tree-wide: tweaks to mount point inode creation (#36308)

Some love for make_mount_point_inode_from_xyz() and ports PID 1 over to
it for mount units.

Alternative to #36290

repart: add parameter to attach offline verity signature (#36405)

Add --join-signature=hash:sig - when a verity signature partition
has been deferred in a previous run, this allows attaching a signature
that was created offline, for example on a build system like OBS where
the private key is not available to the build process.

Can be specified multiple times, the right partition to act upon will
be selected by matching the data+verity partitions UUIDs with the
provided roothash(es)

repart: add parameter to attach offline verity signatures

Add --join-signature=hash:sig - when a verity signature partition
has been deferred in a previous run, this allows attaching a signature
that was created offline, for example on a build system like OBS where
the private key is not available to the build process.

Can be specified multiple times, the right partition to act upon will
be selected by matching the data+verity partitions UUIDs with the
provided roothash(es)

logind: save seat before applying acl

udev will trigger the uaccess program in 73-seat-late.rules, which
may modify the device's acl permissions. In some cases, udev triggers
the uaccess program when logind is started and active is being set.
At this time, 1) logind sets the user's acl permissions, 2) uaccess
obtains active and sets acl permissions; 3) logind updates seat's
stat_file and writes active. This situation will cause the device to
not have the correct acl permissions, resulting in abnormal situations
such as a black screen. Therefore, it is necessary to write active to
seat's stat file before setting acl.

issue: add trailing empty line

(Make this more alike the version actually shipped in Fedora)

update TODO

mkosi: Update distribution packaging specs for arch, opensuse and fedora (#36428)

github: bump versions in issue forms

mkosi: update fedora commit reference

* 6c7c4a510d Do not use dynamic spec generation for non-upstream builds
* 6201755b36 Allow co-installation of systemd-sysusers-standalone and systemd
* eba1721678 Split out -sysusers and -shared
* ac9c438e27 Use dynamic spec generation for triggers
* 3671a5cc79 Move more auxiliary files into subpackages
* 5c40e08728 Remove patch that is already upstream
* 49ec9f3286 Move some files into subpackages
* 2c0b984bf4 Version 257.3
* d66f997915 Add explicit BR: libxcrypt-devel
* 1ffa7bf7c7 Make Georgian mapping patch downstream-only
* de4ae54a34 Backport PR #36194 to add Georgian mapping to kbd-model-map
* cc9bce7893 Drop override of $PATH in the user manager
* d0973df863 Backport patch to emit audit events from systemd-sysusers
* e54ec2f978 Trim changelog entries that are not relevant to users

obs: trigger systemd-suse instead of systemd-fedora

The suse recipe is the odd one out, so now fedora builds with
arch/debian/ubuntu and suse is in its own package

network: drop old kernel support (#36402)

shell completion: add kernel-identify/inspect verbs for bootctl

Follow-up for a05255981ba5b04f1cf54ea656fbce1dfd9c3a68
Follow-up for 3e0a3a0259324b4c40a9a62c8506fe683cd0273b

update TODO

Journal-remote: modernize source_free() and fix memleak (#36430)

- modernize source_free().
- fix memleak introduced by cfaf78001c3451d549bcb1ee4adca3e85b934e56. Fixes CID#1591182.

terminal-util: fix possible NULL pointer dereference

Fixes a bug introduced by 94a2b1cd25c93870a7a4ac904f6c0f2e4f902038.
Fixes CID#1591787.

nspawn: unconditionally enable FUSE and use FOREACH_ARRAY() (#36407)

- FUSE is unconditionally enabled in the container, as our kernel base
line (v5.4) supports userns-safe FUSE, which is supported since v4.18.
- Create /dev/net/tun only when it is accessible.
- Replaces several loops with FOREACH_ARRAY().

network: fix KeepConfiguration=yes (#36414)

Fixes a regression in dd6d53a8dc58c5e6e310b09ba7f7a22600a87ba9 (v257).
Fixes #36411.

network: doc and code typo fixes (#36422)

This fixes some typos in the documentation, both grammar as well as
incorrect field names.
It also changes the casing of CheckSum to Checksum in L2TP to match
other casings.

journal-remote: fix memleak

Fixes a bug introduced by cfaf78001c3451d549bcb1ee4adca3e85b934e56.
Fixes CID#1591182.

journal-remote: modernize source_free()

- make it return NULL,
- suppress log message about reference counter of writer unless trace
  logging is enabled,
- introduce cleanup function for RemoteSource.

dissect: add helper functions to use VeritySettings in hash/set

nspawn: move the accessibility check for device nodes into copy_devnode_one()

nspawn: drop unused argument for copy_devnode_one()

nspawn: create /dev/net/tun only when it is accessible

Follow-up for 985ea98e7f90c92fcc0b8441fafb190353d2feb8.

When DevicePolicy= is enabled, but DeviceAllow= for /dev/net/tun is not
specified, bind-mounting the device node from the host system is
meaningless, as it cannot be used in the container anyway.

Let's check the device node is accessible before creating or
bind-mounting.

nspawn: enable FUSE unconditionally

FUSE is userns-safe since kernel v4.18 (da315f6e03988a7127680bbc26e1028991b899b8),
and now our kernel base line is 5.4. Let's drop the logic of checking
the version of FUSE, and unconditionally enable FUSE.

nspawn: use FOREACH_ARRAY() where applicable

network: introduce link_should_mark_config()

This split-out common logic from link_drop_routes() and friends.

This is mostly a refactoring, and not change behavior in most cases.
But slightly change behavior for how foreign nexthops and routing
policy rules are managed.

E.g. when KeepConfiguration=static, previously all foreign nexthops and
routing policy rules were kept, but now only foreign nexthops and rules
with RTPROT_STATIC are kept and others are dropped.

Similary, when KeepConfiguration=dynamic, previously all foreign nexthops
and rules were removed, but now foreign configs with a dynamic protocol
e.g. RTPROT_DHCP are kept, and still configs with RTPROT_STATIC are
dropped.

Currently, we do not set/get/manage protocol for neighbor entries.
Hence, the logic of managing foreign neighbor entries is unchanged.

test-network: add test case for KeepConfiguration=yes with RTPROT_BOOT

For issue #36411.

network/route: do not remove any foreign routes when KeepConfiguration=yes

Without this change, only foreign routes with RTPROT_KERNEL, RTPROT_STATIC,
RTPROT_DHCP, RTPROT_RA, and RTPROT_REDIRECT are kept, and foreign routes with
other protocol e.g. RTPROT_BOOT are removed even if KeepConfiguration=yes.

Fixes a regression in dd6d53a8dc58c5e6e310b09ba7f7a22600a87ba9 (v257).
Fixes #36411.

mkosi: update opensuse commit reference

* 9002a773f0 Update systemd to version 257.3 / rev 441 via SR 1245900
* 7545891f58 Update systemd to version 257.2 / rev 440 via SR 1243303
* c14020ba43 Update systemd to version 257.2 / rev 439 via SR 1241438
* 3137d3ab3d update 2025-02-06 19:07

mkosi: update arch commit reference

* 1b4994657d return if not a git repository (skip backports and reverts)
* 9d3374e98b move patch up
* 2416b7d81c upgpkg: 257.3-1: new upstream release

ci: test new logic

mount-tool: add explicitly control of path canonicalization

With this the default canonicalization of paths can be turned off,
giving users explicit control on what shall happen if symlinks are
encountered within a path.

mount-tool: modernize umount and make sure it works for bind mounted files

So far, "systemd-umount" executed on a bind mounted file would assume it
is supposed to unmount a loopback mounted file system. Let's address
that by instead checking if the file is a mount.

catalog: assign a proper message ID for mounts on symlinked paths

For some reason we reused the non-empty catalog entry so far, which is
plain wrong. Correct that.

core: port mount unit inode creation to make_mount_point_inode_from_mode() too

This also ports over things to use chase() to create/pin the underlying
to mount, and in particular checks that the path does not contain any
symlinks. That's crucial since we cannot allow mounts to be established
with that, since it would mean we couldn't recognize the entries in
/proc/self/mountinfo anymore.

mount-util: refactor make_mount_point_inode_from_xyz()

This replaces make_mount_point_inode_from_stat() by
make_mount_point_inode_from_mode() and makes it take a single mode_t
rather than a "struct stat". Moreover, at an "atfd" style directory
parameter.

Then port all users over to new feature, and in particular make use of
the directory fd: use chase() to create and pin parent directories first where
needed.

tree-wide: pass EBADF to fd params of namespace_fork()

timedated: rework clock change overflow check

Let's use explicit language constructs to test for overflow, the
previous code was ultimately relying on undefined behaviour.

Firstboot tweaklets (#36424)

man/org.freedesktop.systemd1.xml: Clarify the behavior of Subscribe()

It was unclear that it was applied to standard signals too, and this
lead to unexpected behavior.

See: https://github.com/systemd/systemd/pull/36366

terminal-util: output newline at end of "Press any key to proceed" message

So far we'd leave the cursor at the end of the Press any key to proceed
message as long as the user didn't type in anything yet, and generated
the newline only after.

Let's switch this around: let's output the newline before.

This should make boot-time output nicer since it means concurrent output
while we wait will start at the beginning of line, and not in the middle.

homectl: when asking for a user pw for an initial homed account at boot, don't insist on strong password

It's just very annoying during debugging, and also unnecessary.

homectl: don't show --enforce-password-policy= recommendation in first-boot invocation

The hint is not useful, since this is after all invoked as part of the
boot process, and not from an interactive shell, where the user could
directly retry with the changed switch. Hence let's simply suppress the
hint for those cases.

update TODO

ukify: print all remaining log-like output to stderr

We want to be able to capture stdout for json and such, so convert
all remaining logging to stderr.

Update footer.html to 2025

Updating footer to reflect current year: 2025

po: Translated using Weblate (Interlingua)

Currently translated at 0.3% (1 of 257 strings)

Co-authored-by: Emilio Sepulveda <emism.translations@gmail.com>
Translate-URL: https://translate.fedoraproject.org/projects/systemd/main/ia/
Translation: systemd/main

firstboot: add tab completion for interactive questions (#36271)

let's make it easier and quicker to go through firstboot questions by
providing TAB completion

homectl: show full list of selected groups as they are added

homectl: optionally force interactive firstboot query

homectl: clarify that we pick the default shell if the prompt is skipped

firstboot: add auto-completion to various fields

This adds TAB-based auto-completion to various fields we query from the
user, such as locale, keymap, timezone, group membership.

It makes it a lot easier to quickly iterate through firstboot without
typing too much.

terminal-util: beef up show_menu()

This modernizes the function a bit, and adds some bits:

1. whether to show numbers before entries is now optional, and if they
   are shown they are displayed in grey.

2. a common prefix can now be grayed out (later useful for completion
   support)

3. some variables have been named to clarify their purpose

4. the table display dimensions can now be auto-sized (by specifying
   SIZE_MAX and number of columns and column width)

terminal-util: tweak any_key_to_proceed() a bit

1. Make the message a bit more visible, by adding ANSI color. This
   matters in particular during boot, where the message otherwise might
   be overprinted by other output

2. Let's turn off terminal echo so that whatever key is entered is not
   made visible on screen, and we can handle newline and other keys
   reasonably uniformly.

ask-password-api: refuse control characters in passwords

Just some extra safety

utf8: add helper that determines length in bytes of last UTF-8 character in string

strv-util: add strv_filter_prefix() helper

string-util: add str_common_prefix() helper that determines length of common prefix of two strings

mkfs-util: Add support for btrfs compression

Corresponding PR in btrfs-progs: https://github.com/kdave/btrfs-progs/pull/882

update TODO

mkosi: update debian commit reference

* 08eb5e1eff Set tty device node mode to 0600
* e3955d1ca2 initramfs-tools: copy hwdb.bin to initramfs
* aff03b8933 d/rules: fix bpftool path discovery on ubuntu
* cab4f15666 Update changelog for 257.3-1 release
* 9bfeffe2a3 autopkgtest: fix mkosi config section
* 44487bfe02 ukify: depend on python3-zstandard and recommend python3-lz4
* 0a20294f18 d/rules: adjust vmlinux.h path for Ubuntu
* 94fa0939ed Drop fallback for missing linux-bpf-dev package
* b0b75e3f4b systemd-boot: check that bootvar really points to sd-boot
* 464453cbd6 systemd-boot: fix creating bootvar on arm64
* ce4a878ef7 systemd-boot: warn if efibootmgr is not installed
* cce6971f68 Install new udev rule for hidraw
* 0c483fbd26 d/t/control: do not pull in gdm3 on loong64
* 52451a0c14 d/t/control: depend on debian-archive-keyring and ubuntu-keyring

dissect: fix log_debug_errno assert due to r=0

systemd-dissect[612]: Assertion '(_error) != 0' failed at src/shared/dissect-image.c:3436, function dissected_image_load_verity_sig_partition(). Aborting.

network: update outdated comment

Now, our kernel base line supports ambient capabilities, hence the
comment is outdated.

network/address: update comment

As commented in the code, the check is now redundant. But let's keep
that to make IPv6LL addresses on other interfaces not removed
accidentally.

network/address: IFA_FLAGS is supported since kernel v3.14

Our kernel base line is now v5.4.

network/bridge-mdb: drop workaround for MDB entry on bridge

Our kernel base line is now v5.4.

network: mention IFLA_PERM_ADDRESS is since kernel v5.6

network/routing-policy-rule: assume FRA_PROTOCOL attribute is always set

Since kernel v4.17 (1b71af6053af1bd2f849e9fda4f71c1e3f145dcf), the
attribute is always set in each netlink message for routing policy rule.
Now, our base line is v5.4. Hence, we can drop the workaround.

network: add/update comments about required kernel configs

network: assume nexthop is supported by the kernel

It is supported since kernel v5.3 (65ee00a9409f751188a8cdc0988167858eb4a536),
but our base line is now v5.4.

ukify: Fix --sign-profile= check for main profile

opts.profile is always an env file so we have to parse the default
value as well to check if it's in --sign-profile= or not.

journal-remote: several follow-ups for compression support, and trivial cleanups (#36334)

Follow-ups for cfaf78001c3451d549bcb1ee4adca3e85b934e56 (#34822).

macro-fundamental: add _nonnull_if_nonzero_ and use it in basic/ (#36395)

journal-upload: several follow-ups for Accept-Encoding header handling

This makes,
- When a wildcard value '*' is specified, use the first supported
  compression algorithm,
- disable compression if Accept-Encoding header is unspecified or
  no supported compression algorithm specified in the header,
- ignore all errors in parsing the header.

journal-upload: split-out update_content_encoding_header()

No functional change, just refactoring and preparation for later commit.

journal-remote: several follow-ups for Compression= option handling

Follow-ups for cfaf78001c3451d549bcb1ee4adca3e85b934e56.

- use OrderedHashmap to manage configured compression algorithms, then
  drop CompressionArgs,
- rename CompressionOpts -> CompressionConfig,
- refuse 'none' in Compression= setting, but accept boolean false, which
  disables compression,
- when Compression= option is unspecified, enable all supported compression
  algorithms by default,
- do not set 'none' to the Accept-Encoding header.

journal-remote: replace extract_first_word() with simple strchr()

journal-remote: assume received data is not compressed when Content-Encoding header is not set

Also, refuse spurious header `Content-Encoding: none`.

journal-remote: copy positional arguments

This also fixes several memory leaks.

journal-remote: trivial coding style fix

repart: Delay private key and certificate check until actual use

For many reasons, we might not actually sign a verity signature
partition, even if ope is specified in the partition definition files.
It might already exist, it might be deferred, it might be excluded, ...

Since we cannot check if partition already exists when reading the
configuration, let's delay the check for whether a certificate and
key have been provided until we're actually about to sign a roothash.

basic: use _nonnull_if_nonzero_ where appropriate

basic/escape: swap 'bad' and 'len' params for decescape()

To follow our usual coding style.

basic/escape: accept SIZE_MAX and perform overflow check in cescape_length() and decescape() too

While at it, make cescape() static inline.

basic/escape: octescape() doesn't really take 'bad' param

macro-fundamental: add _nonnull_if_nonzero_

Introduced in gcc 15:
https://github.com/gcc-mirror/gcc/commit/19fe55c4801de50deee03b333e94d007aae222e3

mkosi: Install systemd in Fedora build image

rpm pulls in systemd-standalone-sysusers now by default to get
systemd-sysusers which causes a conflict later on during the prepare
script when systemd is pulled in as a dependency of device-mapper so
let's install systemd in the initial transaction so systemd provides
systemd-sysusers and systemd-standalone-sysusers is never installed
in the first place.

man/networkd.conf: add missing whitespace between words

Signed-off-by: Louis Sautier <sautier.louis@gmail.com>

README: fix broken link in OBS badge

The badge link was updated, but the URL link was not

Follow-up for 13871aa65690f14fcc22a7cc4b2a4280665497c5

hwdb.d: add ANP09 Intel n100 tablet sensor configuration (#36390)

I propose fix for ACCEL_MOUNT_MATRIX for popular on China markets Intel
n100 7" tablet. I can't find any information about manufacturer.

P:
/devices/pci0000:00/0000:00:15.3/i2c_designware.3/i2c-14/i2c-BOSC0200:00
M: i2c-BOSC0200:00
R: 00
J: +i2c:i2c-BOSC0200:00
U: i2c
V: bmc150_accel_i2c
E:
DEVPATH=/devices/pci0000:00/0000:00:15.3/i2c_designware.3/i2c-14/i2c-BOSC0200:00
E: SUBSYSTEM=i2c
E: DRIVER=bmc150_accel_i2c
E: MODALIAS=acpi:BOSC0200:BOSC0200:
E: USEC_INITIALIZED=3546649
E: ID_VENDOR_FROM_DATABASE=BOS

P:
/devices/pci0000:00/0000:00:15.3/i2c_designware.3/i2c-14/i2c-BOSC0200:00/iio:device0
M: iio:device0
R: 0
J: c238:0
U: iio
T: iio_device
D: c 238:0
N: iio:device0
L: 0
E:
DEVPATH=/devices/pci0000:00/0000:00:15.3/i2c_designware.3/i2c-14/i2c-BOSC0200:00/iio:device0
E: SUBSYSTEM=iio
E: DEVNAME=/dev/iio:device0
E: DEVTYPE=iio_device
E: MAJOR=238
E: MINOR=0
E: USEC_INITIALIZED=3556556
E: ACCEL_MOUNT_MATRIX=1, 0, 0; 0, -1, 0; 0, 0, -1
E: IIO_SENSOR_PROXY_TYPE=iio-poll-accel iio-buffer-accel
E: SYSTEMD_WANTS=iio-sensor-proxy.service
E: TAGS=:systemd:
E: CURRENT_TAGS=:systemd:

DMI tablet string

dmi:bvnAmericanMegatrendsInternational,LLC.:bvrANP09_INTEL001:bd08/16/2024:br5.27:efr0.0:svn:pn:pvrDefaultstring:rvn:rn:rvrDefaultstring:cvnDefaultstring:ct10:cvrDefaultstring:sku:

mkosi: Fix mkosi.clangd (#36387)

- Add missing '--' delimiter
- Use the new BuildSubdirectory JSON field to figure out the build
  subdirectory.
- Remove the /usr/include path mapping for now. This means we can't
  jump into system headers anymore if they don't exist on the host,
  we can find a way to add this back later if it turns out to be
  crucial.

mkosi: Fix mkosi.clangd

- Add missing '--' delimiter
- Use the new BuildSubdirectory JSON field to figure out the build
  subdirectory.
- Remove the /usr/include path mapping for now. This means we can't
  jump into system headers anymore if they don't exist on the host,
  we can find a way to add this back later if it turns out to be
  crucial.

mkosi: Update to latest

ukify: fixes with kernel compression (#36381)

hwdb.d: add support for Akoya P15645

resolve: fix use-after-free (#36353)

Fixes a bug introduced by 81ae2237c1792943a1ec712ae2e630bcc592175b.
Fixes #36351.

TEST-75-RESOLVED: skip a testcase when running on sanitizer

TEST-75-RESOLVED: keep IPv6 stack enabled

To make the issue #36351 easily reproduced.

TEST-75-RESOLVED: assume knot 3.0 or newer is installed

And make the test failed if knot is installed but older than 3.0.