Move Incremental= to inherited settings in docs

Make MakeScriptsExecutable= a multiversal setting

Look at all CacheOnly= settings to determine if we need to sync metadata

Instead of only looking at the CacheOnly= setting of the main image,
let's allow subimages to also configure it to instruct whether repository
metadata should be synced for that image or not.

Also, let's change the behavior of "auto". Currently, we don't sync
repository metadata as long as we have a cached image. The idea behind
this was to avoid weird problems when installing packages in postinst
scripts or such that would see newer repository metadata than the repository
metadata that the image was built with.

While this still holds, the problem with the current approach is that
for regular uses, the default initrd will always have a cache and as such,
even when the main image is out-of-date, we still won't sync repository metadata,
eventually resulting in the repository metadata being so out of date that
the packages can't be found in the mirrors anymore.

The latter is much more likely to happen than the former, so let's sync
repository metadata every time we have any image that does not have a cache.
The user now has the option to customize the behavior per image if they don't
like the default behavior.

config / qemu: add Console=headless

Add a headless option for Console so automation can run the qemu
instance in a background task.  In the current modes, qemu just
exits on boot because the console has nothing to attach to.

vmspawn does not support headless for now, just die if this is set.

Signed-off-by: Gregory Price <gourry@gourry.net>

sandbox: Make sure eventfd is CLOEXEC

Merge pull request #4169 from daandemeyer/python3.9

Revert "Bump minimum python version to 3.10"

This reverts commit 22b2f0bf18ac98f62ef92745fde5dd3f8369d4bf.

Turns out using python3.12 on CentOS causes more issues than
we thought it would, so let's revert the move to python 3.9.
Instead, we'll conditionally import Union in sandbox.py only on
python 3.9 and use the Union operator otherwise.

Revert "sandbox: Use os.eventfd()"

This reverts commit 1505d67efe3457a041a29e7a6516d1d0173833ef.

Revert "Use python3.12 as interpreter in CentOS Stream 9 zipapp"

This reverts commit d6ddc66acb05d3d761d3f600c6b029319db9ae95.

Rework sandbox globbing and exist checks

Using bash to glob in the sandbox is rather primitive. Let's do better
by taking advantage of the fact that we can run mkosi-sandbox without
executing another binary. We beef up fork_and_wait() to allow passing
in a sandbox and use a pipe to send the pickled result of the target
function back to the parent process so we can return it from
fork_and_wait(). This allows us to rewrite glob_in_sandbox() and
exists_in_sandbox() to be much simpler.

At the same time, make sure we show proper stacktraces when using
uncaught_exception_handler() after fork. To achieve this, we have to
make sure it logs all frames, including the parent's ones, as we have
to log the exception from the forked process as we can't pickle exceptions
and send them to the parent.

Additionally, try to populate the line cache as early as possible as
we might not be able to access source files after sandboxing ourselves.

While we're at it, we switch _preexec() over to using
uncaught_exception_handler() as well.

Use python3.12 as interpreter in CentOS Stream 9 zipapp

tests: fix running pytest on undetected distro

63ae86e changed detect_distribution so that if it can't find the
distribution it now just returns the string instead of returning None.
This breaks conftest.py when trying to run tests on a distribution
that's not detected (e.g. when packaging mkosi for Alpine Linux)

Fixes #4162

Merge pull request #4164 from daandemeyer/various

Various stuff

Don't build default initrd for directory images by default

We switched this around a long time ago to accomodate virtiofsd qemu
boots as those needed an initrd without the image necessarily being
bootable. Given Fedora and Arch now allow for direct kernel boot with
virtiofsd without needing an initrd, let's switch back the default to
not building an initrd for directory images, so that the same config
can be used to build disk images for vm boot and directory images for
container boot without having to build the initrd when building directory
images.

Add Incremental=relaxed

In systemd, we have some test subimages that we want to build once
and keep intact instead of constantly rebuilding them. Let's add
Incremental=relaxed which will only remove the outputs from those
images if -ff is used and not a regular -f.

Only copy out initrds if we have any

Now that we don't build the default initrd on demand anymore, there's
nothing to copy out if no initrds are configured, so don't try to copy
anything out in that case.

Add support for mkosi.initrd.conf to configure the default initrd

We have mkosi.tools.conf, we might as well add mkosi.initrd.conf as
well.

sandbox: Turn drop_capabilities() into fix_userns_capabilities()

sandbox: Turn mount_rbind() into mount_bind()

Merge pull request #4163 from daandemeyer/history-fix

History fixes

test: Add test covering the history with empty lists

config: Make sure we write finalized values into the history

Otherwise if we specify e.g. --package-directories= on the command
line it'll get written as None into the history and won't get parsed
properly by Config.from_partial_json().

config: Make sure we handle empty lists from history properly

If we get an empty list from the history, that means the empty string
was specified on the cli, and hence we should treat it as a reset (by
setting the xxx_was_none field in the dict same as we would when parsing
it from the cli).

Note that we only need to do this for list based settings as regular
values will just have their default value written into the history.

centos: Fix EPEL repositories for RHEL 10

Replaces #4108

The previous PR didn't take into account that mirrors were changed
as well. This PR should cover all changes in RHEL 10 to how EPEL is
handled.

Merge pull request #4158 from daandemeyer/python3.10

sandbox: Use os.eventfd()

Available since Python 3.10.

sandbox: Use close() for eventfd

Bump minimum python version to 3.10

- CentOS Stream 9 has python 3.9 by default, but python 3.12 is packaged
- Ubuntu Jammy has python 3.10.

So we'll require CentOS Stream 9 users to install the python3.12
package to keep using mkosi, which shouldn't be a problem.

Bumping version allows us to switch to the Union operator among other
improvements. This commit gets rid of Union and Optional, we'll adopt
other 3.10 features later.

bin/mkosi: Beef up interpreter searching logic

Let's search for any installed interpreter that's sufficiently new.

oci: allow user defined labels and annotations

Signed-off-by: Brian Ketelsen <bketelsen@gmail.com>

man: be more precise that the tools tree distribution is decided by the host distribution

Support resizing output image

When the final image does not contain the rootfs it must be grown before
being able to boot it. Since the exact size to grow is not easily known
to the user, it's best if the image is already grown to the right size.
Also, when flashing to disk it helps to have the image be the minimum
size needed because otherwise flashing on a too small disk succeeds but
boot will fail. With the right image size it's easier for the user to
know whether the disk is large enough.

sandbox: Make sure we're dumpable before writing uidmap files

Fixes a permission error when running mkosi as root and changing UID/GID
to non-root, like virtiofsd when running "mkosi vm".

fedora: Use N-1 key as well when querying rawhide GPG key

We now run into the opposite problem where distribution-gpg-keys is
updated before rawhide is updated, so query the N-1 key as well to
avoid issues in the other direction.

Merge pull request #4151 from daandemeyer/ci

action: Run apt-get update before installing packages

config: Fix formatting with newer ruff

action: Run apt-get update before installing packages

The repository metadata in the image can get out of date. Let's run
apt-get update to make sure it is fresh.

Add MakeScriptsExecutable= setting to optionally try to make scripts executable before bailing out

If it fails, it was going to die() anyway.

OBS sources defined inline (ie, not in a tarball) cannot have the mode preserved,
so it's not possible to have mkosi.build or so as a bare script
in an OBS project, one needs to tar it up and extract it again later,
which means it cannot be edited by the inline editor, which is very
convenient for small and trivial builds like an addon.

build(deps): bump github/codeql-action from 4.31.9 to 4.32.0

Bumps [github/codeql-action](https://github.com/github/codeql-action) from 4.31.9 to 4.32.0.
- [Release notes](https://github.com/github/codeql-action/releases)
- [Changelog](https://github.com/github/codeql-action/blob/main/CHANGELOG.md)
- [Commits](https://github.com/github/codeql-action/compare/5d4e8d1aca955e8d8589aabd499c5cae939e33c7...b20883b0cd1f46c72ae0ba6d1090936928f9fa30)

---
updated-dependencies:
- dependency-name: github/codeql-action
  dependency-version: 4.32.0
  dependency-type: direct:production
  update-type: version-update:semver-minor
...

Signed-off-by: dependabot[bot] <support@github.com>

build(deps): bump actions/checkout from 6.0.1 to 6.0.2

Bumps [actions/checkout](https://github.com/actions/checkout) from 6.0.1 to 6.0.2.
- [Release notes](https://github.com/actions/checkout/releases)
- [Changelog](https://github.com/actions/checkout/blob/main/CHANGELOG.md)
- [Commits](https://github.com/actions/checkout/compare/8e8c483db84b4bee98b60c0593521ed34d9990e8...de0fac2e4500dabe0009e67214ff5f5447ce83dd)

---
updated-dependencies:
- dependency-name: actions/checkout
  dependency-version: 6.0.2
  dependency-type: direct:production
  update-type: version-update:semver-patch
...

Signed-off-by: dependabot[bot] <support@github.com>

docs: remove superfluous definition colon

mkosi-tools: add libarchive-tools package.

Fix Arch image build failure due to missing bsdtar.
Fixes discussions/4135.

Merge pull request #4143 from behrmann/fedoranpm

ci: add nodejs-npm to tools tree packages for Fedora

ci: switch tools tree from Fedira Rawhide to Arch

ci: try multiple npm binaries in prepare script

ci: add nodejs-npm to tools tree packages for Fedora

docs: Add information about gui mkosi-tools profile

Add missing call to run_locale_gen()

And mention the new feature in the news file.

rpm: Set pkgverify_level to digest

This was changed to all in rpm 6.0.0, which means that rpm is checking
for signatures from dnf/zypper repos that have gpgcheck=0. dnf5 was updated
to deal with this but for some reason the fix isn't working in Arch and zypper
doesn't deal with this at all, so revert back to the previous level until
package managers can actually deal with this.

dnf: Give advanced users some control over plugins

Let's add some environment variables to control plugins for cases
where users have some dnf plugin they can't touch on their host system
which doesn't behave properly in mkosi-sandbox and which they can't
remove themselves.

run: Improve sandbox command logging

Replaces #4068

Fix environment variable name for systemd-repart

Allow specifying "default" value for Initrds=

Also use it as the default value for Initrds= when we decide a default
initrd is needed. This allows both using the default initrd alongside
other initrds as well as disabling building the default initrd by assigning
the empty string to Initrds=.

Allow setting PORTABLE_PREFIXES= via Environment=

opensuse: More GPG key handling fixes

- Pass GPG keys to rpm --import as paths inside the sandbox. This
  makes sure that overrides from mkosi.sandbox are taken into account.
  e.g. atm we pass mkosi.tools/usr/share/distribution-gpg-keys/... whereas
  now we pass /usr/share/distribution-gpg-keys/...
- Make sure we figure out keys once when using zypper. zypper downloads
  GPG keys (when fetching is enabled) when refreshing repositories. These
  keys are stored in the rpm database in the temporary root we use when
  syncing repository metadata. To make sure they are not lost, we extract
  the keys using rpmkeys and store them in the keyring directory which we
  use from then onwards. For all image builds we then simply import the
  keys from the keyring directory.

Merge pull request #4122 from DaanDeMeyer/opensuse-fixes

Opensuse fixes

opensuse: Log when importing GPG keys into RPM database

opensuse: List local GPG keys for Leap as well

opensuse: Log when we're potentially going to curl()

opensuse: Fix gpgkey URL

opensuse: Simplify error messages slightly

opensuse: Import GPG keys downloaded by zypper as well

When syncing repository metadata, zypper will download keys if
--gpg-auto-import-keys is specified. When installing packages, we need
to make sure these keys are imported into the rpmdb as well.

opensuse: Simplify GPG logic

No need to check ourselves, we can delegate the check to find_rpm_gpgkey()
instead.

opensuse: Fetch remote keys as well if RepositoryKeyFetch= is enabled

Also improve error handling for if local keys do not exist.

ci: Use mkosi box for unit test CI as well

Merge pull request #4117 from behrmann/tyfixes

Ty(ping) fixes

Remove deprecated logging.warn call

Remove unused type ignore statements

Make sure we pass the right context to finalize_default_initrd()

We mess around with the context object to make it for for use when
reading the subimages. But we need the full context again for parsing
the default initrd later on, so make a copy before we delete stuff and
pass that to finalize_default_initrd()

Fixes #4114

Merge pull request #4111 from DaanDeMeyer/vsock

qemu: Start vsock notify handler thread after starting qemu

Stop running auxiliary programs in systemd scopes

Similar to the same change made in systemd-vmspawn, let's stop running
virtiofsd, systemd-journal-remote and swtpm in scopes. Nobody ever makes
use of the features this provides and it simplifies our code quite a bit.

This also means we drop the UnitProperties setting, which was effectively
unused anyway.

This allows us to get rid of the --suspend setting in mkosi-sandbox, which
only really existed to allow waiting for systemd-run to finish its setup
before registering the machine. Because registering a machine means it needs
a cgroup, we allow systemd-machined to create the scope itself if needed.

qemu: Start vsock notify handler thread after starting qemu

tools: don't pull in virtiofsd in bookworm tools trees

build(deps): bump github/codeql-action from 4.31.6 to 4.31.9

Bumps [github/codeql-action](https://github.com/github/codeql-action) from 4.31.6 to 4.31.9.
- [Release notes](https://github.com/github/codeql-action/releases)
- [Changelog](https://github.com/github/codeql-action/blob/main/CHANGELOG.md)
- [Commits](https://github.com/github/codeql-action/compare/fe4161a26a8629af62121b670040955b330f9af2...5d4e8d1aca955e8d8589aabd499c5cae939e33c7)

---
updated-dependencies:
- dependency-name: github/codeql-action
  dependency-version: 4.31.9
  dependency-type: direct:production
  update-type: version-update:semver-patch
...

Signed-off-by: dependabot[bot] <support@github.com>

build(deps): bump actions/checkout from 6.0.0 to 6.0.1

Bumps [actions/checkout](https://github.com/actions/checkout) from 6.0.0 to 6.0.1.
- [Release notes](https://github.com/actions/checkout/releases)
- [Changelog](https://github.com/actions/checkout/blob/main/CHANGELOG.md)
- [Commits](https://github.com/actions/checkout/compare/1af3b93b6815bc44a9784bd300feb67ff0d1eeb3...8e8c483db84b4bee98b60c0593521ed34d9990e8)

---
updated-dependencies:
- dependency-name: actions/checkout
  dependency-version: 6.0.1
  dependency-type: direct:production
  update-type: version-update:semver-patch
...

Signed-off-by: dependabot[bot] <support@github.com>

opensuse: Import GPG keys for all repositories

Let's not just import GPG keys for our own repositories, but for
all repositories.

Add support for locale-gen

If locales are configured in /etc/locale.gen, let's run locale-gen.

Merge pull request #4100 from Ma27/systemd-hacking-on-nixos

nixos: Use repository key fetching by default on nixos

nixos generally won't have any keys in the expected locations so let's
use repository key fetching by default if we're building from a nixos
host (or tools tree).

mkosi/run: pass through LD_LIBRARY_PATH

The sandbox expects that the host has a `libseccomp.so` in its global
search-path (usually `/usr/lib`). However, that path doesn't exist on
NixOS. Another standard way of passing lookup paths to `dlopen()` is
using LD_LIBRARY_PATH which is now passed through to the sandbox.

treewide: use `/usr/bin/env bash` instead of `/bin/bash` as shebang

E.g. NixOS doesn't have a `/bin/bash` and some of the scripts are seemingly
running inside the host's context. Hence, use the more cautious variant of
`/usr/bin/env bash` and just do it everywhere for consistency.

mkosi/run: inherit store paths from nix-shell into sandbox

On NixOS most interesting stuff is either in store-paths from $PATH
(e.g. when working in a nix-shell).

Add these PATH entries to the new $PATH and ensure everything
interesting is in the sandbox.

docs: Reword dependencies vs tools tree requirement a bit

docs: Minor correction on enabling unprivileged namespaces

apparmor_restrict_unprivileged_unconfined should be set to 0 to allow
unprivileged namespaces.

docs: Update unprivileged user namespace docs

Let's not recommend fiddling around with apparmor profiles, but
instead recommend enabling unprivileged user namespaces unconditionally.
Users that care about security can figure out apparmor profiles on their own.

Also reorder and reword the REQUIREMENTS section in general.

kmod: Only use --modname if available

--modname is only available since 2022, and not available in kmod in
CentOS Stream 9, so query if it is available and only use it if it is
available.

Querying --help every time isn't the most efficient but adds negligible
time to the modinfo step in practice.

arch: Download archlinux-keyring with pacman

curl-ing the Arch Linux website fails quite often due to connection
issues. Let's try downloading the archlinux-keyring package with
Pacman so we go directly to a mirror and avoid hitting the Arch
Linux website.

Merge pull request #4092 from DaanDeMeyer/kmod

kmod: Stop retrieving dependency info of all modules

kmod: Reorder ko extension list

It's unsure whether python uses a hash based lookup for this or not,
so let's list the most commonly expected extensions first. Kernel
modules tend to be compressed these days, so those are the ones we
list first, with preference to zstd and xz.

kmod: Use same ko glob everywhere

kmod: Stop retrieving dependency info of all modules

Instead of running modinfo once to retrieve the dependency information
of all modules, let's only retrieve the dependency information of the
modules that are to be included in the image and their transitive
dependencies. This means we have to run modinfo multiple times, but with
far fewer modules than before. This ends up being faster than retrieving
the dependency information of all modules, especially after the optimization
from e276dac87a530efac4376a5059b980f2d43460f5.

For the mkosi default image build on Arch Linux this reduces the time for
calculating the required kernel modules and firmware on my laptop from 5s
to 0.5s.

Co-Authored-By: Laurence Kiln <246209442+LaurenceKiln@users.noreply.github.com>

kmod: Use Sequence instead of Reversible/Iterable

We generally use Sequence everywhere else as well and there's no good
reason to use Reversible/Iterable here, so let's switch to Sequence.

kmod: Streamline step logging

Let's track the full runtime of filter_kernel_modules(), filter_firmware()
and resolve_module_dependencies().

Merge pull request #4091 from p5/dev/p5/reproducibility-updates

Fix reproducibility for microcode initrd and gzip compression

kmod: Move modinfo output parsing into modinfo()

compressor_command: Use gzip -n for reproducible output

The gzip format includes an MTIME field in its header that stores the
modification time of the original file. This causes compressed archives
to differ between builds even when the uncompressed content is identical.

Add the --no-name flag to gzip which suppresses storing the original
filename and timestamp, making gzip output reproducible.

Signed-off-by: Robert Sturla <rsturla@redhat.com>

build_microcode_initrd: Normalize timestamps for reproducible builds

When building the microcode initrd, files are created in a temporary
directory with current timestamps. These timestamps are then embedded
in the CPIO archive, causing non-reproducible builds even when
SourceDateEpoch is set.

Fix this by normalizing the modification times of all files in the
microcode root directory to source_date_epoch before creating the
CPIO archive.

Signed-off-by: Robert Sturla <rsturla@redhat.com>

Merge pull request #4090 from DaanDeMeyer/proc

sandbox: Drop --proc

Fix --debug-shell

While we're at it, let's save ourselves from having to reason about
Python's capture rules for nested functions by moving _preexec() out
of spawn() and passing in arguments via functools.partial().

sandbox: Drop --proc

This is trivially replaced with --bind /proc $DST, so let's drop the
separate option. Maybe in the future we'll add --proc back but have it
actually mount a new procfs instance.