shared: add libpasswdqc support

Co-authored-by: Dmitry V. Levin <ldv@altlinux.org>
Resolves: #15055

shared: add password quality check abstraction layer to support both pwquality and passwdqc

Co-authored-by: Dmitry V. Levin <ldv@altlinux.org>

homed: change user_record_quality_check_password to use quality_check_password

With this change, the only direct users of libpwquality functions
are those defined in pwquality-util.

pwquality: add old password argument to quality_check_password

This would allow to use quality_check_password() in
user_record_quality_check_password() which still uses
sym_pwquality_check() directly.

pwquality: do not log password suggestions

As logging password suggestions might leak sensitive information,
print it instead.

Suggested-by: Yu Watanabe <watanabe.yu+github@gmail.com>

pwquality: fix quality_check_password return value

quality_check_password() used to return the same value 0 in two
different cases: when pwq_allocate_context() failed with a
ERRNO_IS_NOT_SUPPORTED() code, and when pwquality_check() rejected the
password.  As result, users of quality_check_password() used to report
password weakness also in case when the underlying library was not
available.

Fix this by changing quality_check_password() to forward the
ERRNO_IS_NOT_SUPPORTED() code to its callers, and change the callers
to handle this case gracefully.

pwquality: fix use of ERRNO_IS_NOT_SUPPORTED

Given that ERRNO_IS_*() also match positive values, call
ERRNO_IS_NOT_SUPPORTED() only if the value returned by
pwq_allocate_context() is negative.

treewide: fix "an" before consonant U sounds

The article "a" goes before consonant sounds and "an" goes before vowel
sounds. This commit changes an to a for UKI, UDP, UTF-8, URL, UUID, U-Label, UI
and USB, since they start with the sound /ˌjuː/.

Hwdb: Add Sanwa Direct 400-MA128 external trackpad (#28272)

* Hwdb: Add Sanwa Direct 400-MA128 external trackpad

```
$ udevadm info /dev/input/by-path/pci-0000:28:00.3-usb-0:1.4.4.1:1.1-event-mouse
P: /devices/pci0000:00/0000:00:07.1/0000:28:00.3/usb5/5-1/5-1.4/5-1.4.4/5-1.4.4.1/5-1.4.4.1:1.1/0003:258A:0501.0097/input/input256/event15
M: event15
R: 15
U: input
D: c 13:79
N: input/event15
L: 0
S: input/by-id/usb-SINO_WEALTH_USB_TOUCHPAD-if01-event-mouse
S: input/by-path/pci-0000:28:00.3-usb-0:1.4.4.1:1.1-event-mouse
E: DEVPATH=/devices/pci0000:00/0000:00:07.1/0000:28:00.3/usb5/5-1/5-1.4/5-1.4.4/5-1.4.4.1/5-1.4.4.1:1.1/0003:258A:0501.0097/input/input256/event15
E: DEVNAME=/dev/input/event15
E: MAJOR=13
E: MINOR=79
E: SUBSYSTEM=input
E: USEC_INITIALIZED=3436890430330
E: ID_INPUT=1
E: ID_INPUT_TOUCHPAD=1
E: ID_INPUT_WIDTH_MM=106
E: ID_INPUT_HEIGHT_MM=77
E: ID_BUS=usb
E: ID_MODEL=USB_TOUCHPAD
E: ID_MODEL_ENC=USB\x20TOUCHPAD
E: ID_MODEL_ID=0501
E: ID_SERIAL=SINO_WEALTH_USB_TOUCHPAD
E: ID_VENDOR=SINO_WEALTH
E: ID_VENDOR_ENC=SINO\x20WEALTH
E: ID_VENDOR_ID=258a
E: ID_REVISION=0521
E: ID_TYPE=hid
E: ID_USB_MODEL=USB_TOUCHPAD
E: ID_USB_MODEL_ENC=USB\x20TOUCHPAD
E: ID_USB_MODEL_ID=0501
E: ID_USB_SERIAL=SINO_WEALTH_USB_TOUCHPAD
E: ID_USB_VENDOR=SINO_WEALTH
E: ID_USB_VENDOR_ENC=SINO\x20WEALTH
E: ID_USB_VENDOR_ID=258a
E: ID_USB_REVISION=0521
E: ID_USB_TYPE=hid
E: ID_USB_INTERFACES=:030101:030000:
E: ID_USB_INTERFACE_NUM=01
E: ID_USB_DRIVER=usbhid
E: ID_PATH=pci-0000:28:00.3-usb-0:1.4.4.1:1.1
E: ID_PATH_TAG=pci-0000_28_00_3-usb-0_1_4_4_1_1_1
E: ID_INPUT_TOUCHPAD_INTEGRATION=internal
E: LIBINPUT_DEVICE_GROUP=3/258a/501:usb-0000:28:00.3-1.4.4
E: DEVLINKS=/dev/input/by-id/usb-SINO_WEALTH_USB_TOUCHPAD-if01-event-mouse /dev/input/by-path/pci-0000:28:00.3-usb-0:1.4.4.1:1.1-event-mouse
```
Link to product: https://www.amazon.co.jp/gp/product/B07Z5HCMFP

hwdb: add support for Archos 101 Cesium to 60-sensor.hwdb (#28270)

Co-authored-by: Yu Watanabe <watanabe.yu+github@gmail.com>

tpm2-util: remove unnecessary semicolon

network/json: introduce PreferredLifetimeUSec and ValidLifetimeUSec

Merge pull request #28265 from yuwata/network-captive-portal-follow-ups

network: several follow-ups for captive portal support

service: explicitly cast float to usec_t

Let's cast these floats explicitly to usec_t, since implicit
float-to-integer casts are dangerous business, and we should underline
that there's a cast happening here.

core/service: make restart delay increase more smoothly

Suggested in https://github.com/systemd/systemd/pull/26902#issuecomment-1620400583.

NEWS: more preparation for 254-rc1

Merge pull request #27713 from ddstreet/tpm2_replace_make_primary

Tpm2 replace make primary

Merge pull request #28243 from bluca/sbat_initrd

ukify: enable --sbat for UKIs too

networkctl: urlify captive portal entry

test-network: drop ExecReload= in networkd.service and udevd.service

Follow-up for 0e07cdb0e77d0322bc866b5e13abbe38e988059d and
f84331539deae28fbeb42d45ad0c8d583b3372a3.

network/ndisc: downgrade log level

The failures may be critical for per-link operation, but not critical
for the service.

network: handle captive portal with multiple routers

Before this patch, if a network has multiple routers and one of them
provides a captive portal, then the portal was overwritten or cleared
when another RA from another router is received.

This makes captive portals managed in the similar way as DNS servers or
DNS domains. So now captive portal can safely handled even if a network
has multiple routers.

network: update comment

network: introduce link_get_captive_portal()

Then, downgrade log level of the message about mis-match of captive
portals in different protocols.

Merge pull request #28262 from YHNdnzj/transaction-followup

Follow-ups for PropagatesStopTo= fix

tpm2: remove tpm2_make_primary()

Replace use of tpm2_make_primary() with tpm2_create_loaded()

tpm2: move local vars in tpm2_unseal() to point of use

No functional change; cosmetic only.

tpm2: add tpm2_get_or_create_srk()

Add function to simplify getting the TPM SRK; if one exists, it is provided,
otherwise one is created and then the new SRK provided.

This also add tpm2_create_loaded() and updates tpm2_seal() to use the new
functions instead of tpm2_make_primary().

tpm2: add tpm2_persist_handle()

Add function to convert a transient handle in the TPM into a persistent handle
in the TPM.

tpm2: cache TPM algorithms

Cache the supported algorithms when creating a new context.

tpm2: cache the TPM supported commands, add tpm2_supports_command()

Cache the TPM's supported commands and provide a function to check if a command
is supported.

basic/alloc-util: add greedy_realloc_append()

Add function to perform greedy realloc as well as copying the new data into the
newly allocated space.

tpm2: replace tpm2_capability_pcrs() macro with direct c->capaiblity_pcrs use

tpm2: add tpm2_create()

This allows creating a new object (e.g. sealed secret) or key using the TPM.

Note that the new object/key is not loaded in the TPM after creation.

tpm2: replace magic number in hmac_sensitive initialization

Instead of setting hmac_sensitive.sensitive.data.size to '32' use the actual
hash size as set in the hmac_template.

tpm2: move local vars in tpm2_seal() to point of use

No functional change; cosmetic only.

tpm2: add tpm2_load_external()

This allows loading an external object/key (e.g. an openssl public key) into
the TPM.

tpm2: add tpm2_load()

This function allows loading an object (e.g. a sealed secret) or key into the
TPM.

update syscall tables for upcoming v254

update hwdb autosuspend data for v254

meson: run forgotten 'update-man-rules'

TEST-03-JOBS: test indirect PropagatesStopTo=

core/transaction: correctly skip unneeded operations for PropagatesStopTo=

Follow-up for 48cb073db81fa73f64bc5aa9a1b81ebf627235fa

Break out from LIST_FOREACH correctly if nt == JOB_NOP.
Shouldn't have functional changes, just optimization.

Merge pull request #28258 from poettering/boot-feature-catchup

sd-boot/sd-stub boot feature flag catchup

Merge pull request #28255 from yuwata/sd-device-fix-clone

sd-device: fix device_clone_with_db()

test: replace readfp() with read_file()

ConfigParser.readfp() has been deprecated since Python 3.2 and was
dropped completely in Python 3.11.

ukify: measure sbat section too

ukify: enable --sbat for UKIs too

For confidential computing they want to be able to revoke initrds too, so allow
passing a specific --sbat section when building a UKI too, not just an addon.
Merge it with the stub and kernel sections.

hwdb update for v246-rc1

hostname-setup: don't pass "true" to a flags parameter

Merge pull request #28252 from yuwata/journal-open-machine

journal: introduce journal_open_machine()

boot: make LoaderType enum less special

Usually (but not always) we use uppercase type naming, and do a typedef
for enums like this. Do so here too.

boot: rename entry_count → n_entries

While we don't strictly follow the rule, most of our userspace names
these fields that count entries in some array n_xyz, hence let's do so
in the EFI boot code too, to make things less special.

efi: add a bunch of reported EFI loader/stub feature flags

We gained a bunch of new features that deserve reporting to userspace,
hence add matching flags for each.

This allows userspace to determine if installing addons in the ESP even
makes sense.

This is inspired by a similar changes in #28057

journal-upload: add missing assertion

journal-upload: replace deprecated sd_journal_open_container()

journal-util: extract journal_open_machine() from journalctl

sd-journal: introduce SD_JOURNAL_TAKE_DIRECTORY_FD flag for sd_journal_open_directory_fd()

If it is called with the flag, then the provided file descriptor will be
owned by the sd_journal object, and will be closed in sd_journal_close().

test: change partition label to test if the outdated devlinks are removed

The change is intended to reproduce the issue #27983, though the
original issue is highly racy, and the test does not reproduce it
reliably. But, anyway, it is better to change the partition label to
test the devlink removal.

sd-device: do not read uevent file in device_clone_with_db()

Follow-up for 381f6d4ba5551898e7ff19189485072b94879281.

When the function is called, the device may be already removed, and
another device has the same syspath. Such situation can occur when a
partition removed and another is created. In that case, the sysfs paths
of the removed and newly created partitions can be same, but their
devnums are different, and thus the database files corresponding to the
devices are also different.

Fixes #27981.

Merge pull request #26844 from YHNdnzj/propagate-stop-fixup

core: introduce UNIT_ATOM_PROPAGATE_STOP_GRACEFUL for PropagatesStopTo=

Merge pull request #28207 from poettering/initrd-creds

various credential improvements (including initrd creds, creds in generators, fstab + getty creds)

Merge pull request #28253 from yuwata/hwdb-follow-up

hwdb: several cleanups

Merge pull request #28228 from yuwata/repart-free-area

repart: fix free area calculation

unit: also condition out systemd-backlight in initrd

Follow-up for 9173d31dfea5c2b05ff08480972c499cb7aac940.

The systemd-backlight@.service also save/restore state but the data
is in /var/.

units: condition out a few services in the initrd

Let's make our units more robust to being added to an initrd:

1. systemd-boot-update only makes sense if sd-boot is available in /usr/
   to copy into the ESP. This is generally not the case in initrds, and
   even if it was, we shouldn't update the ESP from the initrd, but from
   the host instead.

2. The rfkill services save/restore rfkill state, but that information
   is only available once /var/ is mounted, which generally happens
   after the initrd transition.

3. utmp management is partly in /var/, and legacy anyway, hence don't
   bother with it in the initrd.

test: update test for free area calculation in repart

repart: fix free area calculation

Like fdisk_get_last_lba(), fdisk_partition_get_end() return the last
sector in the partition.

Fixes #28225.

test: add reproducer for issue #28225

hwdb: make matching modalias for Archos 101 Cesium Educ more strict

Follow-up for 41f34dcf3bc7004aaa9b251480d56bcfe144346d.

hwdb: merge multiple keyboard entries with same setting

Follow-up for 123c0e24dd3af4c7168ee77dad841cc730b5db60.

Note, the entry was originally added for IdeaPad Flex 5 in
21b589a15504cdbd309a82abb566ef4e36957f92.
Then, a bug introduced by 19db450f3a243fcaf0949beebafc3025f8e3a98e.
But, when it was fixed by 738a195bd59dc2e85c15382d17d391c1781aaa4e,
the glob becomes too stricter, and another variant was added by
123c0e24dd3af4c7168ee77dad841cc730b5db60.

hwdb: drop trailing white space

Follow-up for 4687f001e689fd482f530a8d1d0adc93e01d74ea.

journal-upload: make --namespace=* work

Follow-up for 9f6e0bd417fa287dd1e7b541bfe0c60f04cc29e4.

Note that sd_journal_open() is a simple wrapper of sd_journal_open_namespace(),
hence we can merge the two branch.

test: add test cases for issue #26839 in TEST-03-JOBS

core: introduce UNIT_ATOM_PROPAGATE_STOP_GRACEFUL for PropagatesStopTo=

Follow-up for 017a7ba4f406adcf69d6b3ec15b9f2d9ed5ad853

Before this commit, when a unit that is restarting propagates stop
to other units, it can also depend on them, which results in
job type conflict and thus failure to pull in the dependencies.

So, let's introduce a new dependency atom UNIT_ATOM_PROPAGATE_STOP_GRACEFUL,
and use it for PropagatesStopTo=. It will enqueue a restart job if
there's already a start job, which meets the ultimate goal and avoids
job type conflict.

Fixes #26839

core/transaction: return early when appropriate to reduce nesting

man/systemctl: document --job-mode=restart-dependencies

Follow-up for 09d04ad325473e05e23e6ba8382d7de1dd819bda

update TODO

import-creds: add support for binary credentials specified on the kernel cmdline

man: document where PID 1 imports credentials from

man: document how credentials are passed into generators

doc: document inird credentials + and how to consume credentials in generators

(as well as various other fixes)

generator: run various generators only run on the host, not in initrd

These 5 generators only make sense on the host,not in the initrd, hence
if they end up in the initrd anyway, make them exit quickly.

test: verify that the getty generator with creds works

getty-generator: minor modernizations

getty-generator: allow configuring additional gettys via credentials

test: add simple fstab credential test

fstab-generator: add more parameter name comments

fstab-generator: optional read addtional fstab lines from credentials

Fixes: #27260

test: add test for initrd credentials

This extends the test framework a bit, and allows adding additional
initrds to the qemu invocation, which we use here to place credentials
in the new /run/systemd/@initrd/ credentials dir which are then passed
to the host.

import-creds: unify acquire_credential_directory() + acquire_encrypted_credential_directory()

Let's unify these very similar functions, and port them to the new
mount_credentials_fs() call.

While we are at it, if we detect that the credentials dir already is a
mount point, remount it writable so that we can actually write to it.

execute: split out mounting of credentials fs

Let's add two new helpers: mount_credentials_fs() and
credentials_fs_mount_flags(). The former mounts a file system suitable
for storing of unencrypted credentials at runtime (i.e. a ramfs or
tmpfs). The latter determines the right mount flags to use for such a
mount.

Both functions mostly just take code from execute.c, but make two
changes:

1. If the kernel supports it we'll use a tmpfs with the new "noswap"
   mount option instead of ramfs. Was added in kernel 6.4, hence is very
   recent, but tmpfs is so much less crappy than ramfs, hence worth it.

2. We'll set MS_NOSYMFOLLOW on the mounts if supported. These file
   systems should only contain regulra files, hence no need to allow
   symlinks.

import-creds: show list of imported credentials during initialization of PID 1

Let's make things easier to debug: provide an overview what has been
passed, during boot.

core: consult credentials for machine ID to use for host

Let's hook up one more thing with credentials: the machine ID to use
when none is initialized yet.

This requires some reordering of initialization steps in PID 1: we need
to import credentials first, and only then initialize the machine ID.

import-creds: pick up vmm.notify_socket also from encrypted credentials

Now that we have the infra in place, make PID 1 pick up encrypted
credentials too.

(While we are at it, split this out into its own helper)

creds-util: add new helper read_credential_with_decryption()

This is just like read_credential() but also looks into the encrypted
credential directory, not just the regular one.

Normally, we decrypt credentials at the moment we pass them to services.
From service PoV all credentials are hence decrypted credentials.

However, when we want to access credentials in a generator this logic
does not apply: here we have the regular and the encrypted credentials
directory. So far we didn't attempt to make use of credentials in
generators hence.

Let's address and add helper that looks into both directories, and talks
to the TPM if necessary to decrypt the credentials.

import-creds: define a new dir where initrd configurators can pass credentials to host

execute: fix credential dir handling for fs which support ACLs

When the credential dir is backed by an fs that supports ACLs we must be
more careful with adjusting the 'x' bit of the directory, as any chmod()
call on the dir will reset the mask entry of the ACL entirely which we
don't want. Hence, do a manual set of ACL changes, that only add/drop
the 'x' bit but otherwise leave the ACL as it is.

This matters if we use tmpfs rather than ramfs to store credentials.

man: make sure credentials properly show up in directives index

journal-remote: upload journals from namespace