analyze: add --profile switch to security verb

Allows to pass a portable profile when doing offline analysis of
units. Especially useful for analyzing portable images, since a
lot of the security-relevant settings in those cases come from
the profiles, but they are not shipped in the portable images.

shell-completion: add offline/root/image to systemd-analyze

portable: move profile search helper to path-lookup

Will be used in systemd-analyze later

update TODO

update TODO

NEWS: start with an entry for v250

Merge pull request #21529 from keszybz/test-journal-flush-no-crash

Fix crash in test-journal-flush in CI

test: make test-55-oomd less flaky

Make oomctl a bit less likely to race with systemd-oomd receiving the
managed oom cgroup info by checking oomctl output in a loop with
timeout.

Fixes #21146

Merge pull request #21501 from medhefgo/test

test: Use TEST macro

Merge pull request #21360 from yuwata/network-json

network: json: add more information

test-journal-flush: do not croak on corrupted input files

We would fail if the input file was corrupted:
build/test-journal-flush ./system@0005b7dac334f805-0021aca076ae5c5e.journal\~
journal_file_copy_entry failed: Bad message
Assertion 'r >= 0' failed at src/libsystemd/sd-journal/test-journal-flush.c:55, function main(). Aborting.
[1]    619472 IOT instruction (core dumped)  build/test-journal-flush ./system@0005b7dac334f805-0021aca076ae5c5e.journal\~

Let's skip some "reasonable" errors.

Fixes #17963.

test-journal-flush: allow testing against specific files

>=0 → ==0 because sd_journal_open* are documented to return 0.

mmap-cache: embed MMapCache.contexts[]

Code simplification; no idea why the Context structs were being
heap-allocated piecemeal.  There aren't many and they're small,
and made even smaller with this commit.

This also gets rid of the Context.cache backreference by just
accompanying the Context* with MMapCache* to the few private
Context* operations, resolving the context ID to a Context* at
the single public entrypoint: mmap_cache_fd_get(), which asserts
on the value being within bounds.  The Context.id member and
checks are also removed, as there's far less opportunity for
these things to become inconsistent now.

Of course this drops all context_{add,free}() related code,
making for a tasty diffstat.

journal: Deduplicate entry items before they are stored in the entry object

If the iovec contains the same data more than once, we'll end up with
duplicate offsets in the items array. Let's make sure we remove any
duplicates before we store the items in an entry object.

Merge pull request #21253 from poettering/homed-auto-grow-shrink

homed: automatic grow/shrink of LUKS home dirs

mmap-cache: LIST_REMOVE() *after* w->unused_prev

The LIST_REMOVE() macro always assigns NULL to w->unused_prev,
meaning every time this window was in last_unused, the remainder
of the unused list was lost to the ether.

Turns out there's been a memory leak in journald after all, this
code has been there since at least 2013...

Merge pull request #21522 from yuwata/home-fix-memleak

home: fix memleak

Merge pull request #21517 from yuwata/network-long-hw-addr

network: make MACAddress= can take longer address

network,udev: make .network and .link file can match with hardware address longer or shorter than ETH_ALEN

Try to fix exittype test flakyness

The test was changed at @bluca 's request to avoid sleeps,
but the change insufficient to avoid all races.
The kill command is now run from the script itself to avoid using
ExecStartPost

journal: Remove entry seqnum revert logic

This actually causes mismatches between the header tail entry seqnum
and the last entry seqnum since when we revert the header seqnum, we
don't remove the entry object we added. If adding the entry object
itself fails, we don't need to revert the seqnum since it's never
incremented so let's remove this logic alltogether.

update TODO

test: add test case for homed rebalancing logic

homectl: add new "homectl rebalance" command

Let's add an explicit, synchronous command to request immediate rebalancing and
wait for it.

homed: add explicit API for requesting rebalancing too

homed: add automatic grow/shrink ("rebalancing")

homectl: expose new rebalanceWeight JSON use record field

user-record: add rebalanceWeight field

test: don't provide password to deactivation

deactivation of home areas should work without any password being
supplied. Let's hence not supply it, to ensure things work correctly.

homed: support LogControl1 D-Bus API too, and make use of it

All our D-Bus services support the LogControl1 API, but homed didn't so
far. Fix that, and make use of it in the test case, to make debugging it
easier.

Merge pull request #21487 from DaanDeMeyer/dissect-image-other-arch

Allow dissect_image() to dissect images from architectures other than the native one

homework: fix memleak

Fixes #21521.

homework: drop unnecessary initialization

test: Use TEST macro in more cases

This converts to TEST macro in less trivial cases. This is mostly
due to having an intro or outro before/after the actual tests.

Some notable changes:
 - add a "test" to make sure the hashmap and ordered_hashmap tests
   from different compilation units are actually run in test-hashmap.c
 - make root arg a global var in test-install-root.c
 - slightly rework an EFI specific test in test-proc-cmdline.c
 - usage of saved_argv/saved_argc in test-process-util.c
 - splitting test-rlimit-util.c into several tests
 - moving the hwdb open check into intro in test-sd-hwdb.c
 - condense several "tests" into one in test-udev-util.c

test: Use TEST macro

This converts to TEST macro where it is trivial.

Some additional notable changes:
 - simplify HAVE_LIBIDN #ifdef in test-dns-domain.c
 - use saved_argc/saved_argv in test-copy.c, test-path-util.c,
   test-tmpfiles.c and test-unit-file.c

test-time-util: Properly restore TZ variable

The test fails to call tzset() after unsetting TZ variable, which
could break other tests. Also, let's be nicer and actually restore
the TZ to its original value.

test: Slightly rework DEFINE_TEST_MAIN macros

- A lot of tests want a different log level
- Provides saved_argc/saved_argv to tests
- Separate intro/outro is more flexible

test-network: add basic tests of json output

network: json: add more link information

network: introduce link_flags_to_string_alloc() and kernel_operstate_to_string()

network: json: append routing policy rule information

network: routing policy rule: introduce fr_act_type_full_to_string()

network: json: append neighbor information

network: json: append nexthop information

network: json: append route information

network: json: append address information

network: json: split manager_build_json() into two

network: json: make {network,device}_build_json() accept NULL

network: json: use new building json macros

network: address: expose address_flags_to_string_alloc()

json: introduce several macros for building json object

in-addr-util: introduce FAMILY_ADDRESS_SIZE_SAFE() macro

journal: Add more information to --verify error messages

json: add new JSON_BUILD_CONST_STRING() macro

This macro is like JSON_BUILD_STRING() but uses our json library's
ability to use literal strings directly as JsonVariant objects.

The changes all our codebase to use this new macro whenever we build
JSON objects from literal strings.

(I tried to make this automatic, i.e. to detect in JSON_BUILD_STRING()
whether something is a literal string nicely and thus do this stuff
automatically, but I couldn't find a way.)

This should reduce memory usage of our JSON code a bit. Constant strings
we use very often will now be shared and mapped directly from the ELF
image.

json: don't assert() if we add a NULL element via json_variant_set_field()

The rest of our JSON code tries hard to magically convert NULL inputs
into "null" JSON objects, let's make sure this also works with
json_variant_set_field().

network: make MACAddress= takes hardware address with its length is INFINIBAND_ALEN

Also, the multicast and local bits in the specified MAC address for
ethernet are adjusted.

mkosi: Install sd-boot using postinst script instead of in build script

This allows us to reuse bootctl install instead of replicating the
logic in the build script.

netif-util: introduce net_verify_hardware_address()

Update LINGUAS (#21499)

repart,homed: split out disk cleanup macros into generic header

list: add LIST_POP() helper that pops the first item off a linked list

man: "-j", not "-J" is the shortcut for JSON mode in homectl

The code and --help text got this right, hence fix the man page

Merge pull request #21503 from poettering/ioprio-fix

work around linux 5.15 ioprio API breakage

Merge pull request #21492 from andch-nn/add-micmute-dell-machine

Add micmute for dell machine

Merge pull request #21506 from poettering/homed-uidmap-fixes

homed uidmap (and other) fixes

Merge pull request #21508 from poettering/conn-count-fix

pid1: fix connection counting

build: fix build without seccomp

- execute.c: bpf functions were in the middle of an #if HAVE_SECCOMP
  block for no reason
- test-fd-util.c: make seccomp-util.h includable without depending on
  <seccomp.h>, and make is_seccomp_available() hardcoded to returning
  false in this case.
  Also fix a stray DEFINED() -- HAVE_SECCOMP is defined as 0, so normal
  #if should be used like everywhere else.

build(deps): bump github/codeql-action from 1.0.23 to 1.0.24

Bumps [github/codeql-action](https://github.com/github/codeql-action) from 1.0.23 to 1.0.24.
- [Release notes](https://github.com/github/codeql-action/releases)
- [Changelog](https://github.com/github/codeql-action/blob/main/CHANGELOG.md)
- [Commits](https://github.com/github/codeql-action/compare/a627e9fa504113bfa8e90a9b429b157a38b1cdbd...e095058bfa09de8070f94e98f5dc059531bc6235)

---
updated-dependencies:
- dependency-name: github/codeql-action
  dependency-type: direct:production
  update-type: version-update:semver-patch
...

Signed-off-by: dependabot[bot] <support@github.com>

man: suggest usage of CollectMode= in Accept=yes services

socket: various modernizations

socket: always pass socket, fd and SocketPeer ownership to service together

Per-connection socket instances we currently maintain three fields
related to the socket: a reference to the Socket unit, the connection fd,
and a reference to the SocketPeer object that counts socket peers.

Let's synchronize their lifetime, i.e. always set them all three
together or unset them together, so that their reference counters stay
synchronous.

THis will in particuar ensure that we'll drop the SocketPeer reference
whenever we leave an active state of the service unit, i.e. at the same
time we close the fd for it.

Fixes: #20685

journal: Don't allow creating invalid objects

Let's not allow creating empty entry or data objects. Let's also
not allow creating data objects from data without an embedded '='
character.

Merge pull request #21502 from keszybz/os-release-debugging

Additional debugging info to make release-extension easier to introspect

unit_is_bound_by_inactive: fix return pointer check

*ret_culprit should be set if ret_culprit has been passed a non-null value,
checking the previous *ret_culprit value does not make sense.

This would cause the culprit to not properly be assigned, leading to
pid1 crash when a unit could not be stopped.

Fixes: #21476

homework: add debug log message whenever we applied a uidmap to a mount

homework: fix a bad error propagation

homework: also apply uid shifting when changing passwords/resizing/updating home areas

This adds uidmap shifting also when resizing/updating/changing
passwords. Prviously I thought we didn't have to, because the user is
not going to access the uidmap if we only quickly activate the home
area. But this thinking is wrong, because the three operations will
result in an update ~/.identity fie to be written, and we should do that
with uidmap applied, so that its ownership maps down to nobody below as
intended.

Fixes: #21441

homework: don't try to shift uidmap for already activated home areas

When we want to operate on an already activated home area we so far
tried to reapply the uidmapping logic. We shouldn't do that, it's
already applied after all.

We only want to apply this for newly activated home areas. Hence check
for the right HomeSetupFlags flag for it HOME_SETUP_ALREADY_ACTIVATED.

The patch is actually in theory a two-liner. Except that so far we don#t
pass the HomeSetupFlags flags down all necessary functions where the
uidmap stuff will eventually run. Hence this larger than intended
commit.

homework: fix message typo

homectl: also acquire "cheap" passwords for homectl update/passwd

In 57bb9bcba5563c040ee0c41f58e3730a006a8de2 support was added to read
"cheap" passwords from env vars and stuff before issuing the first
operation, instead of waiting for it until the first operation failed.

This was added for most verbs of "homectl", but two were left out:
update + passwd. Add it there too.

dissect-image: always say "file of image" when reporting about the image

We give a path, but the path is only meaningful inside of the image.
Some messages made it clear that it's a path in the image, let's make
them all do that.

Add debug logs of extension-release scanning

dissect-image: provide a more useful message when ENOMEDIUM is returned

dissect-image: do not enable "verification" when trying to acquire metadata

The whole point of acquiring metadata is quite often to figure out why the
image does not pass verification. Refusing to provide metadata is just being
hostile to the user.

When called from other places (e.g. image_read_metadata()), verification is
still performed.

test: make test-execute pass on Linux 5.15

Linux 5.15 broke kernel API:

https://github.com/torvalds/linux/commit/e70344c05995a190a56bbd1a23dc2218bcc8c924

Previously setting IOPRIO_CLASS_NONE for a process would then report
IOPRIO_CLASS_NONE back. But since 5.15 it reports IOPRIO_CLASS_BE
instead. Since IOPRIO_CLASS_NONE is an alias for a special setting of
IOPRIO_CLASS_BE this makes some sense, but it's also a kernel API
breakage that our testsuite trips up on.

(I made some minimal effort to inform the kernel people about this API
breakage during the 5.15 rc phase, but noone was interested.)

Either way let's hadle this gracefully in our test suite and accept
"best-effort" too when "none" was set.

(This is only triggable if the tests are run on 5.15 with full privs)

man: don't mention IOSchedulingClass=none anymore in the docs

Let's not mention a redundant setting of "none". Let's instead only
mention "best-effort", which is the same. Also mention the default
settings properly.

(Also, while we are at it, don#t document the numeric alias, that's
totally redundant and harder to use, so no need to push people towards
it.)

test: add test for ioprio normalization

core: normalize ioprio values we acquire from kernel

Linux 5.15 broke API in ioprio_get(): instead of returning
IOPRIO_CLASS_NONE when that's set it now returns IOPRIO_CLASS_BE, which
is what this actually is (the former is just an alias for the latter
with a priority value of 4).

Let's hide the differences between old and new kernels here, and always
normalize to what the new kernels do.

ioprio: normalize io priority values in configuration

Let's always say IOPRIO_CLASS_BE when IOPRIO_CALSS_NONE is set.

ioprio-util: add macro for default ioprio settings

IOPRIO_CLASS_NONE with any priority value actually is an alias for
IOPRIO_CLASS_BE with priority value 4 – which is the default ioprio for
all processes.

We got this right at one place, but wrong at three others (where we
assumed the default value was 0, not 4). Let's add a
macro that encodes this properly, and use it everywhere.

shared: split out ioprio related stuff into ioprio-util.[ch]

No actual code changes, just some splitting out.

dissect-image: reuse common exit path

shared/format-table: drop unnecessary _cleanup_

test-pretty-print: spelling nitpick

The antonym of "nay" is usually spelled as "yea" (and pronouced as yā, so it
rhymes with "nay"), see e.g. https://www.cop.senate.gov/general/Features/votes.htm

shared: Add support for non-native architectures to dissect_image()

To allow dissecting images of architectures other than the native
(or secondary) one, we add a third designator 'OTHER' to represent
architectures other than the native or secondary one.

If no partitions of the native or secondary arch are available, we
check if a root partition of any other arch is available and use that
instead if we found one.

gpt: Store the partition type in GptPartitionType

This replaces the _GPT_ALL_ARCHES macro.

gpt: Store the architecture in GptPartitionType

We also add a function gpt_partition_type_uuid_to_arch() to get the
architecture of a partition type uuid.

shell-completion: add journalctl --facility

Fixes #21484.

basic: Rename SECONDARY_ARCHITECTURE to ARCHITECTURE_SECONDARY

For easier integration with the _GPT_ALL_ARCHES macro in a future
commit.

gpt: Rename PPC64LE TO PPC64_LE

For consistency with ARCHITECTURE_PPC64_LE