test: add more test cases for mkdir_p_safe() and mkdir_p_root()

mkdir: chase_symlinks_and_stat() does not return 0

This reverts commits e22916e61d1fdb7b46918b605ebf783d9017f9d8 and
1e146d738232acbe7f72903e9c5e4d1166ea67f5.

Merge pull request #24742 from keszybz/hwdb-252

hwdb update for v252-rc1

tpm2-util: make tpm2_pcr_bank_from_string() case-insensitive

This way we can use it directly in measure.c, and thus remove a bit of
redundant code.

OpenSSL prefers uppercasing the MD names, others don't hence let's be
lenient here.

hwdb: run "update-hwdb-autosuspend"

hwdb: run "update-hwdb"

As usual, it seems to be mostly additions and corrections. Sadly, it seems a
bit of mojibake has crept in in various places. But it's hard to correct, in
particular because it's hard to detect all cases automatically. I think we can
ignore this for now.

When I run this a few weeks ago, ma-large.txt was gutted and 20-OUI.hwdb was
siginificantly smaller. For whatever reasons, it's back to normal now.

also provide credentials in ExecStartPre

Systemd's credential interface is not yet natively supported by all
programs yet. Hence it's often required to run scripts to massage
secrets in the way the programs expect it.

This commit allows the ExecStartPre commands to access credentials.

Fixes https://github.com/systemd/systemd/issues/19604

test: add testcase for link priority

Merge pull request #24646 from yuwata/udev-node-symlink_atomic

udev: introduce symlink_atomic_full() and use it

Merge pull request #24725 from yuwata/blockdev-util-introduce-block_device_get_whole_disk

blockdev-util: introduce block_device_get_whole_disk()

Merge pull request #24730 from yuwata/dissect-image-drop-reference-to-decrypted-image

dissect-image: introduce dissected_image_relinquish()

man/systemd-run: Refer to man-pages project (man7.org) when citing bash(1)

path-util: add examples for path_make_relative() and path_make_relative_parent()

Addresses https://github.com/systemd/systemd/pull/24646#discussion_r973691797.

tree-wide: drop unused reference to DecryptedImage

tree-wide: use dissected_image_relinquish()

dissect-image: introduce dissected_image_relinquish()

udev: do not ignore -ENOENT from sd_device_get_devname() for block device

We already checked that the sd_device object 'dev' is for a whole block
device. So, -ENOENT should not be triggeered here, and if it is, there
exists something spurious. Hence we should not ignore the failure.

udev: use block_device_get_whole_disk()

This should not change anything effectively.

udev-node: use symlink_atomic_full_label() to create devlink

If the filename of a device symlink is too long, then the temporary
filename may become invalid, and we fail to create symlink.

The function `tempfn_random()` used in symlink_atomic_full() generates
a safe temporary filename.

Note that, thanks to the PR #23043, now only one worker can handle
the same symlink simultaneously. Hence, the device ID based temporary
filename is not necessary.

Merge pull request #24720 from yuwata/dissect-image-take-reference

dissect-image: make DissectedImage object take reference to DecryptedImage and LoopDevice

blockdev-util: change return value when a partition device is passed to partition_enumerator_new()

To make it consistent what returned by block_device_get_whole_disk().

blockdev-util: introduce block_device_get_whole_disk()

blockdev-util: split-out block_device_is_whole_disk()

No functional changes, just preparation for later commits.

Merge pull request #24719 from yuwata/dissect-image-dissected-image-new

dissect-image: introduce dissected_image_new()

sd-device: refuse block device without subsystem

Previously, even if sd_device_get_subsystem() returns -ENOENT for block
device, we accepted that. This makes the check slightly stricter.

Merge pull request #24691 from yuwata/udev-node-check-existence

udev: check existence of device node

Merge pull request #24710 from yuwata/test-50-dissect-cleanups

TEST-50-DISSECT: cleanups

dissect-image: free crypt_device object before trying to activate with unique name

Otherwise we get error from libcryptsetup like the following:
systemd[1234]: Cannot use device /dev/loop5 which is in use (already mapped or mounted).

udev: downgrade log level when device node is already removed

Follow-up for 790da548b0c37af60aed2f46867ba3885ea78718.

dissect-image: introduce DISSECTED_PARTITION_NULL

Currently, it is not necessary to set partno or architecture in
dissect_image_new(), but just for safety.
Preparation for later commits.

dissect-image: split out dissected_image_new()

To make dissect_image() shorter.
No functional changes, just refactoring.

dissect-image: take a reference of LoopDevice into DissectedImage

To make LoopDevice object freed after DissectedImage is freed.
At least currently, this should not change anything. Preparation for
later commits.

loop-util: introduce reference counter for LoopDevice

dissect-image: take reference of DecryptedImage into DissectedImage

No functional changes. Preparation for later commits.

dissect-image: introduce reference counter for DecryptedImage

dissect-image: lazily deactivate decrypted DM volumes

The DM block device may be still used by other processes.

measure: rename measure_pcr() to measure_kernel()

Let's say what we actually measure, not what into (which is obvious
anyway).

This is generally more descriptive, but also good for later work that
allows measuring the boot phase too.

cryptsetup-util: introduce crypt_free_and_replace()

Merge pull request #24622 from yuwata/udev-open-with-noctty

udev: open with O_NOCTTY

Merge pull request #24708 from keszybz/not-available-in-tables

various: use "-" instead of "n/a" in tables

test-50-dissect: do not fail test on cleanup

These paths are read-only mount points. Hence, we cannot remove the
contents.

test-50-dissect: check mount destination instead of mount source

And rebreak long lines.

This should take no effective change, just refactoring.

Merge pull request #24670 from keszybz/early-boot-ordering

Early boot ordering

coredumpctl: rename table entry

"Disk Size" could be mistaken for "Size of the Disk".

various: use "-" instead of "n/a" in tables

In the context of a table, both would be generally understood to have the same
meaning. "n/a" is a strange beast. It was useful when tables were produced on
the typewriter with "---------" used to separate rows. It is visually more
pleasing to use "-", and there is no risk of it being mistaken for a row
separator.

Merge pull request #24703 from yuwata/dissect-image-verity-partition-make-fail

dissect-image: make verity_partition() actually fail when all attempts of activation failed

fd-util: rename CLOSE_AND_REPLACE() -> close_and_replace()

We have free_and_replace() and friends, they are all named with lower
letters, even they are macros, not functions.
For consistency, let's rename CLOSE_AND_REPLACE() with lower letters.

This also mekes the macro used more places.

dissect-image: make verity_partition() actually fail when all attempts of activation failed

dissect-image: split out verity_timeout()

To make verity_partition() shorten. No functional changes, just
refactoring.

man: explicitly document that "reboot -f" is different from "systemctl reboot -f"

Closes #24696.

nspawn: fix two error strings

add CAP_LINUX_IMMUTABLE to systemd-machined, so it can handle machinectl read-only requests

Without this, the 'machinectl read-only ...' command always fails.

sd-netlink: unexport sd-netlink

This effectively reverts 84e1001541151da71bae2137e2a1c254b5a3b89f.

The sd-netlink library has several issues, and we should not export it
without solving them. See issues #24258 and #24124.

Merge pull request #24692 from yuwata/dissect-image-fix-memleak

dissect-image: fix memleak

update TODO

Seeding RNG via SMBIOS is bad idea, since often measurement of SMBIOS
tables is used for TPM policies, under the assumption SMBIOS remains
static after a certain point.

tmpfiles: let's suffix path to dirs with '/' also in log messages

tmpfiles: drop redundant forward declarations

Merge pull request #24664 from yuwata/watchdog

watchdog: open /dev/watchdog0 only if it exists

Merge pull request #24688 from yuwata/watchdog-dbus-properties-follow-ups

pid1: follow-ups for watchdog DBus properties

journalctl: respect --quiet flag during file concistency verification

Fixes #24563.

Merge pull request #24685 from yuwata/uid-range

uid-range: several cleanups

dissect-image: handle all non-negative return values as success

No functional changes, just coding syle update.

dissect-image: fix memleak on failure

udev-node: do not create symlink to a non-existing device node

Previously, the stack directory contains empty regular files named with
device ID, and we create sd_device object from the device name.
Hence, we implicitly checked the existence of the device node.

However, now the files in the stack directory are symlink, and we
retrieve the path to the device node and its priority from the symlink.
Hence, the existence of the device node is not checked.
Let's check if the device node is still exist.

udev-node: split out stack_directory_read_one()

No functional changes, just refactoring.

watchdog: use /dev/watchdog0 only if it exists

Fixes #24661.

update TODO

pid1: drop redundant DBus properties

Follow-up for 10f3f4ed016b9fe92ca3d093fcfaed8278e69220.

We already have RuntimeWatchdogUSec or friends. Let's not introduce
redundant properties.

Also, drop the const qualifier for WatchdogLastPingTimestamp, as they
are actually not constant.

watchdog: explicitly initialize global variable

No functional change, as they were implicitly initialized with zero.

test: add tests for uid_range_coalesce()

uid-range: tie up number and array of uid range entries

This renames UidRange -> UidRangeEntry, and reintroduces UidRange which
contains the array of UidRangeEntry and its size.
No fucntional changes, just refactoring.

uid-range: make uid_range_intersect() take two UidRange objects

No functional changes, just refactoring.

uid-range: optimize to load uid_map file

If uid_map contains many lines, then the previous logic takes O(n^2 log n),
This makes O(n log n).

uid-range: escape from loop earlier

The array of uid range entries are already sorted. Hence, if x and y are
does not have intersection, then the remaining entries neither have
intersection with x.

uid-range: sort uid range entries in uid_range_coalesce()

As the logic in uid_range_coalesce() assumes the array of entries are
already sorted.
No functional changes, just refactoring.

uid-range: use parse_uid_range()

userdbctl: fix arrow direction

userdbctl: do not show meaningless boundaries when no uid range available

sd-device-monitor: do not trigger assertion when uid_map is not empty

Follow-up for c0aa23cf1ed4b3cbbcaf8b19d47e6e29dc28c9a0.

Fix Positivo DUO k116 key toggle touchpad

update TODO

xdg-autostart-service: expand tilde in Exec lines

In typical desktop file parsing it is expected that "~" expands to a
home directory.

Users may write an autostart file with "Exec=myCoolService
~/.someSpecialConfig" which worked before the systemd migration.

unit: drop ProtectClock=yes from systemd-udevd.service

This partially reverts cabc1c6d7adae658a2966a4b02a6faabb803e92b.

The setting ProtectClock= implies DeviceAllow=, which is not suitable
for udevd. Although we are slowly removing cgropsv1 support, but
DeviceAllow= with cgroupsv1 is necessarily racy, and reloading PID1
during the early boot process may cause issues like #24668.

Let's disable ProtectClock= for udevd. And, if necessary, let's
explicitly drop CAP_SYS_TIME and CAP_WAKE_ALARM (and possibly others)
by using CapabilityBoundingSet= later.

Fixes #24668.

fix typo in log

units: drop path to executable in $PATH

We don't have it other places, so let's make things a bit simpler.

units: make sure that initrd-switch-root.service pulls in .target

Normally we queue initrd-switch-root.target/isolate, which pulls in the
service via Wants= in the .target unit file. But if the service is instead
started directly, there may be nothing pulling in the target. Let's make
sure that the reference exists.

units: add dependency ordering for emergency.service conflicts

If we want to stop those services which would compete for access to
the console, we need to have an ordering so that they are actually
stopped before the other things starts, not asynchronously.

units: add ordering dependencies on initrd-switch-root.target

For shutdown, we queue shutdown.target/start, so in every unit which should be
stopped *before* shutdown, we need both Conflicts and an ordering dependency
with shutdown.target (either Before= or After= would work, because stop jobs
are always ordered before start jobs).

For initrd transition, we queue initrd-switch-root.service/isolate. This
automatically creates a /stop job for every running unit without
IgnoreOnIsolate. But no ordering dependency is created, unless the unit has a
(possibly transitive) ordering dependency on initrd-switch-root.service.
Since most units must stop before the transition, we should add the ordering
dependency. It is nicer to use Before=initrd-switch-root.target for this.
initrd-switch-root.target is ordered before initrd-switch-root.service, so
the effect it the same when both are in a transaction.

Fixes #23745.

To also cover the case where somebody is emergency mode in the initrd and
queues initrd-switch-root.service/start (not isolate), also add
Conflicts=initrd-switch-root.target, so various units are stopped properly.
This extends 2525682565b372b9b83c848bfe89c025fed47a1d to cover all the other
services that are touched. It could be consider "operator error", but it's
easy to make and it's nicer if we can make this more foolproof.

units/systemd-network-generator.service: add forgotten ordering for shutdown

units: reorder/split unit dependency blocks

The block is reordered and split to have:
  1. description + documentation
  2. (optionally) conditions
  3. all the dependencies
I think it's easier to read the units this way.
Also, the Conflicts+Before is seperated out to separate lines.
The ordering dependency is "fake", because it could just as well be
After=, we are adding it to force ordering wrt. shutdown.target, and
it plays a different role than the other Before=, which are about a
real ordering on boot.

test-date: do not fail even on ~50 years later

Fixes #16181.

test-seccomp: support systems that sched_setscheduler() is already limited

Fixes #17078.

meson: add libatomic dependency

Building with GCC 12.2 and binutils 2.39 fails on riscv64 Ubuntu Kinetic
with:

FAILED: systemd-oomd
/usr/bin/ld: systemd-oomd.p/src_oom_oomd-util.c.o:
in function `oomd_cgroup_context_acquire':
build/../src/oom/oomd-util.c:415:
undefined reference to `__atomic_exchange_1'

We have to link with -latomic.

Signed-off-by: Heinrich Schuchardt <heinrich.schuchardt@canonical.com>

bash-completion: add missing options to systemd-cryptenroll

Merge pull request #24671 from mrc0mmand/even-more-codeql

ci: enable a couple more possibly useful CodeQL queries

oom: include a header file instead of a source file

tree-wide: fix typo

ci: fix a couple of typos

ci: enable a couple more possibly useful CodeQL queries

ci: rename codeql-analysis.yml to codeql.yml

Just to be consistent with other repos under the systemd umbrella.