllers from v243

We already released this in v240 and had a NEWS entry then.

test-execute: skip test_exec_systemcallfilter_system under ASan

This particular test case keeps intermittently failing due to crashing
LSan  when running under clang+ASan. Generally, sanitizers don't
like seccomp filters, so the best option here is to just switch this
test off for this scenario.

analyze: declare dump_exit_status outside of HAVE_SECCOMP block

Fixes: 76ed04d936f757763c32db5dbaaebd8b13785d7b
Closes: https://github.com/systemd/systemd/issues/13230

po: update Polish translation

test: use `useradd` instead of `adduser`

`adduser` is in certain cases a standalone package which provides a
better user experience. In other cases it's just a symlink to `useradd`.
And some distributions don't have `adduser` at all, like Arch Linux.
Let's use the `useradd` binary instead, which should provide the same
functionality everywhere.