shim: ensure binaries do not get installed to ESP with .signed suffix

Binaries in the ESP need to be .efi, not .efi.signed,
so truncate the filename if the source has it (like MOK
in Debian).

Fix new linter warning

ensure builds with cache over device boundaries

when running mkosi with the default cache dir/XDG_CACHE_HOME on a
different device than the mkosi working directory, mkosi falls back to
trying to copy the cache using `copy_tree` from tree.py.

the cache contains symlinks which are pointing to files on the host:

e.g. `mkosi.cache/debian...cache/usr/bin/mt -> /etc/alternatives/mt`

`os.listxattr()` defaults to `follow_symlinks=True`, which leads to
`FileNotFoundError`s if the files don't exist on the host, which stops
the build.

this patch ignores symlinks, but feels like a workaround, as our
assumption would be that such absolute links should not be traversed
outside the chroot in the first place.

Co-authored-by: ZauberNerd <zaubernerd@zaubernerd.de>

Change UnifiedKernelImages to enum and accept signed/unsigned

With custom firmware we enroll our keys in db, so local UKIs can be
built and there's no need to fail the build. Many distributions
ship signed bootloaders, but they still don't ship UKIs.
Add an enum and a parser (to keep backward compat), and if set to
unsigned build locally instead of failing when the bootloader is
signed.

Merge pull request #3815 from DaanDeMeyer/man

man: Clarify that apparmor needs resolved path to mkosi

Various man page fixes

mkosi-vm: install systemd-boot-efi-signed where available

Needed for Bootloader=systemd-boot-signed

Merge pull request #3813 from behrmann/ruff2

Change ruff check and ruff format order

ci: switch ruff check output format to github

ci: switch order of ruff check and ruff format

opensuse: Install OpenSUSE-release if another release package is not installed

Fixes #3782

qemu: Disable hpet for x86 VMs

hpet is an emulated clocksource that is generally discouraged in favor
of kvm-clock or tsc for virtual machines. While mkosi's virtual machines
already use kvm-clock, leaving hpet enabled causes qemu on the host to
consume a non-trivial amount of cpu, so let's disable the hpet feature since
we're not making use of it anyway.

mkosi-tools: install systemd-boot-tools for bootctl

Merge pull request #3805 from bluca/arm_ppc

ci: add couple more arm64 builds, add ppc64le builds

ci: add fedora/debian ppc64le build jobs

Lower rate limit, and cannot run integration tests as there's no KVM so
it's too slow, so add just two builds to ensure build regressions
don't happen

ci: add arm64 build jobs to cover fedora/suse/ubuntu as well

Packages are different enough, so cover them all to ensure images
can be built

Merge pull request #3803 from bluca/uefi_fixes

More non-uefi config fixlets

man: remove duplicate 'the' in FirmwareVariables description

Related: #3787

conf: pull in shim-signed only on amd64/arm64 on debian/ubuntu/kali

shim-signed only exists on amd64/arm64, not on other architectures,
not even uefi ones

mkosi-vm: only install systemd-boot on uefi on debian/ubuntu/kali

mkosi-vm: do not install bootloaders on non-UEFI arches

‣ Cannot make image bootable on UEFI on ppc64-le architecture

Can still boot with direct kernel booting on qemu, so disable
for now

Merge pull request #3796 from bluca/arm

Fixes for arm64 images, add CI job

ci: add one arm64 job

ci: do not run integration tests if there's no KVM

Without KVM tests are too slow and timeout after an hour

mkosi-vm: install cloud kernel for debian/arm64 builds

The non-cloud arm64 kernel does not enable some configs
that are needed for the qemu runs, like generic TPM support

qemu: fix booting aarch64 with TPM2

EDK2 nowadays does provide secureboot for arm. Not only that, TPM2 support is
only enabled in builds that enable secure boot, probably because it's all
part of the TCG modules.

Default to uefi_secure_boot on arm too, like x86.

Also do not pass qemu x86-only configuration options that break booting
arm.

qemu: do not pass -cpu max,pcid=off unless it's for x86_64

qemu-system-aarch64: can't apply global max-arm-cpu.pcid=off: Property 'max-arm-cpu.pcid' not found

Merge pull request #3766 from aafeijoo-suse/initrd-profiles-network-nfs

Add "nfs" (and "network") initrd profiles

Add "nfs" initrd profile

nfs-utils-2.8.4 will provide its own nfsroot-generator [1] to allow mounting the
real rootfs via NFSv4, so this initrd profile will enable this feature.

[1] http://git.linux-nfs.org/?p=steved/nfs-utils.git;a=commit;h=ed86ea08dadafbac948c6a45629a6f3282a77233

Add "network" initrd profile

This profile provides networking in the initrd using systemd-networkd.

mkosi-initrd: install procps

This package contains some useful system utilities: sysctl, pidof, free, top...

mkosi-tools: make sure p11-kit dir exists when configuring module

Fixes this failure, since I guess the dir may not exist:

‣  Running prepare script /tmp/tmphh1uwz2a/resources/mkosi-tools/mkosi.prepare…
/work/prepare: line 4: /buildroot/usr/share/p11-kit/modules/opensc.module: No such file or directory

mkosi-tools: Explicitly install p11-kit

Merge pull request #3797 from DaanDeMeyer/remove-packages-optimization

Do not try to install packages that are listed in RemovePackages=

This allows using RemovePackages= in mkosi.local.conf to prevent
certain packages listed in the regular configuration from being
installed in the first place.

We also add RemovePackages= to the cache manifest because it now
affects the cached images.

pacman: Don't fail if packages to remove aren't installed

We already do this for other package managers, let's do it for pacman
as well.

Merge pull request #3793 from bluca/ppc_s390_build

Make ppc64le/s390x buildable

opensuse: pull in grep/gzip/xz explicitly to avoid busybox in main image

Problem: 1: the installed busybox-xz-1.37.0-34.1.noarch conflicts with 'xz' provided by the to be installed xz-5.8.1-1.1.aarch64
 Solution 1: deinstallation of busybox-xz-1.37.0-34.1.noarch
 Solution 2: do not install xz-5.8.1-1.1.aarch64

gha: do not fail if kvm/vhost are not available

On ppc64le/s390x runners there's no kvm/vhost

Move efi-specific packages to efi-specific config files

opensuse: add ppc64le/s390x definitions

The repository URLs are a bit weird and do not match 1:1 with architecture
names

Support matching against architectures with uefi support

Rename sandbox verb to box

It's both shorter, and doesn't give the wrong impression that this
is about security sandboxing, so let's rename the sandbox name to
just box. Keep the old name as well of course for compat.

Fix /var/tmp directory cleanup

Currently, if /work does not exist, we go into the exception handler which
doesn't do anything if the errno is ENOENT, even though we still need to
remove the parent directory.

build(deps): bump github/codeql-action from 3.28.18 to 3.29.2

Bumps [github/codeql-action](https://github.com/github/codeql-action) from 3.28.18 to 3.29.2.
- [Release notes](https://github.com/github/codeql-action/releases)
- [Changelog](https://github.com/github/codeql-action/blob/main/CHANGELOG.md)
- [Commits](https://github.com/github/codeql-action/compare/ff0a06e83cb2de871e5a09832bc6a81e7276941f...181d5eefc20863364f96762470ba6f862bdef56b)

---
updated-dependencies:
- dependency-name: github/codeql-action
  dependency-version: 3.29.2
  dependency-type: direct:production
  update-type: version-update:semver-minor
...

Signed-off-by: dependabot[bot] <support@github.com>

Merge pull request #3788 from DaanDeMeyer/opensc

tests: Skip test_tools() when in sandbox

If we're running inside mkosi sandbox, we don't parse the default
tools tree configuration, which this test depends on, so skip it
when running in the sandbox.

Revert "Make user provided command line take preference over roothash="

This reverts commit 5a15c7d31d097a11f83cfae664b0b7bb40100fc3.

mkosi-tools: Make sure opensc module is registered with p11-kit

Otherwise openssl will fail to load keys off a yubikey when using
pkcs11-provider. For more discussion and why this isn't the default
everywhere, see https://gitlab.archlinux.org/archlinux/packaging/packages/opensc/-/issues/2.

resources: Make sure scripts are made executable in as_file()

We don't have access to permissions from the Traversables so we check
for a shebang in each file instead.

as_file() backport improvements

- Simplify
- Fully type
- Move to mkosi.resources

We're going to extend it in the next commit, so no point in keeping
it the same as upstream anymore.

Merge pull request #3783 from DaanDeMeyer/syntax-warning

Three fixes

Make /etc/machine-id from host available in relaxed sandbox as well

Make sure various host files are added to every relaxed sandbox

Let's not just make these available to mkosi sandbox, but to every
other relaxed sandbox we set up as well.

sandbox: Work around extra file descriptor opened by importing ctypes since python 3.14

Since python 3.14, importing ctypes opens an extra file descriptor which is used to allocate libffi
closures which are in turn used by ctypes to pass python functions as C callback function pointers. We
don't use this functionality, yet the file descriptor is still opened and messes with the file descriptor
packing logic since the file descriptor to libffi will be passed as a packed file descriptor to the
executable we're invoking. To avoid that from happening, we close libffi's file descriptor after importing
ctypes.

See https://github.com/python/cpython/issues/135893.

sandbox: Fix typo

Merge pull request #3780 from bluca/defer_compress

Fix combining compression and skipping partitions (for signing)

mkosi-obs: support splitting out and compressing partitions

Need to recompress the verity-sig partition after creating it,
and deleting the non-compressed split out partitions that are
already present as compressed but that sd-repart re-creates
when doing the signature attach operation.

compress: do not attempt to compress skipped partitions

When doing offline verity signing, split partitions and compression are
enabled, we attempt to compress a non-existing partition (verity-sig)
which will be created only later.
Do not attempt to compress partitions that are marked to be skipped by
repart.

Do not use return in finally

This triggers a syntax warning on recent versions of python.

Ensure directories exist before running sync scripts

run_sync_scripts() assumes the workspace directory exists but we only
create it later on at the moment. Let's create directories before running
sync scripts to fix this issue.

Replaces #3776

Merge pull request #3749 from DaanDeMeyer/tools-etc

Bind mount /etc from tools tree into relaxed sandbox

mkosi-obs: also allow enrolling additional certs in KEK

Same as db, useful to be able to get DBX updates

initrd: Copy /etc/pki/rpm-gpg into sandbox tree

Repos from /etc/yum.repos.d might be signed by keys from /etc/pki/rpm-gpg
so make sure we copy those into the sandbox tree as well.

Fixes #3767

Bind mount /etc from tools tree into relaxed sandbox

Config from /etc often references stuff in /usr. Two examples I've
encountered are shell config from /etc/profile and dnf5 blowing up
when there's plugin configuration in /etc without the corresponding
plugin being installed.

To work around such issues, let's use /etc from the tools tree in the
relaxed sandbox instead of /etc from the host. This also saves the user
from having to create directories in their host's /etc to be able to use
mkosi sandbox.

Partially revert "resources: add systemd-boot-efi"

systemd-boot-efi is only available for EFI architectures, but
we use mkosi to do the integration tests on all architectures,
so this commit breaks them:

5044s E: Package 'systemd-boot-efi' has no installation candidate

https://autopkgtest.ubuntu.com/results/autopkgtest-noble-upstream-systemd-ci-systemd-ci/noble/s390x/s/systemd-upstream/20250608_124726_4f883@/log.gz

This package should not be included in the initrd anyway, it's
only needed at build time, not inside the initrd

This reverts commit 9a0d8a8906695a35011ecfd81b36fe82c1577488.

test: Make sure lvm doesn't try to modify /etc

Check that keys are both in context.cli and history

Otherwise we'll get a KeyError trying to access a key in the history
dict that isn't there.

Fixes #3747.

fix: Remove `erofs-utils` from initrd

No longer necessary, since fsck is no longer invoked by systemd for
read-only filesystems. This fixes a bug causing the initrd stage
of Ubuntu images to fail.

Merge pull request #3759 from behrmann/cidebug

mkosi-initrd: Add atkbd and i8042 modules to the default initrd modules

Required to get my laptop keyboard working in an initrd with just
the default modules.

Generate initrds outside of umask context manager

ci: Drop differential shellcheck

We already run shellcheck on all scripts as part of the main CI job,
so we don't really get any benefit of a differential shellcheck as all
our code is already checked by shellcheck so let's just drop it.

build(deps): bump github/codeql-action from 3.28.16 to 3.28.18

Bumps [github/codeql-action](https://github.com/github/codeql-action) from 3.28.16 to 3.28.18.
- [Release notes](https://github.com/github/codeql-action/releases)
- [Changelog](https://github.com/github/codeql-action/blob/main/CHANGELOG.md)
- [Commits](https://github.com/github/codeql-action/compare/28deaeda66b76a05916b6923827895f2b14ab387...ff0a06e83cb2de871e5a09832bc6a81e7276941f)

---
updated-dependencies:
- dependency-name: github/codeql-action
  dependency-version: 3.28.18
  dependency-type: direct:production
  update-type: version-update:semver-patch
...

Signed-off-by: dependabot[bot] <support@github.com>

Revert to btrfs for fedora and openuse

This was accidentaly committed.

resources: add systemd-boot-efi

Since
https://salsa.debian.org/systemd-team/systemd/-/commit/a4bdf87f03e06fe687f0bf7596af31d0f2ac80b1
systemd-boot is not pulled in automatically by systemd-boot anymore

Merge pull request #3750 from DaanDeMeyer/tools-tree-profiles

mkosi-tools: Introduce debug and gui profiles to reduce the number of packages installed by default

mkosi-tools: Install udev in opensuse tools trees

Ships bootctl these days.

mkosi-tools: Switch to dnf5 on Arch Linux

mkosi-tools: Remove unnecessary directory

mkosi-tools: Introduce debug profile and move perf to it

perf pulls in a ton of dependencies (> 100 extra packages on Fedora).
Let's introduce a separate debug profile and move perf to it to avoid
everyone having to pull in all these packages for a tool they most likely
won't use.

Add gdb as well while we're at it.

mkosi-tools: Add new gui profile

Let's not install all the tools required to run with a gui by default
into the tools tree, as this is more of a niche use case.

ci: Use ext4 temporarily

The commit causing https://lore.kernel.org/linux-fsdevel/20250115185608.GA2223535@zen.localdomain/T/#u
got backported to the ubuntu stable kernel. While it has been reverted
upstream, the revert still hasn't reached the ubuntu stable kernel,
so let's use ext4 temporarily until that's the case.

config: Remove redundant cast

Merge pull request #3743 from behrmann/doctoolsformat

man: write command line more consistently

man: remove spuriours colon

man: add a section on tools trees

Check that commit exists in config_parse_minimum_version()

merge-base will blow up when given a commit that does not exist in
the checked out repository, so let's check that first before checking
whether the currently checked out commit has the minimum version one as
its ancestor.

kmod: factor out comparison and also count empty directories as invalid

apt: support including additional configuration for reprepro

man: capitalise top sections consistently

mkosi-initrd: Optionally match t64 suffix for tss2 libraries

On debian, these libraries have a t64 suffix on arm for "reasons".
Let's take that into account by optionally matching a t64 suffix for
these libraries.

Fixes #3733.

Merge pull request #3742 from DaanDeMeyer/man

sandbox: Support using mkosi-sandbox as a library

Let's allow using mkosi-sandbox to create an in process sandbox by
not taking a command line to execute if mkosi-sandbox was itself
imported and not executed.

If we were imported, also don't do any print()'s to behave like a
proper library.

mkosi-tools: Install man tool and pages as part of misc profile

Man pages are generally shipped together with tools, so we need a
man viewer inside the tools tree to be able to read those man pages.

While we're at it, make sure we also install the basic Linux man pages
since those are always useful to have around.

Enforce C.UTF-8 locale for all commands we run

So this is a shitty situation either way. We generally have no idea
which locales will be available in the tools tree. Most likely, it'll
just be the C.UTF-8 one. In that case, using the locale environment
variables from the host is pointless and leads to annoying errors from
lots of tools.

We could make sure all locales are installed but glibc-all-langpacks is
> 200M installed size on Fedora which feels like too much. So let's
instead always use C.UTF-8, it's not like mkosi itself is locale aware
anyway.

Serialize pid in state and check if still exists on load

It happens often enough that mkosi is SIGKILLed and doesn't get to
remove the state file, causing it to leak and cause issues. Let's
serialize the pid of the mkosi process to the state file and check
if it is still running on load.

Fixes #3726

Merge pull request #3736 from DaanDeMeyer/rpm-gpgkey