tree-wide: Use workdir() everywhere

Let's make sure we mount inputs and outputs to various tools in a
completely separate directory than the base ones that are in the
sandbox.

Make sure various directory exist when we shortcut sandbox_cmd()

Make sure swtpm is run in a scope, not swtpm_setup

Relax read-only mounts even more

Turns out having home directories as a subdirectory of /usr is a thing.
Let's relax the readonly mount requirements even more to make this use
case work as well.

Merge pull request #3102 from DaanDeMeyer/pcr

Allow signing expected PCRs independently of using secure boot

Allow signing expected PCRs independently of using secure boot

Install tpm2.0-tools in opensuse tools tree

Makes sure the tpm2.0 libraries are pulled in which is required for
syztemd-measure.

Install python3-cryptography in opensuse tools tree

Required by ukify

Merge pull request #3101 from aafeijoo-suse/use-distro-pretty-name

Print distribution pretty name on installation

Rename Profile= match to Profiles=

Matches related to settings are named after their setting so this
should be Profiles= similarly to the Repositories= match. The old
name will still work as well but we use the new one in docs.

Use openSUSE everywhere

Print distribution pretty name on installation

Move various settings to the [Build] section

These all make more sense to have in the [Build] section.

Merge pull request #3090 from DaanDeMeyer/profiles

Introduce UnifiedKernelImageProfiles=

Introduce UnifiedKernelImageProfiles=

Same concept as PEAddons=, except these are added as additional
profiles to every UKI built by mkosi.

Accompanying systemd PR: https://github.com/systemd/systemd/pull/34608

Simplify run_ukify() and related functions a little

mkosi-initrd: only set restrictive umask to create output dir if user is root

mkosi-initrd: build using a temporary directory

Fixes #3083

Merge pull request #3097 from DaanDeMeyer/profile

Drop %p profile specifier

Drop %p profile specifier

Doesn't make sense anymore now that profiles is a list.

Profile= => Profiles= in two more places

Merge pull request #3091 from DaanDeMeyer/fix

Evaluate tools_tree earlier

tests: Drop tools tree related options

Let's not build the tools tree as part of running the tests anymore.
Instead, let's just build it manually up front.

Enable repository key fetch for non-default ubuntu tools trees as well

If we're building an rpm based distribution.

Allow detect_distribution() to read from root directory

tests: Tune Fedora initrd size a little

Makes the test pass on Ubuntu again

Rework tools tree cache manifest serialization

Let's encode the full path and not just the name. We'll rework the
tests in the next commit to not nuke the tools tree every time.

Let's also track the timestamp of the root directory of the tools
tree as a heuristic for whether it's been updated or not.

tools: Don't use apt pattern for ubuntu-keyring

Running

    mkosi --directory "" -d debian -r bookworm --include mkosi-tools --output mkosi.tools

on current Debian stable on gets an error that the package 'ubuntu-keyring'
doesn't have any installable candidates. Moving the inclusion of the package
out of the purview of apt and back into mkosi's fixes this issue.

tests: pass args correctly

tests: Fix summary

Don't store default kernel command line and credentials in Config

Let's delay calculation of these until the last moment instead of
storing them in the Config object. This makes the summary more succinct
and reduces the amount of work we do to parse the configuration.

Bump github/codeql-action from 3.26.6 to 3.26.10

Bumps [github/codeql-action](https://github.com/github/codeql-action) from 3.26.6 to 3.26.10.
- [Release notes](https://github.com/github/codeql-action/releases)
- [Changelog](https://github.com/github/codeql-action/blob/main/CHANGELOG.md)
- [Commits](https://github.com/github/codeql-action/compare/4dd16135b69a43b6c8efb853346f8437d92d3c93...e2b3eafc8d227b0241d48be5f425d47c2d750a13)

---
updated-dependencies:
- dependency-name: github/codeql-action
  dependency-type: direct:production
  update-type: version-update:semver-patch
...

Signed-off-by: dependabot[bot] <support@github.com>

Bump actions/checkout from 4.1.7 to 4.2.0

Bumps [actions/checkout](https://github.com/actions/checkout) from 4.1.7 to 4.2.0.
- [Release notes](https://github.com/actions/checkout/releases)
- [Changelog](https://github.com/actions/checkout/blob/main/CHANGELOG.md)
- [Commits](https://github.com/actions/checkout/compare/692973e3d937129bcbf40652eb9f2f61becf3332...d632683dd7b4114ad314bca15554477dd762a938)

---
updated-dependencies:
- dependency-name: actions/checkout
  dependency-type: direct:production
  update-type: version-update:semver-minor
...

Signed-off-by: dependabot[bot] <support@github.com>

dnf: Drop yum fallback

Don't pass in tools tree to default initrd in run_clean()

There might not be a tools tree, so let's not pass it in otherwise
parse_config() will fail if it doesn't exist.

Run diff without sandbox

have_cache() is called in run_clean() now which means we're not
guaranteed to have a tools tree available so let's run diff without
a tools tree.

Evaluate tools_tree earlier

We now call have_cache() in run_clean() so let's make sure we
evaluate the tools tree stuff earlier as have_cache() depends on it.

Don't remount directory read-only if output directory is located in it

See #3083

Merge pull request #3089 from behrmann/docdocargs

Two documentation fixes

docs: Add missing documentation for the completion verb

docs: Document that the documentation verb takes arguments

Fix broken man page links

Fixes: #3086

docs: Document how to include initrd in root verity doc

Merge pull request #3082 from behrmann/docnews

Make news available to the documentation verb

docs: Add man page shortcuts

docs: Make man page chapter configurable and encode it in the resource file name

Merge pull request #3081 from DaanDeMeyer/rpm

opensuse: Force rpm ndb backend

docs: Make news available to documentation verb

opensuse: Force rpm ndb backend

OpenSUSE's rpm is not built with the sqlite db backend so let's make
sure the rpm DB can be read inside the image by OpenSUSE's rpm by
forcing the ndb backend to be used.

Set up rpm before dnf/zypper

Don't create mountpoint in /var in sandbox

/var will always be writable in the sandbox so no need to precreate
the sandbox. This also saves us from using an overlayfs mount from
/var in the sandbox as it will be completely empty now.

Fix wrongly-quoted string.

Also make the option long-form.

Fixes: 0a1e8f26d16ac64040da7d03ef4711e706775f3a

Make diff debug output in have_cache universal

Reorder PeAddons= and fix summary name

Clean cache directory in run_clean()

Let's make sure we clean up the previous cache in run_clean() instead
of in save_cache().

Fix addons directory mode

We use 700 everywhere for /boot, so let's use it for addons as well.

Merge pull request #3074 from NekkoDroid/mkosi-uki-addons

Add support for building UKI addons

Add support for building PE addons

Extract `ukify` call to separate function

Merge pull request #3072 from behrmann/buildddocs

Document script directories

Don't use overlayfs for /etc and /opt in sandbox

Unprivileged overlayfs isn't available everywhere (see #3054). So
let's try to accomodate this a little by not using overlayfs for /etc
and /opt from the sandbox tree and instead mounting them read-only
into the sandbox. If required, scripts can still mount an overlayfs
onto these if needed, we just don't do it by default anymore.

This does mean we need to set up /etc with mountpoints and symlinks
beforehand in install_sandbox_trees(), but this shouldn't be a huge
problem.

Update NEWS

doc: Document script directories.

Add support for mkosi.clean.d and drop mkosi.configure.d

It makes sense to have multiple clean scripts, but with configuration we expect
a single output like with version and rootpw

Add mkosi.*.d for automatic script discovery

Add mkosi-vm default config

This replaces the bootable.md doc. Instead, users can just do
Include=mkosi-vm.

Include /opt in sysext images

Signed-off-by: Stéphane Graber <stgraber@stgraber.org>

Don't explicitly bind mount in keyrings from host into sandbox

These are automatically mounted in as part of the tools tree. This
change means they'll always be picked up from the tools tree and won't
take ToolsTreeCertificates= into account anymore, but then keyrings weren't
exactly certificates in the first place, and can still be picked up from
the host by using SandboxTrees=.

This allows users to provide their own keyrings using sandbox trees. Currently
we just overmount the user provided ones with the ones from the host.

Add missing comma

Merge pull request #3063 from DaanDeMeyer/engine

Fix signing with engine

Fix signing with engine

We need to make sure /run/pcscd/pcscd.comm is available to make
signing work so let's mount /run/pcscd into the sandbox every time
we're going to sign something if it exists.

Also look for /usr/lib/systemd/systemd-measure when looking for measure

Merge pull request #3060 from DaanDeMeyer/incremental

Add Incremental=strict

Add Incremental=strict

This ensures cached images already exist and fails the build if they
don't exist yet.

Run build script without stdout to stderr redirection

To allow running language servers such as clangd in the build script.
See https://github.com/systemd/systemd/pull/34517.

Show proper error if parsing history fails

Fix invalid format specifiers

Don't log if output already exists when using Format=none

docs: Fix partition order for root verity docs

The generated root partition needs to be resized on first boot for
the A/B update setup so we have to make sure it's the last one and
give it the same size requirements as the B partition in the image
so it's grown to the same size.

Similarly, we make sure to leave sufficient space for verity hash
data updates. Because this is not the last partition, we can't grow
it on first boot so we leave sufficient room inside the image itself
when building it.

While we're at it we also reorder the settings a bit so things are
more consistent.

Separate the PROFILES variables with spaces instead of commas

Space-separated strings strings are the shell programmers array and therefore
easier to consume. Since profile names are supposed to be space-free, this is a
safe change and for languages with smaller footgun potential it does not make a
difference.

Merge pull request #3057 from DaanDeMeyer/profile

Parse profiles after mkosi.conf.d

Allow configuring more than one profile

For many use cases it's useful to be able to configure more than one
profile, an example is selecting a generic desktop profile and a more
specific kde profile as well.

Read config from mkosi.local/ as well if it exists

Parse profiles after mkosi.conf.d

Currently profiles can't depend on any of the configuration set in
mkosi.conf.d as they are parsed before mkosi.conf.d is parsed. Let's
parse the profile related configuration last instead so it can match
on all the configuration set in mkosi.conf.d.

To set the distribution and release and such based on the profile,
a dropin in mkosi.conf.d can match on the configured profile instead.

Use run0 instead of refusing to run commands that need root unprivileged

Merge pull request #3059 from behrmann/moreformat

Formatting followups

dir-locals: set python-indent-def-block-scale to 1

This makes the default Emacs indentation compatible with the ruff style so that
no extra indentation is added for function arguments.

Reduce indentation in finalize_qemu_firmware

Merge pull request #3052 from behrmann/ruffformat

Format with ruff

Add comments demarking config sections

Force multiline formatting in more places

editorconfig: configure line length more widely

ci: add ruff format check

Reformat to 109 columns

Format with ruff

This change reformats mkosi using the ruff formatter with the default settings,
except for a line width of 119 columns.

Deviating from the default ruff formatting "fmt: skip" comments were added for
were it semantically makes sense, mainly:
- lists representing cmdlines, where options and their arguments should not be
  split
- when alignment improves readability (by easing comparisons with lines above
  and below)

Deviations from the above two guidelines are
- alignment was discarded for semantically empty statements (enum.auto())
- when all positional arguments where on the same line and options where on
  different lines, the positional arguments where put on separate lines as
  well, to minimize difference from vanilla ruff.

In collections that fit on a single line, trailing commas were removed, since
they force ruff to use multi-line formatting.

Merge pull request #3053 from aafeijoo-suse/output-permissions-feat

Add `OutputMode=` option

mkosi-initrd: set output mode 600 by default

Traditionally, initrds stored in /boot must have their access mode set to 600.
Nowadays, this is useless for initrds stored on the vfat-formatted ESP, but it
doesn't hurt to support the old use case.

Add OutputMode= option

Merge pull request #3055 from DaanDeMeyer/fix

Various sandbox fixes

Replace --tmpfs with --dir for tmpfs directories

The root is already a tmpfs so no need to put separate tmpfs directories
on top of individual directories.