debian: Fix up os-release for unstable/sid builds

The version codename for unstable/sid builds is indistinguishable from
testing. Let's make sure we fix that up ourselves so that unstable image
builds can be properly distinguished from testing builds.

Check /etc/os-release as well in configure_os_release()

It might not be a symlink. If that's the case, fix it up as well.

Merge pull request #2944 from DaanDeMeyer/fix

Don't pass down empty lists to subimages unless explicitly configured

Don't pass down empty lists to subimages unless explicitly configured

This makes sure that subimages use default values for list based
settings unless they were explicitly configured in configuration or
on the command line or have a non-empty default value in the main
image.

Fixes #2874

Don't use for loop to create subimages in test

This gives us more flexibility in configuring the individual subimages.

Store finalized values only on config object

This allows us to use context.config to determine whether a value
was specified in a configuration file or not.

Store default values in separate namespace

This allows us to check whether a value was explicitly configured
in configuration files or on the CLI.

Properly escape paths in virtiofsd scope names

Clarify that inherited settings take priority over CLI/main settings

If "inherited" settings are configured explicitly in subimages, those
values should take priority over values configured in the main config
and CLI.

Make `{SYSEXT,CONFEXT}_SCOPE` configurable

By setting `SYSEXT_SCOPE` and `CONFEXT_SCOPE` environment variables the
values to write to the extension-release file can be configured.

Merge pull request #2941 from DaanDeMeyer/scope

Make ImageId= and ImageVersion= overridable by subimages

Allow SectorSize= to be overridden by subimages

Fixes #2939

Make ImageId= and ImageVersion= overridable by subimages

Fixes #2938

Introduce SettingScope

Let's also have a concept of inheritable settings which are inherited
by subimages but can be overridden.

Add "Building vagrant images with mkosi" to the readme

Merge pull request #2935 from DaanDeMeyer/repository-key-fetch

Enable RepositoryKeyFetch= by default on Ubuntu without a tools tree

Enable RepositoryKeyFetch= by default on Ubuntu without a tools tree

Ubuntu does not have distribution-gpg-keys yet, so let's enable
RepositoryKeyFetch= for it by default when a tools tree is not used.

Use debian as the default tools tree again on Ubuntu

Debian has distribution-gpg-keys which Ubuntu doesn't. As we'll likely
keep running into similar scenarios in the future, let's just stick with
Debian as Ubuntu's default tools tree.

Exit early if output format is none and there are no build scripts

In systemd, the build script is part of a subimage so the build is
done as part of the subimage and there's nothing to do for the main
image. To speed things up a bit, exit early if there are no build
scripts and the output format is none.

Merge pull request #2931 from DaanDeMeyer/debian

 Introduce RepositoryKeyFetch=

Introduce RepositoryKeyFetch=

This setting controls whether we'll fetch GPG keys remotely or not.
We disable it by default so that we only rely on locally available GPG
keys for checking package and repository metadata signatures.

This new setting only affects dnf/zypper based distributions as apt
and pacman do not support retrieving GPG keys remotely in the first
place.

zypper does not trust GPG keys listed in gpgkey= by default so we import
local GPG keys manually with rpm to work around that.

Fixes #757

tests: Reduce duplication

Let's reduce the amount of duplication in the tests.

tests: Pass host environment when invoking mkosi

Only use unshare to become root if we're actually going to use a scope

If the relevant environment variables are not set, scope_cmd() will
return an empty list and we won't use a scope after all. In that case
we don't need to use unshare either to become root and can rely on our
own become_root() function so check whether we're actually going to use
a scope or not.

tests: Simplify initrd tests

Let's get rid of the fixtures and just rely on the default initrd
built as part of the image itself. This also means any settings
picked up from mkosi.local.conf are applied to the initrd build.

Bump redhat-plumbers-in-action/differential-shellcheck

Bumps [redhat-plumbers-in-action/differential-shellcheck](https://github.com/redhat-plumbers-in-action/differential-shellcheck) from 5.3.0 to 5.4.0.
- [Release notes](https://github.com/redhat-plumbers-in-action/differential-shellcheck/releases)
- [Changelog](https://github.com/redhat-plumbers-in-action/differential-shellcheck/blob/main/docs/CHANGELOG.md)
- [Commits](https://github.com/redhat-plumbers-in-action/differential-shellcheck/compare/60c9f2b924a9c5a2ddbb25e7b23e8e11b56faab9...cc6721c45a8800cc666de45493545a07a638d121)

---
updated-dependencies:
- dependency-name: redhat-plumbers-in-action/differential-shellcheck
  dependency-type: direct:production
  update-type: version-update:semver-minor
...

Signed-off-by: dependabot[bot] <support@github.com>

Bump github/codeql-action from 3.25.11 to 3.25.15

Bumps [github/codeql-action](https://github.com/github/codeql-action) from 3.25.11 to 3.25.15.
- [Release notes](https://github.com/github/codeql-action/releases)
- [Changelog](https://github.com/github/codeql-action/blob/main/CHANGELOG.md)
- [Commits](https://github.com/github/codeql-action/compare/b611370bb5703a7efb587f9d136a52ea24c5c38c...afb54ba388a7dca6ecae48f608c4ff05ff4cc77a)

---
updated-dependencies:
- dependency-name: github/codeql-action
  dependency-type: direct:production
  update-type: version-update:semver-patch
...

Signed-off-by: dependabot[bot] <support@github.com>

tests: Drop workaround for older Ubuntu

ci: add nop versions of all scripts to our integration tests

opensuse: Rename gpgurls to gpgkeys

Fix RepositoryKeyCheck docs

Install distribution-gpg-keys in Debian/Ubuntu tools tree if available

It recently got into debian testing so let's add it to the tools tree.

Use apt search patterns a little more

Let's use apt search patterns more to match packages that are only
available on specific ubuntu/debian releases.

Merge pull request #2929 from DaanDeMeyer/fixes

Two fixes

Don't try to chmod /tmp if it's being bind mounted in

Handle SIGHUP as well

Let's do a graceful shutdown on SIGHUP as well.

Stop always setting autologin credentials

Let's require users to set these automatically if they want to
have autologin without enabling the Autologin= setting. This gives
more flexibility after https://github.com/systemd/systemd/pull/33873
is merged in systemd as users can choose to enable the settings
globally or per tty depending on what they need.

Merge pull request #2924 from DaanDeMeyer/kernel-install

Set up proper environment variables for kernel-install

Bump version to 25~devel

Release 24.3

Merge pull request #2927 from DaanDeMeyer/home

Check for $HOME environment variable as well

action: Show environment

Don't use .cache if HOME=/

If the user's home directory is /, don't use .cache but use /var/cache
instead.

Check for $HOME environment variable as well

Similar to our check for $USER, let's check for $HOME to allow
setting a custom home directory in weird build environments.

Only look at $USER if we can't find a user in /etc/passwd

Nudge kernel-install towards using the BLS layout

Set up proper environment variables for kernel-install

If we're not explicitly disabling kernel-install during package
manager invocations, let's set up the environment to make it do the
right thing instead.

Set $BOOT_ROOT when invoking kernel-install

Instead of setting $SYSTEMD_XBOOTLDR_PATH and $SYSTEMD_ESP_PATH, let's
just set $BOOT_ROOT which does the same thing.

Bump version to 25~devel

Release 24.2

Look for $USER for the username before reading /etc/passwd

Let's take $USER into account if set before reading /etc/passwd
for the username. This gives a way out for environments where the
uid of the user does not have an entry in /etc/passwd.

Bump version to 25~devel

Release 24.1

Make do-a-release.sh handle point releases properly

Handle failure to detect the distribution in test_parse_config()

If /usr/lib/os-release isn't available, we can't detect the current
distribution, so let's make sure we handle that scenario as well by
checking for Distribution.custom instead of None.

Fixes #2921

Handle dangling symlinks in rmtree() and run_clean()

Add missing __init__.py to mkosi/initrd/resources

Add some documentation on how to implement a new distribution

completion: fix bash completion script

Template the options definitions directly into the completion function, since
for some weird scoping reasons even though the script is read fine and when
running a shell with set -x one can see e.g. _mkosi_options being assigned the
proper values, the completion function still uses '' for
"${_mkosi_options[*]}".

This wasn't caught during development because the script works fine when
sourced.

Bump version to 25~devel

Release 24

Update NEWS

mkosi-initrd: Always add virtio_mmio to initramfs

mkosi-initrd: Sort module list

Fix typo

Documentation update

Add IMAGE_ID and IMAGE_VERSION to the available variables list

Merge pull request #2910 from DaanDeMeyer/qemu

Look up qemu and virt-fw-vars in extra search paths

Look up qemu and virt-fw-vars in extra search paths

Because qemu uses OVMF firmware descriptions from /usr, we look
those up in the same root that we'll be invoking qemu from. Because
virt-fw-vars operates on the same files, we also invoke it in the
same root that we find qemu in.

Remove noisy debug logging

There could potentially be a huge amount of modules and firmware
which makes these log messages very noisy. Let's drop them to make
debug logs less annoying to parse.

Assign return code before calling sys.excepthook()

It seems sys.excepthook() can raise its own exception? I'm not entirely
sure what's going on, but as a safety measure, let's assign the correct
return code before we invoke sys.excepthook() so that we always exit with
the right returncode.

Merge pull request #2779 from behrmann/completion

Shell completion

Merge pull request #2908 from DaanDeMeyer/kmod

Various kernel modules improvements

Don't clean tools tree unless at least -f is specified

Otherwise if we run mkosi qemu and the cache is out of date we
remove the tools tree which we shouldn't do.

Always add all nls modules to the initramfs

Potentially required for mounting FAT filesystems so let's make sure
these are included.

Only include default kernel modules in default image

Let's add some coverage for the default modules list by enabling it
for the default image.

completion: forward define (hash) arrays for bash completion

Always add raid modules to the initrd

Raid needs to be set up from the initrd so let's make sure the
modules required to do that are always available.

Always dm-multipath to the initrd

Required for doing multipath so let's always add it to the initrd.

Add all crypto modules to the initramfs

There's various crypto directories all across the kernel modules
tree. Let's make sure we include all of them so that everything
required to do crypto is always available from the initrd.

Handle softdep module dependencies properly

The softdep lines are formatted a little differently and can contain
pre: and post: so we need to make sure we handle all those cases.

kernel-install: Only build UKI if we're configured as the UKI generator

Don't copy /var/lib/pacman/local when copying repository metadata

/var/lib/pacman/local contains the local database of installed packages.
When using "--package-cache-dir /var", we'd end up copying the local
database of the host which means pacman thinks packages are already
installed in the image even though they aren't.

Fix this by not copying /var/lib/pacman/local.

Fixes #2904

Fix typo

action: Dump the current clock source

This can have a non-trivial performance impact so let's dump the
clock source as extra debugging information.

If the image is nocow, make the ephemeral copy nocow as well

On btrfs, VM images are generally recommended to be made nocow as
cow (copy-on-write) and random writes don't play well together. Let's
take this into account in copy_ephemeral() and make the ephemeral
copy nocow as well if the source is nocow.

Move needs_clean() check out of run_clean()

Drop uid/gid from cache manifest

This does not work as we call have_cache() to determine whether
we need to clean the tools tree or not and when running as root to
boot after building an image the UID/GID will differ and the tools
tree will incorrectly be considered out of date.

Let's move the UID/GID check out of have_cache() and into reuse_cache()
instead. reuse_cache() always runs after we've already potentially
unshared the user namespace and become root, so checking the owner of
the cache directory against the current UID should be a valid check
there.

Make sure mkosi works in the initramfs

bubblewrap uses pivot_root() which doesn't work in the initramfs as
pivot_root() requires / to be a mountpoint which is not the case in
the initramfs. So, to make sure mkosi works from within the initramfs,
let's make / a mountpoint by recursively bind-mounting / (the directory)
to another location and then switching root into the bind mount directory.

Only pass --expand-environment=no if we have systemd-run 254 or newer

--expand-environment= was introduced in systemd v254.

Revert "Force user namespace in bubblewrap if we're not running as root"

This reverts commit 01ac080103f2bc61ecc23334b00334e421eebb8a.

We can't check the current uid in sandbox_cmd() as it might still
change, for example in start_virtiofsd() where before we run bwrap
we might run become_root_cmd() to become root.

Make make_cpio() take a list of files relative to the root directory

We operate on absolute paths all the time in kmod.py only for them to
be made relative to the root directory just before they are passed to
cpio. Let's save on the amount of allocations by always operating on
paths relative to the root directory.

Because rglob() doesn't support returning paths relative to the given
directory, we chdir() into the root directory before globbing instead.

Ignore symlinks in /boot when fixing up kernel images

ci: call shellcheck on the bash script

Sadly, shellcheck does not support zsh [1], and it's not even possible
to evaluate the script with zsh because it fails with:
  _arguments:comparguments:327: can only be called from completion function
So the zsh script shall not be checked.

[1] https://github.com/koalaman/shellcheck/issues/809

completions: apply suggestions from shellcheck

readarray is used to create arrays. The one clear advantage is that we don't need to
override $IFS. Together with the change to not assign an unused variable, this
removes shellcheck warnings.

Nevertheless, shellcheck would still warn about the file because it doesn't
know about the variables that are in the part that is generated dynamically.

Also, move more content to the static resource file. The order of declarations
doesn't matter, so it's fine if the variables are defined below the functions.

Also, adjust the formatting in the bash resource to follow the usual style
with 'if something; then' on one line.

refactor: move CompGen to config and stop parsing config

Both changes requested in review.
The output generator for bash,fish,zsh is unchanged.

Also do minor whitespace and style adjustments as requested in review.

completion: make it a verb and factor it out into a separate file

news: add completion

config: add missing help string

Follow-up for c036450ca6aa82f57765731240242a8ea77f31cc.

completion: add zsh

This completion of verbs is based on _timedatectl in systemd repo.
Completion for short options doesn't work. It also doesn't work for
timedatectl, so this needs to be fixed in both places.

Co-authored-by: Zbigniew Jędrzejewski-Szmek <zbyszek@in.waw.pl>

completion: add fish