test: validate that fdstore pinning works

pid1: add some debug logging when stashing ds into the fdstore

service: rename service_close_socket_fd() → service_release_socket_fd()

Just to match service_release_stdio_fd() and service_release_fd_store()
in the name, since they do similar things.

This follows the concept that we "release" resources, and this is all
generically wrapped in "service_release_resources()".

core: move runtime directory removal into release_resource handler

We already clear the various fds we keep from the release_resources()
handler, let's also destroy the runtime dir from there if this
preservation mode is selected.

This makes a minor semantic change: previously we'd keep a runtime
directory around if RuntimeDirectoryPreserve=restart is selected and at
least one JOB_START job was around. With this logic we'll keep it around
a tiny bit longer: as long as any job for the unit is around.

service: close fdstore asynchronously

The file descriptors we keep in the fdstore might be basically anything,
let's clean it up with our asynchronous closing feature, to not
deadlock on close().

(Let's also do the same for stdin/stdout/stderr fds, since they might
point to network services these days.)

service: allow freeing the fdstore via cleaning

Now that we have a potentially pinned fdstore let's add a concept for
cleaning it explicitly on user requested. Let's expose this via
"systemctl clean", i.e. the same way as user directories are cleaned.

service: add ability to pin fd store

Oftentimes it is useful to allow the per-service fd store to survive
longer than for a restart. This is useful in various scenarios:

1. An fd to some security relevant object needs to be stashed somewhere,
   that should not be cleaned automatically, because the security
   enforcement would be dropped then.

2. A user namespace fd should be allocated on first invocation and be
   kept around until the user logs out (i.e. systemd --user ends), á la
   #16328 (This does not implement what #16318 asks for, but should
   solve the use-case discussed there.)

3. There's interest in allow a concept of "userspace reboots" where the
   kernel stays running, and userspace is swapped out (i.e. all services
   exit, and the rootfs transitioned into a new version of it) while
   keeping some select resources pinned, very similar to how we
   implement a switch root. Thus it is useful to allow services to exit,
   while leaving their fds around till the very end.

This is exposed through a new FileDescriptorStorePreserve= setting that
is closely modelled after RuntimeDirectoryPreserve= (in fact it reused
the same internal type), since we want similar behaviour in the end, and
quite often they probably want to be used together.

service: rework how we release resources

Let's normalize how we release service resources, i.e. the three types
of fds we maintain for each service:

1. the fdstore
2. the socket fd for per-connection socket activated services
3. stdin/stdout/stderr

The generic service_release_resources() hook now calls into
service_release_fd_store() + service_close_socket_fd()
service_release_stdio_fd() one after the other, releasing them all for
the generic "release_resources" infra of the unit lifecycle.

We do no longer close the socket fd from service_set_state(), moving
this exclusively into service_release_resources(), so that all fds are
closed the same way.

service: release resources from a seperate queue, not unit_check_gc()

The per-unit-type release_resources() hook (most prominent use: to
release a service unit's fdstore once a unit is entirely dead and has no
jobs more) was currently invoked as part of unit_check_gc(), whose
primary purpose is to determine if a unit should be GC'ed. This was
always a bit ugly, as release_resources() changes state of the unit,
while unit_check_gc() is otherwise (and was before release_resources()
was added) a "passive" function that just checks for a couple of
conditions.

unit_check_gc() is called at various places, including when we wonder if
we should add a unit to the gc queue, and then again when we take it out
of the gc queue to dtermine whether to really gc it now. The fact that
these checks have side effects so far wasn't too problematic, as the
state changes (primarily: that services would empty their fdstores) were
relatively limited and scope.

A later patch in this series is supposed to extend the service state
engine with a separate state distinct from SERVICE_DEAD that is very
much like it but indicates that the service still has active resources
(specifically the fdstore). For cases like that the releasing of the
fdstore would result in state changes (as we'd then return to a classic
SERVICE_DEAD state).  And this is where the fact that the
release_resources() is called as side-effect becomes problematic: it
would mean that unit state changes would instantly propagate to state
changes elsewhere, though we usually want this to be done through the
run queue for coalescing and avoidance of recursion.

Hence, let's clean this up: let's move the release_resources() logic
into a queue of its own, and then enqueue items into it from the general
state change notification handle in unit_notify().

core: fix property getter method for NFileDescriptorStore bus property

Since da6053d0a7c16795e7fac1f9ba6694863918a597 this is a size_t, not an
unsigned. The difference doesn't matter on LE archs, but it matters on
BE (i.e. s390x), since we'll return entirely nonsensical data.

Let's fix that.

Follow-up-for: da6053d0a7c16795e7fac1f9ba6694863918a597

An embarassing bug introduced in 2018... That made me scratch my head
for way too long, as it made #27135 fail on s390x while it passed
everywhere else.

Fix cross-reference of manual for LogsDirectory

pid1: fix coredump_filter setting

Correct what appears to be a copy/paste error in config_parse_exec_coredump_filter that is preventing the coredump_filter setting from working correctly.

man: add util-linux to the package list for Fedora container

/bin/login is shipped in util-linux, however, systemd.spec on Fedora has
"Requires: (util-linux-core or util-linux)". If the dependency is
fulfilled just by installation of util-linux-core then users won't be
able to log in into the container after it boots. Let's add util-linux
package to the package list so that /bin/login is always present.

Merge pull request #27153 from poettering/varlin-fd-pass

varlink: implement file descriptor passing

Merge pull request #27212 from DaanDeMeyer/notify-exit

core: Propagate exit status via notify socket when running in VM

Merge pull request #27229 from poettering/dissect-policy-confext

dissect: follow-up for image policy merge

man: link to Fedora 37

Fedora 36 is a bit old at this point and will be EOL in about 6 weeks.
Fedora 38 is not out yet, so the cloud link wouldn't work.

Merge pull request #27217 from yuwata/boot-entry-at

boot-entry: introduce _at() variant

varlink: honour "sensitive" flag of json variant objects all the way into the socket

Let's honour the flag if it is set, just to be safe.

(This only handles the case for the writing side: whenever the client
code hands us a json object with the flag set we'll honour it till the
it's out of reach for us. This does *not* handle the reading side, which
is left for a later patch once needed. We probably should add a
per-connection flag that simply globally enables the sensitive logic for
all messages coming in on a specific varlink conneciton.)

test: add varlink fd passing test

varlink: implement file descriptor passing

Let's add infrastructure to implement fd passing in varlink, when used
over AF_UNIX.

This will optionally associate one or more fds with a message sent via
varlink and deliver it to the server.

varlink: add helper that clears the currently processed incoming message JSON object

Some minor refactoring. This adds a helper call whose only job is to
unref the JSON object of the currently processed incoming message.

This doesn't make too much sense on its own, given this just replaces
one line by another. However, in a later patch when we'll add fd passing
we'll extend the function to also destroy associated fds, and then it
will start to make more sense.

varlink: get rid of "reply" field

So far, if we do a synchronous varlink call from the client side via
varlink_call(), we'll
move the returned json object from "v->current" into "v->reply", and
keep it referenced there until the next call. We then return a pointer
to it. This ensures that the json object remains valid between two
varlink_call() invocations.

But the thing is, we don't need a separate field for that, we can just
leave the data in "v->current". This means VARLINK_IDLE_CLIENT state
will be permitted with and without v->current initialized. Initially,
after connection setup it will be set to NULL, but after the first
varlink_call() it will be set to the most recent response, pinning it
into memory.

varlink: add some comments explaining what by various errors are defined

core: Send ERRNO= via notify socket on exit

core: Propagate exit status via notify socket when running in VM

When running in a container, we can propagate the exit status of
pid1 as usual via the process exit status. This is not possible
when running in a VM. Instead, let's send EXIT_STATUS=%i via the
notify socket if one is configured. The user running the VM can then
pick up the exit status from the notify socket after the VM has shut
down.

notify: Add EXIT_STATUS field

Whenever one of our tools or daemons exits, let's send the exit status
via sd-notify in the EXIT_STATUS field.

sysext: define a default image dissection policy for confext images

discover-image: bring discover path list up-to-date.

While merge 3af48a86d99b3117a44bc22258ab4d34d0ba7655 was for a working
PR it was based on an older version of git main. Let's catch up with the
search path changes from de862276eddbbe76b436213b4d427205356d1886.

Fix compilation error

nspawn: container network interface naming

systemd-nspawn now optionally supports colon-separated pair of
host interface name and container interface name for --network-macvlan, --network-ipvlan and --network-interface options.
Also supported in .nspawn configuration files (i.e Interface=, MACVLAN=, IPVLAN= parameters).

man page changed for ntwk interface naming

Merge pull request #25608 from poettering/dissect-moar

dissect: add dissection policies

Merge pull request #27165 from poettering/fdstore-envvar

service: tell service processes that the fdstore is available via an e…

boot-entry: introduce boot_entry_token_ensure_at()

Merge pull request #27223 from dtardon/install-changes

Simplify use of bus_deserialize_and_dump_unit_file_changes()

Merge pull request #27220 from yuwata/sd-device-follow-ups-for-devlink

sd-device: several follow-ups about devlink creation

man: rebreak all of sd_notify(3)

No change of contents, just some rebreaking of the full file to match
our current line break settings.

service: tell service processes that the fdstore is available via an env var

systemctl: reduce variable scope

tree-wide: drop unneeded output params

Neither of the callers of bus_deserialize_and_dump_unit_file_changes()
touches the changes array, so let's simplify things and keep it internal
to the function.

Merge pull request #27033 from dtardon/array-cleanup

Use CLEANUP_ARRAY more

boot-entry: use chase_and_fopen_unlocked() to open /etc/kernel/entry-token

Otherwise, when 'root' is specified, the file may be a symlink to a host
file, and we may read wrong entry.

udev-test: add more testcases for SYMLINK

test: drop binary stripping stuff

Stripping the binaries in the test images makes potential stack straces
quite useless, so let's drop the stripping stuff to make test fails a bit
more developer friendly.

Related: https://github.com/systemd/systemd-centos-ci/pull/616

sd-device: absolute devlink must start with /dev/

This also makes device node path is handled with the same logic.

Addresses https://github.com/systemd/systemd/pull/27169#discussion_r1162739511.

Follow-up for 2c5f119c3cc78bd7da0c7c56b57eca43bac464c1.

boot-entry: prioritize machine ID only when it is not randomly generated

Preparation for later commits. The parameter will be used in
kernel-install later.

Merge pull request #27214 from DaanDeMeyer/firstboot

firstboot: Use root directory file descriptor for everything

Modified to use STRV_MAKE() in strv_env_name_is_valid() function listed in env-util.c

Merge pull request #27209 from jamacku/patch-1

Don't run release workflow on `systemd-security` & drop checkout action

systemctl: suppress error for try-* if unit is masked

Closes #16521

boot: Fix alignment of long long inside structs on x86

On x86 EFI follows the windows ABI, which expects 8-byte aligned long
long. The x86 sysv ELF ABI expects them to be 8-byte aligned when used
alone, but 4-byte aligned when they appear inside of structs:

    struct S {
        int i;
        long long ll;
    };

    // _Static_assert(sizeof(struct S) == 12, "x86 sysv ABI");
    _Static_assert(sizeof(struct S) == 16, "EFI/MS ABI");

To get the behavior we need when building with sysv ELF ABI we need to
pass '-malign-double' to the compiler as done by EDK2.

This in turn will make ubsan unhappy as the stack may not be properly
aligned on entry, so we have to tell the compiler explicitly to re-align
the stack on entry to efi_main.

This fixes loading EFI drivers on x86 that were previously always
rejected as the EFI_LOADED_IMAGE_PROTOCOL had a wrong memory layout.

See also: https://github.com/rhboot/shim/pull/516

ci: drop checkout from release workflow

It's not required as per comment - https://github.com/systemd/systemd/pull/27110#issuecomment-1499653913

ci: don't run release wf on `systemd-security`

portabled-image-bus: use CLEANUP_ARRAY

portabled-image-bus: use CLEANUP_ARRAY

portabled-image-bus: use CLEANUP_ARRAY

portabled-bus: use CLEANUP_ARRAY

sd-bus: use _cleanup_

sd-bus: use CLEANUP_ARRAY

execute: use CLEANUP_ARRAY

execute: use more automatic cleanup

hwdb: add matrix for Asus BR1100F (#27197)

execute: use CLEANUP_ARRAY

systemctl-set-default: use CLEANUP_ARRAY

systemctl-preset-all: shorten code a tiny bit

systemctl-preset-all: use CLEANUP_ARRAY

systemctl-enable: use CLEANUP_ARRAY

systemctl-add-dependency: shorten code a tiny bit

systemctl-add-dependency: use CLEANUP_ARRAY

portablectl: use CLEANUP_ARRAY

machinectl: do not repeat the same comparison

machinectl: drop unneeded else

machinectl: use CLEANUP_ARRAY

dbus-manager: use CLEANUP_ARRAY

firstboot: Use root directory file descriptor for everything

There were a few remaining cases where we used arg_root instead of
the root directory file descriptor. Let's port those over to use the
root directory file descriptor as well.

user-util: Add default_root_shell_at()

dbus-manager: use CLEANUP_ARRAY

Merge pull request #27186 from yuwata/os-release

os-util: several cleanups and introduce _at() variants of os-release parsers

Merge pull request #27169 from yuwata/udev-rule-refuse-unsafe-path

sd-device,udev: refuse unsafe path in SYMLINK= and TAG=

hwdb: fix ambiguous glob pattern for Lenovo machines

Fixes #27195.

Follow-up for a5c0ad9a9a2964079a19a1db42f79570a3582bee.

os-util: introduce several _at() variants of os-release parsers

os-util: make $SYSTEMD_OS_RELEASE prefixed with the root directory

To make it consistent with other env vars, e.g. $SYSTEMD_ESP_PATH or
$SYSTEMD_XBOOTLDR_PATH.

This is useful when the root is specified by a file descriptor, instead
of a path.

os-util: merge parse_{extension,os}_release()

os-util: invert order of arguments in extension release parser

For consistency with other functions.
Unfortunately, va_start() requires that the previous argument is a
pointer, hence the order of the arguments in the internal function
cannot be changed.

os-util: shorten temporal variable names

No functional change, just refactoring.

os-util: log one more error cause

os-util: do not use 'r' for storing loop status

The variable 'r' is usually used for storing return value of functional
call. Let's introduce another boolean to store the current loop status.

No functional change, just refactoring.

os-util: return earlier when unsupported image class is specified

os-util: return earlier when extension release file is found

No functional change, just refactoring.

os-util: split-out open_os_release() from open_extension_release()

The logics of opening os-release and extension-release are completely
different.
No functional change, just refactoring.

os-util: fix fd leak on failure

os-util: make open_extension_release() return O_PATH fd

os-util: drop fopen_extension_release()

compress: replace compress_blob() with compress_blob_explicit()

And make compress_xyz() return 0 on success, as we know which compression
algorithm is used when calling compress_blob().

Follow-up for 2360352ef02548723ac0c8eaf5ff6905eb9eeca5.

Merge pull request #27206 from yuwata/udev-rename

udev: rename arguments and options, update comments

chase: drop redundant call of delete_trailing_chars()

In that branch, 'root' is a non-root and absolute path.
Hence, delete_trailing_chars() does not make the path empty.
And, if the path contains redundant slashes at the end, that will be
dropped by path_simplify().

Merge pull request #27207 from masatake/busctl--help-msg

busctl: add --xml-interface to the help message

Merge pull request #27201 from yuwata/o-path-support

Support O_PATH more

tree-wide: A few more uses of "unmet" for conditions

This is a followup to
413e8650b71d4404a7453403797f93d73d88c466
> tree-wide: Use "unmet" for condition checks, not "failed"

Since I noticed when running `systemctl status` on a recent
systemd still seeing
`Condition: start condition failed`

To recap the original rationale here for "unmet" is that it's
normal for some units to be conditional, so the term "failure"
here is too strong.

Merge pull request #27199 from yuwata/find-esp

path-util: introduce path_prefix_root_cwd(), and use it in find_esp() and friends