logs-show: clean up journal_entry_to_json() a bit

* Make sure ret is initialized on success return
* Drop unneeded 'object' variable
* No need to ref/unref json objects when constructing
  intermediary array

units/user/systemd-journalctl.socket: drop MaxConnectionsPerSource=

For AF_UNIX sockets connection sources are accounted for
based on UID, hence in user scope this effectively
limits total number of connections, which is not really
desirable.

units/systemd-journalctl@.service: run with DynamicUser=yes

Follow-up for a109189fabe6a4c307528459f891c2d545361622

This follows the existing practice for
systemd-journal-{upload,gatewayd}.service,
as I think allocating a full-blown user
specifically for this purpose is an overkill.
And with DynamicUser=yes we can also take
advantage of implied sandboxing.

units/systemd-journalctl@.service: require mount for /var/log/journal/

units/systemd-pcrlock.socket: drop [Install] section

The socket is statically enabled.

TODO: drop completed entry

po: Translated using Weblate (German)

Currently translated at 100.0% (264 of 264 strings)

Co-authored-by: Ettore Atalan <atalanttore@googlemail.com>
Translate-URL: https://translate.fedoraproject.org/projects/systemd/main/de/
Translation: systemd/main

po: Translated using Weblate (Hebrew)

Currently translated at 100.0% (264 of 264 strings)

Co-authored-by: Yaron Shahrabani <sh.yaron@gmail.com>
Translate-URL: https://translate.fedoraproject.org/projects/systemd/main/he/
Translation: systemd/main

man/systemd.mstack: use <varname> instead of <variable>

Otherwise, `<variable>location</variable>` is rendered:

```
[2365/2925] Generating man/systemd.mstack.7 with a custom command
Element variable in namespace '' encountered in para, but no template matches.
```

resolved: Add test for ifindex=0 BrowseServices functionality

Add integration tests for the new ifindex=0 support
in BrowseServices that allows browsing all mDNS interfaces.

Integration test (in TEST-89-RESOLVED-MDNS.sh):
- testcase_browse_all_interfaces_ifindex_zero: Test with ifindex=0

Assisted-by: Claude Opus 4.5 (Preview)

resolved: Add ifindex=0 support for BrowseServices to browse all mDNS interfaces

Avahi provides AVAHI_IF_UNSPEC (-1) to browse mDNS services on all
interfaces simultaneously. Currently, systemd-resolved's BrowseServices
varlink API requires a specific interface index and lacks the ability to browse on
all available interfaces.

This change adds support for ifindex = 0 to mean \"browse on all mDNS-enabled
interfaces\" to match the Avahi API.

When ifindex = 0 is specified the browser will now iterate all mDNS scopes
instead of a single interface.

This enables applications to discover services on any network interface
without needing to know the specific interface index in advance.

Assisted-by: Claude Opus 4.6 (Eclipse Theia IDE AI)

resolved: Track per-service item ifindex in DnssdDiscoveredService

The interface where each service was discovered needs to be remembered
so it can be correctly reported when the service is later removed.

Previously, service removal would use sb->ifindex, losing the actual
interface information from the original discovery.

This change:
- Adds an ifindex field to DnssdDiscoveredService struct
- Stores the discovered interface index when adding new services,
  preferring the per-item ifindex from DnsAnswerItem over the service
  browser's ifindex
- Uses the stored ifindex when reporting service removal events

This ensures that service removal notifications include the correct
interface index where the service was originally discovered, matching
the behavior of the corresponding service addition notifications.

Assisted-by: Claude Opus 4.6 (Eclipse Theia IDE AI)

udev/dump: also dump current tags

The "TAG" token in udev rules handles the current tags.
Let's also show the current tags.

sd-device: do not try to remove previous tag indexes

The removed code in device_tag_index() in fact does nothing,
as sd_device.all_tags is never cleared. Moreover, not only the code
is meaningless, but it is theoretically/logically wrong, as the symlinks
in /run/udev/tags/ should be 'sticky', hence we should even not try to
remove them.

sd-device: do not clear sd_device.all_tags even on TAG="hoge"

The current tag concept has been introduced by
e77b146f825ef1bb63c297cc713962b94422d2c6 (v247) to make symlinks in
/run/udev/tags/ are 'sticky'.

However, when TAG= (rather than TAG+=) is specified, then the tags
assigned in the previous events were also cleared.
This fixes the issue and now symlinks in /run/udev/tags/ are really
'sticky'.

Fortunately, TAG= is mostly unused. So, the issue should not affect
and the fix should not change anything on almost all systems.

sd-device: move copy_all_tags() from udev

No functional change, preparation for the next commit.

sd-device: shorten code a bit

journalctl: add new varlink GetEntries endpoint (#40650)

journalctl: add new varlink read service to get entries

We already have some varlink support for the journal to perform
some actions like `Rotate`. It would be nice to be able to query
the journal via varlink too so this commit adds a new varlinkctl
based journal service that exposes a single GetEntries() call
to retrieve journal entries. Basic filtering is supported and
we can expand the API as needed.

This is a separate `io.systemd.JournalControl` [1] service from the
existing `io.systemd.Journald` to decouple read and write (thanks
to Lennart for suggesting this).

This also extracts some shared helper so that we do not duplicate
code when generating the json or when adding the filters.

[1] The name mirrors the bootctl->io.systemd.BootControl naming.

core: validate ref_uid before checking in AttachProcesses method

ref_uid is initialized to invalid, and is only set in some
circumstances. The AttachProcesses will attempt to check it,
and assert that it is valid. Check beforehand.

Reported as YWH-PGM9780-89

Follow-up for 59857b672ca6a3a9253ef9c888172c5e68243160

TODO: dropped todo about journalctl varlink support

journalctl: add new varlink read service to get entries

We already have some varlink support for the journal to perform
some actions like `Rotate`. It would be nice to be able to query
the journal via varlink too so this commit adds a new varlinkctl
based journal service that exposes a single GetEntries() call
to retrieve journal entries. Basic filtering is supported and
we can expand the API as needed.

This is a separate `io.systemd.JournalControl` [1] service from the
existing `io.systemd.Journald` to decouple read and write (thanks
to Lennart for suggesting this).

This also extracts some shared helper so that we do not duplicate
code when generating the json or when adding the filters.

[1] The name mirrors the bootctl->io.systemd.BootControl naming.

parse-argument: make parse_tristate_argument() do something useful (#40652)

Alternative to #37751

vmspawn: clean up OVMF secure boot support check a bit

find_ovmf_config() would do filtering based on arg_secure_boot
already, hence the mismatch can only occur if we're using
user-specified firmware. So be explicit about this in log.

vmspawn: use parse_tristate_argument_with_auto()

parse-argument: make parse_tristate_argument() do something useful

I expressed the issue I have with parse_tristate_argument()
in #37751: it doesn't add any value to direct use of parse_tristate();
on the contrary, it doesn't support means to reset the arg to "auto"/-1 state.
The mere reason it existed is that we need a int type ret param.

Since the previous attempt to address this mess failed, let's
try to make the function more useful by making it accept "auto".
I figure this is useful on its own.

As requested in
https://github.com/systemd/systemd/pull/40652#discussion_r2831833996,
the function name is suffixed with _with_auto() to establish
that "auto" is handled internally.

Add BNCF NewBook 11 ACCEL_MOUNT_MATRIX  to 60-sensor.hwdb

Corrects DE autorotation

Device description: https://www.bncfai.com/product/773/

man/report: fix typo

Follow-up for e83cbc9372e66abacd9a8ecf45e1095010242127.

NEWS: inform about ID_INTEGRATION addition in udev

and ID_INPUT_JOYSTICK_INTEGRATION drop in favor of it.

udev: hwdb: replace ID_INPUT_JOYSTICK_INTEGRATION

Actually ID_INPUT_JOYSTICK_INTEGRATION was never used anywhere, replace
it with ID_INTEGRATION.

Follow up: a4381cae8bfacb1160967ac499c2919da7ff8c2b.

machine: switch CleanPool to SD_VARLINK_REQUIRES_MORE

The CleanPool requires --more to be set and checks that in
`vl_method_clean_pool`. By switching to SD_VARLINK_REQUIRES_MORE
this will automatically be handled and is more clear to
the varlink users.

Based on the comment from Lennart in
https://github.com/systemd/systemd/pull/40650#discussion_r2832378002
and the work done by Mike in 09388a6b9e4 (thanks!).

repart: Report correct current disk size and error (#39813)

mstack: parse --mkdir option

```
systemd-mstack: unrecognized option '--mkdir'
```

Follow-up for 8187cd18d61c9459f2fdb7591c9eb7c73afea24d

po: Translated using Weblate (Greek)

Currently translated at 36.7% (97 of 264 strings)

Co-authored-by: Jim Spentzos <jimspentzos2000@gmail.com>
Translate-URL: https://translate.fedoraproject.org/projects/systemd/main/el/
Translation: systemd/main

repart-varlink: Consider only managed parititions for size errors

Report DiskTooSmall only if partitions managed by repart don't fit the
disk. Because if the disk is already full with forigin partitions we
would always report DiskTooSmall instead of InsufficentFreeSpace.

repart-varlink: Calculate the size of foreign partitions

To decide whether the disk is to small or has insufficient free space we
need to know how much of the disk is filled with foreign partitions.
The calculated size is used in a future commit.

repart: Sum partitions size to get current disk size instead of using total size

When working on disks the disk may have a total size bigger then the
actual allocated size, therefore sum up the current partitions to
calculate the current disk size instead of asuming that the entire disk
is currently allocated.

Several fixlets for issues found by Coverity (#40765)

systemd-report: show some love (#40735)

Various improvements (#40759)

update TODO

report: install systemd-report binary to /usr/lib/systemd/ for now

The tool should not be considered stable, and those things we usually
place in /usr/lib/systemd, and not in $PATH.

We can move that to $PATH once we are confident it's gonna stay the way
it is.

ci: add proper CI test for systemd-report

report: use JSON-SEQ when outputing a series of json objects

We do this in our other tools that output a large number of JSON objects
in a potentially streamable way, hence do so here too.

report: fix log level of connection log messages

Let's also rename the "metric_prefix" to "name", because it's actually
the servce name, and by giving it this generic name we can use it
reasonably in log messages.

report: add --no-legend

Like most of our other tools, add a --no-legend switch.

report: implement filtering for metrics

report: tighten rules on metrics names

Let's stay close to Varlink's naming rules and insist that metrics
prefixes must be valid varlink interface names, and suffixes are valid
varlink field names.

The former rule is clear: because a metric <x>.<y> can only be provided
by a varlink service <x>, it is obvious we should validate them the
same way. Validating the suffix via varlink field rules is not that
obvious, but I think it makes sense to stay close to Varlink naming
rules if we already started out at one place.

report: we don't use inline in .c files, the compiler can figure this out better on its own

report: add -j shortcut

json output is going to be used very frequently, hence provide a
shortcut for it, like many our tools do it.

report: also dump metrics in tabular output

JSON output is great, but let's show the metrics by default in a more
human readable fashion.

report: add 'list-sources' verb for enumerating metrics sources

report: split out service enumeration logic

We want to reuse it later to list all services, hence make it generic.

(Also, allow symlinked services too)

report: switch to "verbs" command line interface, and add 'describe-metrics'

Let's prepare for a future where the "systemd-report" tool can do more
than enumerate metrics: let's introduce our usual "verbs" style
interface.

Let's also add a second command right-away: "describe-metrics" shows the
description of the metrics.

mstack: coding style cleanups

mstack: fix resource leak on failure path

This makes the mstack_load() requires 'ret', as clearing the loaded
mstack without use is meaningless. All callers already pass non-NULL for
the argument.

Follow-up for 8343032a86b62f62780de85a696ab8f9d2632244.
Fixes CID#1645105.

report: adjust indentation to our usual style

report: add comment explaining that metric_startswith_prefix() does a true prefix match

metrics: show metrics 'keys' before 'values'

In a way, metrics are a key-value concept, where the key is a triplet of
metrics family name, object name, and "fields". Let's put them together
in the varlink call, and put the value last, separately from that.

Also, update docs a bit, i.e be explicit about the metrics *family* name
everyhwere.

format-table: add a new JSON cell type

This formats the specified json variant as a string, and displays it in
a cell.

json: add json_variant_compare() helper for comparint two json variants by order

import: fix NULL pointer dereference

Follow-up for a9f6ba04969d6eb2e629e30299fab7538ef42a57.
Fixes CID#1645106.

hwdb: fix typos

uid-range: Handle same userns in uid_range_load_userns_by_fd()

If we're asked to look up our own user namespace mapping, don't go
via fd as trying to setns() to our own user namespace in
userns_enter_and_pin() would fail with EPERM as the kernel doesn't
allow switching to your own userns.

userns-restrict: Remove unused inode argument and rename function

test-userns-restrict: Migrate to new assertion macros

We also inline the test functions so we get proper line information
in the failure coredumps.

ssh-proxy: Support ssh machine/xxx for nspawn containers

hwdb: sensor: hp use board product name as hp-wmi

Doing it made also to include the 14t-fh000, the product name initial
units of the omnibook ultra flip 14 had, this is intended.

Order the entries by product name.

Follow up: fadb0b53f7d8d2d9e9d8dd141bc05de9116b083a.

ci: Simplify musl build setup

No need to setup symlink farms, we can just use the host's /usr/include
now.

meson: Explicitly check for musl for gshadow and nss

This allows building with musl on glibc systems as follows:

env \
    CC=musl-gcc \
    CXX=musl-gcc \
    CFLAGS="-idirafter /usr/include" \
    CXXFLAGS="-idirafter /usr/include" \
        meson setup --auto-features=disabled -Dlibc=musl musl

repart: return 1 from probe_sector_size_prefer_ioctl() on block device success

probe_sector_size() returns 1 when it successfully determines the sector size,
0 when falling back to the default. blockdev_get_sector_size() returns 0 on
success. probe_sector_size_prefer_ioctl() was passing blockdev_get_sector_size()
return value through directly, so caller is checking r > 0 to detect a
successfully probed sector size never saw it for block devices.

In context_load_partition_table(), this caused fs_secsz to stay at 4096 bytes
even on 512-byte sector block devices, making verity hash partition sizes wrong
unless --sector-size=512 was passed explicitly.

Fix by returning 1 on success from the block device path to match probe_sector_size()
convention.

Python modernization followups (#40755)

NEWS: move and extend entry for PTP device permission

Follow-up for 1e6854e112e9723be6108b83f6935ec7e04cea17.

man: fix typo

Follow-up for 6b22ac31afcfab53dc9b51d6b5f7862e52607923.

man: fix typo

Follow-up for eb581ff6d9556d29f1b9b57d6a40c4adefde16a6.

mstack: fix typo

Follow-up for 8343032a86b62f62780de85a696ab8f9d2632244.

import: fix typo

Follow-up for a9f6ba04969d6eb2e629e30299fab7538ef42a57.

TODO: fix typo

Follow-up for 3bbada87e290f3f0c2ca17f4f10396ec037b03c9.

importd: add support for downloading OCI images (#39621)

This adds the ability to download OCI images via importd.

Not a fan of the OCI format tbh, in particular its security properties
are a bit sad. But I guess it exists and is very popular, hence we might
as well add support for it, even if it comes at much weaker security
properties than DDIs.

Fixes #36447

Bring Bash profile for reporting context via Operating System Commands (OSC) into compliance with specifications (#40696)

This script fails to comply with the spec it's designed to implement,
[UAPI.15 OSC 3008: Hierarchical Context
Signalling](https://uapi-group.org/specifications/specs/osc_context/),
and fails the correctly utilize the specs provided by
[POSIX.1-2024](https://pubs.opengroup.org/onlinepubs/9799919799.2024edition/mindex.html)
and [man 1
bash](https://www.man7.org/linux/man-pages//man1/bash.1.html); improve
compliance.

Changes are made in small atomic commits, with more detailed
descriptions of the work done in each message.

elf2efi: modernize typing annotations

We still need Union and Optional as long as compat with Python 3.9
is needed.

elf2efi: make mypy-clean

elf2efi: import whole module, not individual symbols

When reading the code, it was hard to figure out if the given name was
imported or a local class. And the renaming of imports also made it
harder to look things up online. Arguably, the deeply nested import
structure and inconsistent naming in elftools is partially to blame:
there is just no good way to make this look nice. But anyway, let's use
the usual style of importing the module and using names prefixed with
the module path so that the origin of imported names is clear.

elfutils.elf.elffile is importered separately, because a) it needs to be
imported separately anyway bxecause the module does lazy imports
internally, a) the name already indicates the origin, c) is used in
quite a few places so the shorter name is nice.

generate-sym-test: skip everything that is not a file

The generator looks for files in the filesystem, and it sometimes fails
on emacs "lock files" which are a symlink. Ignore those.

metrics: fix casing for metrics names (take 2)

Change the casing for metrics names to mimic properties exposed via
varlink/dbus: Use PascalCase.

machine: Fix cid passed to machine_add_from_params()

The default value is VMADDR_CID_ANY, not zero.

update TODO

ci: drop 'Ex' suffix from transient props

The "Ex" is mostly internal, and our parsers will append it
automatically when needed

ci: add test for OCI downloading

man: document everything we just added

mountpoint-util: fix typo in comment

portable: fix log levels

portable_extract_by_path() and install_image() can't agree whether to be
of the "logging" or "non-logging" kind

discover-image: make sure we can remove mstacks

core: introduce PinnedResource

This introduces PinnedResources as a structure combining pinned
references to a root directory, root image, or root mstack. This is not
only easier to work with, but essential to make certain unpriv things
work, as we need some mechanism to pin resources before we drop into a
userns which might possibly not provide access anymore to those
resources.

Hence this does two things: introduce the new structure, and immediately
hook it up so that we pin things properly before dropping into userns,
and then makes use of this after dropping the right way, and enables
unpriv userns operation.

The concept is generic enough to eventually implement extension images +
mount images with the same structure, but in order to keep the changes
managable this is left for another time.

(This also makes one further clean-up: client-side verity-reuse checks
are moved server side if we are unpriv. Previously we'd do them client
side, but they were doomed to fail because of lack of privs. Hence let's
drop the client side if we are unpriv and purely do them server-side in
that case.)

mountfsd,nsresource: allow recycling mountfsd/nsresourced client connections

So far we opened a new Varlink connection for every mountfsd/nsresourced
method call. Given each tool only does a very small number of calls
(usually 1…5) on them and the connections are cheap this is not too
wasteful. Nonetheless, let's do something about it, and allow reusing
the connection for multiple calls.

This not only makes things a bit more efficient, but has one more
important benefit: Varlink connections pin the security context of the
client when connecting. This means that varlink method calls done with a
connection established while some code was privileged will still operate
as privieged once privs are dropped, until the connection is closed.
This pinning effect is really nice, as it gives us behaviour in a
"capability system" like scheme. Later code is going to use that to
continue doing certain priv userns ops even after unsharing userns and
becoming fully unpriv.

namespace: extend bind mount ignore field to permission issues

A later commit will add transient allocation of user namespaces with
dynamic UID range assignment. That creates certain permission issues.
Let's hence allow them to be handled gracefully in case the 'ignore'
field is set for a mount.

namespace: port mount_private_apivfs() to fsopen() and friends

This is not just refactoring, but has the big benefit that it makes us
indepdendent from a temporary directory we might not have enough access
to create. (This matters with the new PrivateUsers=managed).

private

core: add PrivateUsers=managed

importctl: add 'pull-oci' client API

importd: add bus/varlink api for downloading OCIs