update TODO

mount-setup: port from nftw() to recurse_dir()

kbd-util: port from nftw() to recurse_dir()

cgroup-util: port from nftw() to recurse_dir()

kmod-setup: port from nftw() to recurse_dir()

tests: add test for recurse_dir()

basic: add new recurse_dir() tool as replacement for nftw()

libc nftw() shows its age a bit, let's replace it with a more moden
infra that is built around openat(), O_PATH, statx(). This makes the
interface less prone to races and cleans up the API a bit adding
substantially more functionality.

tree-wide: remove a few unnecessary inclusions of ftw.h

fileio: add shortcut for xopendirat() when called in opendir() compatible mode

dirent-util: split out new function stat_mode_to_dirent_type()

This contains the mapping between mode_t inode type flags and dirent's
d_type. Splitting this out allows us to use the mapping elsewhere later.

test: make OpenSSL checks optional in TEST-50-DISSECT

If the packages are built without libssl simply skip the signature
checks.

Oct 06 21:21:32 H systemd[1]: systemd 249.1249.gcc4df1f787.0 running in system mode (+PAM +AUDIT +SELINUX +APPARMOR +IMA +SMACK +SECCOMP +GCRYPT +GNUTLS -OPENSSL
...
Oct 06 21:22:21 H systemd[459]: Activation of signed Verity volume worked neither via the kernel nor in userspace, can't activate.

Follow-up for #20691

Merge pull request #20926 from yuwata/udev-net-wol-sopass

udev/net: introduce WakeOnLanPassword=

test: test udev with a _very_ long device name

Let's attempt to provide some coverage for #16161, #6867, and similar.

coredump: Don't log an error if D-Bus isn't running

coredumpctl could be used in a chroot where D-Bus isn't running. If
that's the case, we shouldn't consider it an error if we can't connect
to the D-Bus daemon so let's reduce the severity of the error we log
when we can't connect to D-Bus because the socket doesn't exist.

Merge pull request #20935 from unusual-thoughts/fix-empty-argv

Fix #20933

udev/net: introduce WakeOnLanPassword=

Closes #20913.

Merge pull request #18145 from kinvolk/iaguis/lsm-bpf

Add RestrictFileSystems= property using LSM BPF

user-record: disable two pbkdf fields that don't apply for pkbdf2

Fixes: #20830

ethtool-util: make ethtool_set_wol() take password

ethtool-util: do not try to enable unsupported WoL options

ethtool-util: make wol_options_to_string() not return all flag strings

Update 60-sensor.hwdb

#20287 was wrong.
Y Axis was only reversed on Arch Linux because of a problem with iio-sensor-proxy
This restores before the patch.

core/service: also check path in exec commands

man: add discussion of read-only filesystem support in daemons

This is inspired by https://bugzilla.redhat.com/show_bug.cgi?id=1853293.  Let's
mention that applications should be prepared for /var being read-only.

man: document systemd-analyze filesystems

analyze: add filesystems command

README: document LSM BPF requirements

test: add test-bpf-lsm

man: document EXIT_BPF status

man: add RestrictFileSystems= documentation

mkosi: add libbpf dependency

For distros that ship libbpf >=0.2.0.

core: add dbus RestrictFileSystems= properties

core: add RestrictFileSystems= fragment parser

It takes an allow or deny list of filesystems services should have
access to.

core: use LSM BPF functions to implement RestrictFileSystems=

It attaches the LSM BPF program when the system manager starts up.

It populates the hash of maps BPF map when services that have
RestrictFileSystems= set start.

It cleans up the hash of maps when the unit cgroup is pruned.

To pass the file descriptor of the BPF map we add it to the keep_fds
array.

core: add BPF LSM functions

This adds 6 functions to implement RestrictFileSystems=

* lsm_bpf_supported() checks if LSM BPF is supported. It checks that
  cgroupv2 is used, that BPF LSM is enabled, and tries to load the BPF
  LSM program which makes sure BTF and hash of maps are supported, and
  BPF LSM programs can be loaded.
* lsm_bpf_setup() loads and attaches the LSM BPF program.
* lsm_bpf_unit_restrict_filesystems() populates the hash of maps BPF map with the
  cgroupID and the set of allowed or denied filesystems.
* lsm_bpf_cleanup() removes a cgroupID entry from the hash of maps.
* lsm_bpf_map_restrict_fs_fd() is a helper function to get the file
  descriptor of the BPF map.
* lsm_bpf_destroy() is a wrapper around the destroy function of the BPF
  skeleton file.

shared/bpf-dlopen: expose more libbpf functions

They're needed for the LSM BPF feature.

exit-status: add EXIT_BPF

It will be used later.

cgroup-util: add cg_path_get_cgroupid()

It returns the cgroupID from a cgroup path.

bpf: add restrict_fs BPF program

It hooks into the file_open LSM hook and allows only when the filesystem
where the open will take place is present in a BPF map for a particular
cgroup.

The BPF map used is a hash of maps with the following structure:

    cgroupID -> (s_magic -> uint32)

The inner map is effectively a set.

The entry at key 0 in the inner map encodes whether the program behaves
as an allow list or a deny list: if its value is 0 it is a deny list,
otherwise it is an allow list.

When the cgroupID is present in the map, the program checks the inner
map for the magic number of the filesystem associated with the file
that's being opened. When the program behaves as an allow list, if that
magic number is present it allows the open to succeed, when the program
behaves as a deny list, it only allows access if the that magic number
is NOT present. When access is denied the program returns -EPERM.

The BPF program uses CO-RE (Compile-Once Run-Everywhere) to access
internal kernel structures without needing kernel headers present at
runtime.

basic: use filesystem database

basic: add filesystem database

Stores filesystem_name -> magic_number(s).

missing_magic: add several filesystems

They were failing on CI.

basic: move CIFS magic number to missing_magic.h

It fits better there.

unit-file: tighten unit file discovery checks

Only accept DT_REG/DT_LNK/DT_DIR entries, ignore all others.

Only accpet DT_REG/DT_LNK for file names that are valid unit file names.

Only accept DT_DIR for filenames that are valid unit file names which
are suffixed by .d, .wants, .requires

This doesn't really fix any bugs, but tightens what we insert into the
lookup tables.

Merge pull request #20937 from poettering/sync-split

split up a few files in src/basic/

basic/env-util: correctly parse extended vars after non-extended vars (#20941)

repart: use right error variable

basic: move chase_symlinks_and_fopen_unlocked() → chase-symlinks.[ch]

core: fix SIGABRT on empty exec command argv

This verifies that the argv part of any exec_command parameters that
are sent through dbus is not empty at deserialization time.

There is an additional check in service.c service_verify() that again
checks if all exec_commands are correctly populated, after the service
has been loaded, whether through dbus or otherwise.

Fixes #20933.

basic: spit out chase_symlinks() from fs-util.[ch] → chase-symlinks.[ch]

basic: split out inotify-related calls from fs-util.h → inotify-util.h

basic: split out glyph/emoji related calls from locale-util.[ch] into glyph-util.[ch]

These functions are used pretty much independently of locale, i.e. the
only info relevant is whether th locale is UTF-8 or not. Hence let's
give this its own pair of .c/.h files.

basic: split out sync() family of calls from fs-util.[ch] into new c/h file

No changes in code, just some splitting out.

Merge pull request #20893 from poettering/per-user-oom-score

default to higher oom scores for user sessions

Merge pull request #20892 from yuwata/test-network-preferred-lifetime-zero

network: drop and warn duplicated address settings

test: create and merge code coverage reports in integration tests

If -Db_coverage=true is used at build time, then ARTIFACT_DIRECTORY/TEST-XX-FOO.coverage-info
files are created with code coverage data, and run-integration-test.sh also
merges them into ARTIFACT_DIRECTORY/merged.coverage-info since the coveralls.io
helpers accept only a single file.

man: document the new DefaultOOMScoreAdjust= setting

units: run user service managers at OOM score adjustment 100

Let's make it slightly more likely that a per-user service manager is
killed than any system service. We use a conservative 100 (from a range
that goes all the way to 1000).

Replaces: #17426

Together with the previous commit this means: system manager and system
services are placed at OOM score adjustment 0 (specifically: they
inherit kernel default of 0). User service manager (both for root and
non-root) are placed at 100. User services for non-root are placed at
200, those for root inherit 100.

Note that processes forked off the user *sessions* (i.e. not forked off
the per-user service manager) remain at 0 (e.g. the shell process
created by a tty or ssh login). This probably should be
addressed too one day (maybe in pam_systemd?), but is not covered here.

core: add a new setting DefaultOOMScoreAdjust= and set it to 100 above service manager's by default

Let's make our service managers slightly less likely to be killed by the
OOM killer by adjusting our services' OOM score adjustment to 100 above
ours. Do this conservatively, i.e. only for regular user sessions.

test: add test case for {get,set}_oom_score_adjust()

process-util: add helper for querying oom score adjustment value

test-network: add tests for duplicated address setting

Also, add more tests for PreferredLifetime=0

C.f. #20891.

network: do not ignore critical errors like OOM

network: downgrade log level for non-critical errors

network: drop and warn duplicated Address= settings

Fixes #20891.

man/glib-event-glue example: relicense to CC0-1.0

All other examples were relicensed to CC0-1.0 since they are intended
to be copied and pasted anywhere without any restrictions.
Relicense the last one too.

network: rename address_hash_ops -> address_hash_ops_free

Preparation for later commits.

network: make several hash_ops static

network: address: fix flags and lifetime in debugging logs

Prompted by #20891.

sleep: don't skip resume device with low priority/available space

this fixes hibernation when there's a higher priority swap preceding
the resume swap in /proc/swaps.

fixes #19486

Merge pull request #20924 from weblate/weblate-systemd-master

Translations update from Weblate

po: Translated using Weblate (Kabyle)

Currently translated at 2.1% (4 of 189 strings)

Co-authored-by: Slimane Selyan Amiri <selyan.kab@gmail.com>
Translate-URL: https://translate.fedoraproject.org/projects/systemd/master/kab/
Translation: systemd/main

po: Translated using Weblate (Croatian)

Currently translated at 100.0% (189 of 189 strings)

Co-authored-by: Gogo Gogsi <linux.hr@protonmail.com>
Translate-URL: https://translate.fedoraproject.org/projects/systemd/master/hr/
Translation: systemd/main

Merge pull request #20886 from bluca/license

SPDX: add README and license texts

po: Update translation files

Updated by "Update PO files to match POT (msgmerge)" hook in Weblate.

Co-authored-by: Weblate <noreply@weblate.org>
Translate-URL: https://translate.fedoraproject.org/projects/systemd/master/
Translation: systemd/main

Add all other applicable licenses under LICENSES/

License texts copied from:

https://github.com/spdx/license-list-data/blob/master/text/

add LICENSES/README.md explaining the license situation

man: add licenses to all files that lack one

Documentation is licensed under LGPL-2.1-or-later.
Scripts are MIT to facilitate reuse.
Examples are relicensed to CC0-1.0 to maximise copy-and-paste
for users, with permission from authors.

tree-wide: fix SPDX short identifier for LGPL-2.1-or-later

https://spdx.dev/ids/#:~:text=Allowing%20later%20versions%20of%20a%20license
https://spdx.org/licenses/LGPL-2.1-or-later.html

Merge pull request #20907 from keszybz/licensing-cleanup

Licensing cleanup

xorg/50-systemd-user: add a full license header

This file is installed onto user systems, so it should have the full
header that says where it came from.

licensing: add forgotten spdx headers

Those are all "our" files, but we forgot to add the headers,
most likely because of non-standard file extensions.

licensing: add missing header to one .network file

It should have the full header because it will be installed onto
user systems like the other .network files.

licensing: add spdx header to chromiumos helper, move license file

It makes it easier to process the license automatically like other files.
The text of the license in tools/chromiumos/LICENSE matches
https://spdx.org/licenses/BSD-3-Clause.html exactly.

licensing: add spdx to our .cocci files

Since those are chunks of code based on our codebase, it's easiest to use the
same license.

licensing: add header to POTFILES.in

This is just a stupid file list, but without the header the file shows
up on the list of files without a header. I checked that 'systemd-update-po'
still works, so I think it's OK to add this.

licensing: add missing license headers on translation files

Also make the headers more alike for consistency.

ci: use LGPLv2+ for all our ci configuration

github: use the same headers on yaml files

Also adjust the mention of location of mkosi files,
follow-up for d55ad7fe96eb1edf438a7a41a465723bd29d4b10.

licensing: say that our github docs are LGPLv2.1+

This mirros what 0aff7b7584 did for docs/.

mount-util: fix fd_is_mount_point() when both the parent and directory are network fs

The second call to name_to_handle_at_loop() didn't check for the specific
errors that can happen when the parent dir is mounted by nfs and instead of
falling back like it's done for the child dir, fd_is_mount_point() failed in
this case.

Merge pull request #20894 from andir/editorconfig

Set maximum line length in editorconfig for C and XML files

reduce the fuzz values in evdev hwdb for Asus UX362FA

Merge pull request #20777 from benzea/benzea/fix-seccomp-filter

seccomp: Always install filters for native architecture

networkd-test: fix resolved_domain_restricted_dns

megasearch.net was meant to be a non-existing bogus domain, and had been
for a long time. But it seems some domain grabber recently registered
it, and it's an actual thing now:

  $ host megasearch.net
  megasearch.net has address 207.148.248.143

This causes the test to fail randomly.

Use search.example.com instead which yields

  $ host search.example.com
  Host search.example.com not found: 3(NXDOMAIN)

Fixes: #18357

Merge pull request #20884 from mrc0mmand/to-shellcheck-or-not-to-shellcheck

tree-wide: the last batch of shellcheck shenanigans

test: use a less restrictive portable profile when running w/ sanitizers

Since f833df3 we now actually use the seccomp rules defined in portable
profiles. However, the default one is too restrictive for sanitizers, as
it blocks certain syscall required by LSan. Mitigate this by using the
'trusted' profile when running TEST-29-PORTABLE under sanitizers.

editorconfig: set maximum line length to 109 for man/*.xml files

editorconfig: enforce maximum line length in .c and .h files

ci: introduce Super-Linter for shell scripts

See: https://github.com/marketplace/actions/super-linter