network: stop to assign UUID when reconfiguring link

This fixes the following race in reconfiguring link:
1. an interface requests UUID.
2. the interface is reconfigured and link_configure() is called.
3. sd-lldp client is started on the interface (it is enabled by default).
4. networkd acquires UUID, and get_product_uuid_handler() calls
   link_configure() for the link again.
5. link_lldp_rx_configure() fails to set ifindex for already running
   sd-lldp client.
6. the link enters failed state.

network: use bus_error_message()

meson: use '_' as separator in fuzz test names

Follow-up for d448888924c1d4815cb97bcd5d94419812c053b9 and ca121e20c42219e3bc4e5cb63dcc96cc5eae2879.

Fixes #17568.

tree-wide: fix typos

pager: stop disabling urlification under a pager

Less 568 properly shows urlified strings.

Putative NEWS entry:
* Urlification is now enabled by default even when a pager is used.
  Previously it was disabled, because less would not show such markup
  properly. This has been fixed in less 568.
  Please either upgrade less, or use SYSTEMD_URLIFY=0 to disable the
  feature.

Merge pull request #17692 from yuwata/ipv4ll

network: fold ipv4ll fallback modes into normal ipv4ll addressing

Merge pull request #17703 from poettering/event-ratelimit

sd-event: add a concept of ratelimiting

Merge pull request #17524 from poettering/fileio-offset

cryptsetup: if keyfile is specified as AF_UNIX socket in the fs, connect to it, and read key data from it

man: document new ratelimiting APIs

core: prevent excessive /proc/self/mountinfo parsing

test: add ratelimiting test

(Taken from Michal's #17274 by Lennart, and slightly adjusted)

sd-event: add ability to ratelimit event sources

Let's a concept of "rate limiting" to event sources: if specific event
sources fire too often in some time interval temporarily take them
offline, and take them back online once the interval passed.

This is a simple scheme of avoiding starvation of event sources if some
event source fires too often.

This introduces the new conceptual states of "offline" and "online" for
event sources: an event source is "online" only when enabled *and* not
ratelimited, and offline in all other cases. An event source that is
online hence has its fds registered in the epoll, its signals in the
signalfd and so on.

sd-event: remove earliest_index/latest_index into common part of event source objects

So far we used these fields to organize the earliest/latest timer event
priority queue.  In a follow-up commit we want to introduce ratelimiting
to event sources, at which point we want any kind of event source to be
able to trigger time wakeups, and hence they all need to be included in
the earliest/latest prioqs.  Thus, in preparation let's make this
generic.

No change in behaviour, just some shifting around of struct members from
the type-specific to the generic part.

sd-event: follow coding style with naming return parameter

sd-event: ref event loop while in sd_event_prepare() ot sd_event_run()

sd_event_prepare() invokes callbacks that might drop the last user ref
on our event loop. Let's make sure we keep an explicit ref around it, so
that we won't end up with an invalid pointer. Similar in sd_event_run().

Basically, any function that is publically callable that might end up
invoking callbacks should ref the relevant objects to be protected
against callbacks destroying these objects while we still want to access
them. We did this correctly in sd_event_dispatch() and sd_event_loop(),
but these are not the only ones which are callable from the outside.

sd-event: let's suffix last_run/last_log with "_usec"

Otherwise it's a bit confusing what this is about: two timestamps.

sd-event: split out code to add/remove timer event sources to earliest/latest prioq

Just some refactoring that makes code prettier, and will come handy
later, because we can reuse these functions at more places.

sd-event: split clock data allocation out of sd_event_add_time()

Just some simple refactoring, that will make things easier for us later.
But it looks better this way even without the later function reuse.

sd-event: mention that two debug logged events are ignored

update TODO

man: drop comment about ECC vs. RSA and Yubikey

The comment is pointless, ECC systematically doesn't allow
encryption/decryption directly, only RSA does that. If you want to use
ECC for asymmetric encryption/decryption you have to combine it with key
exchange scheme and symmetric scheme. This all is not a limitation of
the Yubikey, hence don't claim so. It's just how ECC is.

man: document how cryptsetup keys may be acquired via AF_UNIX sockets

cryptsetup: modify keyfile search logic to use read_file_full() too

Let's move the 3rd way how cryptsetup acquires key files to
read_file_full() too.

Since load_key_file()'s raison d'etre now is just the search path logic,
let's rename the function to find_key_file().

cryptsetup: port cryptsetup's main key file logic over to read_full_file_full()

Previously, we'd load the file with libcryptsetup's calls. Let's do that
in our own, so that we can make use of READ_FULL_FILE_CONNECT_SOCKET,
i.e. read in keys via AF_UNIX sockets, so that people can plug key
providers into our logic.

This provides functionality similar to Debian's keyscript= crypttab
option (see → #3007), as it allows key scripts to be run as socket
activated services, that have stdout connected to the activated socket.
In contrast to traditional keyscript= support this logic runs stuff out
of process however, which is beneficial, since it allows sandboxing and
similar.

cryptsetup: port PKCS#11 code to read key file with read_full_file()

Now that we can read from offsets/with size, let's port the cryptsetup
PKCS#11 key file logic over to read_full_file_full().

fileio: teach read_full_file_full() to read from offset/with maximum size

journal-remote: suffix cmdline option that expects arg with =

man: mention that --key= is about *secret* keys

journal-remote: use READ_FULL_FILE_SECURE|READ_FULL_FILE_WARN_WORLD_READABLE when reading PEM secret key

It's secret data, hence use the appropriate flags.

repart: warn about world writable key files

We have easy support for this, hence use it for privileged key data.

dissect-image: use simple version of read_full_file() where we can

journal-remote: erase secret PEM key from memory after use

scope: on unified, make sure to unwatch all PIDs once they've been moved to the cgroup scope

Commit 428a9f6f1d0396b9eacde2b38d667cbe3f15eb55 freed u->pids which is
problematic since the references to this unit in m->watch_pids were no more
removed when the unit was freed.

This patch makes sure to clean all this refs up before freeing u->pids by
calling unit_unwatch_all_pids().

sd-event: fix delays assert brain-o (#17790)

s/sizeof/ELEMENTSOF/

Bug introduced in 34b87517749caa4142b19eb3c63bdf349fafbc49.

mkosi: make ubuntu image bootable by default

man: Speicfy exact return values of sd_bus_message_enter_container

po: add units/systemd-journald.service.in to POTFILES.skip

hwdb: add axis range corrections for Lenovo ThinkPad T14 Gen1

network: use IN_SET() macro

Follow-up for 1d370b2c182505ff8033fccbebcc56621d305220.

network: treat IPv4LL is one of dynamic addressing protocol

This makes an IPv4LL address optional when multiple dynamic
addressing protocols are enabled.

network: simplify the condition about ipv4ll is enabled or not

network: shorten link_check_ready() a bit

network: stop IPv4LL engine when DHCPv4 address is successfully acquired

networkd: start ipv4ll when dhcp has trouble getting a lease

Fixes #13316.

sd-dhcp-client: report transient DHCP failure to the caller

So far we only reported major state transitions like failure to acquire
the message. Let's report the initial failure after a few timeouts in
a new event type.

The number of timeouts is hardcoded as 3, since Windows seems to be using
that. I don't think we need to make this configurable out of the box. A
reasonable default may be enough.

networkd: merge ll addressing fallback modes into normal "boolean" values

They are not really boolean, because we have both ipv4 and ipv6, but
for each protocol we have either unset, no, and yes.

From https://github.com/systemd/systemd/issues/13316#issuecomment-582906817:
LinkLocalAddressing must be a boolean option, at least for ipv4:
- LinkLocalAddressing=no => no LL at all.

- LinkLocalAddressing=yes + Static Address => invalid configuration, warn and
  interpret as LinkLocalAddressing=no, no LL at all.

(we check that during parsing and reject)

- LinkLocalAddressing=yes + DHCP => LL process should be subordinated to the
  DHCP one, an LL address must be acquired at start or after a short N
  unsuccessful DHCP attemps, and must not stop DHCP to keeping trying. When a
  DHCP address is acquired, drop the LL address. If the DHCP address is lost,
  re-adquire a new LL address.

(next patch will move in this direction)

- LinkLocalAddressing=fallback has no reason to exist, because LL address must
  always be allocated as a fallback option when using DHCP. Having both DHCP
  and LL address at the same time is an RFC violation, so
  LinkLocalAdressing=yes correctly implemented is already the "fallback"
  behavior. The fallback option must be deprecated and if present in older
  configs must be interpreted as LinkLocalAddressing=yes.

(removed)

- And for IPv6, the LinkLocalAddress option has any sense at all? IPv6-LL
  address aren't required to be always set for every IPv6 enabled interface (in
  this case, coexisting with static or dynamic address if any)? Shouldn't be
  always =yes?

(good question)

This effectively reverts 29e81083bd2fcb2dbf83f67ef358c7d25adf7e9d. There is no
special "fallback" mode now, so the check doesn't make sense anymore.

sd-dhcp-client: minor simplification

man: adjust description of MaxAttempts

The code was changed in 715cedfbf03a2eb1d4dca5d1b2b876e52a3b652d to allow more than
six attempts and the old description stopped making sense.

Merge pull request #17761 from keszybz/documentation-followups

Two tiny fixlets

Update logind-button.c

test-networkd-conf: add missing assert_se

Coverity CID#1437351. Fixup for f706340979a.

semaphore: temporarily disable the timedated test suite

All otherwise passing Semaphore CI builds are now getting stuck on the
timedated test suite. Let's temporarily skip it until the issue is
resolved.

See: https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=975010

hwdb: 60-keyboard: Add Dell Inspiron 11 3168 Fn+Home/End/PageUp/PageDown key mappings

On the Dell Inspiron 11 3168 the Fn and Arrow Keys control the Home, End, Page Up and Page Down keys. This commit allows those keys to work correctly.

Merge pull request #17734 from yuwata/parse-hwdb

hwdb: add missing Group()

Merge pull request #17732 from yuwata/core-use-synthetic_errno

core,network: use SYNTHETIC_ERRNO() macro

NEWS: really fix kernel version number reference

Fixes #17736.

coccinelle: ignore specific cases to use SYNTHETIC_ERRNO() macro

cryptsetup: drop unnecessary bracket

test: use for(;;) instead of while(true)

core/scope: use set_ensure_put()

mount-util: use mfree()

oom: use CMP() macro

core: fix typo

coccinelle: add rules for log_unit_error_errno() or friends

network: fix return values

network: use SYNTHETIC_ERRNO() macro

core: use SYNTHETIC_ERRNO() macro

core/timer: drop unnecessary brackets

Merge pull request #17474 from yuwata/network-drop-link-deserialization-logic

network: drop link deserialization logic

Merge pull request #17478 from yuwata/split-network-internal

libsystemd-network: split network-internal.c

resolved: allow cache responses from local DNS servers

oom: fix oomd.conf install location

The file is read in pkgsysconfdir, so install it there.

home: fix homed.conf install location

The install location changed in d7aa78c32f076c305ceeb183fc06eb1de0960deb,
I think this was not intentional. Keep the condition but revert the path.

hwdb: add missing Group()

This fixes the following warning:
```
parse_hwdb.py:120: UserWarning: warn_ungrouped_named_tokens_in_collection: setting results name 'SETTINGS*' on And expression collides with 'HZ' on contained expression
  dpi_setting = (Optional('*')('DEFAULT') + INTEGER('DPI') + Suppress('@') + INTEGER('HZ'))('SETTINGS*')
```

Not sure about for the mount_matrix, but LGTM.com warns in that line,
and, adding Group() does not change the parse result.

hwdb: enable diagnostic switches

Merge pull request #17738 from keszybz/hwdb-news-update-v247

Update hwdb and news for v247

shared/seccomp-util: address family filtering is broken on ppc

This reverts the gist of da1921a5c396547261c8c7fcd94173346eb3b718 and
0d9fca76bb69e162265b2d25cb79f1890c0da31b (for ppc).

Quoting #17559:
> libseccomp 2.5 added socket syscall multiplexing on ppc64(el):
> https://github.com/seccomp/libseccomp/pull/229
>
> Like with i386, s390 and s390x this breaks socket argument filtering, so
> RestrictAddressFamilies doesn't work.
>
> This causes the unit test to fail:
> /* test_restrict_address_families */
> Operating on architecture: ppc
> Failed to install socket family rules for architecture ppc, skipping: Operation canceled
> Operating on architecture: ppc64
> Failed to add socket() rule for architecture ppc64, skipping: Invalid argument
> Operating on architecture: ppc64-le
> Failed to add socket() rule for architecture ppc64-le, skipping: Invalid argument
> Assertion 'fd < 0' failed at src/test/test-seccomp.c:424, function test_restrict_address_families(). Aborting.
>
> The socket filters can't be added so `socket(AF_UNIX, SOCK_DGRAM, 0);` still
> works, triggering the assertion.

Fixes #17559.

NEWS: fix kernel version number reference

Fixes #17736.

NEWS: version 247

hwdb: update chromiumos autosuspend rules

hwdb: update for v247

Only some small changes, because we updated recently. As usual, it seems that there are mostly
additions with a smaller amount of corrections, no big removals.

docs/RELEASE: clarify which steps are done when

test: use cap_last_cap() for max supported cap number, not capability_list_length()

This test assumes capability_list_length() is an invalid cap number,
but that isn't true if the running kernel supports more caps than we were
compiled with, which results in the test failing.

Instead use cap_last_cap() + 1.

If cap_last_cap() is 63, there are no more 'invalid' cap numbers to test with,
so the invalid cap number test part is skipped.

Translated using Weblate (Chinese (Simplified))

Currently translated at 83.9% (157 of 187 strings)

Co-authored-by: Whired Planck <fungdaat31@outlook.com>
Translate-URL: https://translate.fedoraproject.org/projects/systemd/master/zh_CN/
Translation: systemd/master

Merge pull request #17622 from yuwata/udev-database-set-udev-version

sd-device: make sd_device_has_current_tag() compatible with udev database generated by older udevd

add touchpad-edge-detect output for the Lenovo Thinkpad Extreme to evdev.hwdb

Merge pull request #17709 from yuwata/test-seccomp-skip

test: skip several tests in test-seccomp when running under valgrind or ASAN

sd-device: make sd_device_has_current_tag() and friends compatible with database version 0

sd-device: introduce database version and save it in udev database V field

sd-device: make device_add_property_internal() inline

man: slightly update the man page of sd_bus_message_read_basic()

Follow-up for 73a1d7d2433edd1872ec53db3e804009298ebb1d.

man: Fixed an incomplete sentence

man: Specify that sd_bus_message_read_basic returns 0 if end of array had been reached.

docs: document what VPNs should do to systemd-resolved.service

Fixes: #17588 #17512
Prompted-by: #17529
(Also relevant: #6076)

core/mount: mount command may fail after adding the corresponding proc mountinfo entry

Hopefully fixes #17617.

Merge pull request #17715 from yuwata/specifier-follow-ups

Sort specifiers

cryptsetup: use log_warning_errno() where we can, instead of log_warning()

Merge pull request #17721 from poettering/more-strjoin-cryptsetup

two minor fixes/clean-ups

mkosi: make sure our mkosi files work with f33

test: skip several tests in test-seccomp when running on asan