mkosi-tools: Drop systemd-boot-efi package

There's no need to install systemd-boot, systemd-stub, ... in the
tools tree as these are picked up from inside the image so let's stop
installing systemd-boot-efi in the tools tree.

Follow up for 9a0d8a8906695a35011ecfd81b36fe82c1577488

Add debug logging for version reported by systemd tools

mkosi-tools: move systemd-boot package to conf file matching older releases

Since debian 13/ubuntu 25.04 the tools needed at build time
(bootctl) are in the systemd-boot-tools package, so there's
no need to pull in the systemd-boot package in the tools image,
since it is an integration point that sets up the local ESP and
so on

README: clarify that companion tools can also be enabled from the git repo

Drop microsecond resolution for datetime.now()

The RPM INSTALLTIME attribute is an integer represetantion of the
installation time of the package, and datetime.now is a date
representation of a float timestamp.  This can produce some rounding
errors is powerful build servers.

For example, if the variable `_init_timestamp` has a value XXXXX.1 but
in the same sub-second the package gets installed, the registered
installation time will be the integer representation (XXXXX), making the
comparison done for exclusion of the package to be `True`.

This patch will remove the microsecond granularity of the datetime,
converting the timestamp on its integer representation, instead of the
default float one.  The comparison is still done in the datetime data
type.

Signed-off-by: Alberto Planas <aplanas@suse.com>

mkosi-initrd: install raid rule with 70 prefix

This aligns better with other common MD device rules installed from
mdadm/multipath/etc.

Closes: #3836
Signed-off-by: Jake Helmert <jhelmert@pacificbiosciences.com>

ci: give a hint about possible fixes for failing reuse lints

build(deps): bump github/codeql-action from 3.29.2 to 3.29.5

Bumps [github/codeql-action](https://github.com/github/codeql-action) from 3.29.2 to 3.29.5.
- [Release notes](https://github.com/github/codeql-action/releases)
- [Changelog](https://github.com/github/codeql-action/blob/main/CHANGELOG.md)
- [Commits](https://github.com/github/codeql-action/compare/181d5eefc20863364f96762470ba6f862bdef56b...51f77329afa6477de8c49fc9c7046c15b9a4e79d)

---
updated-dependencies:
- dependency-name: github/codeql-action
  dependency-version: 3.29.5
  dependency-type: direct:production
  update-type: version-update:semver-patch
...

Signed-off-by: dependabot[bot] <support@github.com>

mkosi-initrd: move udev rules files for dm and md

10-mkosi-initrd-dm.rules is used not only by LVM, but generic DM
devices. Hence, it must be in the base image.

10-mkosi-initrd-md.rules is used by MD raid, hence it must be in the
raid profile.

Follow-ups for b8bda09866bd64d99157010b4566c9872bb844b6 and
686f57d7f91f1c71bb10a69474e1ca795287bc71.
Fixes https://github.com/systemd/systemd/issues/36162.

mkosi-vm: Drop tpm_tis change

Follow up for 07c24a7d42b20d4fde14e6b0bf4b1d77ac299d13

Setting this for mkosi-vm means only tpm_tis is included and nothing
else is included which is bogus so revert the change.

shim: fix log message of installed binary

Followup to 10e50f8c55a56fc4260e171239b5fbdbde1b433d

mkosi-initrd/vm: ensure TPM2 core modules are installed in the initrd

On arm64 the tpm_tis modules are not built-in, so /dev/tpmrm0 does
not show up in the initrd and it times out, and unlocking using
the tpm doesn't work.
Ensure the modules are included in the initrd if they are not
built in.

Jul 28 23:19:45 localhost systemd[1]: Expecting device dev-tpmrm0.device - /dev/tpmrm0...
Jul 28 23:19:48 localhost (udev-worker)[212]: ctx=0xaaab038cd650 path=/lib/modules/6.12.33+deb13-cloud-arm64/kernel/drivers/char/tpm/tpm_tis_core.ko.xz error=No such file or directory
Jul 28 23:19:49 localhost (udev-worker)[210]: ctx=0xaaab038cd650 path=/lib/modules/6.12.33+deb13-cloud-arm64/kernel/drivers/char/tpm/tpm_tis_core.ko.xz error=No such file or directory
Jul 28 23:21:11 localhost systemd[1]: dev-tpmrm0.device: Job dev-tpmrm0.device/start timed out.

https://oracle.github.io/kconfigs/?config=UTS_RELEASE&config=TCG_TIS&config=TCG_TIS_CORE

FirmwareVariables: allow generating during image build

The build immediately fails if FirmwareVariables=%O/somefile is used, as
the config parser won't be able to find it, so it is not possible to
generate it during the image build itself (e.g: mkosi.postoutput)
in order to add generated keys to MOK. Set required=False.

env: export $EFI_ARCHITECTURE in hook scripts on EFI arches

Saves from having to do the translations manually a bunch of times

mkosi-tools: ukify moved to systemd-ukify in openSUSE

Since https://build.opensuse.org/request/show/1294979

Merge pull request #3826 from bluca/mok_install

shim: ensure binaries do not get installed to ESP with .signed suffix

shim: ensure binaries do not get installed to ESP with .signed suffix

Binaries in the ESP need to be .efi, not .efi.signed,
so truncate the filename if the source has it (like MOK
in Debian).

Fix new linter warning

ensure builds with cache over device boundaries

when running mkosi with the default cache dir/XDG_CACHE_HOME on a
different device than the mkosi working directory, mkosi falls back to
trying to copy the cache using `copy_tree` from tree.py.

the cache contains symlinks which are pointing to files on the host:

e.g. `mkosi.cache/debian...cache/usr/bin/mt -> /etc/alternatives/mt`

`os.listxattr()` defaults to `follow_symlinks=True`, which leads to
`FileNotFoundError`s if the files don't exist on the host, which stops
the build.

this patch ignores symlinks, but feels like a workaround, as our
assumption would be that such absolute links should not be traversed
outside the chroot in the first place.

Co-authored-by: ZauberNerd <zaubernerd@zaubernerd.de>

Change UnifiedKernelImages to enum and accept signed/unsigned

With custom firmware we enroll our keys in db, so local UKIs can be
built and there's no need to fail the build. Many distributions
ship signed bootloaders, but they still don't ship UKIs.
Add an enum and a parser (to keep backward compat), and if set to
unsigned build locally instead of failing when the bootloader is
signed.

Merge pull request #3815 from DaanDeMeyer/man

man: Clarify that apparmor needs resolved path to mkosi

Various man page fixes

mkosi-vm: install systemd-boot-efi-signed where available

Needed for Bootloader=systemd-boot-signed

Merge pull request #3813 from behrmann/ruff2

Change ruff check and ruff format order

ci: switch ruff check output format to github

ci: switch order of ruff check and ruff format

opensuse: Install OpenSUSE-release if another release package is not installed

Fixes #3782

qemu: Disable hpet for x86 VMs

hpet is an emulated clocksource that is generally discouraged in favor
of kvm-clock or tsc for virtual machines. While mkosi's virtual machines
already use kvm-clock, leaving hpet enabled causes qemu on the host to
consume a non-trivial amount of cpu, so let's disable the hpet feature since
we're not making use of it anyway.

mkosi-tools: install systemd-boot-tools for bootctl

Merge pull request #3805 from bluca/arm_ppc

ci: add couple more arm64 builds, add ppc64le builds

ci: add fedora/debian ppc64le build jobs

Lower rate limit, and cannot run integration tests as there's no KVM so
it's too slow, so add just two builds to ensure build regressions
don't happen

ci: add arm64 build jobs to cover fedora/suse/ubuntu as well

Packages are different enough, so cover them all to ensure images
can be built

Merge pull request #3803 from bluca/uefi_fixes

More non-uefi config fixlets

man: remove duplicate 'the' in FirmwareVariables description

Related: #3787

conf: pull in shim-signed only on amd64/arm64 on debian/ubuntu/kali

shim-signed only exists on amd64/arm64, not on other architectures,
not even uefi ones

mkosi-vm: only install systemd-boot on uefi on debian/ubuntu/kali

mkosi-vm: do not install bootloaders on non-UEFI arches

‣ Cannot make image bootable on UEFI on ppc64-le architecture

Can still boot with direct kernel booting on qemu, so disable
for now

Merge pull request #3796 from bluca/arm

Fixes for arm64 images, add CI job

ci: add one arm64 job

ci: do not run integration tests if there's no KVM

Without KVM tests are too slow and timeout after an hour

mkosi-vm: install cloud kernel for debian/arm64 builds

The non-cloud arm64 kernel does not enable some configs
that are needed for the qemu runs, like generic TPM support

qemu: fix booting aarch64 with TPM2

EDK2 nowadays does provide secureboot for arm. Not only that, TPM2 support is
only enabled in builds that enable secure boot, probably because it's all
part of the TCG modules.

Default to uefi_secure_boot on arm too, like x86.

Also do not pass qemu x86-only configuration options that break booting
arm.

qemu: do not pass -cpu max,pcid=off unless it's for x86_64

qemu-system-aarch64: can't apply global max-arm-cpu.pcid=off: Property 'max-arm-cpu.pcid' not found

Merge pull request #3766 from aafeijoo-suse/initrd-profiles-network-nfs

Add "nfs" (and "network") initrd profiles

Add "nfs" initrd profile

nfs-utils-2.8.4 will provide its own nfsroot-generator [1] to allow mounting the
real rootfs via NFSv4, so this initrd profile will enable this feature.

[1] http://git.linux-nfs.org/?p=steved/nfs-utils.git;a=commit;h=ed86ea08dadafbac948c6a45629a6f3282a77233

Add "network" initrd profile

This profile provides networking in the initrd using systemd-networkd.

mkosi-initrd: install procps

This package contains some useful system utilities: sysctl, pidof, free, top...

mkosi-tools: make sure p11-kit dir exists when configuring module

Fixes this failure, since I guess the dir may not exist:

‣  Running prepare script /tmp/tmphh1uwz2a/resources/mkosi-tools/mkosi.prepare…
/work/prepare: line 4: /buildroot/usr/share/p11-kit/modules/opensc.module: No such file or directory

mkosi-tools: Explicitly install p11-kit

Merge pull request #3797 from DaanDeMeyer/remove-packages-optimization

Do not try to install packages that are listed in RemovePackages=

This allows using RemovePackages= in mkosi.local.conf to prevent
certain packages listed in the regular configuration from being
installed in the first place.

We also add RemovePackages= to the cache manifest because it now
affects the cached images.

pacman: Don't fail if packages to remove aren't installed

We already do this for other package managers, let's do it for pacman
as well.

Merge pull request #3793 from bluca/ppc_s390_build

Make ppc64le/s390x buildable

opensuse: pull in grep/gzip/xz explicitly to avoid busybox in main image

Problem: 1: the installed busybox-xz-1.37.0-34.1.noarch conflicts with 'xz' provided by the to be installed xz-5.8.1-1.1.aarch64
 Solution 1: deinstallation of busybox-xz-1.37.0-34.1.noarch
 Solution 2: do not install xz-5.8.1-1.1.aarch64

gha: do not fail if kvm/vhost are not available

On ppc64le/s390x runners there's no kvm/vhost

Move efi-specific packages to efi-specific config files

opensuse: add ppc64le/s390x definitions

The repository URLs are a bit weird and do not match 1:1 with architecture
names

Support matching against architectures with uefi support

Rename sandbox verb to box

It's both shorter, and doesn't give the wrong impression that this
is about security sandboxing, so let's rename the sandbox name to
just box. Keep the old name as well of course for compat.

Fix /var/tmp directory cleanup

Currently, if /work does not exist, we go into the exception handler which
doesn't do anything if the errno is ENOENT, even though we still need to
remove the parent directory.

build(deps): bump github/codeql-action from 3.28.18 to 3.29.2

Bumps [github/codeql-action](https://github.com/github/codeql-action) from 3.28.18 to 3.29.2.
- [Release notes](https://github.com/github/codeql-action/releases)
- [Changelog](https://github.com/github/codeql-action/blob/main/CHANGELOG.md)
- [Commits](https://github.com/github/codeql-action/compare/ff0a06e83cb2de871e5a09832bc6a81e7276941f...181d5eefc20863364f96762470ba6f862bdef56b)

---
updated-dependencies:
- dependency-name: github/codeql-action
  dependency-version: 3.29.2
  dependency-type: direct:production
  update-type: version-update:semver-minor
...

Signed-off-by: dependabot[bot] <support@github.com>

Merge pull request #3788 from DaanDeMeyer/opensc

tests: Skip test_tools() when in sandbox

If we're running inside mkosi sandbox, we don't parse the default
tools tree configuration, which this test depends on, so skip it
when running in the sandbox.

Revert "Make user provided command line take preference over roothash="

This reverts commit 5a15c7d31d097a11f83cfae664b0b7bb40100fc3.

mkosi-tools: Make sure opensc module is registered with p11-kit

Otherwise openssl will fail to load keys off a yubikey when using
pkcs11-provider. For more discussion and why this isn't the default
everywhere, see https://gitlab.archlinux.org/archlinux/packaging/packages/opensc/-/issues/2.

resources: Make sure scripts are made executable in as_file()

We don't have access to permissions from the Traversables so we check
for a shebang in each file instead.

as_file() backport improvements

- Simplify
- Fully type
- Move to mkosi.resources

We're going to extend it in the next commit, so no point in keeping
it the same as upstream anymore.

Merge pull request #3783 from DaanDeMeyer/syntax-warning

Three fixes

Make /etc/machine-id from host available in relaxed sandbox as well

Make sure various host files are added to every relaxed sandbox

Let's not just make these available to mkosi sandbox, but to every
other relaxed sandbox we set up as well.

sandbox: Work around extra file descriptor opened by importing ctypes since python 3.14

Since python 3.14, importing ctypes opens an extra file descriptor which is used to allocate libffi
closures which are in turn used by ctypes to pass python functions as C callback function pointers. We
don't use this functionality, yet the file descriptor is still opened and messes with the file descriptor
packing logic since the file descriptor to libffi will be passed as a packed file descriptor to the
executable we're invoking. To avoid that from happening, we close libffi's file descriptor after importing
ctypes.

See https://github.com/python/cpython/issues/135893.

sandbox: Fix typo

Merge pull request #3780 from bluca/defer_compress

Fix combining compression and skipping partitions (for signing)

mkosi-obs: support splitting out and compressing partitions

Need to recompress the verity-sig partition after creating it,
and deleting the non-compressed split out partitions that are
already present as compressed but that sd-repart re-creates
when doing the signature attach operation.

compress: do not attempt to compress skipped partitions

When doing offline verity signing, split partitions and compression are
enabled, we attempt to compress a non-existing partition (verity-sig)
which will be created only later.
Do not attempt to compress partitions that are marked to be skipped by
repart.

Do not use return in finally

This triggers a syntax warning on recent versions of python.

Ensure directories exist before running sync scripts

run_sync_scripts() assumes the workspace directory exists but we only
create it later on at the moment. Let's create directories before running
sync scripts to fix this issue.

Replaces #3776

Merge pull request #3749 from DaanDeMeyer/tools-etc

Bind mount /etc from tools tree into relaxed sandbox

mkosi-obs: also allow enrolling additional certs in KEK

Same as db, useful to be able to get DBX updates

initrd: Copy /etc/pki/rpm-gpg into sandbox tree

Repos from /etc/yum.repos.d might be signed by keys from /etc/pki/rpm-gpg
so make sure we copy those into the sandbox tree as well.

Fixes #3767

Bind mount /etc from tools tree into relaxed sandbox

Config from /etc often references stuff in /usr. Two examples I've
encountered are shell config from /etc/profile and dnf5 blowing up
when there's plugin configuration in /etc without the corresponding
plugin being installed.

To work around such issues, let's use /etc from the tools tree in the
relaxed sandbox instead of /etc from the host. This also saves the user
from having to create directories in their host's /etc to be able to use
mkosi sandbox.

Partially revert "resources: add systemd-boot-efi"

systemd-boot-efi is only available for EFI architectures, but
we use mkosi to do the integration tests on all architectures,
so this commit breaks them:

5044s E: Package 'systemd-boot-efi' has no installation candidate

https://autopkgtest.ubuntu.com/results/autopkgtest-noble-upstream-systemd-ci-systemd-ci/noble/s390x/s/systemd-upstream/20250608_124726_4f883@/log.gz

This package should not be included in the initrd anyway, it's
only needed at build time, not inside the initrd

This reverts commit 9a0d8a8906695a35011ecfd81b36fe82c1577488.

test: Make sure lvm doesn't try to modify /etc

Check that keys are both in context.cli and history

Otherwise we'll get a KeyError trying to access a key in the history
dict that isn't there.

Fixes #3747.

fix: Remove `erofs-utils` from initrd

No longer necessary, since fsck is no longer invoked by systemd for
read-only filesystems. This fixes a bug causing the initrd stage
of Ubuntu images to fail.

Merge pull request #3759 from behrmann/cidebug

mkosi-initrd: Add atkbd and i8042 modules to the default initrd modules

Required to get my laptop keyboard working in an initrd with just
the default modules.

Generate initrds outside of umask context manager

ci: Drop differential shellcheck

We already run shellcheck on all scripts as part of the main CI job,
so we don't really get any benefit of a differential shellcheck as all
our code is already checked by shellcheck so let's just drop it.

build(deps): bump github/codeql-action from 3.28.16 to 3.28.18

Bumps [github/codeql-action](https://github.com/github/codeql-action) from 3.28.16 to 3.28.18.
- [Release notes](https://github.com/github/codeql-action/releases)
- [Changelog](https://github.com/github/codeql-action/blob/main/CHANGELOG.md)
- [Commits](https://github.com/github/codeql-action/compare/28deaeda66b76a05916b6923827895f2b14ab387...ff0a06e83cb2de871e5a09832bc6a81e7276941f)

---
updated-dependencies:
- dependency-name: github/codeql-action
  dependency-version: 3.28.18
  dependency-type: direct:production
  update-type: version-update:semver-patch
...

Signed-off-by: dependabot[bot] <support@github.com>

Revert to btrfs for fedora and openuse

This was accidentaly committed.

resources: add systemd-boot-efi

Since
https://salsa.debian.org/systemd-team/systemd/-/commit/a4bdf87f03e06fe687f0bf7596af31d0f2ac80b1
systemd-boot is not pulled in automatically by systemd-boot anymore

Merge pull request #3750 from DaanDeMeyer/tools-tree-profiles

mkosi-tools: Introduce debug and gui profiles to reduce the number of packages installed by default

mkosi-tools: Install udev in opensuse tools trees

Ships bootctl these days.

mkosi-tools: Switch to dnf5 on Arch Linux

mkosi-tools: Remove unnecessary directory

mkosi-tools: Introduce debug profile and move perf to it

perf pulls in a ton of dependencies (> 100 extra packages on Fedora).
Let's introduce a separate debug profile and move perf to it to avoid
everyone having to pull in all these packages for a tool they most likely
won't use.

Add gdb as well while we're at it.

mkosi-tools: Add new gui profile

Let's not install all the tools required to run with a gui by default
into the tools tree, as this is more of a niche use case.

ci: Use ext4 temporarily

The commit causing https://lore.kernel.org/linux-fsdevel/20250115185608.GA2223535@zen.localdomain/T/#u
got backported to the ubuntu stable kernel. While it has been reverted
upstream, the revert still hasn't reached the ubuntu stable kernel,
so let's use ext4 temporarily until that's the case.