ukify: Require specifying --tools for each tools directory

Instead of consuming N arguments as tools directories, let's always
only consume one argument per specification of --tools. This avoids
issues where the linux image and initrd are interpreted as tools
directories.

ukify: Handle directories in path_is_readable()

Update 60-sensor.hwdb

Updated DBook D10 / Juno Tablet. Before the bvr (bios version) was hard coded to v1.05. This will read all versions

machined: pass shell command line to polkit

Pass the joined arguments to polkit as command_line property like
pkexec does. Obviously not exactly perfect as it lacks quoting. Good
enough for polkit rules to check whether a program was called with
or without arguments though.

Merge pull request #25864 from yuwata/dissect-fix-mtree

dissect: fix mtree

Prevents airplane mode toggle for HP Spectre 16

boot: don't convert the trailing newline in mangle_stub_cmdline()

It is pretty convenient to add .cmdline using /proc/cmdline like
this:
  --add-section .cmdline=/proc/cmdline --change-section-vma .cmdline=0x25000

However, it always returns a trailing newline, and stub will
convert it to a whitespace by mangle_stub_cmdline() in next boot.
Thus the resulting /proc/cmdline would contain a trailing
whitespace. When /proc/cmdline is used to generate .cmdline again,
the resulting UKI is mangled.

To address this kind of inconvenience, mangle_stub_cmdline() should
skip converting the trailing newline, and try to chomp all the
trailing whitespaces.

Signed-off-by: Jia Zhang <zhang.jia@linux.alibaba.com>

dissect: reduce indent in mtree_print_item()

dissect: do not trigger assertion on error

recurse_dir() does not provide 'sx' on error.

Fixes #25862.

dissect: use assert() when no side effect

Merge pull request #25850 from poettering/switch-root-tweaks-minor

pid1: minor tweaks to the SwitchRoot() logic

Merge pull request #25828 from poettering/no-more-basename

convert a number of basename() invocations to path_extract_filename()

prioq: make prioq_reshuffle() void

We never use the return value, and it's confusing and kinda pointless
what we return there.

Hence drop it.

Originally noticed by: tristone13th <tristone13th@outlook.com>

Alternative to: #25810

Merge pull request #25849 from poettering/repart-loop

pull in loop.ko from repart unit

docs: remove /dev/tty* confusion

The text said /dev/tty* as a whole was the VT subsystem and that VT is
not supported in containers.

But that's not accurate as /dev/tty* will match /dev/tty too and that
one device node is special and is not related to VT: it always points to
the current process own controlling tty, regardless what that is.

hence, rewrite /dev/tty* as /dev/tty[0-9]*.

sysroot: Order systemd-fsck-root after systemd-makefs

systemctl: rework how we detect if init is systemd

core: use chase_symlinks_and_access() where appropriate

core: tighten validation checks in SwitchRoot() dbus call

lock-file: various updates

analyze: basename() → path_extract_filename()

format-table: add field type TABLE_PATH_BASENAME

This is just like TABLE_PATH, but only shows the basename in regular
tabular output.

This is useful in systemd-repart for example

tmpfiles: port basename() → path_extract_filename()

sysv-generator: port basename() → path_extract_filename()

shared: port various shared helpers basename() → path_extract_filename()

units: pull in loop.ko and dm-mod.ko before repart

We want to make use of that when formatting file systems, hence let's
pull in these modules explicitly.

(This is necessary because we are an early boot service that might run
before systemd-tmpfiles-dev.service, which creates /dev/loop-control and
/dev/mapper/control.)

Alternatively we could just order ourselves after
systemd-tmpfiles-dev.service, but I think there's value in adding an
explicit minimal ordering here, since we know what we'll need.

Fixes: #25775

units: change modprobe@dm-mod.service → modprobe@dm_mod.service

Follow-up for 8f1359bf854e9683e4e0b89fd3a537e0d82d4b95

repart/makefs: port over to path_extract_filename()

portable: port basename() → path_extract_filename()

nspawn: port over basename() → path_extract_filename()

mount-tool: port over basename() → path_extract_filename()

journalctl: port COMM= matching to path_extract_filename()

dissect: remove one more use of basename()

And while we are at it, make use of path_extract_filename() return value
that indicates whether the path was suffixed with a slash.

core: move some basename() use → path_extract_filename()

tests: we don't actually use basename() anymore

homed: move away from basename()

measure: fix the failures of compare_reported_pcr_nr()

EFI_LOADER_VARIABLE() already applies to the stringify to construct the
path of EFI variable in efivars, so it is wrong to enclose the name of
EFI variable with the quotes. Otherwise, the following errors are
reported.

Reading EFI variable /sys/firmware/efi/efivars/StubFeatures-4a67b082-0a4c-41cf-b6c7-440b29bb8c4f.
Reading EFI variable /sys/firmware/efi/efivars/"StubPcrKernelImage"-4a67b082-0a4c-41cf-b6c7-440b29bb8c4f.
open("/sys/firmware/efi/efivars/"StubPcrKernelImage"-4a67b082-0a4c-41cf-b6c7-440b29bb8c4f") failed: No such file or directory
Reading EFI variable /sys/firmware/efi/efivars/"StubPcrKernelParameters"-4a67b082-0a4c-41cf-b6c7-440b29bb8c4f.
open("/sys/firmware/efi/efivars/"StubPcrKernelParameters"-4a67b082-0a4c-41cf-b6c7-440b29bb8c4f") failed: No such file or directory
Reading EFI variable /sys/firmware/efi/efivars/"StubPcrInitRDSysExts"-4a67b082-0a4c-41cf-b6c7-440b29bb8c4f.
open("/sys/firmware/efi/efivars/"StubPcrInitRDSysExts"-4a67b082-0a4c-41cf-b6c7-440b29bb8c4f") failed: No such file or directory

Signed-off-by: Jia Zhang <zhang.jia@linux.alibaba.com>

Merge pull request #25823 from poettering/dissect-diskseq

gpt-auto: reference dissected partitions to mount via diskseq block device symlinks

tree-wide: have_effective_cap() may return negative errno

Merge pull request #25830 from yuwata/wait-online-unmanaged

wait-online: exit with success when all interfaces are ready or unmanaged

Merge pull request #25777 from PeterCxy/enroll-fido2

cryptenroll: Implement support for unlocking via FIDO2 tokens

update TODO

gpt-auto-generator: enable referencing partitions via diskseq symlinks

dissect-image: optionally, reference dissected partition device nodes by diskseq

This is useful to make the dissection logic at boot a bit safer, as we
can reference device nodes by diskseq.

This locks down dissection a bit, since it makes it harder to swap out
the backing device between the time we dissected and validated it, until
we actually mounted it.

This is not complete though, as /bin/mount would have to verify the
diskseq after opening the diskseq symlink again.

See: https://github.com/util-linux/util-linux/issues/1786

dissect-image: simplify things by avoiding one string copy

We don't need the node in its original variable anymore, hence let's
just move it over instead of allocating a copy.

udev: also create partition /dev/disk/by-diskseq/ symlinks

import-creds: don't try to import VM creds in a container

If we run in a container we shouldn#t try to import creds passed in from
a VMM, as they are not for us, but for the VM itself.

cryptenroll: Implement support for unlocking via FIDO2 tokens

This allows FIDO2 users to wipe out password slots and still be able to
enroll new key slots via systemd-cryptenroll. Note that when the user
wants to both unlock with a FIDO2 token and enroll a new FIDO2 token,
they cannot be set to automatic discovery. This is to safeguard against
confusion, because there will be multiple tokens connected to the system
when doing so -- and we require users to explicitly confirm which one to
use for unlocking and which one to use for enrollment.

Addresses #20230 for the FIDO2 case.

Merge pull request #25814 from DaanDeMeyer/ukify

ukify: Prefer using llvm-objcopy instead of objcopy

cryptsetup-fido2: Remove plain mode parameters from `acquire_fido2_key_auto()`

`acquire_fido2_key_auto()` will not be used in PLAIN mode, and
parameters such as the salt will be acquired from the LUKS header.
Parameters intended for PLAIN mode are useless in
`acquire_fido2_key_auto()`.

cryptsetup-fido2: Relocate to libsystemd-shared

ukify: Validate that there are no overlapping sections

Let's make sure that after calling objcopy we have no overlapping
sections in the UKI

ukify: Prefer using llvm-objcopy instead of objcopy

llvm-objcopy works on stubs built for foreign architectures whereas
objcopy doesn't so let's prefer using llvm-objcopy instead of objcopy.

llvm-objcopy automatically sets the virtual address and doesn't provide
an option to set it manually so we only add --change-section-vma when
using objcopy

The default section flags differ between llvm-objcopy and objcopy
so we add a default for the section flags so we make sure all sections
are read-only data unless specified otherwise.

ukify: Allow passing multiple directories to --tools

Merge pull request #25791 from keszybz/ukify-check-inputs

ukify: check inputs

macro: check existence of cleanup function before call it

The free function specified in the macro may be provided by a
dynamically loaded library.

Replaces #25781.

test-network: add testcase for no managed interface

test-network: split out wait-online related test case

test-network: move one test case

dissect-image: let's lock down fstypes a bit

When we dissect images automatically, let's be a bit more conservative
with the file system types we are willing to mount: only mount common
file systems automatically.

Explicit mounts requested by admins should always be OK, but when we do
automatic mounts, let's not permit barely maintained, possibly legacy
file systems.

The list for now covers the four common writable and two common
read-only file systems. Sooner or later we might want to add more to the
list.

Also, it might make sense to eventually make this configurable via the
image dissection policy logic.

Merge pull request #25829 from poettering/empty-to-null-const-fix

string-util: don't add `const` to return pointer of empty_to_null() if input didn't have it

wait-online: exit with success when all interfaces are ready or unmanaged

Previously, when neither '--any' nor '--interface' options specified,
at least one of the interfaces must be in configured state.
This patch makes wait-online exit with success even if all interfaces
are in unmanaged state.

This may break backward compatibility in a rare situation. But in most
cases, this typically not change anything, as at least one interface
is managed by networkd.service when it is enabled.

This is mostly for making wait-online gracefully handle the case that
networkd.service and wait-online.service are enabled by mistake. In such
situation, all interfaces are typically not managed.

Fixes #25813.

creds: use empty_or_dash() where appropriate

string-util: rework empty_to_null() to not change "const" qualifier of input

This changes the definition from enpty_to_null() so that we are still
typesafe (i.e. only accept strings) but do not drop (or add) any const
to the returned string that wasn't also on the input.

Inspired by: https://github.com/systemd/systemd/pull/25805/commits/3196e2996f613a2e3568a791c503306b7c58d593

gpt-auto-generator: honour rootfstype= and rootflags= kernel cmdline option

Even if root= is not specified on the kernel cmdline, we should honour
the other rootXYZ= options.

Fixes: #8411
See: #17034

hwdb: Add mic-mute, control-center and screen-rotation mappings for MSI laptops

The MSI Summit E16 Flip A12UCT laptop sends the following unmapped
atkbd scancodes:

0x91: Launch MSI Control Center
0xf1: Toggle mic mute
0xf2: Rotate screen

The 0x91, 0xf1 and 0xf2 codes are already present in the MSI Prestige/Modern
series specific keymappings and the 0xf1 mapping is also already present in
the MSI Bravo 15-B5DX FnKeys entry.

This shows that these are generic to many MSI models, so add mappings for
these to the generic MSI mappings.

Since the MSI Bravo 15-B5DX FnKeys entry only contains the 0xf1 mapping and
that is covered by the generic MSI mappings now, that entry is removed.

Link: https://gitlab.freedesktop.org/libinput/libinput/-/issues/822
Link: https://bugzilla.kernel.org/show_bug.cgi?id=216824

hwdb: change definition of PROXIMITY_NEAR_LEVEL for sensors

The [kernel documentation][0] for the in_proximity_nearlevel sysfs
attribute on iio proximity devices states:

    If the value read from the sensor is above or equal to the value in
    this file an object should typically be considered near.

Meaning a 'greater than or equal to' comparison.

Make the documentation comment in 60-sensors.hwdb suggest a
greater-or-equal rather than a strict greater-than comparison.

[0]: https://www.kernel.org/doc/Documentation/ABI/testing/sysfs-bus-iio-proximity

Fixes #25793

systemctl: fix typo

rules: add missing line continuation

Fixes a bug introduced by 953c928c24455744d5534679998d129b947a5e04.

Fixes #25811.

man: create a new section for nspawn files in systemd.syntax man page (#25807)

Closes #25806.

resolve: fix enumerator name for DNS search domain

Merge pull request #25789 from yuwata/EBADF

tree-wide: use -EBADF more

Merge branch 'systemd-security/coredump-capabilities'

CVE-2022-4415: systemd: coredump not respecting fs.suid_dumpable kernel setting
Affects systemd >= 247 with libacl support enabled.

This is a merge of https://github.com/systemd/systemd-security/pull/12/.
I'm doing the merge locally because github doesn't support merging directly
from systemd/systemd-security to systemd/systemd.

tree-wide: use -EBADF more

ukify: check early if inputs exist and are readable

It's much nicer for the user if we fail early instead of doing partial
processing if we cannot read some input. We can't do those checks immediately
from argparse.Parser.parse_args(), because we want to fully process the
commandline first. In particular, even with invalid args, if --help is
specified somewhere, we want to handle that. Thus, we need to delay the checks
after argparse.Parser.parse_args() returns.

Ukify didn't have type annotations on functions, but it probably should.
Jörg's suggested correction included them and we might just as well start here.

systemctl: new option --drop-in for specifying drop-in filename

Previously 'systemctl edit' would only operate on
'override.conf', but users may need more than that.
Thus the new option '--drop-in' is added to allow
users to specify the drop-in file name.

Closes #25767

github: update version in bug templates

ukify: catch error when loading foreign pe file

The autodetection code is supposed to throw ValueError when it
cannot figure out the version so that we fall back to the next method.
With the patch:
  Kernel version not specified, starting autodetection 😖.
  Real-Mode Kernel Header magic not found
  + readelf --notes vmlinuz/arm64/vmlinuz-6.0.9-300.fc37.aarch64
  readelf: vmlinuz/arm64/vmlinuz-6.0.9-300.fc37.aarch64: Error: Not an ELF file - it has the wrong magic bytes at the start
  Found uname version: 6.0.9-300.fc37.aarch64

tree-wide: introduce PIPE_EBADF macro

fuzz: sort headers

Merge pull request #25786 from keszybz/ebadf

Use -EBADF for fd initialization

Merge pull request #25787 from msekletar/rename-process-cap

units: allow systemd-userdbd to change process name

hwdb: Fn+F5 fix for MSI Bravo 15-B5DX (#25788)

Closes #25782.

units: allow systemd-userdbd to change process name

rename_process() requires CAP_SYS_RESOURCE so let's make sure it is in
our permitted set after execve() by adding in to the bounding set.

Previously,
systemd-userdbd.service - User Database Manager
     Loaded: loaded (/usr/lib/systemd/system/systemd-userdbd.service; indirect; preset: disabled)
     Active: active (running) since Mon 2022-12-19 17:07:21 CET; 17min ago
TriggeredBy: ● systemd-userdbd.socket
       Docs: man:systemd-userdbd.service(8)
   Main PID: 1880 (systemd-userdbd)
     Status: "Processing requests..."
      Tasks: 4 (limit: 2272)
     Memory: 5.2M
        CPU: 244ms
     CGroup: /system.slice/systemd-userdbd.service
             ├─1880 /usr/lib/systemd/systemd-userdbd
             ├─2270 systemd-userwork
             ├─2271 systemd-userwork
             └─2272 systemd-userwork

Now,
    Loaded: loaded (/usr/lib/systemd/system/systemd-userdbd.service; indirect; preset: disabled)
     Active: active (running) since Mon 2022-12-19 17:27:02 CET; 15s ago
TriggeredBy: ● systemd-userdbd.socket
       Docs: man:systemd-userdbd.service(8)
   Main PID: 2404 (systemd-userdbd)
     Status: "Processing requests..."
      Tasks: 4 (limit: 2272)
     Memory: 5.5M
        CPU: 89ms
     CGroup: /system.slice/systemd-userdbd.service
             ├─2404 /usr/lib/systemd/systemd-userdbd
             ├─2407 "systemd-userwork: waiting..."
             ├─2408 "systemd-userwork: waiting..."
             └─2409 "systemd-userwork: waiting..."

argv-util: do proper permission check while when changing process name

Process renaming happens very seldomly so we are able to afford proper
permission check, i.e. actually check for CAP_SYS_RESOURCE capability
instead of euid.

Merge pull request #25783 from keszybz/trivial-cleanups

Trivial cleanups

Merge pull request #25771 from bluca/pkcs11_dlopen

p11kit: switch to dlopen()

basic/hashmap: add comment

Coverity complains that the check is suspicious. Add a comment to help
the reader.

efi: do not use 'r' as pointer name

'r' should only be used as in 'int r'.

userdb: fix typo

shared/dns-domain: reduce scope of variable declarations

basic/fd-util: rearrange variable declarations

Having two blocks of normal variable declarations was unnecessary.
Also 'i' can be narrower in scope.

tree-wide: use -EBADF also in pipe initializers

In some places, initialization is dropped when unnecesary.

tree-wide: change initialization to use EBADF instead of EBADFD

Those fds never were, so it's not fair to say that they are in "bad state".
Let's use the shorter and more direct errno.

tree-wide: use -EBADF for fd initialization

-1 was used everywhere, but -EBADF or -EBADFD started being used in various
places. Let's make things consistent in the new style.

Note that there are two candidates:
EBADF 9 Bad file descriptor
EBADFD 77 File descriptor in bad state

Since we're initializating the fd, we're just assigning a value that means
"no fd yet", so it's just a bad file descriptor, and the first errno fits
better. If instead we had a valid file descriptor that became invalid because
of some operation or state change, the other errno would fit better.

In some places, initialization is dropped if unnecessary.

sd-event: never pass negative errnos as signalfd to signalfd

We treat any negative value as "invalid fd", but signalfd only
accepts -1.

socket-proxyd: do not hardcode -1 in a check for fd validity

Update TODO

p11kit: switch to dlopen()

Merge pull request #25784 from poettering/bootctl-split

bootctl: split up bootctl.c into multiple files