basic/terminal-util: simplify output param handling

Those static functions were written to support optional output params, but they
are only ever called with the output param set, and it doesn't make sense to
ever call them without the output param. Since those are internal functions,
drop this unused complexity.

basic/terminal-util: drop 'U' suffix

C automatically casts a signed int to unsigned in binary operation with an
unsigned int. Thus that suffix is not useful. Also surrounding code doesn't use
it.

src/boot: assume that intmax_t is the biggest integer

Same as in 81d7934882ae13c64d9b08d365a0baa011cb2fbb, intmax_t by definition is
the widest int. Strictly speaking, the check whether
  sizeof(intmax_t) == sizeof(long long)
in the code below is redundant, but I think it's nicer to keep it for symmetry
with the other cases.

Requested in
https://github.com/systemd/systemd/pull/37442#pullrequestreview-2840906908.

Update hwdb (#37470)

Update hwdb, even though we are pretty far from a release in order to:
- incrementally test upstream additions to hwdb
- allow backports to stable branches

core: use socket cookie for naming per-connection service instances + set $SO_COOKIE env var to it (#37469)

test: write file from systemd service in transient unit

This integration test demonstrates that a containerized systemd instance can
write to a bind mounted file observable to the host. Specifically, the bash
script uses systemd-run to start a systemd instance as a transient unit
container. This systemd-run command bind mounts a directory the container will
share with the host, and runs an internal service which creates and writes to a
file from the container's view of this directory. When finished writing, the
service runs the exit target, terminating the internal systemd instance, and
ending the lifetime of the container.

The script waits for the container to finish running, then verifies that the
expected file contents were written on the host side of the filesystem mount.

This test employs a workaround, creating an unmasked procfs mount on the host
which enables the privileged guest to create its own mounts internally. This
may indicate a systemd bug, as the privileged container should not rely on
the existence of an unmasked procfs on the host in order to mount its own
filesystems internally.

varlink: two tweaks for method call handling (#37466)

hwdb: run "update-hwdb-autosuspend"

As usual, mostly additions and a few removals.

hwdb: run "update-hwdb"

As usual, it seems to be mostly additions and corrections.

The last update was in 0d740f4bc0f03b773264ef75eaf1233ffc89c5b2, Dec 10th. I
think it's reasonable to update the hwdb more often. In particular, I want to
push an update to the stable branches, but it should be updated in 'main'
first.

update TODO

network: do not drop duplicated entries in loop

Fixes #37456.

core: name socket unit instances after the socket cookie

On linux sockets have a really good, unique identifier, the SO_COOKIE,
which is used by sockdiag and BPF and elsewhere. Let's expose this more
prominently in the service name of per-connection services invoked via
Accept=yes sockets.

This is really nice, because together with our $SO_COOKIE env var we can
now match up services, process execution contexts, and "ss" outputs, BPF
rules, and more.

core: pass the socket cookie to invoked per-connection service instances as $SO_COOKIE env var

The socket cookie is just too useful for identifying connections, let's
emphasize this a bit and pass it as environment variable.

socket-util: add trivial socket_get_cookie() helper

man: correct version information when $REMOTE_ADDR/$REMOTE_PORT where added

This was in commit 3b1c524154c876aecebc98787975cc2943100210, i.e. in the
v220 cycle.

man: don't claim REMOTE_PORT= was initialized to the protocol for AF_RAW sockets

This claim has no basis in reality, not even in the original commit
where the sentence was added this was true, see
3b1c524154c876aecebc98787975cc2943100210.

Hence removing.

bus-polkit: add a generic vtable for methods with no params, but with polkit

core: always handle method call params via sd_varlink_dispatch(), even if we accept none

This results in much more precise errors for the clients, and is what we
do everywhere else these days.

mountpoint-util: remove unused TMPFS_LIMITS_SYS_FS_CGROUP

Follow-up for 6801a9d88afe08648c70e2353b4be8ee04a871e3

cgroup-util: drop cg_kill() cgroup.threads kludge

Our baseline is v5.4 now.

resolve: fix typo

Follow-up for 801ad6a6a9cd8fbd58b9f9c27f20dbb3c87d47dd.

hashmap: Split out iterator.h

As preparation for #37344, let's split out iterator.h so we can
avoid including the entirety of hashmap.h where it's not needed.

tree-wide: Clean up includes (#37457)

tree-wide: Clean up includes

This commit cleans up the includes for all the small tools across
the tree.

A few cases of returning EXIT_SUCCESS are replaced with returning
0 to avoid including <stdlib.h>.

Split out of #37344.

tpm2-util: Make sure structs/enums are named and add to forward.h

We have to name structs/enums to be able to forward declare them, so
let's do that and add the missing ones to forward.h.

networkd-util: Avoid call to endswith()

Instead of recalculating the length of the string again after
reading it, let's make sd_netlink_message_read_string() return the
length of the string that we then use to check if the last character
is a dot or not.

This allows us to get rid of the string-util.h include in #37344.

test: fix assertion failure with CONFIG_UNIX_DIAG disabled

On OBS the build VM is heavily locked down, with network
disabled in various ways in the custom kernel, to isolate the
build, including disabling CONFIG_UNIX_DIAG.

[  456s] /* test_af_unix_get_qlen */
[  456s] src/test/test-socket-netlink.c:393: Assertion failed: Expected "af_unix_get_qlen(unix_fd, &q)" to succeed, but got error: No such file or directory

[  454s] /* test_sock_diag_unix */
[  454s] src/libsystemd/sd-netlink/test-netlink.c:727: Assertion failed: Expected "sd_netlink_call(nl, message, 0, &reply)" to succeed, but got error: No such file or directory

Follow-up for 89e546e927b8d1fb6b7d44d689586f949109f144
Follow-up for 4a3bf440f26c0577808c16da84a57f731c48eaeb

serialize: Move some logic to the implementation file

This will allow removing the string-util.h include in #37344.

validatefs: follow ups for recent change (#37447)

Follow-ups for #37434.

Bugprone argument comment - round 4 (#37380)

Follow up from https://github.com/systemd/systemd/pull/37356

capability-util: Ignore unknown capabilities instead of aborting

capability_quintet_mangle() can be called with capability sets
containing unknown capabilities. Let's not crash when this is the
case but instead ignore the unknown capabilities.

Fixes d5e12dc75e0e356c62e514e9c347efb200fe60e0

Small fixups after review for stable (#37442)

Improve hwdb boilerplate texts (#37440)

validatefs: split out validating gpt label and type

No functional change, just refactoring.
This addresses https://github.com/systemd/systemd/pull/37434#discussion_r2088950725.

validatefs: drop unnecessary empty lines

man: fix typo

Follow-up for 778cfac5fba45b7ac828571704945b722b2fb718.
Addresses https://github.com/systemd/systemd/pull/37434#discussion_r2088882005.

discover-image: Move some logic to the implementation file

This will allow removing the string-util.h and path-util.h includes
as part of #37344.

forward: Add forward declaration for LockFile (#37445)

Cleanup up includes #1 (#37438)

forward: Add forward declaration for LockFile

integration-tests: several cleanups (#37394)

fundamental: assume that intmax_t is the biggest integer

Allowing intmax_t to be narrower than some other type in the assert
is rather strange. By definition, it is the widest type.

Follow-up for c0239e5f113335f49328286698d4a9f13fed983d.

systemd-journald: drop pointless bitfield annotations

This actually doesn't change the struct size, because bools are coalesced
anyway. Also group the bool fields together.

elf2efi: make code more pythonic

Follow-up for 53628612b75b444681fabc729ad7b012299c4c63.

With 'or', we ignore the empty string (but not '0'), and we only call
time.time() lazily. So this works the same as the code that is replaced,
but avoids the ugly repetition.

Minor docs cleanups (#37439)

hwdb: say that settings can be also set to 0

We recommend that users create overriddes. This creates the problem that there
is no syntax to unset a property. Thus, the user needs to just set the property
to "something else" in the override file. But then the blurb saying that
"VAR=1" (or "VAR=0" in some cases) is the only allowed value can be confusing.
Say that both 0 and 1 can be set, since this documentation is also intended
for end users.

In our files, we generally don't want the override values anywhere. But we
have a test which checks the rvalue, which should be enough.

hwdb.d: update/expand boilerplate on various hwdb files

We don't want to encourage people to copy the whole files. The
boilerplate text that recommends an override file rather than a
full copy appeared first in 0213a26f656d72ac83eb201f2104726fcfe60eaa,
but was added in other places in 57bb707d48131f4daad2b1b746eab586eb66b4f3.

Directly inspired by 951e8cb06037d5b67c0ac86f56bcbd73f4fb2d7b, but
the wrong boilerplate was added in other places too.

hwdb.d: reword and simplify boilerplate texts

Let's keep things simple and uniform. We put a dot at the
end of some commands… This is obviously correct, but might confuse
some poor user.

docs/BOOT_LOADER_INTERFACE: minor grammar fixes

docs: punctuation and a typo

validatefs: fix checks on file systems backed by multiple devices (i.e. verity) (#37434)

Fixes #37157

vmspawn: Clean up includes

Split out of #37344

xdg-autostart-generator: Clean up includes

Split out of #37344

sd-bus: Make sure sd_bus_error and sd_bus_error_map structs are named

Otherwise we can't forward declare them.

Split out of #37344

hashmap: Make sure Iterator struct is named

Otherwise we can't forward declare it.

Split out of #37344

static-destruct: Move static_destruct() logic to implementation file

This will allow us to remove the memory-util.h include from
static-destruct.h as part of #37344.

blockdev-util: Remove dependency on string-util.h

Let's insist on a string literal in SYS_BLOCK_PATH_MAX() so that
we don't accidentally allocate VLAs and let's inline strempty() in
xsprintf_sys_block_path() so we don't need to include string-util.h
in blockdev-util.h

We'll remove the actual string-util.h include as part of #37344.

Introduce forward.h header with forward declarations (#37428)

In preparation for adopting forward declarations to reduce unnecessary
transitive includes across the tree, let's introduce a forward.h header
with forward declarations for all libc, libsystemd, basic and shared
types.

Additionally, this header exports all basic integer types and errno
constants, as well as all macros including assertions macros. These
header files contain types often used in headers and are always included
in every source file one way or another anyway.

To avoid having to include memory-util.h and alloc-util.h in forward.h,
we split off the parts we need from both into cleanup-util.h and only
include cleanup-util.h in forward.h.

To keep this commit self-contained, we include cleanup-fundamental.h and
cleanup-util.h from the headers that originally contained the same
macros. We'll remove these again in a later commit that optimizes the
includes in src/basic and src/fundamental.

Split out of #37364

boot: Use DEFINE_TRIVIAL_CLEANUP_FUNC() to define strv_freep()

test: attempt to fix resolved wait-online testcase

Fixes: #37430

ci: extend validatefs testcase to validate verity partitions

man: document that gpt-label/gpt-type uuid xattrs are now lists

repart: initialize validatefs xattrs to list *all* verity subordinate partitions

Now that we can actually list multiple gpt labels/type uuids in xattrs,
let's start doing so.

Fixes: #37157

validatefs: properly authenticate all subordinate devices of DM devices

Previously, we'd only authenticate "one" of the subordinate devices of a
DM device, and which one was somewhat undefined, it would be what we
find in slaves/ first. This is in particular a problem with dm-verity
which generally has two subordinate devices: the data device and the
hash device.

Let's fix this properly. This means two things:

1. iterate through *all* subordinate devices of a DM device (i.e.
   iterate through the sysfs slaves/ subdir), not just
   one

2. permit configuring a list of gpt labels and gpt type uuids in the
   xattrs of mount points, so that all valid combinations can be listed.

This only updates the validation like this. The generation of xattrs
that carry multiple type uuids/labels in systemd-repart will follow in a
later commit.

This extends the syntax of the two gpt-related xattrs, to allow lists of
things. This is a true extension, without breaking compat (but even if
it was, it wouldn't matter given that validatefs was added post v257,
i.e. is not included in a stable release.

Fixes: #37157

Introduce forward.h header with forward declarations

In preparation for adopting forward declarations to reduce unnecessary
transitive includes across the tree, let's introduce a forward.h header
with forward declarations for all libc, libsystemd, basic and shared types.

Additionally, this header exports all basic integer types and errno constants,
as well as all macros including assertions macros. These header files contain
types often used in headers and are always included in every source file one
way or another anyway.

To avoid having to include memory-util.h and alloc-util.h in forward.h, we
split off the parts we need from both into cleanup-util.h and only include
cleanup-util.h in forward.h.

To keep this commit self-contained, we include cleanup-fundamental.h and
cleanup-util.h from the headers that originally contained the same macros.
We'll remove these again in a later commit that optimizes the includes in
src/basic and src/fundamental.

Split out of #37364

validatefs: split out validate_fields_check() into three functions

Just some basic refactoring, no actual code changes

avoid race between systemd-logind and systemd-udevd in setting ACLs (#36444)

Follow-up for #36408.
Hopefully fixes #24026, #28512, and/or #23547.

Address post-merge issues in the sysfail entry functionality (#37426)

fork-journal: some follow-ups (#37423)

journald: rename primary object from "Server" to "Manager"

In all our daemons the primary entrypoint object is called "Manager".
But so far there was one exception: in journald it was called "Server".
Let's normalize that, and stick to the same nomenclature everywhere, to
make journald less special.

No real code change, just some search&replace.

sd-device: fix argument comment chase_flags

basic: fix consistency of flags argument for chase and chaseat

Both functions have one flags argument, so we don't need to
rename them to `chase_flags`.

shared/cred-util: fix argument comment for copy_file_at

ask-password-api: use flags consistently as argument name

treewide: fix argument comment for getxattr_at_bool

basic: fix argument naming for vt_release

hostname: use argument comment name transient_hostname

network: correct argument comment may_keep_dhcp

test: correct argument comment simplified

shared: dissect-image: use argument comment name label

shared: bootspec: use argument comment name auto_only

vmspawn: correct argument comment

udev: fix argument comments for test_udev_rule_parse_value_one

update TODO

man: run update-man-rules

Re-generate meson rules (as systemd-boot-clear-sysfail.service.xml
man page was added).

Fixes: https://github.com/systemd/systemd/issues/37415
Signed-off-by: Igor Opaniuk <igor.opaniuk@foundries.io>

units: fix systemd-boot-clear-sysfail description

Fix 's/systemd-boot-random-seed/systemd-boot-clear-sysfail/g'
copypaste.

Fixes: https://github.com/systemd/systemd/issues/37415
Signed-off-by: Igor Opaniuk <igor.opaniuk@foundries.io>

man: fix systemd-boot-clear-sysfail description

Fix s/systemd-boot-random-seed/systemd-boot-clear-sysfail/g
copypaste.

Fixes: https://github.com/systemd/systemd/issues/37415
Signed-off-by: Igor Opaniuk <igor.opaniuk@foundries.io>

Update description and uid checks when invoking pager (#37419)

fork-journal: drop unneeded cast

fork-journal: use char* const* for strv input param

This is compatible with char** and is what I originally
asked for in
https://github.com/systemd/systemd/pull/36858#discussion_r2086792739
Someone needs to read better ;-)

journalctl-show: report VARLINKERROR=

Who knows, maybe one day we'd support spawning journalctl
as varlink socket-activatable service, where this bit of
info would help.

journalctl-show: check Context.has_cursor rather than arg_*

journal: do not clear individual fields if the struct won't be reused

Especially that only some of the fields are cleared currently.

meson: fix path to coverage.h

Follow-up for 30d20907bddfe064cc3437a888dd8f00d14929e4.

TEST-73-LOCALE: skip lv keymap and friends

The following failure should be in libxkbcommon and/or sanitizer.
There is nothing we can do here. Let's skip it.

```
TEST-73-LOCALE.sh[3733]: + assert_rc 0 localectl set-keymap lv
TEST-73-LOCALE.sh[6699]: + set +ex
TEST-73-LOCALE.sh[6700]: Failed to set keymap: Remote peer disconnected
TEST-73-LOCALE.sh[6703]: FAIL: expected: '0' actual: '1'
TEST-73-LOCALE.sh[157]: + rm -f /etc/dbus-1/system.d/systemd-localed-read-only.conf
[FAILED] Failed to start TEST-73-LOCALE.service - TEST-73-LOCALE.
```
```
==3719==ERROR: AddressSanitizer: heap-buffer-overflow on address 0x7fa51f161000 at pc 0x7fa521250be4 bp 0x7ffe49130a80 sp 0x7ffe49130240
READ of size 19126 at 0x7fa51f161000 thread T0
    #0 0x7fa521250be3 in strndup (/usr/lib/clang/20/lib/x86_64-redhat-linux-gnu/libclang_rt.asan.so+0x50be3) (BuildId: aa6231e817f72469c44a6c6cee9f0694a87db7fb)
    #1 0x7fa51f128325  (/lib64/libxkbcommon.so.0+0x1c325) (BuildId: 72e8cb985db37963272d140f7b2aee551c465ff5)
    #2 0x7fa51f121952  (/lib64/libxkbcommon.so.0+0x15952) (BuildId: 72e8cb985db37963272d140f7b2aee551c465ff5)
    #3 0x7fa51f123d3a  (/lib64/libxkbcommon.so.0+0x17d3a) (BuildId: 72e8cb985db37963272d140f7b2aee551c465ff5)
    #4 0x7fa51f117c86  (/lib64/libxkbcommon.so.0+0xbc86) (BuildId: 72e8cb985db37963272d140f7b2aee551c465ff5)
    #5 0x7fa51f12548f  (/lib64/libxkbcommon.so.0+0x1948f) (BuildId: 72e8cb985db37963272d140f7b2aee551c465ff5)
    #6 0x7fa51f125c9e  (/lib64/libxkbcommon.so.0+0x19c9e) (BuildId: 72e8cb985db37963272d140f7b2aee551c465ff5)
    #7 0x7fa51f126a59  (/lib64/libxkbcommon.so.0+0x1aa59) (BuildId: 72e8cb985db37963272d140f7b2aee551c465ff5)
    #8 0x7fa51f12cec6  (/lib64/libxkbcommon.so.0+0x20ec6) (BuildId: 72e8cb985db37963272d140f7b2aee551c465ff5)
    #9 0x7fa51f12e3c2  (/lib64/libxkbcommon.so.0+0x223c2) (BuildId: 72e8cb985db37963272d140f7b2aee551c465ff5)
    #10 0x7fa51f12a4e5 in xkb_keymap_new_from_names (/lib64/libxkbcommon.so.0+0x1e4e5) (BuildId: 72e8cb985db37963272d140f7b2aee551c465ff5)
    #11 0x5574dd63f864 in verify_xkb_rmlvo /usr/src/debug/systemd/src/locale/xkbcommon-util.c:69:14
(snip)
```

TEST-73-LOCALE: drop unnecessary workaround

It should be fixed by 157d5b5c30b472c8c70a629a0c609ad240151746.

integration-tests: adjust priorities

When running with sanitizers:
```
26/95 systemd:integration-tests / TEST-21-DFUZZER                          OK 1517.75s
40/95 systemd:integration-tests / TEST-85-NETWORK-NetworkdDHCPClientTests  OK  779.18s
42/95 systemd:integration-tests / TEST-04-JOURNAL                          OK  716.17s
```
and without sanitizers:
```
44/95 systemd:integration-tests / TEST-85-NETWORK-NetworkdDHCPClientTests  OK  730.33s
29/95 systemd:integration-tests / TEST-64-UDEV-STORAGE-simultaneous_events OK  701.49s
40/95 systemd:integration-tests / TEST-04-JOURNAL                          OK  348.05s
```

So, let's set higher priorities only on these tests.

github/mkosi: tentatively disable mkosi(opensuse) job

There is a package dependency issue in opensuse, and there is nothing we
can do. Let's reenable later when the issue is fixed.

TEST-21-DFUZZER: skip test when no sanitizer is enabled

systemctl: make systemctl clean --what= values more discoverable (#37418)