sha256: add sha256_direct()/SHA256_DIRECT() helpers

random-seed: use SHA256_DIGEST_SIZE

sha256: change digest buffer type to uint8_t[]

This way we can specify a size with "static". All users use uint8_t
already, hence this comes at no price.

Drop the limit on number of inodes for /dev

Follow-up for 4c733d3046942984c5f73b40c3af39cc218c103f.

Finding a suitable limit that would fit any use cases out there is pretty hard
and since /dev is only writeable by root anyway, let's simply drop the limit.

Merge pull request #24353 from alpernebbi/hwdb-cros-ec-accel-base

udev: hwdb: Add orientation quirk for base-mounted accelerometers on Chromebooks

Reviewed-by: Alexandru Stan <amstan@chromium.org>
Reviewed-by: Gwendal Grignou <gwendal@chromium.org>

Merge pull request #24348 from yuwata/network-ipv4acd-renew

network: fix IPv4ACD issues on DHCP renewal or reconfiguring interface

udev: hwdb: Add rules to match cros-ec-accel by 'location' sysfs file

The cros-ec-accel devices report their mounting location by the 'label'
sysfs file only since Linux v6.0. With earlier kernels, a nonstandard
'location' file reports this, but slightly differently (lid instead of
display) [1].

Add udev rules to import the correct hwdb entries based on this
'location' file for cros-ec-accel devices, so that the base-mounted
accel matrix has the correct value for older kernels as well.

[1] https://kernel.org/doc/Documentation/ABI/testing/sysfs-bus-iio-cros-ec

hwdb: Add Chromebook accel orientation quirks based on sysfs label

The base-mounted accelerometer on Chromebooks return values same as the
display when the lid angle is 180 degrees, instead of when the lid is
closed. To match userspace expectations we must further rotate the
existing accelerometer mounting matrix by 180 degrees around the X axis:

    [[-1,  0,  0],    [[ 1,  0,  0],    [[-1,  0,  0],
     [ 0, -1,  0],  X  [ 0, -1,  0],  =  [ 0,  1,  0],
     [ 0,  0, -1]]     [ 0,  0, -1]]     [ 0,  0,  1]]

A previous commit lets us distinguish between the two cros-ec-accel
devices on these boards by their 'label' sysfs file. Add hwdb entries
that make base-mounted accelerometers use this correct matrix, and
display-mounted ones use the existing one.

Note that the cros-ec-accel drivers use 'label' only since Linux v6.0.
The old match strings are not removed to support older kernels, even
though they are only correct for the display-mounted sensor.

udev: hwdb: Match iio sensors based on their label

The IIO subsystem exposes a 'label' sysfs file to help userspace better
identify its devices [1]. Standardized labels include the sensor type
along with its location, including 'accel-base' and 'accel-display'.

Most Chrome OS boards have two accelerometers that are indistinguishable
except for this label (or a 'location' sysfs file before Linux v6.0),
and need different mounting matrix corrections based on their location.

Add a udev rule that matches hwdb entries using this label, so we can
correct both accelerometers on these devices with hwdb entries. The
existing rules and hwdb entries are not modified to keep potential
out-of-tree entries working, but new entries in this form will override
existing ones. Also add currently standardized labels to parse-hwdb.py.

[1] https://www.kernel.org/doc/Documentation/ABI/testing/sysfs-bus-iio

Merge pull request #24054 from keszybz/initrd-no-reload

Don't do daemon-reload in the initrd

bash-completion: autocomplete cgroup names in systemd-cgtop

initrd-parse-etc: override argv[0] to avoid dracut issue

Quoting https://github.com/systemd/systemd/pull/24054#issuecomment-1210501631:
> this would need a patch in dracut, specifically adding the
> systemd-sysroot-fstab-check to the list of installed stuff:
> https://github.com/dracutdevs/dracut/blob/fe8fa2b0cadbb33e27c8dd8b5851548dcd65835c/modules.d/00systemd/module-setup.sh#L47.
>
> I could do this manually in the CI (and I guess I'd have to do it anyway even
> if the patch lands in upstream, since it won't be available in C8S), but it
> should get there first before merging this PR, otherwise it's going to break
> Rawhide.

test-network: add tests for IPv4ACD and renewing DHCP address

test-network: drop unused .network file

network: unref existing sd_ipv4acd object when not necessary

On reconfiguring an interface, the new setting may not enable IPv4ACD
for an existing address anymore. Hence, we need to unref it. Otherwise,
newly requested addresses may never be ready for (re-)configuring.

network: update setting for IPv4ACD or IPv6DAD in existing Address objects

Otherwise, if the setting is changed on reconfigure, the new setting
is not applied to the existing addresses.

network: fix DHCPv4 address renewal with IPv4ACD

Previously, when a DHCP address is renewed and if the IPv4ACD for the
address is enabled, the address will never drop the probing flag, thus
the lifetime of the address will never be updated.

This drops NETWORK_CONFIG_STATE_PROBING, and the IPv4ACD status is
managed another bit, Address.acd_bound. And, the flag is updated only
when the IPv4ACD announced the address or detects conflict.

test: expect libdevmapper failure in TEST-50-DISSECT

libdevmapper/device mapper driver can return semi-random failures when
opening verity devices, and we have fallback code to deal with it.
But the test was not expecting the fallback path, so it became unreliable.

Fixes https://github.com/systemd/systemd/issues/23866

sd-messages: rename newly added constants

This hasn't been through a release yet, so we are free to change the name.

Closes #24270.
C.f. https://github.com/systemd/systemd/commit/907506695549c689710cd267583f6fd439711dcf#r80812414

sd-messages: make the table wider

For whatever reason, nowadays we add entries that are quite long, so
we were using line continuation for most of new entries. This is hard
to read and edit. So let's just make the table wide enough to accomodate
all the names without line splits.

tpm2-util: more structure initialization simplifications

random-util: drop unnecessary header file

(And some minor reindents)

Merge pull request #24250 from yuwata/backlight-multiple-graphics-cards

backlight: support multiple graphics cards system

fs-util: make touch() an inline function

tpm2-util: credit TPM2 RNG entropy only once per boot

Acquiring random data from the TPM is not precisely quick, let's speed
things up by doing this at most once per boot. For that, let's maintain
a flag file in /run/.

udev: rename various validate() -> should_reload() for builtin commands

Previously, true by validate() means several configs are outdated and we
need to reload configs. That's not intuitive for me. Let's rename the
functions.

Merge pull request #24333 from yuwata/sysctl

sysctl: improve performance for applying glob pattern

test-network: add/update module check

For https://github.com/systemd/systemd-centos-ci/pull/517.

test: add tests for glob sysctl pattern

test: use assertions in sysctl tests

test: do not use sysctl.d to store test conf

Otherwise, late invocations of systemd-sysctl, especially through udev
rules may fail.

sysctl: apply prefix before calling glob()

Otherwise, if there exist million of network interfaces,
calling glob() for network properties takes much time.

Fixes #24031.

path-util: introduce path_glob_can_match()

sysctl: split out code for applying glob option

sysctl: drop /proc/sys/ in prefix

sysctl: use ordered_hashmap_ensure_put()

backlight: fix issue on multiple graphics cards system

If a system has multiple graphics cards, then we cannot associate
platform backlight devices to backlight devices under PCI bus.

Previously, in such case, vaidate_device() for a raw backlight device
might erroneously detect a platform device and return false. So, users
could not save/load backlight level.

This makes validate_device() give up to associate platform devices on
non-PCI bus with raw backlight devices. That may cause unwanted
backlight level save or restore by systemd-backlight@.service, but users
can workaround that by masking specific instances of the service.

Closes #24223.

backlight: filter out unnecessary backlight devices by device enumerator

backlight: add/update several logs for validating backlight devices

run: simplification

manager: allow assignment of properties on target/swap/device units

E.g. Documentation or Markers could apply to any unit type. This already worked
partially, because a direct dbus call could be made:

After rebuild with the patch, but before the manager has been restarted:
$ build/systemctl --user set-property dev-zram0.swap Markers=+needs-restart
$ build/systemctl --user show -p Markers dev-zram0.swap
Markers=needs-restart

I noticed that that the rpm unit restart helper was throwing errors for target
units. We should just let the Markers be set for those too, even if it doesn't
do anything in the end. This way we don't need to special-case by unit type.

Merge pull request #24301 from yuwata/network-tuntap

network/tuntap: introduce KeepFileDescriptor= setting

test-network: add tests for MTUBytes= for bridge master and ports

Prompted by #24311.

man: Correct information on sysext masking

While I had tested that a symlink to /dev/null works to "mask" a sysext
I must have gotten something wrong and thus the instructions in
519c2f0d6b343d140f7e08e3eb0f46708c023b4a don't work. What works,
at least at the moment, is to instead have an empty directory with the
extension name under /etc/extensions/.
Correct the info in the man page and add a test for it.

ci(lint): add shell linter - Differential ShellCheck

It performs differential ShellCheck scans and report results directly in
pull request.

documentation:
https://github.com/redhat-plumbers-in-action/differential-shellcheck

test-network: add tests for KeepCarrier= for tuntap interfaces

network/tuntap: save tun or tap file descriptor in fd store

network/tuntap: introduce KeepCarrier= setting

Closes #24267.

sysusers: add fsync for passwd (#24324)

https://github.com/systemd/systemd/pull/6636 added `fsync()` when
temporary shadow, group, and gshadow files are created, but it was
not added for passwd. As far as I can tell, this seems to have been
an oversight. I'm seeing real world issues where a blank /etc/passwd
file is being created if a machine loses power early in the boot process.

network/tuntap: code cleanups

- merge unnecessarily split functions,
- drop unnecessary initializations,
- tighten variable scopes,
- introduce TUNTAP() helper function.

login: use helper functions for fd store

daemon-util: introduce several helper functions for fd store

tpm-util: use trial session where appropriate

TPM2 knows two types of policy sessions: "real" ones and "trial" ones. The
latter allow you to calculate a policy hash without this enforcing any
policy, which the former do. Typically you want to use the "trial" ones
when enrolling, and you have to use the "real" ones for unlocking. So
far we used "real" ones for both cases. Which works fine – as long as
the policy put together matches the current reality (e.g. the PCR values
included in the policy are the ones currently in place in the TPM).

Let's switch to using trial sessions for enrolling. First of all this is
preparation for later work to implement further policy extensions (for
example, policies binding to literally specified PCR values, instead of
the once currently measured). But from my perspective more importantly
it actually is cleaner, as it communicates more clearly what we are
actually doing here.

No user-visible change in behaviour.

mkosi: Update to latest commit

Introduces a more reliable mirror for Arch which should reduce the
number of mkosi Arch CI failures due to unreliable mirror selection.

Merge pull request #24294 from rphibel/add-support-for-list-of-definitions-directories

repart: add support for list of definitions directories

shutdown: trivial modernizations

cryptenroll: drop unnecessary {}

creds-tool: don't declare variable in switch body

The lifetime of variables decalred in the main switch/case body is just
weird. Let's not rely on it, but just open a new {} block, like
everywhere else in similar cases.

Merge pull request #24299 from yuwata/dhcp6-no-binding

dhcp6: gracefully handle NoBinding error

Fix typo in net-naming-scheme man page

I noticed a typo in the man page. Fix it.

Fixes: 65c2ad985a ("udev: net_id: Use devicetree aliases when available")

tpm2: typo fix selecion → selection

Merge pull request #24263 from pothos/sysext-for-static-binaries

sysext: Support distribution-independent extensions with static binaries

tpm2-util: reduce unnecessary indentation

Follow-up for: 55efb33edb592786fe36fa4d0a990fbbfbd59cc2

udev/cdrom_id: check last track info

Fixes off-by-one issue.

Fixes #24306.

sysext: introduce ARCHITECTURE field to match host architecture

When an extension image has binaries they should match the host
architecture. Currently there is no way to specify this requirement.
Introduce an ARCHITECTURE field in the extension's release file that
may be set to prevent loading on the wrong host architecture.
Since this new field is introduced late, we don't want to make
specifying it mandatory as it would break existing sysext images.

See https://github.com/systemd/systemd/issues/24061

sysext: support distribution-independent extensions using ID=_any

A sysext image that merely contains static binaries has no dependency
on the host distribution and should be able to be used anywhere.
Support the special '_any' value for the ID field in the extension to
opt-out of ID and VERSION_ID/SYSEXT_LEVEL matching.

See https://github.com/systemd/systemd/issues/24061

firstboot: fix can't overwrite timezone

network/bridge: fix UseBPDU= and AllowPortToBeRoot=

Fixes bugs caused by 7f9915f0de67f3a10a4b22810d119da65af8c84a.

Fixes #24268.

Merge pull request #24305 from yuwata/test-network

test-network: also set StartLimitIntervalSec=0 for systemd-networkd.socket

Use correct label for boot related issues

test-network: use "systemctl restart" to restart networkd

test-network: also set StartLimitIntervalSec=0 for systemd-networkd.socket

The socket unit is frequently restarted during the test.

dhcp6: do not append ORO option when no option requested

Fixes #24292.

dhcp6: gracefully handle NoBinding error

When we receive NoBinding status code, the requesting binding (address or
any other information) does not exist anymore in the server. Hence,
resending the request is meaningless. Let's restart the transaction from
the beginning in that case.

Merge pull request #24138 from Keksgesicht/rfe/cryptenroll-keyfile

adding the option to use a keyfile to unlock the device

hwdb: Apply existing accel orientation quirk to all Chromebooks

The cros-ec-accel and cros-ec-accel-legacy kernel modules internally
correct for the board-specific accelerometer mounting orientations.
Their sensor outputs are in a standard reference frame consistent across
different boards, so the orientation matrix already added for a number
of devices should apply to every device using cros-ec accelerometers.
The different matrix for the 'Nocturne' board seems to be an error.

Replace the existing hwdb rules for select Chromebooks with generic
rules that apply to all Chromebooks.

network: replace usage of sd_bus_call_method_async() to bus_call_method_async() (#24290)

Merge pull request #24285 from yuwata/sd-device-new-from-path

sd-device: make sd_device_new_from_path() support symlink outside of /sys

Merge pull request #24289 from yuwata/sd-device-monitor-set-description

sd-device-monitor: introduce sd_device_monitor_{set,get}_description()

tpm2-util: rename tpmKey → primary

Let's use the nomenclature from the spec. "tpmKey" is just too genric.

tpm2-util: lower indentation level a tiny bit

cryptenroll: fix memory leak

man: document support for drop-in files in systemd-repart

man: document support for list of definitions directories in systemd-repart

repart: add support for list of definitions directories

update TODO

udev: use sd_device_new_from_path() and _new_child()

Follow-up for 65c2ad985a8debdf6d7d11fee5b466f280260f4b.

test: add more tests for sd_device_new_from_path()

sd-device: allow to create sd-device object through a symlink outside of /sys

For example, /proc/device-tree is a symlink to /sys/firmware/devicetree/base,
and the kernel documentation says the symlink should be used by userspace app.
See, https://www.kernel.org/doc/Documentation/ABI/testing/sysfs-firmware-ofw.
Hence, it is useful to make `sd_device_new_from_path()` support such symlink.

Merge pull request #24273 from lnussel/refactor_sysuser_creds

Refactor sysuser creds

udev: set description for device monitor

test: use sd_device_monitor_set_description()

sd-device-monitor: logs description for device monitor

sd-device-monitor: introduce sd_device_monitor_{set,get}_description()

Merge pull request #24286 from yuwata/test-sd-device-monitor

test-sd-device-monitor: several fixlets

sd-device-enumerator: drop noisy log messages

These are not for failed tasks, and provide almost no information.

Merge pull request #24288 from yuwata/sd-device-monitor-fixlets

sd-device-monitor: two fixlets

repart: add test for drop-in files

repart: Add support for drop-in overrides

config-parser: Add list of drop-in files as return argument of config_parse_many

This will be used to save the list of drop-in files for each partition