meson: drop convenience library that was only used in one place

It doesn't make much sense to do this, the result is very similar to including
to objects directly in the output binary without going through an intermediate
target.

The linkage of test-libudev was rather strange too: udev_link_with is used to
allow udev to be linked to a static version of libshared, so that udev is not
linked to libshared.so. But here we were using both, defeating the purpose of
udev_link_with. I don't think it matters what the test is linked to, so let's
use the non-static linkage to save space.

meson: stop building out convenience libraries by default

The meson default for static_library() are:
build_by_default=true, install=false. We never interact with the
static libraries, and we only care about them as a stepping-stone towards
the installable executables or libraries. Thus let's only build them if
they are a dependency of something else we are building.

While at it, let's drop install:false, since this appears to be the default.

This change would have fixed the issue with lib_import_common failing
to build too: we wouldn't attempt to build it.

In practice this changes very little, because we generally only declare static
libraries where there's something in the default target that will make use of
them. But it seems to be a better pattern to set build_by_default to false.

meson: don't compile import sources four times

Use a 'convenience library' to do the compilation once and then link the
objects into all the files that need it. Those files are small, so this probably
doesn't matter too much for speed, but has the advantage that we don't get the
same error four times if something goes wrong.

The library is conditionalized in the same way importd itself, because we
cannot build it without the deps.

Define FOREACH_DIRENT through FOREACH_DIRENT_ALL

As in the previous commit, 'de' is used as the iterator variable name.

tree-wide: make FOREACH_DIRENT_ALL define the iterator variable

The variable is not useful outside of the loop (it'll always be null
after the loop is finished), so we can declare it inline in the loop.
This saves one variable declaration and reduces the chances that somebody
tries to use the variable outside of the loop.

For consistency, 'de' is used everywhere for the var name.

wait-online: also use address state even when operational state is below degraded

Closes #21706.

shell-completion: Add completion for systemd-analyze critical-chain

systemd-analyze critical-chain accepts an optional unit argument,
however currently there's no shell-completion for it
This change provides unit name completion for both bash and zsh.

Closes: #20927

Fix loading of graphs

boot, meson: allow statically linked build

Build option "link-boot-shared" to build a statically linked bootctl and
systemd-bless-boot by using

  -Dlink-boot-shared=false

on systems with full systemd stack except bootctl and systemd-bless-boot,
such as CentOS/RHEL 9.

man: do not install sd-boot man pages when -Dgnu-efi=false is set

man: how to unset CPUQuota=

This description will help users who are trying to reset the already configured
CPUQuota= by trying incorrect ways such as CPUQuota=0 or CPUQUota=infinity.

Merge pull request #21752 from keszybz/man-creds

Small improvements to systemd-creds output and man page

man: make systemd-creds man page a bit easier to read

shared/creds: print debugging information when something goes wrong

build(deps): bump actions/upload-artifact from 2.2.4 to 2.3.0

Bumps [actions/upload-artifact](https://github.com/actions/upload-artifact) from 2.2.4 to 2.3.0.
- [Release notes](https://github.com/actions/upload-artifact/releases)
- [Commits](https://github.com/actions/upload-artifact/compare/27121b0bdffd731efa15d66772be8dc71245d074...da838ae9595ac94171fa2d4de5a2f117b3e7ac32)

---
updated-dependencies:
- dependency-name: actions/upload-artifact
  dependency-type: direct:production
  update-type: version-update:semver-minor
...

Signed-off-by: dependabot[bot] <support@github.com>

Merge pull request #21749 from nabijaczleweli/bashpsko

Shebang bash via env

build(deps): bump github/codeql-action from 1.0.25 to 1.0.26

Bumps [github/codeql-action](https://github.com/github/codeql-action) from 1.0.25 to 1.0.26.
- [Release notes](https://github.com/github/codeql-action/releases)
- [Changelog](https://github.com/github/codeql-action/blob/main/CHANGELOG.md)
- [Commits](https://github.com/github/codeql-action/compare/546b30f35ae5a3db0e0be1843008c2224f71c3b0...5f532563584d71fdef14ee64d17bafb34f751ce5)

---
updated-dependencies:
- dependency-name: github/codeql-action
  dependency-type: direct:production
  update-type: version-update:semver-patch
...

Signed-off-by: dependabot[bot] <support@github.com>

test: bump timeout for TEST-50-DISSECT and TEST-67-INTEGRITY

TEST-67-INTEGRITY times out quite often, and when it passes
it does so a few seconds short of the timeout. It's a slow
qemu test, so bump the timeout.
TEST-50-DISSECT has been reported to fail in the same way
on Debian's infrastructure, again narrowly failing or passing
just short of the timeout.

man: reorder item

We said that recovery keys are "similar to regular passphrases"
before intorducing "regular passphrases".

man/sd-run: /bin/bash -> bash in -t example

sd-run already does PATH lookup via find_executable_full()

man/sd-notify: /bin/bash -> /bin/sh, read -> read -r in example

Change all fixed-path bash shebangs to /u/b/env bash outside test/

Disable exporting D-Bus Introspection XML if cross-compiling

This is a soft disable. Passing `dbus-interfaces-dir` build option
will with path or 'yes' enable exports again even when cross
compiling. (maybe your environment will allow to execute
cross compiled binaries)

Enable /dev/sgx_vepc access for the group 'sgx'

Enable /dev/sgx_vepc access for the group 'sgx', which allows KVM-backed VMs
to host Intel Software Guard eXtension (SGX) enclaves. The upcoming QEMU
6.2 uses /dev/sgx_vepc to reserve portions of Enclave Page Cache (EPC) for
VMs. EPC is the reserved physical memory used for hosting enclaves.

Merge pull request #21614 from medhefgo/boot-bcd

boot: Add BCD store parser

meson: Drop meson version compare for fuzz test

We are depending on meson >= 0.53.2 now, so this check can be dropped.

test: Add BCD unit test

boot: Remove unused memmem_safe

boot: Add BCD store parser

This replaces the memmem-based approach of finding a suitable title
for the windows boot manager with one that actually parses the BCD
store. It's probably faster but more importantly, it's more correct.

The memmem approach may detect stale title strings that are still
in the file but unused due to the way registry hives are updated.
This approach also allows us to detect if the BCD store is multi-boot
so that we can fall back on the generic one instead.

boot: Make OFFSETOF lowercase

This is more in line with the userspace offsetof.

boot: Add strncasecmpa helper function

meson: Fix gnu-efi detection for clang

The gnu-efi headers emit some warnings in clang when not compiled with
-ffreestanding. This is normally not an issue for has_header_symbol()
unless meson is run with CFLAGS="-Werror". Note that this differs
from the --werror option, which does not get passed to clang.

Work around this by adding some compile args to the has_header_symbol()
invocation.

Merge pull request #21664 from yuwata/network-tunnel-cleanups

network: several cleanups for tunnel device

Merge pull request #21570 from AdrianVovk/stub-global-creds

stub: Load credentials from \loader\credentials\*.cred

namespace: allow overriding /run with a TemporaryFileSystem=

Lower priority of RUN, so that TMPFS and especially the mount flags given with
`TemporaryFileSystem=` are used.

This allows making `/run` private with drop-ins such as:
```
[Service]
BindReadOnlyPaths=/run/systemd:/run/systemd:norbind
TemporaryFileSystem=/run:nodev,noexec,nosuid,rw,size=32k,nr_inodes=10,mode=0755
```

Merge pull request #21727 from medhefgo/ld

ci: Build test with different linkers

Merge pull request #20598 from tomty89/order_noauto

fstab-generator, core/mount: Avoid special fs target before dependency only if nofail is used

Merge pull request #21731 from yuwata/test-62-bpf-framework

test: fix TEST-62

meson: Auto detect efi-ld

ci: Build test with different linkers

test: add missing section for Description=

test: fix grepping fixed string starts from hyphen

Follow-up for 85445fba22b2f81853a3f018ed1f28864cef37fc.

Fixes #21718.

network-generator: support link6 network configuration

this just brings up an interface in order to have IPv6 link local
connectivity.

Export systemd-networkd D-Bus XML introspection

stub: Load credentials from \loader\credentials\*.cred

Some types of credentials that a user would want to pass
into the initrd do not depend on the specific kernel/initrd
version. For instance, this can include SSH keys, rootfs
encryption keys, dm-integrity keys, and so on. This
introduces a directory where such credentials can be placed
so that any kernel image will load them

Merge pull request #21722 from yuwata/bpf-framework

build: include BPF_FRAMEWORK in version string

Merge pull request #21708 from mrc0mmand/mkosi-ci-improvements

ci: check for failed services after boot

test: addresses shell check warning

This fixes the following warning:
-----
In /github/workspace/test/units/testsuite-62.sh line 39:
KERNEL_MINOR="${KERNEL_VERSION#$KERNEL_MAJOR.}"
                               ^-----------^ SC2295 (info): Expansions inside ${..} need to be quoted separately, otherwise they match as patterns.

Did you mean:
KERNEL_MINOR="${KERNEL_VERSION#"$KERNEL_MAJOR".}"

test: skip TEST-62 if bpf-framework is not supported

Fixes #21718.

build: include BPF_FRAMEWORK tag in version string

meson: use subdir_done() to reduce indent

network: rename SetupState to AdministrativeState

This is more consistent with the terminology used elsewhere. In
particular it is consistent with the name of the property exposed over
dbus for the link state.

ci: run mkosi in a wrapper

So we can mitigate (to some degree) the reoccurring "dissect timeout"
issue:

```
Run sudo python3 -m mkosi boot systemd.unit=mkosi-check-and-shutdown.service !quiet systemd.log_level=debug systemd.log_target=console udev.log_level=info systemd.default_standard_output=journal+console
Failed to dissect image '/home/runner/work/systemd/systemd/image.raw': Connection timed out
Error: Process completed with exit code 1.
```

ci: check for failed services after boot

This should, hopefully, catch issues like systemd/systemd#21671
automagically.

Export D-Bus interfaces to /usr/share/dbus-1/interfaces

Pass -Ddbus-interfaces-dir=no to meson to disable export

Interfaces from:
org.freedesktop.home1
org.freedesktop.hostname1
org.freedesktop.import1
org.freedesktop.locale1
org.freedesktop.LogControl1
org.freedesktop.login1
org.freedesktop.machine1
org.freedesktop.oom1
org.freedesktop.portable1
org.freedesktop.resolve1
org.freedesktop.systemd1
org.freedesktop.timedate1

meson: exclude .gitattributes when using install_subdir

It picks the whole content of the directory by default, but we don't
want to install .gitattributes files. Add it to all invocations, not
just the ones on subdirs with .gitattributes, so that we don't regress
in the future.

Fixes #21715

man: fix typo

journalctl: have -f and -e imply no-value -b

Both of these take multiple seconds, best-case, to get the last few
entries, but do so instantly with -b

shared: avoid x86_64-specific size assertion on x32

Fixes: https://github.com/systemd/systemd/issues/21713

man: let's not say we link to raw .rst file

process-util: Fix memory leak

NEWS: final update before -rc1

Merge pull request #21704 from keszybz/news-250-2

Adjust news and version numbers for v250-rc1

systemctl: add shutdown --show option

Shows the scheduled shutdown action and time if there's one.

network: dhcp: make IPServiceType= accept "none" to disable tos in the outgoing packet

Fixes #9874.

Merge pull request #21700 from keszybz/v250-hwdb

Update hwdb

mkosi: Build Fedora 35 images

network: sd-ipv4ll and sd-ipv4acd only support ethernet interfaces

The deny list in link_ipv4ll_enabled() are mostly non-ethernet type,
whose link->iftype are not ARPHRD_ETHER, e.g. ARPHRD_NONE for bareudp,
ARPHRD_WIREGURAD for wireguard, ARPHRD_GRE for gre, and so on.

Only the exception is vrf, which is ARPHRD_ETHER, but seems not to
support ARP.

Merge pull request #21697 from keszybz/run-more-inodes

Allow more inodes in /dev and /tmp

meson: bump numbers for v250-rc1

NEWS: add contributors

Merge pull request #21696 from keszybz/openssl-suppress-warnings

Suppress openssl-3.0 warnings

NEWS: fix crucial cultural misappropriation

meson: add missing final newline in jinja2 outputs

I think this might be caused by trim_blocks=True. We were
missing the final newline everywhere.

man: bump Fedora version to 35

Fedora-Cloud-Base-35-1.2.x86_64.qcow2 is again the latest version.

NEWS: adjust wording and reorder by category

Also wrap stuff to 80 columns, fix some spelling mistakes, and remove some
repetitions in phrasing.

Merge pull request #21692 from yuwata/network-wireguard-allow-to-start-ndisc-or-radv

network: wireguard: allow to start ndisc or radv

NEWS: add more entries for v250

NEWS file additions

Bump the max number of inodes for /tmp to a million too

Fixes #21626. (The bug report talks about /run, but the issue is actually with
/tmp.) People use /tmp for various things that fit in memory, e.g. unpacking
packages, and 400k is not much. Let's raise is a bit.

hwdb: update for v250

As usual, there are mostly additions of new entries, and some spelling
correction and company renames, no big removals.

hwdb: ninja -C build update-hwdb-autosuspend

Revert "ci: temporarily set -Wno-deprecated-declarations in Packit"

This reverts commit 684e0a560514f9aaf02813f3f6c4a017400c9d51.

The warnigs are not suppressed in the C code.

openssl: supress warnings about functions deprecated by openssl 3.0

We get warnings for RSA_free(), EC_KEY_free(), EC_KEY_new(), etc. Those
functions are now deprecated and we're supposed to use the new "EVP API" that
is all the rage in openssl 3.0.

With some effort I converted dnssec_rsa_verify_raw() to use the new API.  The
code is significantly longer and, if anything, less readable. The EC code is
more complicated and I assume that the EVP API version will be even more
complex. It is possiblet that I'm missing some way to call the new functions in
a better way, but the documentation is abysmal, so it's really hard to figure
out the best way. Of course there are almost no examples, and the ones that are
there are not terribly useful and are also stubs that don't do interesting
things, don't implement error handling, or memory cleanup. I'll submit my
conversion draft as a separate PR. Maybe somebody who knows openssl better
will pick it up and write a proper solution.

For now, let's just use the existing code, but suppress the warnings. The
new version just came out, so it's unlikely that the deprecated functions will
be removed any time soon.

Fixes #21666.

Bump the max number of inodes for /dev to a million

4c733d3046942984c5f73b40c3af39cc218c103f shows that 95k can be used easily on a large
system. Let's bump it up even more so that we have some "breathing room".

Merge pull request #21691 from yuwata/network-route-prefix-length

network: route: several tiny cleanups

libsystemd-network: ignore -ENETDOWN or friends in recv()

And this makes most errors in io events ignored.

network: refuse empty or numeric route table names

doc: fix typo

network: wireguard: allow to run NDisc and RADV when IPv6LL address is manually configured

Fixes #17380.

network: address: add scope in debugging logs

network: address: also adjust scope when address is link local address

But again only when Scope= is not explicitly specified.

network: address: do not adjust user specified scope

This reverts cd1caf30c0bd0d0c6e8df7610c614f52a7345c40.

I cannot remember why such change was made.
At least, the kernel does not refuse to set IPv4 localhost address with
non-host scope, e.g. global.

network: route: mask lower bits of destination or source prefix

Let's gracefully handle user's misconfiguration, e.g.
Destination=192.168.0.1/24

network: json: add src address when its prefix length is non-zero

This should not change anything. Just for consistency with
route_set_netlink_message(), which sets RTA_SRC attribute when prefix
length is non-zero.

network: route: show prefix length of the source in debugging logs

Similar fix to b489d6a26e44d430a997e756ac81767f6e646976.

bootctl: optionally install .signed efi file

if /usr/lib/systemd/boot/efi/systemd-bootx64.efi.signed exists
install that instead of /usr/lib/systemd/boot/efi/systemd-bootx64.efi

the idea is that SecureBoot tooling can create the efi.signed file
whenever /usr/lib/systemd/boot/efi/systemd-bootx64.efi from the package
is updated.

Merge pull request #21686 from yuwata/network-wlan-fix-reconfigure

network: do not reconfigure wireless interface when previously not connected to any APs

Merge pull request #21637 from nabijaczleweli/EBA

kernel-install: export BOOT_ROOT instead of hacking it in hooks, note KERNEL_INSTALL_* ABI

Merge pull request #21678 from keszybz/sysusers-work

Make it easier to figure out what sysusers is doing and why