sd_journal_get_cursor() tweaks (#36964)

prioq: minor tweaks (#36963)

sd-event: don't consider no pending IO event a programming error in sd_event_source_get_io_revents()

varlink: add common helper that refuse method calls from unpriv clients

Several cleanups for rc-local-generator (#36953)

logind: utmp fix (#36958)

Fixes: #36930

udevdm: use PidRef at one more place (#36959)

tree-wide: pass -EBADF to device_monitor_new_full()

Prompted by https://github.com/systemd/systemd/pull/36922#discussion_r2024940885.

udev: use notify socket to send message from worker processes to manager process (#36922)

This replaces home-grown notification method from worker processes to
manager process with sd-notify. Then, we can reuse many library
functions commonly used by many components.
Hopefully, this does not change any effective functionalities.

some selinux modernizations (#36955)

udev: introduce rm_rf_safep() and modernize udev_watch_restore() (#36923)

test: converted unittest in src/test/test-mkdir.c to use new ASSERT_OK() macros and friends

sd-journal: document relevant sd_journal_get_cursor() error codes

sd-journal: make return parameter to sd_journal_get_cursor() optional

prioq: add some minor overflow checking assert()s

prioq: invalidate index pointers on removal

meson: rename RC_LOCAL_PATH -> SYSTEM_SYSVRCLOCAL_PATH

No functional change, but just for emphasizing that this is for
SysV compatibility.

meson: disable rc-local-generator when an empty string is specified to rc-local= meson option

In such case, the generator is meaningless. Let's kill it.

core: delegate mountns implicitly when any of pidns/cgns/netns is in use, clean up private cgroupfs mount (#36892)

Fixes #36952

logind: save logind session information to disk once we acquired it via utmp

Fixes: #36930

logind: split utmp related code into logind-utmp.[ch]

No real changes, just moving of code around.

udevadm-lock: use PidRef

process-util: make wait_for_terminate() as trivial wrapper of its PidRef version

process-util: add pidref-based version of wait_for_terminate_and_check()

udev-manager: use PidRef for managing worker processes

udev: use sd_notify to communicate between worker and manager processes

Let's replace home-grown notification from worker to manager process
with sd_notify.

udev: split out error code assignment and move them to udev-error.c

No functional change, just refactoring and preparation for later change.

udev-manager: broadcast event in event_requeue() on failure

Also, send the actual error code rather than ETIMEDOUT.

udev-manager: do not free device monitor when asked to terminate

Otherwise, if a worker process exited abnormally, the manager cannot
broadcast the kernel event assigned to the worker.

udev-watch: modernize udev_watch_restore()

rm-rf: introduce rm_rf_safe() and rm_rf_safep()

selinux-setup: modernizations

Adjustments to match our current coding style, in particular ensures we
always print log messages for unexpected errors.

This changes our code assume mac_selinux_get_create_label_from_exe()
returns a valid label on success. I checked libselinux, this is
guaranteed, and is otherwise relied on in our tree, hence don't do the
pointless check here.

selinux-util: rename return parameter to ret_xyz

mac_selinux_get_create_label_from_exe() didn't get this right. Clean
this up, and stick to a uniform name for all three related functions.

test: skip TEST-06-SELINUX if not on fedora/centos

The test skips at runtime on the same condition, but that's already too late
as it often gets stuck on boot in Debian/Ubuntu. Check in the meson
condition directly so that it's not even started.

hostnamed: fix incorrect usage of device_dmi (#36948)

Fix incorrect usage of device_dmi in context_acquire_device_tree().

Follow-up for 3e91aed6c4e53824adddb5b8ad124ffecb0e0673.

mkosi: Make sure we set DEB_BUILD_PROFILES when cleaning up with dpkg

Otherwise we might miss some files that are gated behind one of the
selected profiles.

docs/user_record: Put timeZone and resourceLimits in their own paragraph

man/pstore.conf: pstore.conf template is not always installed in /etc

"Inspired" by 798faa6fefab5f5479455ee241672659cb30f18c ;)

mkosi: Various improvements and fixes (#36931)

build(deps): bump ninja from 1.11.1.2 to 1.11.1.4 in /.github/workflows

Bumps [ninja](https://github.com/scikit-build/ninja-python-distributions) from 1.11.1.2 to 1.11.1.4.
- [Release notes](https://github.com/scikit-build/ninja-python-distributions/releases)
- [Changelog](https://github.com/scikit-build/ninja-python-distributions/blob/master/HISTORY.rst)
- [Commits](https://github.com/scikit-build/ninja-python-distributions/compare/1.11.1.2...1.11.1.4)

---
updated-dependencies:
- dependency-name: ninja
  dependency-type: direct:production
  update-type: version-update:semver-patch
...

Signed-off-by: dependabot[bot] <support@github.com>

man: coredump.conf template is not always installed in /etc

The default installation path can be configured with the -Dconfigfiledir= option

Tweak log messages around efivarsfs and hibernation (#36921)

mkosi: Stop passing package environment variables to tools image

The tools image is not guaranteed to be the same distribution as the
target distribution and so might have different package environment
variables than the main image yet we currently unconditionally use the
same package environment variables for both of them.

Let's fix this by not passing the package environment variables to the
tools image and subimages anymore, and instead having the main, tools and
build images separately include a config file with the required environment
variables.

mkosi: Use mkosi.tools.conf for tools tree configuration

This allows us to use the regular settings instead of having to bother
with ToolsTreeXXX variants. It'll also allow us to share configuration
between the regular images and the tools tree image, which we'll make
use of in the next commit.

build(deps): bump redhat-plumbers-in-action/download-artifact

Bumps [redhat-plumbers-in-action/download-artifact](https://github.com/redhat-plumbers-in-action/download-artifact) from 1.1.1 to 1.1.5.
- [Release notes](https://github.com/redhat-plumbers-in-action/download-artifact/releases)
- [Commits](https://github.com/redhat-plumbers-in-action/download-artifact/compare/463ae626ac2dd333491c7beccaa24c12c5c259b8...103e5f882470b59e9d71c80ecb2d0a0b91a7c43b)

---
updated-dependencies:
- dependency-name: redhat-plumbers-in-action/download-artifact
  dependency-version: 1.1.5
  dependency-type: direct:production
  update-type: version-update:semver-patch
...

Signed-off-by: dependabot[bot] <support@github.com>

build(deps): bump super-linter/super-linter from 7.2.1 to 7.3.0

Bumps [super-linter/super-linter](https://github.com/super-linter/super-linter) from 7.2.1 to 7.3.0.
- [Release notes](https://github.com/super-linter/super-linter/releases)
- [Changelog](https://github.com/super-linter/super-linter/blob/main/CHANGELOG.md)
- [Commits](https://github.com/super-linter/super-linter/compare/85f7611e0f7b53c8573cca84aa0ed4344f6f6a4d...4e8a7c2bf106c4c766c816b35ec612638dc9b6b2)

---
updated-dependencies:
- dependency-name: super-linter/super-linter
  dependency-version: 7.3.0
  dependency-type: direct:production
  update-type: version-update:semver-minor
...

Signed-off-by: dependabot[bot] <support@github.com>

udev-spawn: voidify pidref_kill_and_sigcont()

Follow-up for cdd2dd2d58f34d32ee3957aa05860a513909d400.
Fixes CID#1596076.

test: drop unnecessary '>= 0' in ASSERT_OK()

Follow-up for 2351bc991e3a4f1fbdaa2d53900980b6703babbd.
Fixes CID#1596075.

mkosi: Drop number prefixes from configuration files

We already removed these in some places, let's migrate the others as
well. There's no ordering required at all between these configuration
files so let's not bother with any numbered prefixes.

mkosi: Drop orphan_file workaround

mkosi now handles this workaround itself internally.

mkosi: Update to latest

unit: don't bother determining unit install state for transient or perpetual units (#36504)

build(deps): bump meson from 1.6.0 to 1.6.1 in /.github/workflows

Bumps [meson](https://github.com/mesonbuild/meson) from 1.6.0 to 1.6.1.
- [Release notes](https://github.com/mesonbuild/meson/releases)
- [Commits](https://github.com/mesonbuild/meson/compare/1.6.0...1.6.1)

---
updated-dependencies:
- dependency-name: meson
  dependency-type: direct:production
  update-type: version-update:semver-patch
...

Signed-off-by: dependabot[bot] <support@github.com>

meson: Set PYTHONDONTWRITEBYTECODE=1 in test environment

Let's not pollute the source tree with __pycache__ files.

user-runtime-dir: correct quota size calculation (#36884)

unit: return a better error state for unit_get_unit_file_preset() if we have no fragment path

We'd previously return what was already set. Let's instead return a
clear ENOEXEC in this case, to make clear what is going on: preset logic
doesn't apply to units which lag a fragment path.

unit: initialize unit_file_preset field to valid value

"-1" is not a valid enum value. Use a better one. All code using this
considers negative values error codes anyway, hence the old code was
just a weird way to write -EPERM. Let's clean this up.

unit: don't bother determining unit install state for transient or perpetual units

I noticed that we keep querying the preset database for transient units,
which makes little sense, since transient units are well, transient, and
hence not suject to enablement/disablement. Hence, let's shortcut things
and simply not check the preset database for them.

While we are at it, shortcut unit file state checks for transient units,
too.  We know they are transient already, we can return that directly,
no need to go to disk.

Finally, treat perpetual units like transient units for the the preset
case: also bypass the preset database. (But keep checking for the unit
file state for them, since it *is* relevant to know whether they were
generated or not.)

notify-recv: several follow-ups for notify_socket_prepare()

Follow-ups for 2351bc991e3a4f1fbdaa2d53900980b6703babbd.
Addresses post-merge review:
https://github.com/systemd/systemd/pull/36911#pullrequestreview-2732136658

test: fix usage of --hostnqn= (#36927)

Fixes #36908.

test and manpages follow-ups (#36924)

TEST-46-HOMED: conditionally skip usrquota tests

The tests were failing, because the quota was not enforced.
It seems that we simply don't have privileges to set or display the quota.
The test is running priviled, so this is probably some SELinux:
TEST-46-HOMED.sh[117]: + /usr/lib/systemd/tests/unit-tests/manual/test-display-quota tmpfsquota /dev/shm /tmp
TEST-46-HOMED.sh[1103]: Lacking privileges to query UID quota on /dev/shm: Operation not permitted
TEST-46-HOMED.sh[1103]: Lacking privileges to query UID quota on /tmp: Operation not permitted

If we cannot display the quota, ignore the test results.
In a local run under mkosi, quota is shown and the tests pass. So this is something
about how the testing-farm:fedora-rawhide-x86_64 is configured.

TEST-46-HOMED: check for support on /dev/shm and /tmp separately

The test fails in CI. My guess was this is because the enablement of quota on
/tmp and /dev/shm is independent. The former fs is mounted by systemd in the
host, while the latter is mounted in the initrd, so we can end up with quota
support on one but not the other, which is the situation I had on my laptop.
This wasn't actually the source of the problems in CI, but it's a reasonable
change to make anyway.

While at it, test both mountpoints separately.

test-display-quota: add a little helper binary to show quota on tmpfs

quota from quota project fails:
$ quota
quota: Cannot stat() mounted device tmpfs: No such file or directory
quota: Cannot stat() mounted device tmpfs: No such file or directory

Having this helper helped me understand what is going on with the quotas when
the tests failed. I think it'd be useful to keep it around for now, even though
it is not actually connected in the tests.

test: replace deprecated --hostid= with --hostnqn=

Fixes #36908.

man: add missing conditional

Follow-up for d95818f5221d9b9b19648cffa0cb2407f023b27e

man: run 'update-man-rules' again

test: use 'exit 0' instead of 'return' in test scripts

14385s [   66.896852] TEST-87-AUX-UTILS-VM.sh[3744]: + test -x /usr/lib/systemd/systemd-validatefs
14385s [   66.898544] TEST-87-AUX-UTILS-VM.sh[3744]: + echo 'no systemd-validatefs'
14385s [   66.899115] TEST-87-AUX-UTILS-VM.sh[3744]: no systemd-validatefs
14385s [   66.899699] TEST-87-AUX-UTILS-VM.sh[3744]: + return
14385s [   66.900189] TEST-87-AUX-UTILS-VM.sh[3744]: .//usr/lib/systemd/tests/testdata/units/TEST-87-AUX-UTILS-VM.validatefs.sh: line 13: return: can only `return' from a function or sourced script

Follow-up for 6e003d18bbf5e9f55c08b25d80b138b3a98d5f26

Revert "test: call nvme-cli with --hostnqn= instead of the deprecated --hostid="

This reverts commit b8942f4ae2d121603544b8527a7faf7fc458562c.

As commented https://github.com/systemd/systemd/issues/36908#issuecomment-2768507373,
the usage of --hostnqn= is different from --hostid=.

shared/mount-setup: use '' to signify empty option string

We said:
systemd[1]: Mounting efivarfs to /sys/firmware/efi/efivars of type efivarfs with options n/a.
I think '' is clearer.

hibernate-resume: restore full message if resume fails

We had a INFO message before 760e99bb52dd132aeab14802c9ed2889471e9cdf. Logging
at INFO level made sense back when we didn't have the EFI variable and people
would set resume= on the kernel command line. Nowadays, if we have the
hibernation info, then we expect it to be accurate. Log at WARN level if we
have the EFI variable and the resume fails for any reason, and at INFO
otherwise.

OTOH, we already print errors immediately when that happens, and if the resume
failed in the kernel, the kernel should log on its own. So just use WARN, not
ERR.

udev-spawn: manage spawned processes by PidRef

udev: trivial cleanups (#36916)

introduce notify_socket_prepare() and use it where applicable (#36911)

This introduces notify_socket_prepare(), which creates an autobind
notify socket and IO event source for the socket. Then, use it where we
send notification messages from worker processes to their manager
process.

man: run 'update-man-rules' again

udev: update log messages

udev: disable timer event source for cleaning up idle workers when no worker exists

No functional change, as the timer event does nothing when there are no
workers.

test: call nvme-cli with --hostnqn= instead of the deprecated --hostid=

Fixes https://github.com/systemd/systemd/issues/36908

TEST-46-HOMED: write zeros instead of random bytes

This should be faster, and equivalent for the purposes of quota calculation.

user-runtime-dir: correct quota size calculation

Follow-up for b1c95fb2e9d11fc190017dec3d64f468f9d378bc

Fixes #36245

validatefs: several follow-ups (#36910)

udev: trivial cleanups (#36912)

sysupdated: use notify_socket_prepare()

This also make it use autobind notify socket.

sysupdate-transfer: use notify_socket_prepare()

sysupdate-transfer: fix potential memleak

notify: use notify_socket_prepare()

import: use notify_socket_prepare()

This also make it use autobind notify socket.

homed: use notify_socket_prepare()

This also make it use autobind notify socket.

udev-manager: coding style cleanups

udev-manager: use notify_start() and notify_on_cleanup()

No functional change. Just refactoring.

notify-recv: introduce notify_socket_prepare()

ac-power: follow-up for recent change

Follow-ups for 72586a971b5ee26b6681fc34ba43c0081dbd94da.

- drop 'Options' sections,
- drop underlining for link,
- fix indentation.

Prompted by https://github.com/systemd/systemd/pull/36850#discussion_r2020594171
> the underline stuff we only use for long --help texts that have sections,
> for the section headers. systemctl --help does that for example. This one
> here is not that long, hence doesn't really need section headers, and
> hence no underlining. The clickable links don't need to be explicitly
> underlined, the terminal emulators that supper hyperlinks will underline
> them on their own (for example gnome-terminal uses a dotted line).

Addresses https://github.com/systemd/systemd/pull/36873#discussion_r2017578611

socket-util: introduce socket_autobind() helper (#36893)

Prompted by https://github.com/systemd/systemd/pull/36858#discussion_r2017719305
and #36833.

units/systemd-validatefs@.service: FailureAction= is a [Unit] knob

man/systemd-validatefs@.service: fix typo

validatefs: use fgetxattr_malloc() where appropriate

validatefs: do not use EXIT_* in run()

The plain DEFINE_MAIN_FUNCTION is used, i.e. all >= 0 retvals
are treated as success. No need for EXIT_* annotations.

validatefs: insert empty line after short description in help() text

As per our usual coding style.

xattr-util: add missing assertions

Follow-up for ed024abac6e4acad5a77943721e7622bb1b10b71
and 9fbe26cfa8fadb58e048aa6a57ad0dacf5de03fc

Also, let's not get too tangled up in the style of defining variables
in between. The functions are short enough, and vars involved are still
effectively at the beginning... Put differently, the separation from
'int r' is too deliberate and brings no actual value in my eyes.

test: pass verbose option to nvme-cli

When the test fails due to nvme-cli/kernel issues it's hard to report it
upstream as there's not enough details, add verbose flags

introduce systemd-validatefs@.service that ensures file systems can only be used in the way they were intended (#36714)

If we have multiple trusted fs (i.e. luks or dm-verity) we generate via
repart at boot, we must make sure they cannot be "misappropriated", i.e.
used for a different mount they were intended for.

Hence, let's introduce "mount constraint" data (encoded in xattrs on the
root inode of the fs) that tells us where a file system has to be
mounted, and what the gpt partition metadata has to be for the fs to be
valid.

Inspired by this thread:
https://lists.freedesktop.org/archives/systemd-devel/2025-March/051244.html