fsck: copy out device argument from argv[] before forking

We nowadays rename our child processes, hence argv[] will be clobbered,
let's hence copy the device path to dynamic memory before forking.

This is fall-out from 60ffa37a65a96c3af857a3dfc4a6fd47b20cc90e since we
now a lot more often end up overriding the argv[] buffer than before,
simple because we know what to override.

These kind of bugs kinda suck. THere are only two options here: stop
overriding argv[] for all cases (or just these cases) or explicitly
copying out everything we need in child processes before forking. With
this patch I opt for the latter, though I am not 100% convinced this is
a great solution. Just a better solution than everything else, i.e.
allowing argv[] to remain out of sync with what others see.

Fixes: #12135

wireguard: fix exponential backoff when resolving hosts

It should stop at 25s, not start.
Fixes #12134

headers: add missing includes

Fixes #12125.

sd-bus: change "int" → "signed int" on bitfield

Apparently by the C standard "int" bitfields can have any signedness
(unlike non-bitfield declarations which are "signed" if the signedness
is not specified).

Let's fix the LGTM warning about this hence and be explicit that we mean
"signed" here.

cryptsetup-generator: set high OOM score for systemd-cryptsetup instances

With new LUKS2 header format it is possible to use Argon2 key derivation
function. This function is "memory-hard" hence keyslot unlocking can
potentially use a lot of RAM as this increases resistance to massively
parallel GPU based password cracking.

However, when multiple systemd-cryptsetup binaries run at the same
time it is very likely that system using Argon2 (e.g. Fedora 30)
will encounter memory-pressure during early boot, following OOM killing
spree.

This patch aims to lower the damage done by OOM killer and sets OOMScore
for systemd-cryptsetup units to 500. Hopefully OOM killer will then
shoot us down and leave rest of the system services alone.

Merge pull request #12130 from keszybz/fix-ndebug-builds

Fix ndebug builds

Merge pull request #12115 from poettering/verbose-job-enqueue

add "systemctl --show-transaction start" as a more verbose "systemctl start" that shows enqueued jobs

meson: disable warnings about unused variables for NDEBUG builds

With assertions disabled, we'd get a bunch of warnings that really bring no
value. With this change, a default meson build with -Db_ndebug=true generates
no warnings.

core: avoid unnecessary cast

test-terminal-util: fix sigsegv when compiled without asserts

I couldn't figure out what is going on here, because LTO inlines everything and
then the backtrace reported a different spot. But when compiled with NDEBUG but
no LTO, it's fairly obvious ;)

C.f. #12008.

Remove variable only used for an assert

When compiled with -DNDEBUG, we get warnings about set-but-unused variables.
In general, it's not something we care about, but since removing those
variables arguably makes the code nicer, let's just to it in this case.

test-terminal-util: add function logging

tree-wide: reorder various structures to make them smaller and use fewer cache lines

Some "pahole" spelunking.

tree-wide: (void)ify a few unlink() and rmdir()

Let's be helpful to static analyzers which care about whether we
knowingly ignore return values. We do in these cases, since they are
usually part of error paths.

Merge pull request #12119 from keszybz/voidify-mkdir-p

Voidify mkdir_p() and normalize util.h includes

Merge pull request #12113 from poettering/terminal-util-fixlets

tiny terminal-util.c fixlets

man: clarify the role of OnBootSec= in containers

https://github.com/systemd/systemd/pull/12104#pullrequestreview-218627236

journalctl: voidify mkdir_p() call and unify two similar code paths

Let's unify the two similar code paths to watch /run/systemd/journal.
The code in manager.c is similar, but it uses mkdir_p_label(), and unifying
that would be too much trouble, so let's just adjust the error messages to
be the same.

CID #1400224.

terminal-util: add paranoid overflow check

terminal-util: modernize things with TAKE_PTR a bit

man: document the new systemctl --show-transaction option

test: add some basic testing that "systemctl start -T" does something

systemctl: add new --show-transaction switch

This new switch uses the new method call EnqueueUnitJob() for enqueuing
a job and showing the jobs it enqueued.

Fixes: #2297

systemctl: split out extra args generation into helper function of its own

systemctl: reindent table

systemctl: more SYNTHETIC_ERRNO() conversion

systemctl: replace switch statement by table of structures

core: add new API for enqueing a job with returning the transaction data

Voidify more mkdir_p calls

headers: remove unneeded includes from util.h

This means we need to include many more headers in various files that simply
included util.h before, but it seems cleaner to do it this way.

test-fileio: do not use variable before checking return value

Coverity is unhappy because we use "line" in the assert that checks
the return value. It doesn't matter much, but let's clean this up.
Also, let's not assume that /proc/cmdline contains anything.

CID #1400219.

Merge pull request #12110 from keszybz/sysv-compat-fix

Sysv-compat compilation fix

Merge pull request #12116 from keszybz/mock-compilation-fixes

Fixes for compilation in Fedora 30 mock

shared/install: try even harder to make sure variable is initalized

Apparently the fix in a05294ff05923563087b53c1db64816130be3b34 was
not sufficient. Let's declare the two arrays as static variables.

Merge pull request #12109 from poettering/sleep-minifixes

tiny fixes to sleep.c

util-lib: fix sentence in comment

systemctl: define less stuff when !HAVE_SYSV_COMPAT

We'd translate our action to sysv runlevel action, only to discard the result
in talk_initctl(). Let's just ifdef the whole thing away.

Fixes #12103.

test-execute: skip flaky test when we can't unshare namespaces

When running in Fedora "mock", / is a tmpfs and /home is not mounted. The test
assumes that /home will be a tmpfs only and only if we can unshare. Obviously,
this does not hold in this case, because unsharing is not possible, but /home
is still a tmpfs. Let's just skip the test, since it's fully legitimate to
mount either or both of / and /home as tmpfs.

test-execute: provide custom failure message

test_exec_ambientcapabilities: exec-ambientcapabilities-nobody.service: exit status 0, expected 1

Sometimes we get just the last line, for example from the failure summary,
so make it as useful as possible.

update TODO

sleep: (void)ify some call

sleep: use negative_errno() where appropriate

Merge pull request #12044 from keszybz/ttyname-malloc-simplification

util-lib: use a fixed buffer size for terminal path

tests: add simple testcase for getttyname_malloc()

Merge pull request #12106 from poettering/nosuidns

add "nosuid" flag to exec directory mounts of DynamicUser=1 services

logind: reword the polkit prompt for reboot parameter

Let's opt for the simplest description possible so that users actually
understand what we have in mind.

Merge pull request #12105 from poettering/api-vfs-mount-flags

some API VFS mount flag tweaks

core: drop suid/sgid bit of files/dirs when doing recursive chown

This adds some extra paranoia: when we recursively chown a directory for
use with DynamicUser=1 services we'll now drop suid/sgid from all files
we chown().

Of course, such files should not exist in the first place, and noone
should get access to those dirs who isn't root anyway, but let's better
be safe than sorry, and drop everything we come across.

nspawn: minor improvements to --help text

completion/zsh/journalctl: Add --no-hostname

man: rework timer docs to use a table for monotonic timers

namespace: when DynamicUser=1 is set, mount StateDirectory= bind mounts "nosuid"

Add even more suid/sgid protection to DynamicUser= envionments: the
state directories we bind mount from the host will now have the nosuid
flag set, to disable the effect of nosuid on them.

nspawn: mount mqueue with nodev,noexec,nosuid, too

The host mounts it like that, nspawn hence should do too.

Moreover, mount the file system after doing CLONEW_NEWIPC so that it
actually reflects the right mqueues. Finally, mount it wthout
considering it fatal, since POSIX mqueue support is little used and it
should be fine not to support it in the kernel.

units: set nodev,nosuid,noexec flags for various secondary API VFS

A couple of API VFS we mount via .mount units. Let's set the three flags
for those too, just in case.

This is just paranoia, nothing else, but shouldn't hurt.

mount-util: beef up bind_remount_recursive() to be able to toggle more than MS_RDONLY

The function is otherwise generic enough to toggle other bind mount
flags beyond MS_RDONLY (for example: MS_NOSUID or MS_NODEV), hence let's
beef it up slightly to support that too.

mount-util: use set_put_strdup() where appropriate

mount-util: don't clobber return value in umount_recursive()

We shouldn't override 'r' with the result of cunescape(), since we use
it to return the last error of umount().

namespace: get rid of {} around single-line if blocks

namespace: get rid of local variable

namespace: (void)ify a number of syscalls

namespace: replace one case of stack allocation with heap allocation

The list of mounts might grow quite large, let's avoid the stack for
this. Better safe than sorry.

Merge pull request #12081 from poettering/systemctl-love

various small systemctl modernizations and refactoring

systemctl: move --failed close to --state= in help text

systemctl: underline sections in help text

Taking inspiration from the recent commit that added that to nspawn's
help text.

systemctl: use structured initialization

systemctl: use SYNTHETIC_ERRNO everywhere

systemctl: split out some SysV compat stuff into its own C file

systemctl.c is way to large already. Let's split out some stuff out that
is easy to split out.

hwdb: update for v242

Appears to be usual slew of mundane corrections and additions.

Merge pull request #12089 from mrc0mmand/journalctl-bash-comp-redirection

bash-completion: use the default completion for shell redirect operators

tree-wide: constify a few static string tables

dbus-unit: remove redundant check

We checked this with an assert() a few lines up aleady, no need to check
this again.

core: remove unnecessary heap allocation

NEWS: various tweaks and updates for v242

Merge pull request #12087 from yuwata/fix-condition-free-list

util: fix condition_free_list_type()

bash-completion: unify indentation

bash-completion: use default completion for redirect operators

fuzz: add testcases for the bug in condition_free_list_type()

network,udev: explicitly declare 'conditions' is a list

util: fix condition_free_list_type()

This fixes a bug introduced by c4f58deab56282cd438922203287cb073b861513.

Closes oss-fuzz#13878, oss-fuzz#13882, oss-fuzz#13884, oss-fuzz#13886, and
oss-fuzz#13888.

Merge pull request #11602 from vesajaaskelainen/dbus-reboot-with-parameters

dbus-manager: Add RebootWithParameters d-bus method

Merge pull request #12079 from keszybz/fuzz-nspawn-oci

Add fuzzer for nspawn-oci

logind: Add support for RebootParameter

This adds support for user to set & get reboot parameter for reboot.

As callee would be next issuing Reboot call same policy checks are being used.

If unit file issuing the reboot action defines RebootArgument (or similar) that
setting takes precedence.

Merge pull request #12075 from keszybz/two-docs

Two small man page enhancements

nspawn: don't free "fds" twice

Previously both run() and run_container() would free 'fds'. Let's fix
that, and let run() free it but make run_container() already remove all
fds from it, because that's what we actually want to do.

Fixes: #12073

nspawn-oci: fix double free

Also rename function to make it clear that it also frees the array
object itself.

udev/link-config: rename MACPolicy to MACAddressPolicy

Things are clearer if the same name is used everywhere, and we don't gain
much by saving a few bytes.

Merge pull request #12055 from poettering/save-argc-argv

main-func.h and systemctl argc/argv improvements

Merge pull request #12072 from poettering/string-table-fixes

three small string table fixes

logind: relocate function return_test_polkit()

Relocate function return_test_polkit() upper in file for easier access from other functions.

systemctl: restore "systemctl reboot ARG" functionality

Commit d85515edcf9700dc068201ab9f7103f04f3b25b2 changed logic how reboot is
executed. That commit changed behavior to use emergency action reboot code path
to perform the reboot.

This inadvertently broke rebooting with argument:
$ systemctl reboot custom-reason

Restore original behavior so that if reboot service unit similar to
systemd-reboot.service is executed it is possible to override reboot reason
with "systemctl reboot ARG".

When "systemctl reboot ARG" is executed ARG is placed in file
/run/systemd/reboot-param and reboot is issued using logind's Reboot
dbus-service.

If RebootArgument is specified in systemd-reboot.service it takes precedence
over what systemctl sets.

Fixes: #11828

NEWS: add missing word

man: clarify that ExecStop= is always called

Fixes #11744.

man: update description of initrd in bootup(7)

Mention that initramfs is used, not initrd, even though we still call
it that. Also add links and clarify who loads the initramfs.

NEWS: prepare for v242

network: add missing nulstr terminator

https://bugs.chromium.org/p/oss-fuzz/issues/detail?id=13821

dbus-execute: don't needlessly override error code

dbus-execute: lets use exec_directory_type_from_string() to simplify things

udev: use string_table_lookup() where we can

string-table: use string_table_lookup() in our own macros everywhere

nspawn-oci: mount source is optional