man: document new has-tpm2 verb

creds-tool: add new "has-tpm2" verb

Sometimes it's useful from shell scripts to check if we have a working
TPM2 chip around. For example, when putting together encrypted
credentials for the initrd (after all: it might be wise to place the
root pw in a credential for the initrd to consume, but do so only if we
can lock it to the TPM2, and not otherwise, so that we risk nothing).

Hence, let's add a new "systemd-creds has-tpm2" verb: it returns zero if we
have a working TPM2 (which means: supported by kernel + firmware + us),
or non-zero otherwise. Also show which parts are available.

Use-case: in future the 'kernel-install' script should use this when
deciding whether to augment kernels with security sensitive credentials.

bootctl: use new tpm2_support() helper to show TPM2 info

Let's improve the output regarding TPM2 support in "bootctl": let's show
whether we have local driver support and/or firmware support, and
colorize it.

(For now, don't show if we natively support TPM2, since the tool is
mostly bout boot time stuff, where it dosn't really matter much what we
do in userspace)

condition: rework ConditionSecurity=tpm2 check on top of tpm2_support()

No change in behaviour. Let's just use our new helper here.

tpm2-util: add helper that checks for the various facets of TPM2 support

So far we were a bit sloppy regarding checks for TPM2 support. Let's
make things more precise and introduce a single helper that checks for
three axis of TPM2 support: whether we have a loaded kernel driver,
whether the firmware used it, and whether we ourselves are compiled for
it.

This only adds the helper. Follow-up patches will use it at various
places.

update TODO

update TODO

Merge pull request #23126 from keszybz/clone3-prohibit

Prohibit clone3() when RestrictNamespaces is used

compression: add separate pre-processor definitions

Follow-up for https://github.com/systemd/systemd/commit/cd3c6322dbc6370448bafc216ee4e19e32a79d9e

journal-def.h should be self-contained too, as it represents the journal object ABI.
Duplicate the enums, as they also need to be in config.h for it to be self-contained,
and enums are not available to the preprocessor. Use an assert to ensure they don't
diverge.

manager: prohibit clone3() in seccomp filters

RestrictNamespaces should block clone3() like flatpak:
https://github.com/flatpak/flatpak/commit/a10f52a7565c549612c92b8e736a6698a53db330

clone3() passes arguments in a structure referenced by a pointer, so we can't
filter on the flags as with clone(). Let's disallow the whole function call.

nspawn: fix --ephemeral with --machine

Follow-up for https://github.com/systemd/systemd/commit/2362fdde1bd4bf54772383ef29431f683729ba76

When --machine is specified with --ephemeral, no random suffix is added, so
the recently added assert would fail.

Add a top-level variable with the expected file name for nspawn files, and
compute it when the rest of the names are computed.

virt: detect OpenStack Nova instance

hostnamed: display firmware version

update TODO

shared/seccomp: add note about clone2() being unimportant

In case anyone else starts wondering whether it should be listed
as I did…

hwdb: 60-keyboard: Add Acer Aspire One AO532h keymappings

Add keymappings for the Acer Aspire One AO532h netbook.

Unmap the brightnesskeys because they send duplicate key events with
the ACPI video bus key events and add a mapping for the bluetooth
on/off hotkey.

nspawn: fix locating config files with --ephemeral

When --ephemeral is used, a random 16 characters suffix is added to the image
name, so matching on .nspawn files based on the image name no longer works.

Fixes https://github.com/systemd/systemd/issues/13297

hwdb: Update 60-keyboard.hwdb (#23074)

Fix Fn+F1 (toggle touchpad) that wasn't working.

Closes #23058

Merge pull request #23107 from yuwata/man-network-numeric-prefix

man: recommend that .network or friends should have a numeric prefix

Merge pull request #23101 from yuwata/sd-device-cleanups

sd-device: several cleanups

resolve: fix typo in dns_class_is_pseudo()

compression: add build-time option to select default

Compression and decompression are controlled by the same build flag,
so if one wants to use, say, LZ4 to compress, ZSTD has to be disabled,
which means one loses the ability to read zstd-compressed journals.

Add a default-compression meson option, that allows to select any of
the available compression algorithms as the default.

sd-device: rename arguments and variables

sd-device: fix possible use-of-uninitialized-value

sd-device: use ERRNO_IS_DEVICE_ABSENT() at one more place

sd-device: rename function arguments for storing results

sd-device: use correct type and parser for device node uid and gid

sd-device: shorten code a bit

sd-device: use path_extract_filename() at one more place

This also does several cleanups.

sd-device: reset sysname and sysnum on renaming

sd-device: reduce indentation

sd-device: verify new syspath on renaming

man: DHCPPrefixDelegation= needs to be enabled on downstream side for assigning delegated prefixes

Closes #23041.

man: recommend that .network or friends should have a numeric prefix

Closes #23105.

udevadm: info: also show parent devices by --tree

Merge pull request #23100 from yuwata/network-fix-tunnel-address-parser

network: fix tunnel address parser

Add test support for  systemd-tmpfiles.standalone

Merge pull request #23093 from mrc0mmand/test-md-partitions

test: more MD coverage improvements

test: partition the MD device

Also, loop the assemble/disassemble part couple of times to test udev
even harder.

Resolves: #23092

test: cleanup after the MD + LVM test case as well

systemctl: colorize "enabled" in 'systemctl status ...'

"enabled" state is highlighted in green and "disabled" state is
highlighted in yellow because I felt that white and grey colors were not
so distinguishable. Other states are not highlighted. Any other coloring
suggestions are welcome!

Closes #16932.

network: l2tp: refuse null address

network: tunnel: handle null address as "any"

Fixes oss-fuzz#44881 (https://bugs.chromium.org/p/oss-fuzz/issues/detail?id=44881).

Fixes #23098.

Revert "lgtm: disable cpp/missing-return (again)"

This reverts commit 000096f4c61477f96fbd9c48b2d772c7c690d259.

After a couple of manual tests LGTM finally appears to have the fix for
https://github.com/github/codeql/issues/8409, so let's reenable the
check for the last time.

Merge pull request #23089 from yuwata/sd-device-use-path_extract_filename

sd-device: use path_extract_filename()

Merge pull request #23021 from fbuihuu/tmpfiles-fix-precedence-with-plus-sign

Tmpfiles fix precedence with plus sign

shared/install: fix crash when reenable is called without --root

test: add tests for sd_device_get_sysnum()

sd-device: shorten code a bit

sd-device: use path_extract_filename() at one more place

networkctl: obey --full with lldp command

Do not ellipsize output when -l or --full is handed to networkctl lldp.

Fixes #22806.

fs-util: use path_extract_filename() at one more place

Merge pull request #23090 from yuwata/firewall-util-cleanups

firewall-util: cleanups

firewall-util: inline iterator and add several missing assertions

sd-netlink: use correct type of iterator

Merge pull request #23081 from mrc0mmand/more-md-tests

test: extend the MD coverage with more RAID levels and LVM

boot: Add missing continue statements

Fortunately, this was not causing any issues as it will just try
the other option branches unsuccessfuly before going to the next
config line.

update TODO

update TODO

test: add a test case for MD + LVM + ext4

test: extend testcase_mdadm_basic() with RAID 5 and 10

Merge pull request #23073 from medhefgo/boot-fixes

boot: Some fixes

Add ConditionCPUFeature to load-fragment-gperf.gperf (#23076)

Fixes #23075

boot: Use correct device root when loading device trees

If the boot entry comes from a XBOOT partition, we have to load the device
tree from that instead of the ESP.

boot: Fix integer format specifiers

gnu-efi only knows two sizes for formatting integers: 32bit without
a length prefix and 64bit with 'l' prefix. Provide a PRI-style format
specifier for (U)INTN so that Print() can read the right amount of
bytes instead of printing garbage or worse.

Merge pull request #23011 from mrc0mmand/TEST-64-md

test: add MD-related tests to TEST-64

Merge pull request #22759 from msekletar/issue-18077-long-sysfs-paths-hashing

Create "hashed" unit names from long paths

Merge pull request #23070 from poettering/devnum-split

basic: some devnum handling tweaks and refactorings

Merge pull request #22969 from poettering/udevadm-tree

udevadm: add new "udevadm info --tree" command

tests: reflect that we can now handle devices with very long sysfs paths

test: add MD-related tests to TEST-64

udev: set ID_IGNORE_DISKSEQ for md devices

udev: do not create disk/by-diskseq symlink when ID_IGNORE_DISKSEQ property is set

sd-device: skip diskseq verification when ID_IGNORE_DISKSEQ property is set

Some drivers do not announce the diskseq change.
E.g. for md devices, the kernel increments the diskseq *after*
emitting a 'change' uevent when backing block devices are added to
a md device, and udevd does not receive no uevent which contains
the new diskseq.

devnum-util: catch potential stack overruns early

devnum-util: define helper macros for formatting devnum major/minor pairs

And port some parts over.

basic: split out dev_t related calls into new devno-util.[ch]

No actual code changes, just splitting out of some dev_t handling
related calls from stat-util.[ch], they are quite a number already, and
deserve their own module now I think.

Also, try to settle on the name "devnum" as the name for the concept,
instead of "devno" or "dev" or "devid". "devnum" is the name exported in
udev APIs, hence probably best to stick to that. (this just renames a
few symbols to "devum", local variables are left untouched, to make the
patch not too invasive)

No actual code changes.

udev: create disk/by-diskseq symlink only when the device has diskseq

Follow-up for 0d08db7f89ee665a9dcb6dd66c1f9e203192e8ec.

update TODO

udevadm: use xopendirat() where appropriate

And while we are at it, let's use more appropriate open flags.

O_NONBLOCk is pointless in combination with O_NOFOLLOW.

O_NOFOLLOW makes a ton of sense otoh, since the inode is supposed to be
a dir, we just checked.

THe other flags are implied by xopendirat()

udevadm: add new --tree mode to "udevadm info"

sysfs is a tree, hence let's a mode that allows showing it as such.

sd-device: include parent devices in enumeration

sd-device: properly support some corner case syspath

sd-device: add some comments

sd-device: filter regular files when enumerating

Currently if enumerating with debug logging you'll likely see something
like this:

sd-device: the syspath "/sys/class/devcoredump/disabled" is not a directory.
sd-device: the syspath "/sys/class/firmware/timeout" is not a directory.
sd-device: the syspath "/sys/class/zram-control/hot_remove" is not a directory.
sd-device: the syspath "/sys/class/zram-control/hot_add" is not a directory.
sd-device: the syspath "/sys/class/drm/version" is not a directory.

This is because these sysfs classes place regular files in these
directories, which we so far didn't expect.

Let's filter them early, and only bother with enumerated inodes if they
actually are dirs or symlinks, i.e. can be kobject dirs. Regular file
definitely never are kobject dirs...

sd-device: split out checking of matches from enumerator_scan_dir_and_add_devices()

No change in behaviour, just some splitting out of code.

sd-device: generate e better error code when trying to allocate sd_device for non-dir

Currently, for sysfs paths outside of /sys/devices/ we do better
checking if something is a suitable path: we check if it's actually a
directory, and if not return ENODEV.

Let's make the codepath for nodes *inside* of /sys/device/ similar:
let's also return ENODEV if the path supplied is not a directory.

Previously, we'd return ENOTDIR in that case, which is quite confusing I
think.

sd-device: don't accept non-sysfs paths

There are some file systems mounted below /sys/ that are not actually
sysfs, i.e. are not arranged in a sysfs/kobject style. Let's refuse
those early. (Example, /sys/fs/cgroup/ and similar.)

(Also, let's add an env var for this, so that it can be turned off for
test cases.)

sd-device: use chase_symlinks() O_PATH fd

chase_symlinks() can return its last O_PATH fd to us. Let's use that and
make the access() check a bit tighter by going via faccessat() on the
O_PATH fd.

This doesn't really change too much, but is nice in context of the next
commit, which uses the O_PATH fd in one other way.

Merge pull request #23065 from poettering/env-var-generator

pid1: pass additional env vars about exec context to generators

update TODO

man: document new generator env vars

man: rebreak all paragraphs in systemd.generator(7)

pid1: pass useful env vars to generators

This is inspired by this:

    https://github.com/systemd/zram-generator/blob/main/src/generator.rs#L29

Given it's easy for PID 1 to pass this to generators, I thin we should.
All generators not written by us likely want to know these things so
that the can adjust to the execution environment.

Merge pull request #23002 from yuwata/udev-use-child-event

udev: use child event source

Merge pull request #23061 from poettering/chase-symlinks-tweaks,-new

some chase_symlinks() tweaks

core: use assert_se() which takes side-effect

Fixes #23059.

udev: use child event source to manage workers

udev: use EventResult type

This also adds EVENT_RESULT_SUCCESS for readability.

sd-event: make inotify event work after the process is forked