Make sure multiple image definitions can parse the same include

Simplify config parsing

Instead of passing namespace and defaults everywhere, have every
nested function operate on the function global object and simply reset
the objects to the copy we took after we finish parsing a single image
definition.

Merge pull request #2572 from DaanDeMeyer/journal

Add ForwardJournal= to enable log forwarding of VMs and containers

Add ForwardJournal= to enable log forwarding of VMs and containers

In systemd v256, journald will support forwarding to systemd-journal-remote
via the new journal.forward_to_socket credential. Let's expose this
functionality via a new ForwardJournal= setting, which specifies a path to
which logs should be forwarded.

Introduce INVOKING_USER.chown()

Make pass_fds follow the $LISTEN_FDS protocol for socket activation

This allows us to pass file descriptors to binaries implementing
systemd socket activation.

Add setpgid to sandbox instead of cmdline

This makes sure we don't log it in debug mode.

Merge pull request #2575 from DaanDeMeyer/creds

Parse credentials from files/dirs during parsing instead of afterwards

Parse credentials from files/dirs during parsing instead of afterwards

Allocate scopes for virtiofsd and swtpm as well

Bump github/codeql-action from 3.24.8 to 3.24.9

Bumps [github/codeql-action](https://github.com/github/codeql-action) from 3.24.8 to 3.24.9.
- [Release notes](https://github.com/github/codeql-action/releases)
- [Changelog](https://github.com/github/codeql-action/blob/main/CHANGELOG.md)
- [Commits](https://github.com/github/codeql-action/compare/05963f47d870e2cb19a537396c1f668a348c7d8f...1b1aada464948af03b950897e5eb522f92603cc2)

---
updated-dependencies:
- dependency-name: github/codeql-action
  dependency-type: direct:production
  update-type: version-update:semver-patch
...

Signed-off-by: dependabot[bot] <support@github.com>

Add path_default=False to two more settings

Fix empty config.json caused by buffered write

Switch to linux-virtual on Ubuntu

linux-virtual finally supports credentials so we don't need to use
linux-generic anymore.

Fix kernel installed check

Pass --quiet when invoking busctl

We don't care about the return value of the DBUS method so let's
silence busctl so it doesn't show it.

Fix scope allocation

Merge pull request #2564 from DaanDeMeyer/ssh

Support mkosi ssh for multiple running instances of the same image

Allocate scope for and register virtual machine if possible

These might be long running so let's make them more introspectible
by allocating a scope for them and registering them with machined
if possible.

Add foreground argument to run()

Rework spawn() process termination slightly

Support mkosi ssh for multiple running instances of the same image

Let's add a stopgap solution until systemd-machined supports everything
we need. We maintain a super basic JSON state file in the runtime directory
that is used to map a machine name to the corresponding SSH proxy command.

We also store the path to the ssh key in there so that mkosi ssh can be
run from every directory.

The new Machine= option allows selecting the machine name to use. Unless
set explicitly, we also use the machine name as the hostname for the machine.

Update NEWS

docs: Mention that only dnf/dnf5 support various proxy settings

Only mount output directory if it exists when running clean scripts

Merge pull request #2561 from DaanDeMeyer/clean

Add CleanScripts=

Add CleanScripts=

Clean scripts can be used to remove any outputs that mkosi doesn't
know about, e.g. packages built in mkosi build scripts and copied
to the output directory.

Move ConfigureScripts= to [Config] section

Don't pass final argument to configure scripts

Merge pull request #2559 from DaanDeMeyer/osrelease

Extension image fixes

Don't rebuild local package repository if OutputFormat == none

We're not going to do anything anymore if the output format == none
so don't rebuild the local package repository.

Extension image fixes

- Insist on /usr/lib/os-release existing and read only from it instead
  of /etc/os-release
- Don't fail if /usr/lib/os-release doesn't exist when building a sysext
  or confext.
- Skip more operations when building sysext/confext images

Fix PCR banks

Fixes: d44e0f8eaa9bc4837d27bbbb55969f2fa5187897

Stop measuring for SHA1 TPM bank

Let's avoid having to deal with openssl configuration to re-enable
SHA1 support by not measuring for the SHA1 TPM bank.

Merge pull request #2553 from behrmann/jsonkeys

Capitalise inner JSON keys

Pass through SYSTEMD_LOG_LEVEL in run() as well

Set TMPDIR and HOME for spawn() as well

config: capitalise inner keys in JSON dump

Merge pull request #2554 from DaanDeMeyer/fix

Make sure we create parent directories as well

Switch back to debian testing

unstable breaks too much to be useful for CI. To keep CI green, we
stop installing pacman-package-manager in the default images and disable
debian tools tree in CI.

Do check_inputs() check before calling run_sync()

Merge pull request #2552 from DaanDeMeyer/configure-scripts

Add support for configure scripts

Add support for configure scripts

These allow dynamically modifying the configuration.

Make sure we create parent directories as well

config: use super in JsonEncoder instead of explicit parent type

tests: test that environment keys are not changed by JSON serialisation

docs: Update execution flow

Fix bug in optional_enum_transformer()

We need to instantiate the nested type, not the optional itself.

Allow escaping in QemuArgs=

Sometimes we need spaces inside the qemu argument so let's make sure
that's possible.

Merge pull request #2550 from DaanDeMeyer/socket

kernel-install: Don't copy pacman gpg sockets

ci: Use ruff check instead of ruff

Fixes deprecation warning

kernel-install: Don't copy pacman gpg sockets

These should be created in /run but gpg's logic for that is broken
for the root user (it checks for /run/user/0 which will never exist)
so the sockets are created in the gpg home dir (/etc/pacman.d/gnupg)
instead. Let's make sure we don't try to copy those as they cause issues
with cp -R.

Fixes #2547

Merge pull request #2549 from DaanDeMeyer/fix

Various fixes

Prefer virtiofsd file handles when running as root instead of making them mandatory

We might be invoked as root from a user namespace which won't have
access to file handles.

Only do CAP_NET_ADMIN capability check when running as root

If we're not running as root, bubblewrap will unshare a user namespace
in which it gets a full set of capabilities, even if the user on the
host doesn't have them, so let's only do the CAP_NET_ADMIN check if
we're running as root.

Improve home directory detection

If we're invoked as root from a home directory, always use that as
the user's home directory instead of trying to detect it ourselves, this
makes sure we use the right home directory even when we're invoked in a
user namespace.

Remove setuid/setgid bits from build and workspace directory

Both of these can be inherited so remove them from both the workspace
and the build directory where inheriting these bits could end up
leaking stuff from the host into the image.

Also remove INVOKING_USER.mkdir() while we're at it as only one user
was remaining which we can do much more easily by doing the logic
before we go into the user namespace.

Merge pull request #2546 from DaanDeMeyer/fix

Make sure we yield an empty section marker at the end of parse_ini()

Make sure we yield an empty section marker at the end of parse_ini()

Fixes #2545

Get rid of "help" test

It starts a pager while running the tests interactively, let's just
remove it as it isn't terribly useful.

Merge pull request #2543 from DaanDeMeyer/proxy

Add proxy settings + various fixes

Only set extra_groups for mkdir() if we were invoked as root

The extra groups of the user are not mapped into the user namespace
we create and as such can't be set when invoking a subprocess if
we weren't invoked as root.

Add checks for sbsiglist and sbvarsign when doing SB auto enrollment

Explicitly set mode of workspace to 700

If the sticky bit is set on the parent directory of the workspace,
it's inherited by the workspace directory and then inherited by the
image root directory and infects the entire image. Let's make sure
it is not set on the workspace directory to avoid leaking host specific
details into the image.

Add proxy settings

These allow using mkosi behind a proxy that requires proxy authentication.
Only dnf seems to allow specifying these certificates as individual settings
so other package managers are not fully supported for now.

We mount the proxy certificates and keys to /proxy.xxx in the sandbox because
otherwise they might end up being mounted at the same location as the certificates
from the tools tree, which means those wouldn't be used.

Mount pkgmngr/etc as a whole instead of individual files in it.

We stopped doing this because bubblewrap would create the /etc/mtab
in the package manager tree /etc and leave it there after exiting,
which would cause bubblewrap to fail the next time we executed it as
the symlink already existed.

To avoid reintroducing this issue, we only have bubblewrap create the
symlink if nothing's going to be mounted to /etc and create the symlink
ourselves in the pkgmngr/etc.

These changes also make sure that the mounts from finalize_passwd_mounts()
take precedence over the passwd and group files from pkgmngr/etc.

Only set some environment variables when invoking package managers

We really only want to set KERNEL_INSTALL_BYPASS and
SYSTEMD_HWDB_UPDATE_BYPASS when we're invoking package managers so
let's make sure those are only set when invoking package managers.

Let's also allow users to override both all of these and let's not
set them when Bootable=no so distros can do whatever they want if
mkosi's bootable image logic is not being used.

Set $HOME to the user's home directory in sync scripts

Makes sure git can find the user's git configuration.

Merge pull request #2534 from CodethinkLabs/richardmaw/non-home-dir-workdirs

Further support for working with sudo and non-home directories

Relax mkdir/rchown subpath of home check to owns a parent dir

"the user owns a parent directory" is a lot less strict than
being under the home directory, but allows using shared directories
that are not mounted under home, and at least requires some explicit config
to create the directory before it can be used
rather than just being any directory the user is able to create.

Set extra groups in INVOKING_USER.mkdir

If a parent directory of the path to create isn't traversable
then mkdir will fail to create the directory even if the immediate parent
exists and has the correct permissions.

This can happen in shared development hardware where storage is allocated
using a directory with a common unix group e.g.

$ ls -ld /data
drwxrws--- 4 root devgroup 4096 Mar 12 17:11 /data

Move extra groups list calculation into INVOKING_USER

Bump github/codeql-action from 3.24.7 to 3.24.8

Bumps [github/codeql-action](https://github.com/github/codeql-action) from 3.24.7 to 3.24.8.
- [Release notes](https://github.com/github/codeql-action/releases)
- [Changelog](https://github.com/github/codeql-action/blob/main/CHANGELOG.md)
- [Commits](https://github.com/github/codeql-action/compare/3ab4101902695724f9365a384f86c1074d94e18c...05963f47d870e2cb19a537396c1f668a348c7d8f)

---
updated-dependencies:
- dependency-name: github/codeql-action
  dependency-type: direct:production
  update-type: version-update:semver-patch
...

Signed-off-by: dependabot[bot] <support@github.com>

Bump redhat-plumbers-in-action/differential-shellcheck

Bumps [redhat-plumbers-in-action/differential-shellcheck](https://github.com/redhat-plumbers-in-action/differential-shellcheck) from 5.1.0 to 5.1.1.
- [Release notes](https://github.com/redhat-plumbers-in-action/differential-shellcheck/releases)
- [Changelog](https://github.com/redhat-plumbers-in-action/differential-shellcheck/blob/main/docs/CHANGELOG.md)
- [Commits](https://github.com/redhat-plumbers-in-action/differential-shellcheck/compare/b9df2a9417f69c056e0aeaf870abd9a2065a403e...c15070885a82a2c93db8a765d332c38c50dde8b3)

---
updated-dependencies:
- dependency-name: redhat-plumbers-in-action/differential-shellcheck
  dependency-type: direct:production
  update-type: version-update:semver-patch
...

Signed-off-by: dependabot[bot] <support@github.com>

Merge pull request #2535 from DaanDeMeyer/dependabot

Enable dependabot

ci: Pull in specific action commits

Let's copy what the systemd repo does. The specific commits are
the same ones used by the systemd repository.

Enable dependabot

To make sure our actions stay up to date

Add minimal /etc/group

We already have a minimal /etc/passwd, let's add a minimal /etc/group
as well.

Merge pull request #2532 from DaanDeMeyer/kmod

kmod: Don't assume all modules are in kernel/ subdirectory

kmod: Don't assume all modules are in kernel/ subdirectory

When dkms is used or depending on the distribution, there might be modules
in other directories than kernel/.

Don't load configuration for verbs that don't need it

Add specifier for profile

kmod: Simplify resolve_module_dependencies() slightly

ci: Use pcid=off with qemu instead of disabling secure boot

This allows us to boot with secure boot again until the Hyper-V bug
is fixed that causes KVM to crash.

We also switch back to using 2Gs of ram by default as a second Hyper-V
bug prevents us from using any more on Github Actions.

Simplify gen_required_kernel_modules()

- Make sure we yield paths in sorted order
- Use yield from more
- Replace parents_relative_to() with a simpler solution

Merge pull request #2523 from DaanDeMeyer/kmod

Only add directories with modules in them to the kmods initrd

mkosi-initrd: Tighten up kernel module regexes

The previous ones matched more than than the modules we wanted, so
let's make sure we only match the ones we want.

Remove unneeded directories as well in process_kernel_modules()

Only add directories with modules in them to the kmods initrd

Default to UTC timezone if we can't figure out the local one

Merge pull request #2521 from septatrix/fix/include-firmware

Fix erroneous negation leading to omitted firmware files

Fix inclusion of firmware files

Add .venv to gitignore

Merge pull request #2518 from DaanDeMeyer/hypervisor

Introduce VirtualMachineMonitor= and various cleanups

Switch to debian unstable temporarily in default image and tests

pacman got removed from Debian Testing, so let's use unstable until
it's added back.

Hard code cache directory in test framework

Add ToolsTreeDistribution= match

mkosi-initrd: Merge libtss configs again

Removing the Suggests on the old name from systemd in Debian Testing
seems to have fixed the apt error we were getting before.

Check whether ukify is available in want_uki()

Fix missing tss libraries on OpenSUSE