Wrap long comments, add more punctuation

.dir-locals specifies "fill-column" as 99 for .py files.
This seems resonable, because then the comments mostly match the
general width of the surrounding code.

Add bin/mkosi-initrd and bin/mkosi-sandbox

It is convenient to be able to invoke those two during development
too, just like mkosi itself.

sandbox: use ValueError

RuntimeError is for "unexpected errors". When the argument has a
wrong value, ValueError is the standard exception to use.

Update NEWS.md

mkosi-initrd: allow configuration from /usr/local

Beef up tty checks for color handling

Let's use the same checks used by systemd.

Fixes #3013

dissect: do not attempt to load verity for just-built images

Verity is useful to establish trust at runtime in production
environments where we don't know if a payload is trusted in advance,
but we can implicitly trust the image we just built ourselves, so set
the env vars to disable loading images using verity when building
sub-images

mkosi-initrd: allow transient configuration

Include `/run/mkosi-initrd` if it exists.

Add sysupdate verb

Merge pull request #3012 from DaanDeMeyer/config

Introduce History= setting

Introduce History= setting

Currently, to boot an image with mkosi qemu after building it with
mkosi build, various settings have to be identical to when mkosi build
was invoked to make sure that mkosi can find the outputs of the previous
build. Because this is rather error prone and annoying, let's introduce
a History= setting to allow mkosi to remember the configuration of the
last build which can then be read again when running a verb that operates
on a built image.

Another case where this is extremely useful is when some part of the
configuration changes every single time, for example if mkosi.version
is an executable script that outputs the current time, which is then
encoded in the output name, we have to remember the previous config,
otherwise mkosi wouldn't be able to find the outputs of the previous
build.

Note that while we load the configuration of the previous build, we
ignore all settings from the [Host] section which we read again from
the configuration files, as the user should be able to change these
without rebuilding the image.

Make JSON loading methods more robust against changes in Config and Args

We don't want failures to load JSON every time we add a new field, so let's
consider every JSON object we read as potentially partial and merge it with
a default instance of Config/Args. Also, sometimes we drop or rename fields
so let's show a proper error in the case that happens.

Fix comments

Only append distro~release~arch suffix to build dir if not already there

Make parse_new_includes() a regular function

There's no need for this to be a context manager anymore.

Move Include= setting to [Include] section

This allows us to treat includes distinctly from other [Config]
settings in the next commit.

Introduce new Build section and move various settings to it

Remove "Include" from JSON serialization

We already have Files to cover everything so no need to include what
we included separately.

Drop InitrdInclude=

Merge pull request #3008 from DaanDeMeyer/sandbox

Use more directories of sandbox trees in the sandbox

Port more code over to workdir()

Let's not rely on tools not writing logs or errors to /dev/stdout
and instead use workdir() as well to mount the required parent
directory into the expected location so the output can be written
there.

Install various shells in the default image

Log when we're copying repository metadata

Use package cache from /root if we're running as root from /root

Add RuntimeHome= option

Use more directories of sandbox trees in the sandbox

Previously, we only picked up /usr and /etc from the sandbox trees.
Let's make this more generic and pick up a bunch of extra directories
as well. To avoid any changes persisting outside of the sandbox, let's
use overlayfs with a temporary writable directory as the upperdir of the
overlayfs (and make sure we use a tmpfs as the upperdir for /tmp and /run).

Stop using sandbox tree to shovel out list of essential packages

We don't want to persist changes to the sandbox tree so in preparation
for that let's stop using the sandbox tree as a channel to shovel out
the list of essential packages when building debian images.

sandbox: Allow using tmpfs as overlayfs upperdir and workdir

Always add /var/tmp to the sandbox

Now that we don't have to worry anymore about various operations
conflicting with other sandbox mounts, let's always add /var/tmp
to the sandbox again (we originally stopped doing this to make sure
rmtree() could remove directories in /var/tmp).

Always mount parent directories under /work

When we do something where we need to mount the parent directory
because we're creating or deleting a file or directory, let's operate
under /work in the sandbox. Otherwise there's a good chance we'll
end up interfering with regular mounts in the sandbox e.g /var/tmp
when the workspace directory is in /var/tmp.

mkosi-initrd: correct `--debug-shell` help output

Move relaxed checks in sandbox_cmd() into one condition

We also fix a minor bug where we mounted /run into the sandbox when
devices=True when this isn't actually required.

Only mount /etc/ld.so.cache if not relaxed or mountpoint available

While we're at it, move all the tools related stuff together in
sandbox_cmd().

Merge pull request #2990 from behrmann/allthemanuals

More docs at your finger tips

initrd: add --show-documentation option

Update documentation links

Move show_docs to its own module

doc: make documentation command take an argument

Also let's leave out errors if things don't work, but we're still trying. This
way the last message "No manual entry for foo" will bubble up.

Only write to /etc/machine-id if /etc exists

Merge pull request #3005 from DaanDeMeyer/mypy

Various mypy fixes

Don't delete reader in _tempfile() backport

This is only passed Path.read_bytes so there is nothing to delete
hence drop this part since it confuses mypyc.

Mark all class variables as Final

Annotate two more variables that need it

Move KeySource.Type out of KeySource

We've done this for our other nested classes as well, so let's do
it for KeySource.Type as well.

user: Drop lru_cache() for home() and name()

Not required anymore now that we don't change user anymore.

Move code backported from cpython upstream to backport.py

Drop listify()

Causes issues with mypyc and wrapping the callsites in list() isn't
really any worse when it comes to readability.

mypy: Disable allow_redefinition

Let's not allow redefining variables with different types. Even
when allowed it causes issues with mypy so we're better off just
disabling it.

Fix mypyc warnings in sandbox.py

Fixes the following two warnings when compiling sandbox.py with mypyc:

"""
➜  mkosi git:(mypy) mypyc mkosi/sandbox.py
mkosi/sandbox.py:356: warning: Treating generator comprehension as list
mkosi/sandbox.py:446: warning: Unsupported default attribute value
"""

sandbox: Use separate variable name when we change types

Merge pull request #3003 from DaanDeMeyer/initrd

Various mkosi-initrd fixes

mkosi-initrd: Ignore gnupg subdirectory

/etc/pacman.d/gnupg is already made available by mkosi's internal
logic so we don't need to copy it in. This prevents failures when
running unprivileged as /etc/pacman.d/gnupg can have rather strict
permissions.

mkosi-initrd: Only set --cacheonly=metadata when running as root

If we're not running as root, we don't use the host's package cache,
but we still use the host's repositories. It's very unlikely that the
user's default package cache directory will have an up-to-date repository
metadata snapshot, so let's update the repository metadata if we're not
running as root.

mkosi-initrd: Add --debug-shell argument

This is passed through directly to mkosi. To make this work we also
pass through stdout/stdin directly to the invoked mkosi process.

Merge pull request #3002 from DaanDeMeyer/cherry-pick

Various commits from #2990

news: add note to change where the manual pages are

initrd: flatten module into a single file

sandbox: flatten module into a single file

cli: add missing completion stubs to pyproject.toml

doc: move man pages to resources/man

cli: use ellipsis ligature instead of writing out ...

Move various functions to bootloader.py

Our main file is growing too large again, so let's split off a bunch
of bootloader stuff into bootloader.py

This is very rough, the kernel stuff should probably move somewhere
else as well, but I wanted to move stuff without actually changing
code.

Update NEWS.md

Simplify package cache dir mirror key

Let's just replace slashes with hyphens.

Merge pull request #2998 from DaanDeMeyer/ci

ci: Enable debug logging for systemd-repart

base64 encode mirror if we put it in package cache dir key

Mirrors contain / characters. Paths can't contain / characters. Let's
base64 encode the mirrors to avoid this issue.

tests: Show debug messages on console

Should help debug the spurious OpenSUSE CI failures.

ci: Drop machine-id commit timeout drop-in

Let's see if we still need this.

Add 'login' to Debian/Ubuntu/Kali package list

The login package as provided by util-linux is 'Protected' but no
longer 'Essential' and that's intentional, so it will not be pulled
in by default. Add it to the list.

Bump github/codeql-action from 3.25.15 to 3.26.6

Bumps [github/codeql-action](https://github.com/github/codeql-action) from 3.25.15 to 3.26.6.
- [Release notes](https://github.com/github/codeql-action/releases)
- [Changelog](https://github.com/github/codeql-action/blob/main/CHANGELOG.md)
- [Commits](https://github.com/github/codeql-action/compare/afb54ba388a7dca6ecae48f608c4ff05ff4cc77a...4dd16135b69a43b6c8efb853346f8437d92d3c93)

---
updated-dependencies:
- dependency-name: github/codeql-action
  dependency-type: direct:production
  update-type: version-update:semver-minor
...

Signed-off-by: dependabot[bot] <support@github.com>

Merge pull request #2993 from keszybz/cat-config

Add cat-config verb

Reformat comments and shorten error messages

docs: describe cat-config

Also adjust surrounding text a bit.

Add new 'cat-config' verb

This is similar to 'systemd-analyze cat-config'. With many config
files, it can be a bit difficult to figure out where some setting is
set.

Shortcut chase() if root == "/"

config: match against verb value not verb name

For the existing verbs, those are the same. But for a verb with
a dash, which I want to add next, the name has the underscore,
which will not match the verb on the commandline.

Merge pull request #2991 from DaanDeMeyer/fix

Don't change the working directory in chase()

Don't change the working directory in chase()

Add missing return type declaration

Merge pull request #2986 from behrmann/nochown

sandbox: introduce the MKOSI_CHROOT_SUPPRESS_CHOWN variable

Merge pull request #2989 from DaanDeMeyer/azure

Detect Azure Linux properly

Only run sync scripts if we're going to build the image

Detect Azure Linux properly

Fixes #2988

azure: Don't try to install erofs-utils

It's not actually available yet.

Inline apivfs_script_cmd

sandbox: introduce the MKOSI_CHROOT_SUPPRESS_CHOWN variable

This allows suppressing chowns in scripts. Also inline chroot_script_cmd since
it only as a single user.

Fix typo

We were resetting the list on every iteration of the loop when using
ephemeral build sources which is obviously wrong.

Merge pull request #2984 from DaanDeMeyer/sandbox

Don't mount stuff twice from different sources in sandbox

Mount /etc/ld.so.cache into the sandbox if it exists

Otherwise libraries in non-standard locations won't be found at runtime.

Don't mount stuff twice from different sources in sandbox

We were mounting /var/tmp and /etc/resolv.conf twice in chroot_cmd(),
let's make sure we avoid doing that by moving the CLI options into
the respective _script_cmd() functions.

Use system python if python binary is interpreter is not in /usr

Same fix as #2982, but for the python_binary() function.

Specify --noprep when building rpms from source

rpm upstream is moving in this direction as well so let's update our
docs to match.

Use python3 in sandbox if host interpreter is not in /usr

We only mount /usr into the sandbox, so if mkosi is invoked from a
venv we'll fail to execute the apivfs script or chroot script in the
sandbox as it will try to use an interpreter that isn't available.

Let's check if the used interpreter is relative to /usr and only use
it to execute the chroot and apivfs scripts in the sandbox if it is.

Merge pull request #2980 from DaanDeMeyer/sync-scripts

Run sync scripts for all images again

Run sync scripts for all images again

Fixes https://github.com/systemd/mkosi/commit/af66d2391b17d21b6892759e4f4f97684ba1945b

Make running sync scripts possible without a context

Move sandbox tree logic into Config.sandbox()

Rename internal pkgmngr dir to sandbox_tree

docs: Sort list of universal settings

man: mention the empty arguments in help

The autogenerated help for --distribution/--format/… looks like {a,b,…,} (with
an emtpy arg at the end), and it is not obvious what this means. Describe the
empty args in the man page.