vmspawn: clean up OVMF secure boot support check a bit

find_ovmf_config() would do filtering based on arg_secure_boot
already, hence the mismatch can only occur if we're using
user-specified firmware. So be explicit about this in log.

vmspawn: use parse_tristate_argument_with_auto()

parse-argument: make parse_tristate_argument() do something useful

I expressed the issue I have with parse_tristate_argument()
in #37751: it doesn't add any value to direct use of parse_tristate();
on the contrary, it doesn't support means to reset the arg to "auto"/-1 state.
The mere reason it existed is that we need a int type ret param.

Since the previous attempt to address this mess failed, let's
try to make the function more useful by making it accept "auto".
I figure this is useful on its own.

As requested in
https://github.com/systemd/systemd/pull/40652#discussion_r2831833996,
the function name is suffixed with _with_auto() to establish
that "auto" is handled internally.

Add BNCF NewBook 11 ACCEL_MOUNT_MATRIX  to 60-sensor.hwdb

Corrects DE autorotation

Device description: https://www.bncfai.com/product/773/

man/report: fix typo

Follow-up for e83cbc9372e66abacd9a8ecf45e1095010242127.

machine: switch CleanPool to SD_VARLINK_REQUIRES_MORE

The CleanPool requires --more to be set and checks that in
`vl_method_clean_pool`. By switching to SD_VARLINK_REQUIRES_MORE
this will automatically be handled and is more clear to
the varlink users.

Based on the comment from Lennart in
https://github.com/systemd/systemd/pull/40650#discussion_r2832378002
and the work done by Mike in 09388a6b9e4 (thanks!).

repart: Report correct current disk size and error (#39813)

mstack: parse --mkdir option

```
systemd-mstack: unrecognized option '--mkdir'
```

Follow-up for 8187cd18d61c9459f2fdb7591c9eb7c73afea24d

po: Translated using Weblate (Greek)

Currently translated at 36.7% (97 of 264 strings)

Co-authored-by: Jim Spentzos <jimspentzos2000@gmail.com>
Translate-URL: https://translate.fedoraproject.org/projects/systemd/main/el/
Translation: systemd/main

repart-varlink: Consider only managed parititions for size errors

Report DiskTooSmall only if partitions managed by repart don't fit the
disk. Because if the disk is already full with forigin partitions we
would always report DiskTooSmall instead of InsufficentFreeSpace.

repart-varlink: Calculate the size of foreign partitions

To decide whether the disk is to small or has insufficient free space we
need to know how much of the disk is filled with foreign partitions.
The calculated size is used in a future commit.

repart: Sum partitions size to get current disk size instead of using total size

When working on disks the disk may have a total size bigger then the
actual allocated size, therefore sum up the current partitions to
calculate the current disk size instead of asuming that the entire disk
is currently allocated.

Several fixlets for issues found by Coverity (#40765)

systemd-report: show some love (#40735)

Various improvements (#40759)

update TODO

report: install systemd-report binary to /usr/lib/systemd/ for now

The tool should not be considered stable, and those things we usually
place in /usr/lib/systemd, and not in $PATH.

We can move that to $PATH once we are confident it's gonna stay the way
it is.

ci: add proper CI test for systemd-report

report: use JSON-SEQ when outputing a series of json objects

We do this in our other tools that output a large number of JSON objects
in a potentially streamable way, hence do so here too.

report: fix log level of connection log messages

Let's also rename the "metric_prefix" to "name", because it's actually
the servce name, and by giving it this generic name we can use it
reasonably in log messages.

report: add --no-legend

Like most of our other tools, add a --no-legend switch.

report: implement filtering for metrics

report: tighten rules on metrics names

Let's stay close to Varlink's naming rules and insist that metrics
prefixes must be valid varlink interface names, and suffixes are valid
varlink field names.

The former rule is clear: because a metric <x>.<y> can only be provided
by a varlink service <x>, it is obvious we should validate them the
same way. Validating the suffix via varlink field rules is not that
obvious, but I think it makes sense to stay close to Varlink naming
rules if we already started out at one place.

report: we don't use inline in .c files, the compiler can figure this out better on its own

report: add -j shortcut

json output is going to be used very frequently, hence provide a
shortcut for it, like many our tools do it.

report: also dump metrics in tabular output

JSON output is great, but let's show the metrics by default in a more
human readable fashion.

report: add 'list-sources' verb for enumerating metrics sources

report: split out service enumeration logic

We want to reuse it later to list all services, hence make it generic.

(Also, allow symlinked services too)

report: switch to "verbs" command line interface, and add 'describe-metrics'

Let's prepare for a future where the "systemd-report" tool can do more
than enumerate metrics: let's introduce our usual "verbs" style
interface.

Let's also add a second command right-away: "describe-metrics" shows the
description of the metrics.

mstack: coding style cleanups

mstack: fix resource leak on failure path

This makes the mstack_load() requires 'ret', as clearing the loaded
mstack without use is meaningless. All callers already pass non-NULL for
the argument.

Follow-up for 8343032a86b62f62780de85a696ab8f9d2632244.
Fixes CID#1645105.

report: adjust indentation to our usual style

report: add comment explaining that metric_startswith_prefix() does a true prefix match

metrics: show metrics 'keys' before 'values'

In a way, metrics are a key-value concept, where the key is a triplet of
metrics family name, object name, and "fields". Let's put them together
in the varlink call, and put the value last, separately from that.

Also, update docs a bit, i.e be explicit about the metrics *family* name
everyhwere.

format-table: add a new JSON cell type

This formats the specified json variant as a string, and displays it in
a cell.

json: add json_variant_compare() helper for comparint two json variants by order

import: fix NULL pointer dereference

Follow-up for a9f6ba04969d6eb2e629e30299fab7538ef42a57.
Fixes CID#1645106.

hwdb: fix typos

uid-range: Handle same userns in uid_range_load_userns_by_fd()

If we're asked to look up our own user namespace mapping, don't go
via fd as trying to setns() to our own user namespace in
userns_enter_and_pin() would fail with EPERM as the kernel doesn't
allow switching to your own userns.

userns-restrict: Remove unused inode argument and rename function

test-userns-restrict: Migrate to new assertion macros

We also inline the test functions so we get proper line information
in the failure coredumps.

ssh-proxy: Support ssh machine/xxx for nspawn containers

hwdb: sensor: hp use board product name as hp-wmi

Doing it made also to include the 14t-fh000, the product name initial
units of the omnibook ultra flip 14 had, this is intended.

Order the entries by product name.

Follow up: fadb0b53f7d8d2d9e9d8dd141bc05de9116b083a.

ci: Simplify musl build setup

No need to setup symlink farms, we can just use the host's /usr/include
now.

meson: Explicitly check for musl for gshadow and nss

This allows building with musl on glibc systems as follows:

env \
    CC=musl-gcc \
    CXX=musl-gcc \
    CFLAGS="-idirafter /usr/include" \
    CXXFLAGS="-idirafter /usr/include" \
        meson setup --auto-features=disabled -Dlibc=musl musl

repart: return 1 from probe_sector_size_prefer_ioctl() on block device success

probe_sector_size() returns 1 when it successfully determines the sector size,
0 when falling back to the default. blockdev_get_sector_size() returns 0 on
success. probe_sector_size_prefer_ioctl() was passing blockdev_get_sector_size()
return value through directly, so caller is checking r > 0 to detect a
successfully probed sector size never saw it for block devices.

In context_load_partition_table(), this caused fs_secsz to stay at 4096 bytes
even on 512-byte sector block devices, making verity hash partition sizes wrong
unless --sector-size=512 was passed explicitly.

Fix by returning 1 on success from the block device path to match probe_sector_size()
convention.

Python modernization followups (#40755)

NEWS: move and extend entry for PTP device permission

Follow-up for 1e6854e112e9723be6108b83f6935ec7e04cea17.

man: fix typo

Follow-up for 6b22ac31afcfab53dc9b51d6b5f7862e52607923.

man: fix typo

Follow-up for eb581ff6d9556d29f1b9b57d6a40c4adefde16a6.

mstack: fix typo

Follow-up for 8343032a86b62f62780de85a696ab8f9d2632244.

import: fix typo

Follow-up for a9f6ba04969d6eb2e629e30299fab7538ef42a57.

TODO: fix typo

Follow-up for 3bbada87e290f3f0c2ca17f4f10396ec037b03c9.

importd: add support for downloading OCI images (#39621)

This adds the ability to download OCI images via importd.

Not a fan of the OCI format tbh, in particular its security properties
are a bit sad. But I guess it exists and is very popular, hence we might
as well add support for it, even if it comes at much weaker security
properties than DDIs.

Fixes #36447

Bring Bash profile for reporting context via Operating System Commands (OSC) into compliance with specifications (#40696)

This script fails to comply with the spec it's designed to implement,
[UAPI.15 OSC 3008: Hierarchical Context
Signalling](https://uapi-group.org/specifications/specs/osc_context/),
and fails the correctly utilize the specs provided by
[POSIX.1-2024](https://pubs.opengroup.org/onlinepubs/9799919799.2024edition/mindex.html)
and [man 1
bash](https://www.man7.org/linux/man-pages//man1/bash.1.html); improve
compliance.

Changes are made in small atomic commits, with more detailed
descriptions of the work done in each message.

elf2efi: modernize typing annotations

We still need Union and Optional as long as compat with Python 3.9
is needed.

elf2efi: make mypy-clean

elf2efi: import whole module, not individual symbols

When reading the code, it was hard to figure out if the given name was
imported or a local class. And the renaming of imports also made it
harder to look things up online. Arguably, the deeply nested import
structure and inconsistent naming in elftools is partially to blame:
there is just no good way to make this look nice. But anyway, let's use
the usual style of importing the module and using names prefixed with
the module path so that the origin of imported names is clear.

elfutils.elf.elffile is importered separately, because a) it needs to be
imported separately anyway bxecause the module does lazy imports
internally, a) the name already indicates the origin, c) is used in
quite a few places so the shorter name is nice.

generate-sym-test: skip everything that is not a file

The generator looks for files in the filesystem, and it sometimes fails
on emacs "lock files" which are a symlink. Ignore those.

metrics: fix casing for metrics names (take 2)

Change the casing for metrics names to mimic properties exposed via
varlink/dbus: Use PascalCase.

machine: Fix cid passed to machine_add_from_params()

The default value is VMADDR_CID_ANY, not zero.

update TODO

ci: drop 'Ex' suffix from transient props

The "Ex" is mostly internal, and our parsers will append it
automatically when needed

ci: add test for OCI downloading

man: document everything we just added

mountpoint-util: fix typo in comment

portable: fix log levels

portable_extract_by_path() and install_image() can't agree whether to be
of the "logging" or "non-logging" kind

discover-image: make sure we can remove mstacks

core: introduce PinnedResource

This introduces PinnedResources as a structure combining pinned
references to a root directory, root image, or root mstack. This is not
only easier to work with, but essential to make certain unpriv things
work, as we need some mechanism to pin resources before we drop into a
userns which might possibly not provide access anymore to those
resources.

Hence this does two things: introduce the new structure, and immediately
hook it up so that we pin things properly before dropping into userns,
and then makes use of this after dropping the right way, and enables
unpriv userns operation.

The concept is generic enough to eventually implement extension images +
mount images with the same structure, but in order to keep the changes
managable this is left for another time.

(This also makes one further clean-up: client-side verity-reuse checks
are moved server side if we are unpriv. Previously we'd do them client
side, but they were doomed to fail because of lack of privs. Hence let's
drop the client side if we are unpriv and purely do them server-side in
that case.)

mountfsd,nsresource: allow recycling mountfsd/nsresourced client connections

So far we opened a new Varlink connection for every mountfsd/nsresourced
method call. Given each tool only does a very small number of calls
(usually 1…5) on them and the connections are cheap this is not too
wasteful. Nonetheless, let's do something about it, and allow reusing
the connection for multiple calls.

This not only makes things a bit more efficient, but has one more
important benefit: Varlink connections pin the security context of the
client when connecting. This means that varlink method calls done with a
connection established while some code was privileged will still operate
as privieged once privs are dropped, until the connection is closed.
This pinning effect is really nice, as it gives us behaviour in a
"capability system" like scheme. Later code is going to use that to
continue doing certain priv userns ops even after unsharing userns and
becoming fully unpriv.

namespace: extend bind mount ignore field to permission issues

A later commit will add transient allocation of user namespaces with
dynamic UID range assignment. That creates certain permission issues.
Let's hence allow them to be handled gracefully in case the 'ignore'
field is set for a mount.

namespace: port mount_private_apivfs() to fsopen() and friends

This is not just refactoring, but has the big benefit that it makes us
indepdendent from a temporary directory we might not have enough access
to create. (This matters with the new PrivateUsers=managed).

private

core: add PrivateUsers=managed

importctl: add 'pull-oci' client API

importd: add bus/varlink api for downloading OCIs

run: support RootMStack= on the client side for systemd-run

portable: support .mstack images

pid1: introduce RootMStack= for using an mstack as root dir for a service

tree-wide: move logging from varlink clients in nsresource.c/dissect-image.c into callers

These calls are "library-like", hence better should only debug log on
their own, not more.

nspawn: add support for running mstack container images

discover-image: add support for discovering mstack images

add mstack tool for accessing mstacks from the command line

vpick: add generic definition for mstack image pick filters

mstack: introduce "mstack" concept

pull: add OCI support

core: introduce exec_context_with_rootfs_strict() as a stricter version of exec_context_with_rootfs()

We have two very similar checks in place: in some contexts we want to
know if *any* RootDirectory= is configured, in the other we want to
suppress if it is configured to our regular root. Let's add a helper for
both (even if we only need it once), to make the mirrored behaviour
clear.

core: use exec_context_with_rootfs() at one more place

tar-util: add support for extracting OCI compatible whiteouts, and turn them into overlayfs whiteouts

pull-job: make sure pull_job_restart() can be used to fetch the same resource again, just with new headers

Let's flush out all response state from the job, but let's keep the
request data previously configured, in particular the headers set. This
is useful to re-request a resource, just with a slightly modified or
identical URL.

pull-job: add helpers to detect requests for authentication, and accept bearer tokens

pull-job: add 'description' field to PullJob

This is shown in the output in place of the URL if non-NULL. This is
useful for OCI's hash-based URLs, which alone are very opaque to read.

pull-job: optionally free userdata when we destroy a PullJob

pull-job: add interface for controlling Accept: header sent to http server

pull-job: keep track of content type reported by server

uid-range: add uid_range_base() that returns the lowest entry

basic: define Architecture typedef in basic-forward.h

udev: grant read access to PTP devices for unprivileged users

Change the default udev rule for /dev/ptp* from 0660 to 0664,
allowing unprivileged users read-only access.

NIC telemetry and hardware logs often use device timestamps that must
be correlated with host time via read-only PTP ioctls (e.g.
cross-timestamp queries). Requiring privileged access makes these
workflows unnecessarily restrictive.

Older kernels lacked proper permission checks in some PTP ioctls.
Kernel commit b4e53b15c04e3852949003752f48f7a14ae39e86 ("ptp: Add PHC
file mode checks. Allow RO adjtime() without FMODE_WRITE.") introduces
the necessary file mode validation, ensuring that read access does not
permit clock modification or configuration changes, which still require
write permissions.

This commit has been backported to all actively maintained stable
kernel branches.

Related to #31034

NEWS: mention python requirement bump

openssl-util: pass the UI callback for interactive PIN prompts

Observed with the tpm2 provider and the tpm2tss engine was that the
auth process failed because the provider/engine could not ask for the
PIN through the callback, resulting in:
  "Failed to load private key from ...: Input/output error"
Apparently the default UI method is not enough and the key setup
functions expect an explicit method.
Pass the existing UI method through as callback for the key setup.