machined: also track 'supervisor' process of a machine

So far, machined strictly tracked the "leader" process of a machine,
i.e. the topmost process that is actually the payload of the machine.
Its runtime also defines the runtime of the machine, and we can directly
interact with it if we need to, for example for containers to join the
namespaces, or kill it.

Let's optionally also track the "supervisor" process of a machine, i.e.
the host process that manages the payload if there is one. This is
generally useful info, but in particular is useful because we might need
to communicate with it to shutdown a machine without cooperation of the
payload. Traditionally we did this by simply stopping the unit of the
machine, but this is not doable now that the host machined can be used
to track per-user machines.

In the long run we probably want a more bespoke protocol between
machined and supervisors (so that we can execute other commands too,
such as request cooperative reboots/shutdowns), but that's for later.

Some environments call the concept "monitor" rather than "supervisor" or
use some other term. I stuck to "supervisor" because nspawn uses this,
and ultimately one name is as good as another.

And of course, in other implementations of VM managers of containers
there might not be a single process tracking each VM/container. Because
of this, the concept of a supervisor is optional.

machined: use different polkit actions for registering and creating a machine

The difference between these two operations are large: one is relatively
superficial: for "registration" all resources remain associated with the
invoking user, only the cgroup is reported to machined which then keeps
track of the machine, too. OTOH "creation" a scope is allocated in
system context, hence the invoked code will be owned by the system, and
its resource usage charged against the system.

Hence, use two distinct polkit actions for this, so that we can relax
access to registration, but keep access to creation tough.

machined: track UID owner of machines

Now that unpriv clients can register machines, let's register their UID
too. This allows us to do two things:

1. make sure the scope delegation is assigned to the right UID (so that
   the unpriv user can actually create cgroups below the delegated
   scope)

2. permit certain types of access (i.e. killing, or pty access) to the
   client without auth if it owns the machine.

machined: optionally track machines in cgroup subgroups

cgroup-util: add cg_path_get_unit_full() helper and related calls

This helper returns not only the unit a cgroup belongs to, but also the
cgroup sub-path beyond it.

uki.conf is used by the ukify tool to create an Unified Kernel Image. It
would make sense to install it only if ukify is wanted.

test: Fix --capability=CAP_BPF condition

We also run in a VM if we're not running as root, yet we weren't
checking this when deciding whether to pass --capability=CAP_BPF or
not. Let's fix that.

Follow up for 9554ac305239c7baea02d112d2da72b7a97fce41

network: clean up link_may_have_ipv6ll() and allow to run RADV on Tun interface (#38175)

Closes #38170.

core: leave comments in varlink-unit.c and varlink-cgroup.c about runtime/context split

core: move Slice from runtime to context in io.systemd.Unit.List

core: move DebugInvocation from runtime to context in io.systemd.Unit.List

test: drop unnecessary line continuation

udevadm: fix memleak

Fixes a bug in a4a6e216739506153df88cbc8ac078cba4591e5f.

Fixes the following memleak:
```
$ sudo valgrind --leak-check=full build/udevadm cat /usr/lib/udev/rules.d
==3975939==
==3975939== HEAP SUMMARY:
==3975939==     in use at exit: 640 bytes in 1 blocks
==3975939==   total heap usage: 7,657 allocs, 7,656 frees, 964,328 bytes allocated
==3975939==
==3975939== 640 bytes in 1 blocks are definitely lost in loss record 1 of 1
==3975939==    at 0x4841866: malloc (vg_replace_malloc.c:446)
==3975939==    by 0x4ACA71F: malloc_multiply (alloc-util.h:92)
==3975939==    by 0x4ACF988: _hashmap_dump_entries_sorted (hashmap.c:2167)
==3975939==    by 0x4ACFC76: _hashmap_dump_sorted (hashmap.c:2209)
==3975939==    by 0x4AA60A4: hashmap_dump_sorted (hashmap.h:311)
==3975939==    by 0x4AA9077: dump_files (conf-files.c:397)
==3975939==    by 0x4AAA14E: conf_files_list_strv_full (conf-files.c:596)
==3975939==    by 0x42426A: search_rules_file (udevadm-util.c:301)
==3975939==    by 0x424768: search_rules_files (udevadm-util.c:334)
==3975939==    by 0x41287D: cat_main (udevadm-cat.c:110)
==3975939==    by 0x4A7B911: dispatch_verb (verbs.c:139)
==3975939==    by 0x427272: udevadm_main (udevadm.c:121)
==3975939==
==3975939== LEAK SUMMARY:
==3975939==    definitely lost: 640 bytes in 1 blocks
==3975939==    indirectly lost: 0 bytes in 0 blocks
==3975939==      possibly lost: 0 bytes in 0 blocks
==3975939==    still reachable: 0 bytes in 0 blocks
==3975939==         suppressed: 0 bytes in 0 blocks
==3975939==
==3975939== For lists of detected and suppressed errors, rerun with: -s
==3975939== ERROR SUMMARY: 1 errors from 1 contexts (suppressed: 0 from 0)
```

man: fix version info tag

Follow-up for 63770fa1d3eb0c8a367d0ffab73772e3c96a509f.

network/radv: allow to send Router Advertisement from e.g. Tun interface

Sending router advertisement requires an IPv6LL address and
IFF_MULTICAST flag. The length of the hardware address is irrelevant.

Closes #38170.

network: split link_may_have_ipv6ll() into two

This renames and splits link_may_have_ipv6ll() into
link_ipv6ll_enabled_harder() and link_multicast_enabled(),
as they are completely irrelevant to each other.

Also, this makes link_ipv6ll_enabled_harder() work non-Wireguard
interfaces.

Include more headers explicitly (#38169)

Similar to the recent change like
4f18ff2e29b8054f30b084abcabf5f689f4b340b.

sysext: Support global sysext/confext

Load global sysext/confext from /.extra/global_{sysext,confext} which
systemd-stub puts there from ESP/loader/credentials/*.{sysext,confext}.raw.
Global extensions are handled the exact same way as per-UKI ones.

stub: Support global sysext/confext

Systemd-stub support loading addons, credentials, system and configuration
extensions from ESP and while addons and credentials can be both global and
per-UKI, sysext/confext are only per-UKI.

Add support for loading ESP/loader/credentials/*.{sysext,confext}.raw to
systemd-stub.

Note: for backwards compatibility reasons, per-UKI sysexts can also be
*.raw (not only *.sysext.raw) but as global extensions are new, there's
no need to bring this legacy there.

detect-virt: add bare-metal support for GCE

Google Compute Engine are not only virtual but can be also physical
machines. Therefore checking only the dmi is not enough to detect if it
is a virtual machine. Therefore systemd-detect-virt return "google"
instead of "none" in c3-highcpu-metal machine.
SMBIOS will not help us to make the difference as for EC2 machines.
However, GCE use KVM hypervisor for these VM, we can use this
information to detect virtualization. [0]

Issue and changes has been tested on SUSE SLE-15-SP7 images with
systemd-254 for both GCE, bare-metal and VM.

[0] -
https://cloud.google.com/blog/products/gcp/7-ways-we-harden-our-kvm-hypervisor-at-google-cloud-security-in-plaintext

kernel-install: several follow-ups for --entry-type= (#38160)

Follow-ups for b6d499768394297b1d313cdc72dab0720dc315f6 (#37897).

systemd-run: add --no-pager, use pager for --help

NEWS: clean up uses of backticks

Backticks are good in markdown files, where they signify text to be rendered
with a mono-space font. But our text files doesn't use markdown, and backticks
are just a particularly bad type of quote (ugly, assymetrical, with a special
significance in shell context). Update older NEWS entries to not use them.

NEWS: adjust whitespace and texts for v258

mkosi: Two fixlets for CentOS (#38165)

basic: rename cap-list.c -> capability-list.c

This also renames relevant files in the same way.

Addresses https://github.com/systemd/systemd/pull/37904#discussion_r2191950396

man/kernel-install: mention --entry-type= option in the man page

Follow-up for b6d499768394297b1d313cdc72dab0720dc315f6.

kernel-install: regroup options in help meesage

And slightly updates the description.

Follow-up for b6d499768394297b1d313cdc72dab0720dc315f6.

kernel-install: do not mix || and &&

This also slightly updates log message, and make it shown only when
verbose mode is enabled.

Follow-up for b6d499768394297b1d313cdc72dab0720dc315f6.

tree-wide: include asm/sgidefs.h to make _MIPS_SIM_ABI32 and friends defined

The header provides _MIPS_SIM_ABI32 and friends. Glibc indirectly includes
the header through sys/syscall.h or unistd.h, but let's explicitly include
the header where we use _MIPS_SIM_ABI32 and friends.

quota-util: explicitly include linux/quota.h

The header linux/quota.h provides e.g. QIF_DQBLKSIZE or PRJQUOTA, which
is used where the quota-util.h is included.
Let's explicitly include the header with 'IWYU pragma: export' tag.

sd-device: trivial cleanups (#38162)

mkosi: Fix installation conditions for rpmautospec-rpm-macros

rpmautospec-rpm-macros is only in EPEL 9 so let's gate it properly
on that by splitting up the epel packages config file into two.

erofs-utils is in EPEL 9 and in CentOS Stream 10.

pidref: add pidref_set_pid_and_pidfd_id()

This new helper takes both a PID and and a pidfd ID, and initializes a
PidRef from it. It ensures they actually belong together and returns an
error if not.

Several follow-ups for recent SELinux changes (#38161)

network/bridge-vlan: allow to configure bridge vlan on stacked bridge master interface

Fixes #38157.

mkosi: Drop epel-next repository for CentOS

It does not exist for CentOS Stream 10, it's only relevant for CentOS
Stream 9 in some corner cases which don't apply to us, so let's not enable
it to avoid complexity instead of only enabling it for CentOS Stream 9.

Follow up for 3800adc9e5e067e3869d95c75733368e11f4570a

Cleanups for missing_xyz.h headers (#37904)

Continuation of #37960.

The same concern as expalined in #37960 exists also in
missing_syscall.h. If we use enough new glibc, a function we want to use
may be already provided by glibc, but our baseline glibc may not. And it
is hard to detect in our daily development.

This moves all prototypes of syscalls to relevant headers, and missing
syscall functions are defined in relevant .c files of libc wrapper. This
way, we can use usual header as is, e.g. when we want to write code with
`move_mount()`, we can simply use sys/mount.h without checking if it is
supported by our baseline glibc.

journal: fix typo

Follow-up for df5b3426f60bb626f46f93fbdacecae274c1645b.

man: fix typo

Follow-up for 7aefb194e754cae9c166539a103e9fd6b7e59798.

conf-files: make conf-file enumerators provide more detailed information of enumerated files (#38006)

This introduces `struct ConfFile` that stores detailed information of an
enumerated file, and introduces `conf_files_list_full()` and friends
that provide results in `ConfFile`.
Then make udev, hwdb, catalog, and cat-files use the new function and
struct to make them not read files outside of specified root directory.

raw-clone: move definition to .c file

Then, we can decrease the number of headers to be indirectly included
by including raw-clone.h. No functional change.

reboot-util: merge with raw-reboot.h

The header raw-reboot.h is only used with reboot-util. Let's merge them.

docs: mention src/include/ directories

include: use unit8_t for uuid

To emphasize it is an array of bytes.
This also align variables.
No functional changes. Just refactoring.

include: move trivial kernel header wrappers to src/include/override/

libc-wrapper: introduce a tiny libc wrapper

Then, move syscall definitions to the wrapper, and prototypes are moved
to relevant headers.

This also adds checks for add_key() and request_key(), as one day
glibc may be going to add some of them separatedly.

The check for fspick in meson.build is dropped, as it is currently
unused in our code.

This also moves
- basic/missing_bpf.h -> include/override/linux/bpf.h,
- basic/missing_keyctl.h -> include/override/linux/keyctl.h.

basic: move basic/missing_syscall_defs.h -> include/override/sys/syscall.h

This also moves syscall tables and generators to the same directory.

Note, inclusion of asm/sgidefs.h is dropped, as it is already included
by unistd.h and sys/syscall.h.

tree-wide: several cleanups for generating symbol lists and gperf files

- pass our system include directories to make generators use our libc
  wrappers and latest kernel headers,
- include relevant headers in generated gperf file,
- use files() rather than find_program(), as the result of
  find_program() cannot be passed to 'input' of custom_target(),
- move generate-bpf-delegate-configs.py to src/core/, as it is only used
  by libcore.

include: move libc header wrappers to src/include/override/, and kernel headers to src/include/uapi/

Preparation for later changes.

mkosi: various improvements (#38156)

sd-device: replace 'type *func()' -> 'type* func()'

sd-device: do not set errno needlessly

core/selinux-access: insert an empty line after function arguments

Follow-ups for fe3f2ac0734e64dcd729b00992a6261cbf4cc846 and
e3fef210c8903a9a3871ea5ba9b558b6cdbabea3.

selinux-util: downgrade log level to LOG_DEBUG when error code is zero

Previously, the logger is only used in error paths, but since
fe3f2ac0734e64dcd729b00992a6261cbf4cc846, the logger is also used in a
success path. Let's not log loudly on success.

This also drops unused log_selinux_enforcing().

catalog: do not read catalog files outside of specified root directory

hwdb-util: do not read hwdb files outside of specified root directory

hwdb-util: coding style update

- use 'r' for storing results,
- use RET_GATHER().

udev-rules: do not read udev rules files outside of specified root directory

TEST-17-UDEV: conditionalize test cases for testuser

Then, we can also run the test script in our local machine.

udevadm: do not read udev rules files outside of the specified root directory

With this change, an invalid symlink and an empty file is silently
ignored. Hence, the test code is slightly updated.

pretty-print: make conf_files_cat() not show files outside of the specified root.

Then, make the function show the original and resolved path if they are
different.

With this change, procfs needs to be mounted on /proc/, hence the test
code is slightly updated.

pretty-print: several cleanups for cat_files()

- drop redundant error messages in cat_files(), as cat_file() internally
  logs errors,
- show an empty line and filename before opening file, to make not mix
  any error messages with the previous file,
- drop unnecessary fflush(),
- use RET_GATHER() and continue to show files even if some files cannot
  be shown.

conf-files: introduce conf_files_list_full() and friends that provides results in ConfFile

conf-files: make conf_files_list() and friends internally use struct ConfFile

No functional change, just refactoring.

conf-files: introduce struct ConfFile to store information of found conf file

It is currently unused, will be used later. Preparation for later changes.

chase: allow to request O_PATH fd even with CHASE_NONEXISTENT

test-cgroup: Ignore ENOENT from cg_create(); test-cgroup-util: Ignore ENXIO in one more place (#38158)

This was the only test failure building systemd-252-51.el9 in a
container, also previously reported against 252-rc1 under Gentoo in
#25015

This is a forward-port of the patch we actually started using for CIQ's
builds of the EL9-derived package, which was:

```diff
--- systemd-252/src/test/test-cgroup.c 2022-10-31 18:59:18.000000000 +0000
+++ systemd-252-test/src/test/test-cgroup.c 2025-07-10 00:47:07.541000000 +0000
@@ -62,7 +62,7 @@
         log_info("Paths for test:\n%s\n%s", test_a, test_b);

         r = cg_create(SYSTEMD_CGROUP_CONTROLLER, test_a);
-        if (IN_SET(r, -EPERM, -EACCES, -EROFS)) {
+        if (IN_SET(r, -EPERM, -EACCES, -EROFS, -ENOENT)) {
                 log_info_errno(r, "Skipping %s: %m", __func__);
                 return;
         }
```

I confirmed that the `ERRNO_IS_NEG_FS_WRITE_REFUSED` macro is equivalent
to checking the first 3 error codes above, so the addition of the check
for `ENOENT` is still just as relevant as it was in 252, but adding it
into the macro would be inconsistent with its name, description, and
possible other uses. Hence, in this PR I'm adding the extra check into
the `if`.

journalctl: do not fail on SIGTERM/SIGINT or STDOUT disconnect when running with --follow (#38116)

Closes #38114.

io.systemd.Manager.Describe fix context/runtime split (#38135)

This PR rearranges fields in io.systemd.Manager.Describe according to
the guidance by Lennart:

> If a property can be set in a unit file, ever, then it belongs in context.
> Otherwise, it belongs to runtime.

Closes #38124.

Plumbing to perform SELinux checks in varlink API (#38146)

This PR does minimal changes to introduce varlink support. Ideally, the
code should switch to using `mac_selinux_get_our_label()` and new
`mac_selinux_get_peer_label()`. But I leave it for now to minimize
breakage. `mac_selinux_get_peer_label()` remains unused.

This is a prep step to merge
https://github.com/systemd/systemd/pull/38032

test-cgroup-util: Ignore ENXIO in one more place

NEWS: mention about the exit code change in journalctl --follow

test: drop unnecessary disablement of pipefail

main-func: drop unused DEFINE_MAIN_FUNCTION_WITH_POSITIVE_SIGNAL()

journalctl: do not fail on SIGTERM/SIGINT, or when STDOUT is disconnected

The current behavior is not useful when e.g. pipefail is enabled.
Let's exit cleanly in such cases.

Closes #38114.

test-cgroup: Ignore ENOENT from cg_create()

which was the only test failure building systemd-252-51.el9 in a
container, also previously reported against 252-rc1 under Gentoo
in #25015

man/systemd.exec: explain how BPF token works

Add a small paragraph explaining how BPF token works, how it's being
created and its relationship between the BPF filesystem.
Move all the relevant documentation in the PrivateBPF= section and let
point all the BPFDelegate* options to that one.

journald: support reloading configuration at runtime

Introduce ERRNO_IS_FS_WRITE_REFUSED(), and use it in binfmt_mounted() (#38117)

- This introduces ERRNO_IS_FS_WRITE_REFUSED(), and apply it where
usable.
- This makes unexpected errors in access_fd() called by binfmt_mounted()
propagated to the caller.
- Renames binfmt_mounted() to binfmt_mounted_and_writable(), as it also
checks the fs is writable.
- Voidifies one disable_binfmt() call in shutdown.c.

userdb: Add userdb.transient credentials

To implement --bind-user in systemd-vmspawn, we need a transient
version of these credentials. These are useful when the home directory
of the user is mounted into the container/vm and every trace of the user
will be (mostly) gone again when the container/vm is shut down.

selinux: mac_selinux_unit_access_check_varlink macros

selinux: mac_selinux_access_check_varlink_internal()

selinux: check_access()

core: leave a comment about context/runtime split

core: move ControlGroup move runtime to context

core: move ConfirmSpawn from runtime to context

core: move ShowStatus/Log* from runtime to context

core: move WatchdogDevice from runtime to context

core: move RuntimeWatchdog* + RebootWatchdog + KExecWatchdog from runtime to spec

core: fix double Environment present in both context and runtime

core: move Version/Arch/Features/Taints/UnitPath from context to runtime

selinux: get_our_contexts()

selinux: rename mac_selinux_access_check_internal() -> mac_selinux_access_check_bus_internal()

selinux-utils: rename and expose log_selinux_enforcing_errno()

selinux-util: mac_selinux_get_peer_label()

ruff: Default to python 3.7 version

For some use cases we still want python 3.7 compat so let's default
to that and only target python 3.9 in a few specific cases.

Add --entry-type=type1|type2 option to kernel-install.

Both kernel-core and kernel-uki-virt call kernel-install upon removal. Need an additional argument to avoid complete removal for both traditional kernel and UKI.

Signed-off-by: Li Tian <litian@redhat.com>

tree-wide: Use "mkosi box" instead of "mkosi sandbox"

The box verb was added as a synonym for sandbox. sandbox still works,
but let's switch to box as it's shorter.

mkosi: Drop unnecessary [Match] sections

These are already satisfied in every path that includes pkgenv.conf.