Port more code over to workdir()

Let's not rely on tools not writing logs or errors to /dev/stdout
and instead use workdir() as well to mount the required parent
directory into the expected location so the output can be written
there.

Install various shells in the default image

Log when we're copying repository metadata

Use package cache from /root if we're running as root from /root

Add RuntimeHome= option

Use more directories of sandbox trees in the sandbox

Previously, we only picked up /usr and /etc from the sandbox trees.
Let's make this more generic and pick up a bunch of extra directories
as well. To avoid any changes persisting outside of the sandbox, let's
use overlayfs with a temporary writable directory as the upperdir of the
overlayfs (and make sure we use a tmpfs as the upperdir for /tmp and /run).

Stop using sandbox tree to shovel out list of essential packages

We don't want to persist changes to the sandbox tree so in preparation
for that let's stop using the sandbox tree as a channel to shovel out
the list of essential packages when building debian images.

sandbox: Allow using tmpfs as overlayfs upperdir and workdir

Always add /var/tmp to the sandbox

Now that we don't have to worry anymore about various operations
conflicting with other sandbox mounts, let's always add /var/tmp
to the sandbox again (we originally stopped doing this to make sure
rmtree() could remove directories in /var/tmp).

Always mount parent directories under /work

When we do something where we need to mount the parent directory
because we're creating or deleting a file or directory, let's operate
under /work in the sandbox. Otherwise there's a good chance we'll
end up interfering with regular mounts in the sandbox e.g /var/tmp
when the workspace directory is in /var/tmp.

Move relaxed checks in sandbox_cmd() into one condition

We also fix a minor bug where we mounted /run into the sandbox when
devices=True when this isn't actually required.

Only mount /etc/ld.so.cache if not relaxed or mountpoint available

While we're at it, move all the tools related stuff together in
sandbox_cmd().

Merge pull request #2990 from behrmann/allthemanuals

More docs at your finger tips

initrd: add --show-documentation option

Update documentation links

Move show_docs to its own module

doc: make documentation command take an argument

Also let's leave out errors if things don't work, but we're still trying. This
way the last message "No manual entry for foo" will bubble up.

Only write to /etc/machine-id if /etc exists

Merge pull request #3005 from DaanDeMeyer/mypy

Various mypy fixes

Don't delete reader in _tempfile() backport

This is only passed Path.read_bytes so there is nothing to delete
hence drop this part since it confuses mypyc.

Mark all class variables as Final

Annotate two more variables that need it

Move KeySource.Type out of KeySource

We've done this for our other nested classes as well, so let's do
it for KeySource.Type as well.

user: Drop lru_cache() for home() and name()

Not required anymore now that we don't change user anymore.

Move code backported from cpython upstream to backport.py

Drop listify()

Causes issues with mypyc and wrapping the callsites in list() isn't
really any worse when it comes to readability.

mypy: Disable allow_redefinition

Let's not allow redefining variables with different types. Even
when allowed it causes issues with mypy so we're better off just
disabling it.

Fix mypyc warnings in sandbox.py

Fixes the following two warnings when compiling sandbox.py with mypyc:

"""
➜  mkosi git:(mypy) mypyc mkosi/sandbox.py
mkosi/sandbox.py:356: warning: Treating generator comprehension as list
mkosi/sandbox.py:446: warning: Unsupported default attribute value
"""

sandbox: Use separate variable name when we change types

Merge pull request #3003 from DaanDeMeyer/initrd

Various mkosi-initrd fixes

mkosi-initrd: Ignore gnupg subdirectory

/etc/pacman.d/gnupg is already made available by mkosi's internal
logic so we don't need to copy it in. This prevents failures when
running unprivileged as /etc/pacman.d/gnupg can have rather strict
permissions.

mkosi-initrd: Only set --cacheonly=metadata when running as root

If we're not running as root, we don't use the host's package cache,
but we still use the host's repositories. It's very unlikely that the
user's default package cache directory will have an up-to-date repository
metadata snapshot, so let's update the repository metadata if we're not
running as root.

mkosi-initrd: Add --debug-shell argument

This is passed through directly to mkosi. To make this work we also
pass through stdout/stdin directly to the invoked mkosi process.

Merge pull request #3002 from DaanDeMeyer/cherry-pick

Various commits from #2990

news: add note to change where the manual pages are

initrd: flatten module into a single file

sandbox: flatten module into a single file

cli: add missing completion stubs to pyproject.toml

doc: move man pages to resources/man

cli: use ellipsis ligature instead of writing out ...

Move various functions to bootloader.py

Our main file is growing too large again, so let's split off a bunch
of bootloader stuff into bootloader.py

This is very rough, the kernel stuff should probably move somewhere
else as well, but I wanted to move stuff without actually changing
code.

Update NEWS.md

Simplify package cache dir mirror key

Let's just replace slashes with hyphens.

Merge pull request #2998 from DaanDeMeyer/ci

ci: Enable debug logging for systemd-repart

base64 encode mirror if we put it in package cache dir key

Mirrors contain / characters. Paths can't contain / characters. Let's
base64 encode the mirrors to avoid this issue.

tests: Show debug messages on console

Should help debug the spurious OpenSUSE CI failures.

ci: Drop machine-id commit timeout drop-in

Let's see if we still need this.

Add 'login' to Debian/Ubuntu/Kali package list

The login package as provided by util-linux is 'Protected' but no
longer 'Essential' and that's intentional, so it will not be pulled
in by default. Add it to the list.

Bump github/codeql-action from 3.25.15 to 3.26.6

Bumps [github/codeql-action](https://github.com/github/codeql-action) from 3.25.15 to 3.26.6.
- [Release notes](https://github.com/github/codeql-action/releases)
- [Changelog](https://github.com/github/codeql-action/blob/main/CHANGELOG.md)
- [Commits](https://github.com/github/codeql-action/compare/afb54ba388a7dca6ecae48f608c4ff05ff4cc77a...4dd16135b69a43b6c8efb853346f8437d92d3c93)

---
updated-dependencies:
- dependency-name: github/codeql-action
  dependency-type: direct:production
  update-type: version-update:semver-minor
...

Signed-off-by: dependabot[bot] <support@github.com>

Merge pull request #2993 from keszybz/cat-config

Add cat-config verb

Reformat comments and shorten error messages

docs: describe cat-config

Also adjust surrounding text a bit.

Add new 'cat-config' verb

This is similar to 'systemd-analyze cat-config'. With many config
files, it can be a bit difficult to figure out where some setting is
set.

Shortcut chase() if root == "/"

config: match against verb value not verb name

For the existing verbs, those are the same. But for a verb with
a dash, which I want to add next, the name has the underscore,
which will not match the verb on the commandline.

Merge pull request #2991 from DaanDeMeyer/fix

Don't change the working directory in chase()

Don't change the working directory in chase()

Add missing return type declaration

Merge pull request #2986 from behrmann/nochown

sandbox: introduce the MKOSI_CHROOT_SUPPRESS_CHOWN variable

Merge pull request #2989 from DaanDeMeyer/azure

Detect Azure Linux properly

Only run sync scripts if we're going to build the image

Detect Azure Linux properly

Fixes #2988

azure: Don't try to install erofs-utils

It's not actually available yet.

Inline apivfs_script_cmd

sandbox: introduce the MKOSI_CHROOT_SUPPRESS_CHOWN variable

This allows suppressing chowns in scripts. Also inline chroot_script_cmd since
it only as a single user.

Fix typo

We were resetting the list on every iteration of the loop when using
ephemeral build sources which is obviously wrong.

Merge pull request #2984 from DaanDeMeyer/sandbox

Don't mount stuff twice from different sources in sandbox

Mount /etc/ld.so.cache into the sandbox if it exists

Otherwise libraries in non-standard locations won't be found at runtime.

Don't mount stuff twice from different sources in sandbox

We were mounting /var/tmp and /etc/resolv.conf twice in chroot_cmd(),
let's make sure we avoid doing that by moving the CLI options into
the respective _script_cmd() functions.

Use system python if python binary is interpreter is not in /usr

Same fix as #2982, but for the python_binary() function.

Specify --noprep when building rpms from source

rpm upstream is moving in this direction as well so let's update our
docs to match.

Use python3 in sandbox if host interpreter is not in /usr

We only mount /usr into the sandbox, so if mkosi is invoked from a
venv we'll fail to execute the apivfs script or chroot script in the
sandbox as it will try to use an interpreter that isn't available.

Let's check if the used interpreter is relative to /usr and only use
it to execute the chroot and apivfs scripts in the sandbox if it is.

Merge pull request #2980 from DaanDeMeyer/sync-scripts

Run sync scripts for all images again

Run sync scripts for all images again

Fixes https://github.com/systemd/mkosi/commit/af66d2391b17d21b6892759e4f4f97684ba1945b

Make running sync scripts possible without a context

Move sandbox tree logic into Config.sandbox()

Rename internal pkgmngr dir to sandbox_tree

docs: Sort list of universal settings

man: mention the empty arguments in help

The autogenerated help for --distribution/--format/… looks like {a,b,…,} (with
an emtpy arg at the end), and it is not obvious what this means. Describe the
empty args in the man page.

azure: Deal with repository changes

The preview repositories are now a layer on top of the prod repositories,
so let's adapt mkosi to that.

Don't skip build if output format is "none"

If the output format is none we always want to rebuild.

Rework grub conditions

- Use -o instead of || as it's unclear whether || is supported or not
- Use quotes more
- Use [ ] as alias for test

Fixes #2974

man: fix SourceDateEpoch= section

Merge pull request #2973 from DaanDeMeyer/metadata

Rework repository metadata handling

Make more trees required

- Tools tree is a universal setting and has to be available at the start
- Sandbox trees are a universal setting and have to be available at the start
- Skeleton trees should be available at the start to make sure caching works
  properly

Rename package manager trees to sandbox trees

The package manager trees are mounted in for every command we run
so let's rename them to sandbox trees instead of package manager
trees.

Rework repository metadata handling

- Stop copying repository metadata into the image.

This is too fragile to ever work properly. If the image is ever
used as a base tree, the caller would also need the exact same package
manager configuration for this to be remotely useful, as well as constantly
rebuild the image to keep the repository metadata up to date.

- Stop picking up repository metadata from the image

For the same reason, we can't use repository metadata from any
base trees automatically. It should be explicitly provided by the user
along with the required package manager configuration.

- Share the same repository metadata snapshot between the main and subimage
  builds

Let's ensure that the main image and all subimages are built of the
exact same repository metadata snapshot. Now that we enforce that all
subimages use the same distro, release, architecture, repositories and
everything else that's package manager related, we can use the same
metadata snapshot for every build.

- Rename package_cache_dir in Context to metadata_dir as there's only
metadata in this directory and never any packages.

Do not allow configuring universal collection based settings in subimages

For the next commit, we want to enforce all subimages to use the same
package manager trees, repositories and package directories, so let's
not allow adding any extra of those in subimages anymore.

Simplify run_verb() logic

- Handle Verb.clean separately from builds
- Move most checks to the front before we clean up the previous results.
- Get rid of check_outputs()
- If main image needs a build, clean all subimages as well

Prepend extra search paths to $PATH earlier

We should do this before checking if tools are available to make
sure the tools in extra search paths are taken into account.

Don't fork for run_sync()

Not required so let's be more efficient by not forking

Add missing directory checks in copy_tree()

ci: Disable Arch Linux image with Ubuntu tools tree

archlinux-keyring in Ubuntu Noble is already too old. Until it's
updated, let's disable the CI build.

For the Github Action we add the kernel-utils ppa which does have
an updated archlinux-keyring.

fedora: Get rawhide GPG key from github

fedora.gpg is always out-of-date when rawhide branches, so let's
instead fetch the rawhide key from distribution-gpg-keys on Github
which does seem to get updated before rawhide branches.

Merge pull request #2967 from DaanDeMeyer/fix

Two fixes

Move creation of context.root out of Context()

On btrfs systems, we're unnecessarily creating a subvolume only to
remove it again immediately afterwards if we're building from a cached
image. So let's move the creation of root outside of Context() so
we can only create it as a subvolume after we've potentially checked
caches first.

Don't run run_clean() in a forked child anymore

No need anymore so let's not fork unnecessarily.

Optimize copy_tree() a little

Only run cp_version() if we absolutely need to. If we do a btrfs
snapshot or the destination does not exist or is empty, there's no
need to add --keep-directory-symlink and thus we don't need to run
cp_version() either.

Merge pull request #2833 from DaanDeMeyer/azure

Add support for Azure Linux

Add support for Azure Linux

Azure Linux looks a lot like Fedora Linux so we opt to share configuration
between Azure and Fedora/CentOS and inherit the Azure definition from
Fedora.