journalctl: implement --list-namespaces

Apart from being useful on its own, this will be used in the following
commit for shell completions.

Merge pull request #30728 from polarina/noda

Assign noDA attribute to TPM2 objects not dependant on a PIN

core: Add %D specifier for $XDG_DATA_HOME

We already have specifiers that resolve to $XDG_STATE_HOME, and
$XDG_CONFIG_HOME. $XDG_DATA_HOME is in a similar vein.

It allows units belonging to the user service manager to correctly look
into ~/.local/share. I imagine this would be most useful inside of
condition checks (i.e. only run a service on session startup if some
data is not found in ~/.local/share) or in the inotify monitoring of a
.path unit

network: do not make the implied default have the first priority

Follow-up for b732606950f8726c0280080c7d055a714c2888f5 and
6706ce2fd2a13df0ae5e469b72d688eaf643dac4.

If Network.ignore_carrier_loss_set flag is set, then the timeout value
is always used, hence the logic implemented by
b732606950f8726c0280080c7d055a714c2888f5 never worked.

core/cgroup: use designated initializer more, make dup source const

Merge pull request #30731 from poettering/logind-user-early

logind: rework the special casing we give root's sessions

Use .d path for PCRLOCK_KERNEL_*_PATH

Fix the path for the generated.pcrlock files for the cmdline and initrd
cases.  Without it the tool complains with:

    Failed to parse component file /var/lib/pcrlock.d/720-kernel-initrd.pcrlock, ignoring: Is a directory

Signed-off-by: Alberto Planas <aplanas@suse.com>

Merge pull request #30753 from aafeijoo-suse/special-refactor

tree-wide: use defines from special.h in some missing places

Merge pull request #30769 from AdrianVovk/statx-timestamp

stat-util: Add statx version of timespec_load

Merge pull request #30743 from bluca/coverity

Assorted coverity fixes

Merge pull request #30774 from mrc0mmand/test-tweaks

test: install correct kpartx udev rules (again) and dump cores of sanitized binaries

Merge pull request #30759 from mrc0mmand/resolved-followup

resolve: initialize `r` during OOM

journalctl: add --exclude-identifier option

creds-util: automatically append NUL byte to decrypted creds

Both as safety net and as convenience feature of a string is contained
in the credential

creds: rename "tpm2-absent" encryption to "null" encryption

This is what it is after all: encryption with a NULL key. This is more
descriptive, but also relevant since we want to use this kind of
credentials in a different context soon: for carrying pcrlock data into
a UKI. In that case we don#t want encryption, since the pcrlock data is
intended to help unlocking secrets, hence should not be a secret itself.

This only changes the code labels and the way this is labelled in the
output. We retain compat with the old name.

find-esp: adjust parameter indentating to our usual coding style

logind: use unlink_and_free() at once more place

json: drop redundant check

The same check is done exactly one line later, because this is one of
the things that json_variant_is_regular() checks.

As per: https://github.com/systemd/systemd/pull/30578/commits/fa9a6db478e3f0f2753e4633af6d0d4881707c2b#r1441792019

Merge pull request #30749 from poettering/tmpfiles-verb-fix

tmpfiles: correctly apply globbing when cleaning 'x' lines

Merge pull request #30758 from YHNdnzj/vpick-not-ptr

vpick: trivial follow-up

ci: build with -O2 and -Wmaybe-uninitialized

According to the comment in meson.build this should be a supported
configuration, so let's test it in the CI as well.

shared: initialize a couple of values explicitly

As gcc has trouble figuring this itself with -O2 and -Wmaybe-initialized.

resolve: initialize `r` during OOM

Otherwise we'd use some garbage value in the error path.

../src/resolve/resolved-dns-query.c: In function ‘dns_query_accept’:
../src/resolve/resolved-dns-query.c:944:27: error: ‘r’ may be used uninitialized in this function [-Werror=maybe-uninitialized]
  944 |         q->answer_errno = -r;
      |                           ^~
cc1: all warnings being treated as errors

Follow-up for 9ca133e97a0.

test: allow sanitized binaries to dump a core

If a binary built with ASan crashes for a reason unrelated to ASan
stuff, we're left with pretty much nothing, as there is neither an ASan
trace nor a coredump. Let's make this slightly more debug-able by
allowing such binaries to dump a core, but without the huge shadow map
(we should be actually fine by just setting disable_coredump=0, since
use_madv_dontdump defaults to true, but let's play it safe and not
potentially dump a 16+ TB core file).

test: install correct kpartx udev rules on Ubuntu

Follow-up for 519f0074cf.

tmpfiles: Use statx_timestamp_load

This is a new utility function recently added. Let's use it.

stat-util: Add statx version of timespec_load

statx_timestamp is, for all intents and purposes, the same as a struct
timespec. So, we can trivially convert it and call timespec_load on it.

This commit adds helper functions that do just that.

tmpfiles: add --purge switch

Any file/directory created by a tmpfiles.d will be deleted. Useful for
purge/factory reset patterns.

Assign noDA attribute to TPM2 objects not dependant on a PIN

All the keys are high-entropy keys that cannot be practically
bruteforced and thus don't require protection from dictionary attacks.
With the exception of PINs, of course, which are low-entropy and user
provided.

Note that a new enrollment is required for unlocking while in DA
lockdown to function. Existing enrollments are subject to DA lockout.

Fixes: #30330

shared/vpick: don't say "ptr" for TAKE_PICK_RESULT (struct)

vpick-tool: sort includes

logind: rework the special casing we give root's sessions

Let's add an explicit session class "user-early" for this, so that
change of behaviour on logind is primarily bound to the "class"
property, and not some explicit root checks. This has the benefit that
we can be more fine grained with implying this class: only do so for tty
sessions, not others.

logind: explain session class types a bit

Merge pull request #30744 from poettering/logind-trivial-tweaks

logind: 3 trivial cleanups

logind: do TTY idle logic only for sessions marked as "tty"

Otherwise things might be weird, because background sessions might
become "idle", wich doesn#t really make much sense.

This shouldn't change much in 99% of the cases, but slightly corrects
behaviour as it ensures only "primary"/"foreground" sessions get the
idle logic, i.e. where a user exists that could actually make it
non-idle.

update TODO

logind: don't make idle action timer accuracy more coarse than timeout

If we allow the timer accuracy to grow larger then the timeout itself
things are very confusing, because people might set a 1s time-out and we
turn that into 30s.

Hence, let's just cut off the 30s accuracy to the time-out itself, so
that we stay close to what users configured.

Merge pull request #30739 from poettering/pam-util-many

pam-util: add pam_get_item_many() to shorten some code

homed: when empty username is passed to bus calls, operate on client's UID

homed: fix home_count_bad_authentication() counting

We want to cover not only regular bad password entries, but also bad
recovery key entries. Hence let's move the list of errors into the
function, and add more.

homed: tone down log message about bad passwords a bit

We usually start out out authentication cycles with an "empty" password
attempt, to give homed the chance to authenticated via any plugged in
tokens. Hence frequently the first attempt will just fail, which is no
reason to complain about.

Merge pull request #30610 from YHNdnzj/logind-serialize-pidref

logind: serialize session leader pidfd to fdstore

run: use SPECIAL_USER_SLICE

tree-wide: use SPECIAL_BASIC_TARGET

network/route: make the route section invalid when an invalid MTUBytes= is specified

We usually set the invalid flag for a section if a setting in the section has
an invalid value. Let's also do the same thing for MTUBytes= in [Route].

Merge pull request #30578 from bluca/polkit-varlink

varlink: add glue to allow authenticating varlink connections via polkit

update-man-rules: skip over standard-conf.xml

bc6fdcbf5d switched its doctype to refentry, so the script started
picking it up and complaining that it's missing required stuff. Since
this file is only included from other man pages, let's skip it when
putting together a list of valid targets.

Resolves: #30715
Follow-up for: bc6fdcbf5d

Merge pull request #30736 from YHNdnzj/loginctl-self

man/loginctl: some improvements

homed: add missing bus call to homed access policy

pam_systemd: drop unnecessary strempty() of 'tty' variable

This probably predates our introduction of streq_ptr(). Let's drop this
now however, as we actually want this to be NULL, further down, and
handle that just fine. In particular as all the special cases we have
explicitly set this to NULL anyway.

No real change in behaviour, just some normalization of handling.

tmpfiles: 'x' takes globs, hence clean it with globbing

tmpfiles: always list tmpfiles line types in same order

otherwise it just gets too confusing to follow.

sd-dhcp-client: add assert_not_reached in switch case

Tell static analysis that r is always initialised

Follow-up for 1809132064d2fd3479e316b615cd05698984852c

CID#1533109

udev: add upper bound of 5 hours to SYSTEMD_UDEV_EXTRA_TIMEOUT_SEC=

Follow-up for b16c6076cb334c9da9602d4bafbf60381d6d630e

CID#1533111

dissect: add assert to guide static analysis

CID#1533112

core: add an assert to guide static analysis

Follow-up for 4fb0d2dc140c9a2c01c236d2a8dc09a44157e896

CID#1533110

execute: make sure Type=exec and PAMName= work together

If PAMName= is used we'll spawn a PAM session for the service, and leave
a process around that closes the PAM session eventually. That process
must close the "exec_fd" that we use to implement Type=exec. After all
the logic relies on the fact that execve() will implicitly close the
exec_fd, and the EOF seen on it is hence indication for the service
manager that execve() has worked. But if we keep an fd open in the PAM
service process, then this is not going to work.

Hence close the fd explicitly so that it definitely doesn't stay pinned
in the child.

Fix typo in verb_make_policy explanation

Signed-off-by: Alberto Planas <aplanas@suse.com>

pcrlock: Print correct NV index when writing new policy

Merge pull request #30725 from YHNdnzj/string-util

string-util,strv: follow-ups

network/netdev: call done() per netdev kind before freeing netdev name or so

Otherwise, log_netdev_xyz() does not provide netdev name if it is called
in done(). It is hard to debug.

This should not change any effective behavior, at least with the current
implementation of done() per netdev kind.

tpm2-generator: sort includes

logind: use FOREACH_ARRAY() where appropriate

pam_systemd_home: minor coding style adjustment

homed: add some function parameter assert()s

logind: cast various calls that return errors we ignore to (void)

core: fix cgroup copy

Follow-up for 84c01612de805d88875d4d91cfcf73cf10f99447

CID#1533113

core: fix OOM check

Follow-up for 84c01612de805d88875d4d91cfcf73cf10f99447

CID#1533114

pam_systemd_home: port over to pam_get_item_many()

pam_systemd: move over to pam_get_item_many()

man/loginctl: document "self" and "auto" special session IDs

session-status automatically uses "auto" if no ID is specified,
but show-session shows the manager's properties. Let's document
these special values so that users of show-session can benefit too.

pam-util: add pam_get_item_many() helper that gets many PAM items at once

Just to shorten a bit of code.

man/loginctl: use <literal> to quote possible values of --kill-whom=

TEST-35-LOGIN: enable FileDescriptorStorePreserve= for coldplug test

Merge pull request #30513 from rpigott/resolved-ede

resolved: support RFC 8914 EDE error codes

strv: rename strv_endswith to endswith_strv and dedup ENDSWITH_SET

string-util: move startswith_strv to strv

string-util: use strneq

string-util-fundamental: postfix -> suffix, use streq

logind-session: watch pidfd in session_set_leader_consume

logind: serialize session leader pidfd to fdstore

process-util: ensure pidref_is_alive only return ESRCH if not set

logind-session: use one_zero where appropriate

logind-session: be tolerant if we failed to remove leader from hashmap

If something wrong happened before hashmap_put(), session_free()
may be called through gc logic, and the assertion is triggered.

logind: use RET_GATHER more, return first error

resolved: add transaction result for upstream failures

This new transaction result is emitted when the upstream server
indicates a fatal error that we will not try to recover from.

Currently, it is emitted when a validating recursive resolver reports an
error validating dnssec records for a domain. The extended error message
should help give context to the admin.

resolved: support RFC 8914 EDE error codes

If the server is able to indicate an extended error to us, using a
degraded feature set is unlikely to help.

resolved: delay server feature detection

Some fields of the DnsPacket are not populated until we extract an
answer, like p->opt, despite being referenced by macros like
DNS_PACKET_RCODE. We can reorder some of the basic checks to follow
dns_packet_extract.

dns: remove some magic numbers

Let's use enum values for the EDNS codes now that we have them, for
readability.

dns: introduce more EDNS codes from IANA

Merge pull request #26663 from poettering/vpick

add new "vpick" concept for automatically picking newest resource from .v/ dir containing versioned files

Merge pull request #28797 from Werkov/eff_limits

Add MemoryMaxEffective=, MemoryHighEffective= and TasksMaxEff…  …ective= properties

logind: don't setup idle session watch for lock-screen and greeter

Reason to skip the idle session logic for these session classes is that
they are idle by default.

basic: fix overflow detection in sigbus_pop

The current check checks for n_sigbus_queue
being greater than or equal to SIGBUS_QUEUE_MAX,
when it should be just greater than as
n_sigbus_queue being SIGBUS_QUEUE_MAX indicates
that the queue is full, but not overflowed.

Merge pull request #30710 from YHNdnzj/logind-ret-gather

logind-session: modernization

test: temporarily adjust the default mount rate limit

(Hopefully) a temporary workaround for #30573 where starting a user
session when PID 1 is rate limited stalls even after it leaves the rate
limited state:

[   11.658201] H systemd[1]: Sent message type=signal sender=n/a destination=n/a path=/org/freedesktop/systemd1 interface=org.freedesktop.systemd1.Manager member=UnitRemoved cookie=4208 reply_cookie=0 signature=so error-name=n/a error-mes>
[   11.658233] H systemd[1]: Event source 0x559babdd8bb0 (mount-monitor-dispatch) left rate limit state.
[  101.562697] H busctl[784]: Failed to get credentials: Transport endpoint is not connected
[  101.563480] H systemd[1]: systemd-journald.service: Got notification message from PID 300 (WATCHDOG=1)
[  101.563725] H testsuite-74.sh[784]: BusAddress=unixexec:path=systemd-run,argv1=-M.host,argv2=-PGq,argv3=--wait,argv4=-pUser%3dtestuser,argv5=-pPAMName%3dlogin,argv6=systemd-stdio-bridge,argv7=-punix:path%3d%24%7bXDG_RUNTIME_DIR%7d/bus
[  101.564136] H systemd[1]: Successfully forked off '(sd-expire)' as PID 787.
[  101.564754] H systemd[1]: Successfully forked off '(sd-expire)' as PID 788.
[  101.564831] H testsuite-74.sh[381]: + echo 'Subtest /usr/lib/systemd/tests/testdata/units/testsuite-74.busctl.sh failed'

The issue appeared after ee07fff03b which does a bunch of mounts/umounts
that get PID 1 into a rate limited state, and is frequent enough to be
annoying, so let's temporarily bump the rate limit to alleviate that.

test: install correct kpartx udev rules on Debian

Resolves: #30703

Merge pull request #30532 from yuwata/udev-extend-timeout-kill-worker

udev: extend timeout to prevent kill worker

Merge pull request #28836 from msekletar/aux-scope

core/manager: add dbus API to create auxiliary scope from running service

Fix KeepCarrier tun/tap device option

When KeepCarrier is set, networkd doesn't close tun/tap file descriptor
preserving the active interface state, but doesn't disable its queue
which makes kernel to think that it's still active and send packets to
it.

This patch disables the created queue right after tun/tap interface
creation.

Here is the steps to reproduce the bug:

Having:

systemd/network/10-tun-test.netdev:

    [NetDev]
    Name=tun-test
    Kind=tun

    [Tun]
    MultiQueue=yes
    KeepCarrier=yes

systemd/network/10-tun-test.network:

    [Match]
    Name=tun-test

    [Network]
    DHCP=no
    IPv6AcceptRA=false

    LLMNR=false
    MulticastDNS=false

    Address=172.31.0.1/24

app.c:

    #include <fcntl.h>
    #include <stdio.h>
    #include <string.h>
    #include <unistd.h>
    #include <linux/if.h>
    #include <sys/ioctl.h>
    #include <linux/if_tun.h>

    int main() {
        int fd;
        struct ifreq ifr;

        memset(&ifr, 0, sizeof ifr);
        strcpy(ifr.ifr_name, "tun-test");
        ifr.ifr_flags = IFF_TUN | IFF_NO_PI | IFF_MULTI_QUEUE;

        if((fd = open("/dev/net/tun", O_RDWR)) < 0) {
            perror("Open error");
            return 1;
        }

        if(ioctl(fd, TUNSETIFF, &ifr)) {
            perror("Configure error");
            return 1;
        }

        puts("Ready.");

        char buf[1500];

        while(1) {
            int size = read(fd, buf, sizeof buf);
            if(size < 0) {
                perror("Read error");
                return 1;
            }
            printf("Read %d bytes.\n", size);
        }

        return 0;
    }

Run:
* gcc -o app app.c && ./app
* ping -I tun-test 172.31.0.2

Before the patch the app shows no pings, but after it works properly.