dissect-image: fix build

PRs #31531 and #31524 were merged in quick succession. They are fine
both on their own. But in combination they break the build. Fix it.

vmspawn: only add to cmdline if tpm was started

Merge pull request #31531 from poettering/verity-userspace-optional

dissect: make use of userspace verity keyring optional

Merge pull request #31524 from poettering/secure-getenv-naming-fix

change naming order getenv_xyz_secure() → secure_getenv_xyz() to match glibc

Merge pull request #31526 from poettering/proc-cmdline-underscorify

make sure we use underscores for kernel cmdline option names, not dashes

Merge pull request #31514 from CodethinkLabs/ptyfwd_issues

ptyfwd/terminal-util: improve edge case handling

dissect: condition usespace verity keyring via kernel cmdline option + env var

dissect-image: add flag for explicitly enabling userspace verity signature checking

let's make userspace verity signature checking optional. This adds a
dissection flag to enable the logic and patches through all our users to
enable it by default, thus effectively not changing anything from the
status quo ante. However, know we have a knob to turn this off in
certain scenarios.

env-util: also rename getenv_uint64_secure() → secure_getenv_uint64()

As in the previous commit, let's not change the order of the words
compared to the underlying glibc API.

env-util: rename getenv_bool_secure() → secure_getenv_bool()

The glibc API is behind the wrapper is called "secure_getenv()", hence
our wrapper really should keep the order too, otherwise things are just
too confusing.

man: add a few missing entries to kernel-command-line man page

tree-wide: use "_" rather than "-" as separator in kernel cmdline options

Most of our kernel cmdline options use underscores as word separators in
kernel cmdline options, but there were some exceptions. Let's fix those,
and also use underscores.

Since our /proc/cmdline parsers don't distinguish between the two
characters anyway this should not break anything, but makes sure our own
codebase (and in particular docs and log messages) are internally
consistent.

Merge pull request #31444 from bluca/semaphore

semaphore: set upstream build profile and set default branch to debian/master

Merge pull request #31293 from ragazenta/netdev_rps

udevd: Add ReceivePacketSteeringCPUMask for systemd.link

resolved: exit function if varlink_dispatch() returns > 0

varlink_dispatch() returns > 0 if it already replied to the method call,
hence this is reason to return from the handler function, and not
proceed.

userbdb: pass log level from main daemon to worker

shared/ptyfwd: detect String Terminator or BEL when parsing an OSC sequence

shared/ptyfwd: allow window title but not background color as a valid state

Previously if a PTYForward instance had the window title set but no
background color set then it would crash in an assertion as
pty_forward_ansi_process didn't require both to be present.

systemd-vmspawn could get into this state if it failed to get the
terminal tint color.

Now any method that would have called background_color_sequence now
becomes just a NOP if the background color is not set.

This allows keeping the functionality to set window titles even if the
terminal doesn't support the background coloring.

basic/terminal-util: accept ST or BEL to end escape sequence queries

Currently scan_background_color_response only accepts BEL (\x07) to end
a response, however some terminals (namely kitty in my case) will reply
with the string terminator (ST - https://en.wikipedia.org/wiki/ANSI_escape_code).

This commit changes the behaviour to now accept either ending.

basic/terminal-util: add check for poll timeout in get_default_background_color

Currently the return value 0 is not checked for, this indicates a
timeout and should be handled to prevent doing a blocking read on a file
descriptor with no data ready.

network/ndisc: drop redundant sd_ndisc_router_get_icmp6_ratelimit()

This effectively reverts 9175002864d8876f375e0df089d142d239282528.

The retrans time field in RA message is for neighbor solicitation,
and the commit d4c8de21a07d015f2f2c787e0735be5e4d02fb3c makes the value
assigned to the correct sysctl property.

Let's deprecate the option, and drop the redundant functions.

nspawn: minor coding style tweaks to nspawn-register.c

Merge pull request #31511 from jamacku/prepare-for-diff-shellcheck

Prepare for new version of Differential ShellCheck & scanning of shell completion scripts

cgroup-setup: clarify '<=' is evaluated earlier

Follow-up for 31323f21bb0ae7c712f43500c42997c91a6d20bf.

The code is correct, but let's silence Coverity.

Closes CID#1534787.

test-network: Add test for rps_cpu_mask option

udevd: Add ReceivePacketSteeringCPUMask for systemd.link

Takes a list of CPU indices or ranges separated by either whitespace or commas. Alternatively,
takes the special value "all" in which will include all available CPUs in the mask.
CPU ranges are specified by the lower and upper CPU indices separated by a dash (e.g. "2-6").
This option may be specified more than once, in which case the specified CPU affinity masks are merged.
If an empty string is assigned, the mask is reset, all assignments prior to this will have no effect.
Defaults to unset and RPS CPU list is unchanged. To disable RPS when it was previously enabled, use the
special value "disable".

Currently, this will set CPU mask to all `rx` queue of matched device (if it has multiple queues).

The `/sys/class/net/<dev>/queues/rx-<n>/rps_cpus` only accept cpu bitmap mask in hexadecimal.

Fix: #30323

TODO: fix typo

Follow-up for 666a348d1c98873c55115924751e6f2d3bdb7435.

test-network: fix typo

Follow-up for a663ddc04e43a9234e00e47aed98bf2bbeb1573a.

semaphore: set upstream build profile and set default branch to debian/master

Leave TEST_UPSTREAM=1 for now in case we switch branches via the hook

semaphore: enable backports to get new dependencies

Required due to building with debian/master branch

test/README: document how to add a new empty release to the PPA to migrate the CI to a new version

test/README: update ubuntu IRC channel for CI help

install: fix compiler warning about empty directive argument

On ppc64el with gcc 13.2 on Ubuntu 24.04:

3s In file included from ../src/basic/macro.h:386,
483s                  from ../src/basic/alloc-util.h:10,
483s                  from ../src/shared/install.c:12:
483s ../src/shared/install.c: In function ‘install_changes_dump’:
483s ../src/shared/install.c:432:64: error: ‘%s’ directive argument is null [-Werror=format-overflow=]
483s   432 |                         err = log_error_errno(changes[i].type, "Failed to %s unit, unit %s does not exist.",
483s       |                                                                ^~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
483s ../src/shared/install.c:432:75: note: format string is defined here
483s   432 |                         err = log_error_errno(changes[i].type, "Failed to %s unit, unit %s does not exist.",

Merge pull request #31515 from keszybz/small-cleanups-after-review-of-stable-batch

Small cleanups after review of stable batch

Merge pull request #31442 from YHNdnzj/towards-cgroup-v1-deprecation

core: refuse cgroupv1 unless SYSTEMD_CGROUP_ENABLE_LEGACY_FORCE

tmpfiles.d: avoid deprecated, undocumented syntax (s/F/f+/)

Fixes: eccebf4b0dcb ("systemd-tmpfiles: deprecate F for f+")

core: remove duplicate serialization of `cpu_sched_reset_on_fork`

`c->cpu_sched_reset_on_fork` is serialized using
`exec-context-cpu-sched-reset-on-fork` and
`exec-context-cpu-scheduling-reset-on-fork`. Let's keep only the second one, to
serialize the value only if `cpu_sched_set` is true.

test: drop route from test-functions

I do not see `route` being exercised anywhere else, everything seems
to be on `ip route` already.

shared/pam-util: fix awkward tense in log message

virt: wrap comment, add missing punctuation

man/sd_bus_service_reconnect.c: normalize whitespace

For man pages, we generally indent with 2 spaces and wrap to ~80 columns.

man, shell-completion: fix a few typos/language issues

bootspec: don't complain about valid loader.conf settings

Let's not complain about various valid loader.conf settings we more
recently added. At the same time let's remove the half-assed userspace
parsers for the fields we actually do support but don't actually really
care about in userspace. There's really no point in storing strings away
that we are not using at all, hence just don#t.

Fixes: #31487

ci(labeler): add rule for `shell-completion` label

test: use socat in unidirectional mode

By default socat open a separate r/w channel for each specified address,
and terminates the connection after .5s from receiving EOF on _either_
side. And since one side of that connection is an empty stdin, we reach
that EOF pretty quickly. Let's avoid this by using socat in
"reversed unidirectional" mode, where the first address is used only for
writing, and the second one is used only for reading.

Addresses:
  - https://github.com/systemd/systemd/issues/31500
  - https://github.com/systemd/systemd/issues/31493

Follow-up for 3456c89ac26.

NEWS: announce cgroup v1 deprecation

meson: drop default-hierarchy= option, always use unified

core: refuse cgroupv1 unless SYSTEMD_CGROUP_ENABLE_LEGACY_FORCE

Also, add a 30s sleep even if cgroup v1 is forced.

Closes #30852

shared/cgroup-setup: introduce cg_is_legacy_force_enabled

shared/mount-setup: split out mount_cgroup_legacy_controllers

shared/mount-setup: minor modernization

core/cgroup: remove obsolete TODO

core: mark JoinControllers= as DISABLED_LEGACY rather than _CONFIGURATION

Follow-up for 143fadf369a18449464956206226761e49be1928

ci(lint): temporarily disable ShellCheck for bash-completion

This commit should be reverted once bash completion is in better shape when it comes to ShellCheck.

fix(SC2148): add ShellCheck directive to bash completion scripts

ci(lint): exclude zsh completion from ShellCheck

zsh is not supported by ShellCheck

zsh/_journalctl: complete -g, --case-sensitive, 'help' (pseudo-)facility

update TODO

sysext: fix typo

Merge pull request #31000 from flatcar-hub/krnowak/mutable-overlays

systemd-sysext: Implement optional mutability for extensions

Merge pull request #31458 from poettering/vmspawn-ptyfwd

vmspawn: implement TTY logic via ptyfwd

Merge pull request #31480 from rpigott/dnssec-maxwork

resolved: limit the number of signature validations in a transaction

network: fix use-after-free in {address,route}_remove_and_cancel()

Fixes #31485.

nspawn: hide ^] hint unless we are interactive mode

The hotkey only works in interactive mode hence don't mislead users
about it.

vmspawn: use our own ptyfwd code for the console of a VM

Let's make systemd-nspawn use our own ptyfwd logic to handle the TTY by
default.

This adds a new setting --console=, inspired by nspawn's setting of the
same name. If --console=interactive= is used, then we'll do the TTY
dance on our own via ptyfwd, and thus get tinting, our usual hotkey
handling and similar.

Since qemu's own console is useful too, let's keep it around via
--console=native.

FInally, replace the --qemu-gui switch by --console=gui.

pretty-print: make tinting a bit less aggressive

run: use sd_event_set_signal_exit() at one more place

network/ndisc: rename Network.ipv6_accept_ra -> Network.ndisc

These settings are leated to sd-ndisc and Neighbor Discovery protocol.
Let's use more suitable name.

Fix: Chuwi UBook X (CWI535) screen rotation matrix

ukify: Use VERSION_TAG instead of GIT_VERSION

GIT_VERSION isn't actually available so use VERSION_TAG instead which
is available.

resolved: reduce the maximum nsec3 iterations to 100

According to RFC9267, the 2500 value is not helpful, and in fact it can
be harmful to permit a large number of iterations. Combined with limits
on the number of signature validations, I expect this will mitigate the
impact of maliciously crafted domains designed to cause excessive
cryptographic work.

resolved: limit the number of signature validations in a transaction

It has been demonstrated that tolerating an unbounded number of dnssec
signature validations is a bad idea. It is easy for a maliciously
crafted DNS reply to contain as many keytag collisions as desired,
causing us to iterate every dnskey and signature combination in vain.

The solution is to impose a maximum number of validations we will
tolerate. While collisions are not hard to craft, I still expect they
are unlikely in the wild so it should be safe to pick fairly small
values.

Here two limits are imposed: one on the maximum number of invalid
signatures encountered per rrset, and another on the total number of
validations performed per transaction.

Merge pull request #31490 from yuwata/network-varlink-cleanups

network/varlink: several trivial cleanups

varlink/network: reindent methods

network/varlink: downgrade log level about failure in getting netns ID

format-table: replace "(size_t) -1" with SIZE_MAX

Merge pull request #31440 from yuwata/sd-ndisc-sd-radv-cleanups

sd-ndisc,sd-radv: several trivial cleanups

in-addr-util: introduce in{4,6}_addr_is_multicast()

icmp6-util: make icmp6_receive() refuse packets without IPv6 sender address

Previously, the function supports packets without IPv6 sender address
for unit tests. However, now unit tests use their own version of
icmp6_receive(). Hence, let's make the check more strict.

sd-ndisc: make callback takes arbitrary type of message

No functional change. Preparation for supporting Neighbor Advertisement
message.

network/ndisc: drop all configurations without lifetime on stop

As we call ndisc_drop_outdated() with USEC_INFINITY on stop.

docs: update link for Arch Linux bugtracker

Merge pull request #31472 from YHNdnzj/systemctl-pidref

systemctl: generalize GetUnitByPIDFD handling

network: use FOREACH_STRING()

docs/CODING_STYLE: fix typo (CLONE_VORK -> VFORK)

systemctl-show: use lookup_unit_by_pidref too

Follow-up for e0e7bc8223c3f28fcb48db9f0f003d9f03ca46d7

This allows us to pin the process locally when GetUnitByPIDFD
is not available, just like what we have been doing for
'systemctl whoami'. Also, fix looking up remote pid.
We can't use pidfd for those.

systemctl: generalize GetUnitByPIDFD handling

systemctl-util: use strv_free_and_replace at one more place

Fallback from pidfd_open on permission errors too

Skip using pidfds if we get a permission denied error.
This can happen with an old policy and a new kernel that uses the
new pidfs filesystem to back pidfds, instead of anonymous inodes,
as the existing policy denies access.

This is already the case for most uses of pidfd_open, like pidref,
but not on these two. Fix them.

test: split out {dump,verify}_ra_message()

Then, let's not modify the global object.

sd-radv: several cleanups

- split out radv_setup_recv_event(),
- slightly update log messages,
- use DIV_ROUND_UP(),
- use structured initializer more.

No functional change, just preparation for later commits.

sd-ndisc: several trivial cleanups

- update several log messages,
- use event_reset_time_relative(),
- split out ndisc_setup_recv_event() and ndisc_setup_timer().

No functional change, just refactoring and preparation for later commits.

icmp6-util: merge icmp6_bind_router_{solicitation,advertisement}() into icmp6_bind()

No functional change, just refactoring.

hwdb: Add support for Elgato Stream Deck Plus

Add support for the following device:

 - ID 0fd9:0084 Elgato Systems GmbH Stream Deck Plus

docs: fix typo

efi: de-inline xmalloc to fix build failure with gcc 12.2 and -O2

With meson build --werror --buildtype=plain -Dc_args=" -O2" the build fails:

../src/boot/efi/stub.c: In function ‘load_addons.constprop’:03:06
../src/boot/efi/stub.c:475:40: error: using a dangling pointer to ‘p’ [-Werror=dangling-pointer=]03:06
  475 |                         dt_bases[n_dt] = xmemdup((uint8_t*)loaded_addon->ImageBase + addrs[UNIFIED_SECTION_DTB],03:06
      |                         ~~~~~~~~~~~~~~~^~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~03:06
  476 |                                                  dt_sizes[n_dt]);03:06
      |                                                  ~~~~~~~~~~~~~~~03:06
In file included from ../src/boot/efi/stub.c:20:03:06
../src/boot/efi/util.h:33:15: note: ‘p’ declared here03:06
   33 |         void *p;03:06
      |               ^

De-inline the function and initialize p to make gcc happy.

Merge pull request #31464 from poettering/vmspawn-limit-bank

vmspawn: disable all TPM PCR banks, except for SHA256

ptyfwd: optionally prefix window title with colored dot

in uid0/systemd-run/nspawn we already set a window title with a colorful
unicode dot indicating the changed privileges/execution context. This typically
gets overriden by the shell inside the environment however.

Let's tweak this a bit: when we see the window title OSC ANSI sequence
passing through, let's patch in the unicode dot as a prefix to the
title.

This is super pretty, since it makes sure root sessions via 0ad are
really easily recognizable as such, because the window title carries an
🔴 red dot as prefix then.

Merge pull request #31465 from xypron/detect-virt

Detect virtualization on RISC-V

man/systemd-sysext.xml: document mutable extensions

Signed-off-by: Thilo Fromm <thilofromm@microsoft.com>