mstack: coding style cleanups

mstack: fix resource leak on failure path

This makes the mstack_load() requires 'ret', as clearing the loaded
mstack without use is meaningless. All callers already pass non-NULL for
the argument.

Follow-up for 8343032a86b62f62780de85a696ab8f9d2632244.
Fixes CID#1645105.

import: fix NULL pointer dereference

Follow-up for a9f6ba04969d6eb2e629e30299fab7538ef42a57.
Fixes CID#1645106.

hwdb: fix typos

ssh-proxy: Support ssh machine/xxx for nspawn containers

hwdb: sensor: hp use board product name as hp-wmi

Doing it made also to include the 14t-fh000, the product name initial
units of the omnibook ultra flip 14 had, this is intended.

Order the entries by product name.

Follow up: fadb0b53f7d8d2d9e9d8dd141bc05de9116b083a.

ci: Simplify musl build setup

No need to setup symlink farms, we can just use the host's /usr/include
now.

meson: Explicitly check for musl for gshadow and nss

This allows building with musl on glibc systems as follows:

env \
    CC=musl-gcc \
    CXX=musl-gcc \
    CFLAGS="-idirafter /usr/include" \
    CXXFLAGS="-idirafter /usr/include" \
        meson setup --auto-features=disabled -Dlibc=musl musl

repart: return 1 from probe_sector_size_prefer_ioctl() on block device success

probe_sector_size() returns 1 when it successfully determines the sector size,
0 when falling back to the default. blockdev_get_sector_size() returns 0 on
success. probe_sector_size_prefer_ioctl() was passing blockdev_get_sector_size()
return value through directly, so caller is checking r > 0 to detect a
successfully probed sector size never saw it for block devices.

In context_load_partition_table(), this caused fs_secsz to stay at 4096 bytes
even on 512-byte sector block devices, making verity hash partition sizes wrong
unless --sector-size=512 was passed explicitly.

Fix by returning 1 on success from the block device path to match probe_sector_size()
convention.

Python modernization followups (#40755)

NEWS: move and extend entry for PTP device permission

Follow-up for 1e6854e112e9723be6108b83f6935ec7e04cea17.

man: fix typo

Follow-up for 6b22ac31afcfab53dc9b51d6b5f7862e52607923.

man: fix typo

Follow-up for eb581ff6d9556d29f1b9b57d6a40c4adefde16a6.

mstack: fix typo

Follow-up for 8343032a86b62f62780de85a696ab8f9d2632244.

import: fix typo

Follow-up for a9f6ba04969d6eb2e629e30299fab7538ef42a57.

TODO: fix typo

Follow-up for 3bbada87e290f3f0c2ca17f4f10396ec037b03c9.

importd: add support for downloading OCI images (#39621)

This adds the ability to download OCI images via importd.

Not a fan of the OCI format tbh, in particular its security properties
are a bit sad. But I guess it exists and is very popular, hence we might
as well add support for it, even if it comes at much weaker security
properties than DDIs.

Fixes #36447

Bring Bash profile for reporting context via Operating System Commands (OSC) into compliance with specifications (#40696)

This script fails to comply with the spec it's designed to implement,
[UAPI.15 OSC 3008: Hierarchical Context
Signalling](https://uapi-group.org/specifications/specs/osc_context/),
and fails the correctly utilize the specs provided by
[POSIX.1-2024](https://pubs.opengroup.org/onlinepubs/9799919799.2024edition/mindex.html)
and [man 1
bash](https://www.man7.org/linux/man-pages//man1/bash.1.html); improve
compliance.

Changes are made in small atomic commits, with more detailed
descriptions of the work done in each message.

elf2efi: modernize typing annotations

We still need Union and Optional as long as compat with Python 3.9
is needed.

elf2efi: make mypy-clean

elf2efi: import whole module, not individual symbols

When reading the code, it was hard to figure out if the given name was
imported or a local class. And the renaming of imports also made it
harder to look things up online. Arguably, the deeply nested import
structure and inconsistent naming in elftools is partially to blame:
there is just no good way to make this look nice. But anyway, let's use
the usual style of importing the module and using names prefixed with
the module path so that the origin of imported names is clear.

elfutils.elf.elffile is importered separately, because a) it needs to be
imported separately anyway bxecause the module does lazy imports
internally, a) the name already indicates the origin, c) is used in
quite a few places so the shorter name is nice.

generate-sym-test: skip everything that is not a file

The generator looks for files in the filesystem, and it sometimes fails
on emacs "lock files" which are a symlink. Ignore those.

metrics: fix casing for metrics names (take 2)

Change the casing for metrics names to mimic properties exposed via
varlink/dbus: Use PascalCase.

machine: Fix cid passed to machine_add_from_params()

The default value is VMADDR_CID_ANY, not zero.

update TODO

ci: drop 'Ex' suffix from transient props

The "Ex" is mostly internal, and our parsers will append it
automatically when needed

ci: add test for OCI downloading

man: document everything we just added

mountpoint-util: fix typo in comment

portable: fix log levels

portable_extract_by_path() and install_image() can't agree whether to be
of the "logging" or "non-logging" kind

discover-image: make sure we can remove mstacks

core: introduce PinnedResource

This introduces PinnedResources as a structure combining pinned
references to a root directory, root image, or root mstack. This is not
only easier to work with, but essential to make certain unpriv things
work, as we need some mechanism to pin resources before we drop into a
userns which might possibly not provide access anymore to those
resources.

Hence this does two things: introduce the new structure, and immediately
hook it up so that we pin things properly before dropping into userns,
and then makes use of this after dropping the right way, and enables
unpriv userns operation.

The concept is generic enough to eventually implement extension images +
mount images with the same structure, but in order to keep the changes
managable this is left for another time.

(This also makes one further clean-up: client-side verity-reuse checks
are moved server side if we are unpriv. Previously we'd do them client
side, but they were doomed to fail because of lack of privs. Hence let's
drop the client side if we are unpriv and purely do them server-side in
that case.)

mountfsd,nsresource: allow recycling mountfsd/nsresourced client connections

So far we opened a new Varlink connection for every mountfsd/nsresourced
method call. Given each tool only does a very small number of calls
(usually 1…5) on them and the connections are cheap this is not too
wasteful. Nonetheless, let's do something about it, and allow reusing
the connection for multiple calls.

This not only makes things a bit more efficient, but has one more
important benefit: Varlink connections pin the security context of the
client when connecting. This means that varlink method calls done with a
connection established while some code was privileged will still operate
as privieged once privs are dropped, until the connection is closed.
This pinning effect is really nice, as it gives us behaviour in a
"capability system" like scheme. Later code is going to use that to
continue doing certain priv userns ops even after unsharing userns and
becoming fully unpriv.

namespace: extend bind mount ignore field to permission issues

A later commit will add transient allocation of user namespaces with
dynamic UID range assignment. That creates certain permission issues.
Let's hence allow them to be handled gracefully in case the 'ignore'
field is set for a mount.

namespace: port mount_private_apivfs() to fsopen() and friends

This is not just refactoring, but has the big benefit that it makes us
indepdendent from a temporary directory we might not have enough access
to create. (This matters with the new PrivateUsers=managed).

private

core: add PrivateUsers=managed

importctl: add 'pull-oci' client API

importd: add bus/varlink api for downloading OCIs

run: support RootMStack= on the client side for systemd-run

portable: support .mstack images

pid1: introduce RootMStack= for using an mstack as root dir for a service

tree-wide: move logging from varlink clients in nsresource.c/dissect-image.c into callers

These calls are "library-like", hence better should only debug log on
their own, not more.

nspawn: add support for running mstack container images

discover-image: add support for discovering mstack images

add mstack tool for accessing mstacks from the command line

vpick: add generic definition for mstack image pick filters

mstack: introduce "mstack" concept

pull: add OCI support

core: introduce exec_context_with_rootfs_strict() as a stricter version of exec_context_with_rootfs()

We have two very similar checks in place: in some contexts we want to
know if *any* RootDirectory= is configured, in the other we want to
suppress if it is configured to our regular root. Let's add a helper for
both (even if we only need it once), to make the mirrored behaviour
clear.

core: use exec_context_with_rootfs() at one more place

tar-util: add support for extracting OCI compatible whiteouts, and turn them into overlayfs whiteouts

pull-job: make sure pull_job_restart() can be used to fetch the same resource again, just with new headers

Let's flush out all response state from the job, but let's keep the
request data previously configured, in particular the headers set. This
is useful to re-request a resource, just with a slightly modified or
identical URL.

pull-job: add helpers to detect requests for authentication, and accept bearer tokens

pull-job: add 'description' field to PullJob

This is shown in the output in place of the URL if non-NULL. This is
useful for OCI's hash-based URLs, which alone are very opaque to read.

pull-job: optionally free userdata when we destroy a PullJob

pull-job: add interface for controlling Accept: header sent to http server

pull-job: keep track of content type reported by server

uid-range: add uid_range_base() that returns the lowest entry

basic: define Architecture typedef in basic-forward.h

udev: grant read access to PTP devices for unprivileged users

Change the default udev rule for /dev/ptp* from 0660 to 0664,
allowing unprivileged users read-only access.

NIC telemetry and hardware logs often use device timestamps that must
be correlated with host time via read-only PTP ioctls (e.g.
cross-timestamp queries). Requiring privileged access makes these
workflows unnecessarily restrictive.

Older kernels lacked proper permission checks in some PTP ioctls.
Kernel commit b4e53b15c04e3852949003752f48f7a14ae39e86 ("ptp: Add PHC
file mode checks. Allow RO adjtime() without FMODE_WRITE.") introduces
the necessary file mode validation, ensuring that read access does not
permit clock modification or configuration changes, which still require
write permissions.

This commit has been backported to all actively maintained stable
kernel branches.

Related to #31034

NEWS: mention python requirement bump

openssl-util: pass the UI callback for interactive PIN prompts

Observed with the tpm2 provider and the tpm2tss engine was that the
auth process failed because the provider/engine could not ask for the
PIN through the callback, resulting in:
  "Failed to load private key from ...: Input/output error"
Apparently the default UI method is not enough and the key setup
functions expect an explicit method.
Pass the existing UI method through as callback for the key setup.

xorg/50-systemd-user: import XAUTHORITY only if set

The warning will still be reported if XAUTHORITY is set but not exported.
However, such scenario is unlikely for xinitrc.d scripts environment.

Fixes #40745

Signed-off-by: Dmytro Bagrii <dimich.dmb@gmail.com>

pe-binary: wrap remaining LE fields with byte-swap macros

Follow-up to 02cab70acf5ca67e838d0d34860baacbf9fc3b6c. pe_hash(),
section_offset_cmp() and uki_hash() still had a bunch of raw accesses
to LE fields (e_lfanew, SizeOfHeaders, PointerToRawData, SizeOfRawData,
VirtualSize, certificate_table->Size) without le32toh(), so they'd
produce garbage on big-endian.

Also wrap VirtualSize in bootspec.c for consistency.

vpick: Make suffix a single string again instead of a strv

This was made a strv to handle either directories or raw images but
since we now handle that via multiple PickFilter instances, we don't
need suffixes to be a strv anymore.

udev: rules: integration add spi bus for input dev

This bus is used for internal input devices let's set the ID_BUS
property accordingly to tag devices over SPI as internal.

Follow-up for a4381cae8bfacb1160967ac499c2919da7ff8c2b.

test: skip dnf signature checks in TEST-88-UPGRADE

Fixes failure on Rawhide:

TEST-88-UPGRADE.sh[512]: Transaction failed: Rpm transaction failed.
TEST-88-UPGRADE.sh[512]: Warning: skipped OpenPGP checks for 15 packages from repository: @commandline
TEST-88-UPGRADE.sh[512]:   - package systemd-shared-260~devel-20260218150812.fc45.x86_64 does not verify: no signature

test: assorted fixes for integration tests (#40737)

machined: Skip root user namespace check for user managers

You can register whatever process you want in the user machined instance
that is running in the same namespace as pid 1 as machined won't be allowed
to do anything privileged anyway that could be dangerous when running as a user
instance.

We have to skip the check as we user machined instances don't have
privileges to inspect pid1's user namespaces.

pcrextend: fix memory leak

Follow-up for: #40648
Addresses: https://github.com/systemd/systemd/pull/40648#issuecomment-3917469644

Tag accel devices for uaccess-render

accel devices are used for things like NPUs and should be tagged
for the logged in user just like GPUs are.

test: cover both verity verification mechanisms in TEST-70-TPM2-nvpcr

Follow-up for 521a523ce0cdcf0d529bd566f3d64ae93f10419d

test: move check for verity kernel keyring support to util.sh

test: do not fail TEST-86-MULTI-PROFILE-UKI if full TPM2 support not available

On a mkosi run on GHA:

[    9.547863] TEST-86-MULTI-PROFILE-UKI.sh[458]: + /usr/lib/systemd/systemd-measure --current
[    9.552790] TEST-86-MULTI-PROFILE-UKI.sh[463]: Measuring boot phases: enter-initrd, enter-initrd:leave-initrd, enter-initrd:leave-initrd:sysinit, enter-initrd:leave-initrd:sysinit:ready
[    9.553086] TEST-86-MULTI-PROFILE-UKI.sh[463]: Found container virtualization none.
[    9.553308] TEST-86-MULTI-PROFILE-UKI.sh[463]: Reading EFI variable /sys/firmware/efi/efivars/LoaderTpm2ActivePcrBanks-4a67b082-0a4c-41cf-b6c7-440b29bb8c4f.
[    9.553486] TEST-86-MULTI-PROFILE-UKI.sh[463]: Loaded shared library 'libtss2-esys.so.0' via dlopen().
[    9.553676] TEST-86-MULTI-PROFILE-UKI.sh[463]: Loaded shared library 'libtss2-rc.so.0' via dlopen().
[    9.553867] TEST-86-MULTI-PROFILE-UKI.sh[463]: Loaded shared library 'libtss2-mu.so.0' via dlopen().
[    9.554050] TEST-86-MULTI-PROFILE-UKI.sh[463]: Sorry, system lacks full TPM2 support.
[FAILED] Failed to start TEST-86-MULTI-PROFILE-UKI.service - TEST-86-MULTI-PROFILE-UKI.

stub: more hardening against malformed images

Avoid issues with malformed images.

Reported on various yeswehack.com reports

YWH-PGM9780-73
YWH-PGM9780-68
YWH-PGM9780-67
YWH-PGM9780-87

vmspawn: Don't keep tpmstate around in auto mode if ephemeral

Bump minimum version of python to 3.9 (#40711)

bash completion: various machinectl/portablectl fixes (#40719)

build(deps): bump super-linter/super-linter in the actions group

Bumps the actions group with 1 update: [super-linter/super-linter](https://github.com/super-linter/super-linter).

Updates `super-linter/super-linter` from 8.4.0 to 8.5.0
- [Release notes](https://github.com/super-linter/super-linter/releases)
- [Changelog](https://github.com/super-linter/super-linter/blob/main/CHANGELOG.md)
- [Commits](https://github.com/super-linter/super-linter/compare/12562e48d7059cf666c43a4ecb0d3b5a2b31bd9e...61abc07d755095a68f4987d1c2c3d1d64408f1f9)

---
updated-dependencies:
- dependency-name: super-linter/super-linter
  dependency-version: 8.5.0
  dependency-type: direct:production
  update-type: version-update:semver-minor
  dependency-group: actions
...

Signed-off-by: dependabot[bot] <support@github.com>

bash completion: add --user/--system to portablectl

bash completion: add missing machinectl parameters

bash completion: fix machinectl completion when mixing machines and files

bash completion: add --system/--user to machinectl

ci: set dependabot cooldown period, disable persisting credentials for actions/checkout (#40728)

github/dependabot: set cooldown period
github/workflows: disable persisting credentials for actions/checkout

metrics: add networkd related metrics (#40619)

This adds support for networkd related metrics. The output looks like this:
```
{
"name" : "io.systemd.Network.addressState",
"object" : "lo",
"value" : "off"
}
{
"name" : "io.systemd.Network.adminState",
"object" : "lo",
"value" : "unmanaged"
}
{
"name" : "io.systemd.Network.carrierState",
"object" : "lo",
"value" : "carrier"
}
{
"name" : "io.systemd.Network.ipv4AddressState",
"object" : "lo",
"value" : "off"
}
{
"name" : "io.systemd.Network.ipv6AddressState",
"object" : "lo",
"value" : "off"
}
{
"name" : "io.systemd.Network.managedInterfaces",
"value" : 0
}
{
"name" : "io.systemd.Network.operationalState",
"object" : "lo",
"value" : "carrier"
}
```

Revert "check-os-release.py compatible with Python < 3.8"

This reverts commit ce0a056abc41168e1b45537505ca9f65bf6f5c30.

Revert "tools: make update-dbus-docs compatible with Python 3.7"

This reverts commit 668b3a42fe9e250912bd3efa4460ed691452d9bf.

Now we require Python 3.9 or newer.

Revert "generate-bpf-delegate-configs: fix compatibility with Python 3.7"

This reverts commit dee77ac201741709b2323cae73aeeaff60fd8521.

Now we require Python 3.9 or newer.

Revert "meson: fix compatibility with Python 3.7"

This reverts commit 2793d6acf063ae8fe506a1684e5a24ce83267e6d.

Now we require Python 3.9 or newer.

Bump minimum version of python to 3.9

This was announced in fd8c62075197e4f4702bb6e4537116a64cb539b7 and every
still-supported distributo release provides at least 3.9, as tracked by #38608.

meson: ukify unconditionally requires pefile module

Follow-up for 3fc5eed47091363247012454df458e1a3303bf12.

metrics: add networkd related metrics

network: use higher log level when we cannot bind resolve hook varlink socket

meson,test: sort unit files

github/workflows: disable persisting credentials for actions/checkout

Set `persist-credentials: false` for actions/checkout.

By default, using `actions/checkout` causes a credential to be persisted on
disk.  Subsequent steps may accidentally publicly persist the credential, e.g.
by including it in a publicly accessible artifact via actions/upload-artifact.
However, even without this, persisting the credential on disk is non-ideal
unless actually needed.

Link: https://docs.zizmor.sh/audits/#artipacked

github/dependabot: set cooldown period

By default, Dependabot does not perform any cooldown on dependency updates.
In other words, a regularly scheduled Dependabot run may perform an update
on a dependency that was just released moments before the run began.
This presents both stability and supply-chain security risks.

To mitigate these risks, explicitly set Dependabot cooldown period to 7 days.

Link: https://docs.zizmor.sh/audits/#dependabot-cooldown

bootspec: add missing else

Otherwise, OOM error will never checked, and the "preferred" setting
always emits warning that the field is unknown.

Follow-up for 450e0dce02d754d7af599dd99ab40b9363072760.
Fixes CID#1645063.

udev: rules: integration fix

ID_INTEGRATION is not being updated with hwdb entries, asign the new
value to it when hwdb has been imported.

We still need the 65-integration.rule assignment for devices that aren't
in hwdb.

While at it remove unneeded check in 70-touchpad.rules, as it was not
added for 70-joystick.rules with the statement if ID_INPUT_* is set and
ID_INPUT not, there is a bug elsewhere. And remove unneeded gotos in
both files.

Follow-up for a4381cae8bfacb1160967ac499c2919da7ff8c2b.

sysupdate: Use partition types for pending/partial partitions

Fixes #40658