time-util: introduce usleep_safe()

We use usec_t for storing time value, which is 64bit.
However, usleep() takes useconds_t that is (typically?) 32bit.
Also, usleep() may only support the range [0, 1000000].

This introduce usleep_safe() which takes usec_t.

test: check size detections by meson

meson: sort types

sd-journal: verify journal file header in more detail

Fixes #27635.

pam: add macro wrapper to make code shorter

The same pattern is repeated so many times that it seems worth making a
shorthand for it.

Follow-up for f71b55b51075e7ce42fa0ad4ae5569ba1aea6ee2 and
2675747f3cdd6f1e6236bbb2f79abfa53fb307f1.

Merge pull request #28109 from mrc0mmand/more-journal-shenanigans

test: cover a couple of missed code paths in journalctl/journald

systemd-analyze: allow --quiet for condition checks

I figure these messages are rather unnecessary, so let the user quiet
them with the existing --quiet flag if desired. Makes systemd-analyze
condition a little more ergonomic in scripts.

elf-util: discard PT_LOAD segment early based on the start address.

Indeed when iterating over all the PT_LOAD segment of the core dump
while trying to look for the elf headers of a given module, we iterate
over them all and try to use the first one for which we can parse a
package metadata, but the start address is never taken into account,
so absolutely nothing guarantees we actually parse the right ELF header
of the right module we are currently iterating on.

This was tested like this:
 - Create a core dump using sleep on a fedora 37 container, with an
   explicit LD_PRELOAD of a library having a valid package metadata:

    podman run -t -i --rm -v $(pwd):$(pwd) -w $(pwd) fedora:37 bash -x -c \
        'LD_PRELOAD=libreadline.so.8 sleep 1000 & SLEEP_PID="$!" && sleep 1 && kill -11 "${SLEEP_PID}" && mv "core.${SLEEP_PID}" the-core'

 - Then from a fedora 38 container with systemd installed, the resulting
   core dump has been passed to systemd-coredump with and without this
   patch. Without this patch, we get:

       Module /usr/bin/sleep from rpm bash-5.2.15-3.fc38.x86_64
       Module /usr/lib64/libtinfo.so.6.3 from rpm coreutils-9.1-8.fc37.x86_64
       Module /usr/lib64/libc.so.6 from rpm coreutils-9.1-8.fc37.x86_64
       Module /usr/lib64/libreadline.so.8.2 from rpm coreutils-9.1-8.fc37.x86_64
       Module /usr/lib64/ld-linux-x86-64.so.2 from rpm coreutils-9.1-8.fc37.x86_64

   While with this patch we get:

       Module /usr/bin/sleep from rpm bash-5.2.15-3.fc38.x86_64
       Module /usr/lib64/libtinfo.so.6.3 from rpm ncurses-6.3-5.20220501.fc37.x86_64
       Module /usr/lib64/libreadline.so.8.2 from rpm readline-8.2-2.fc37.x86_64

So the parsed package metadata reported by systemd-coredump when the module
files are not found on the host (ie the case of crash inside a container) are
now correct. The inconsistency of the first module in the above example
(sleep is indeed not provided by the bash package) can be ignored as it
is a consequence of how this was tested.

In addition to this, this also fixes the performance issue of
systemd-coredump in case of the crashing process uses a large number of
shared libraries and having no package metadata, as reported in
https://sourceware.org/pipermail/elfutils-devel/2023q2/006225.html.

Merge pull request #27942 from DaanDeMeyer/root-ephemeral

core: Add RootEphemeral= setting

test: cover a couple of missed code paths in journalctl/journald

test: Add RootEphemeral= integration test

test: Add touch into minimal verity test image

core: Add RootEphemeral= setting

This setting allows services to run in an ephemeral copy of the root
directory or root image. To make sure the ephemeral copies are always
cleaned up, we add a tmpfiles snippet to unconditionally clean up
/var/lib/systemd/ephemeral. To prevent in use ephemeral copies from
being cleaned up by tmpfiles, we use the newly added COPY_LOCK_BSD
and BTRFS_SNAPSHOT_LOCK_BSD flags to take a BSD lock on the ephemeral
copies which instruct tmpfiles to not touch those ephemeral copies as
long as the BSD lock is held.

journal-remote: fix typo in an error message

meson: update man rules

Fixup for 403082602d4230c224529c46e2d8a392f3a50e49.

Merge pull request #28079 from Geass-LL/comment

basic/env-file: also change to state PRE_KEY if we see NEWLINE in sta…

Merge pull request #28082 from mrc0mmand/more-journal-remote-tests

test: add a couple of tests for systemd-journal-{remote,upload}

Merge pull request #28095 from poettering/generic-valid-version

make version_is_valid() generic

stat-util: add missing S_IFLNK entry in inode_type_to_string()

No idea what happened here, but it's a glaring omission.

analyze: also check for version string validity

It's highly interesting to see if tools such as systemd-sysupdate
consider a version valid, hence let's output that too (though
gracefully, not fatally)

string-util: move version_is_valid() into generic code

While we are at it, replace the sloppy use of filename_is_valid() by the
less sloppy filename_part_is_valid() (as added by the preceeding
commit), since we don#t want to be too restrictive here. (After all,
version strings invalid as standalone filenames might be valid as part
of filenames, and hence we should allow them).

path-util: split filename_is_valid() in two

Add a helper filename_part_is_valid() which does half of what
filename_is_valid() does: it checks for valid chars and length, but does
not filter out ".", ".." and "", as these are OK as parts of filenames,
just not alone.

hwdb: add support for Jun Tab2/Dere T11 to 60-sensor.hwdb (#28092)

hostnamectl: show age of firmware as time span, too

This converts the date into a relative timespan from the current time
on, and outputs it. It marks it yellow if older than two years, since
old firmware is probably a security risk. We don't make it red, since we
don't know though.

Merge pull request #28080 from poettering/dmi-fixes

fix udev DMI rules – make sure hostnamectl shows correct hw info even after device trigger

Merge pull request #28089 from poettering/sleep-cleanups

sleep-config: various clean-ups

Merge pull request #28087 from poettering/transaction-flags

transaction: change four boolean funciton parameters into a single flags parameter

test: add a couple of tests for systemd-journal-{remote,upload}

tmpfiles: Add note to man page about guaranteed cleanup for files/directories

tmpfiles: Don't log about harmless errors when trying to lock file

Let's make sure we don't log if the file is a symlink or does not
exist.

tmpfiles: Fix BSD lock logging messages

dissect-image: Log if verity signature partition is too large

namespace: Load sidecar verity settings in apply_mount_namespace()

Let's reduce the argument count of setup_namespace() a bit by loading
the sidecar verity settings in apply_mount_namespace(). This will also
make it possible to pass file descriptors to the root image/directory
into setup_namespace() as before this wasn't possible because the
verity settings logic looks for sidecar files next to the
root image which requires the path to be available.

Merge pull request #27863 from DaanDeMeyer/copy-lock

Add helpers to lock a directory before copying into it

hostnamed: when parsing day/month of firmware date, force decimal parsing

safe_atou() by default determines the base from the prefix 0x, 0b, 0o
and for compat with just 0 for octal. This is not what we want here,
since the date components are padded with zeroes yet still decimal.
Hence force decimal parsing (and while we are at it, prohibit a couple
of unexpected decorations).

WIthout this we'd fail to parse any the 8th and 9th day of each months, as
well aus aug and september of every year, because these look like octal
numbers but cannot actually parsed as such.

Let's change the testcase to check for a date that exposes this
bheaviour.

rules: drop weird spaces

hostnamed: don't read DMI data within a container

If we run in a container we should show info about the container, not
the host.

rules: split out DMI related rules from udev-default.rules

The DMI rules where so far guarded by an ACTION=="add" rule, but that
doesn't really make sense for setting properties (only for setting
access modes/ownership of nodes).

Hence let's move this into its own file, that guards properly on
ACTION!="remove".

Before this change the hardware vendor/model info would be dropped
whenever the device was retriggered.

update TODO

sleep: rename sleep-config.[ch] → sleep-util.[ch]

The file long ceased to be exclusively about configuration of the sleep
operation. It contains many many calls for other purposes, hence give it
a more generic name.

sleep-config: reduce scope of DMI object path a bit

We need this in a single function only, hence move it there, and make it
a static field so that it has local scope.

While we are at it, rename s/readsize to buf/bufsize, to make
relationship clear. In particular as the data read is actually binary
and "s" hence a misnomer, since it suggests it was a string.

btrfs-util: Add BTRFS_SNAPSHOT_LOCK_BSD

When making ephemeral snapshots of subvolumes whose cleanup depends on
whether they're locked or not, it's necessary to have the lock from the
very beginning, so let's support that with a new BTRFS_SNAPSHOT_LOCK_BSD
flag.

sleep-config: rename .device field to .path

This has been badly named given the path doesn't refer to a device quite
likely, but to a path to a regular file. Hence let's be more precise
with naming.

(.device kinda suggests this was an sd_device object of sorts, but it
really isn't.)

sleep-config: don't use 'device_id' moniker for a dev_t entity

We usually call dev_t entities "devnum" or "devno". That's redundant
enough, let's not call this "device_id". In particular as that's
something else (in udev context).

sleep-config: pin swap device while operating via O_PATH

sleep-config: replace SwapEntry's .type field with a proper enum

Following our usual rule: let's parse this early into internal
representation, and stick to that. don't pass unparsed strings around
needlessly.

sleep-config: check if we operate on regular file in swap_device_to_device_id() in swap file code path

Similar to the previous commit: before we continue doing swap file
operations let's ensure this actually is a swap file.

sleep-config: replace useless fstat() by useful fd_verify_regular()

For some reason there was an fstat() call here whose results was
entirely ignored. Let's remove it. Let's add a call to
fd_verify_regular() instead, because this is a code path for swap files,
hence let's make sure we actually operate on a file, and nothing else.

sleep-config: rename can_sleep_state() parameter

Just some trivial renaming, to indicate that these are not the supported
but the requested sleep states.

transaction: drop bus error arg from transaction_add_propagate_reload_jobs()

We erase the error anyway always, hence no point in even passing
anything in from callers.

transaction: rebreak comments to match current coding style

transaction: use more verbose dbus error data in log message where available

transaction: turn four bool parameters into a proper flags parameters

gpt-auto: expand the loader partition UUID check to include XBOOTLDR

Before this commit, we only accept the case when LoaderDevicePartUUID
points to the ESP, while XBOOTLDR is mounted unconditionally.

After this commit, we check if LoaderDevicePartUUID points to either
ESP or XBOOTLDR. If it does, mount both, else nothing gets mounted.

NEWS: note the incompatible change of EnvironmentFile

basic/env-file: also change to state PRE_KEY if we see NEWLINE in state COMMENT_ESCAPE

When we see a "\" in COMMENT state, we change the state to COMMENT_ESCAPE. When we got
a new character, we reset the state to COMMENT, but this character is not dispatched.
Usually the character is NEWLINE, if so we will stay in COMMENT state until we find
the next NEWLINE.

fix: https://github.com/systemd/systemd/issues/27975

Fix quoting

sysusers.d: create the user for systemd-journal-upload.service

journal-upload: capitalize all error messages

To make them consistent throughout the file.

journal-remote: capitalize all error messages

To make them consistent throughout the file.

journal-remote: sync TrustedCertificateFile= parsing with journal-upload

So we can use TrustedCertificateFile=- to disable certificate checking
for both utilities.

journal-remote: make MHD_OPTION_EXTERNAL_LOGGER the first option

To suppress a warning on journal-remote startup:
        systemd-journal-remote[691]: microhttpd:
        MHD_OPTION_EXTERNAL_LOGGER is not the first option specified for
        the daemon. Some messages may be printed by the standard MHD
        logger.

journal-remote: minor cleanups

journal-remote: simplify error handling a bit

test: cover systemd-journal-remote --url=...

Merge pull request #27941 from cvlc12/early_cpio

Define 'microcode' file type for the kernel-install staging area.

Revert "core/service: when resetting PID also reset known flag"

This reverts commit ff32060f2ed37b68dc26256b05e2e69013b0ecfe.

This change is incorrect as we don't want to mark the PID as invalid but
only mark it as dead.

The change in question also breaks user level socket activation for
`podman.service` as the termination of the main `podman system service`
process is not properly handled, causing any application accessing the
socket to hang.

This is because the user-level `podman.service` unit also hosts two
non-main processes: `rootlessport` and `rootlessport-child` which causes
the `cgroup_good` check to still succeed.

The original submitter of this commit is recommended to find another
more correct way to fix the cgroupsv1 issue on CentOS 8.

Add docs, improve log comments.

Merge pull request #28078 from keszybz/trivial-syntax-and-wording-fixes

Trivial syntax and wording fixes

Merge pull request #28056 from dtardon/polkit-cleanup

Some bus-polkit cleanup

man: place options in a some limited form of subsections

Let's visually separate the options associated with cpu, io, memory, …
in subsections

This patch tries to be minimal. It just adds the section titles, and
does minimal reordering to make sure the options on the same kind of
resource are placed close to each other.

machinectl: fix message

bus_wait_for_jobs_new() can fail for various reasons.

shared: improve messages about switch root operations

"change" is not clear without context.

man/systemd-nspawn: fix indentation and parenthesis location

docs/CREDENTIALS: fix confusion of i.e. and e.g.

man: missing/misplaced periods

Resource control manpage fixup (#28046)

The order of the description of each item should match the order that they are declared. Un-document effect of deprecated non-unified CGroup hierarchy on
DefaultCPUAccounting=. Mention that the default value for DefaultCPUAccouting= is
affected by the kernel version.

Merge pull request #28074 from mrc0mmand/journal-gatewayd-followups

A couple of follow-ups for systemd-journal-gatewayd tests

bus-polkit: put function params to a single line

bus-polkit: drop unnecessary else

bus-polkit: merge variable declarations

bus-polkit: decrease indentation

bus-polkit: extract creation of polkit call to a function

bus-polkit: move verification to a separate function

homework: resize to maximum disk space if disk size is not specified

If the backing storage is LUKS2 on a block device, auto resize mode
is enabled, and disk size is not specified, resize the partition to
the maximum expandable size.

Fixes: #22255, #23967

update TODO

mkosi: Update to latest

We now run repart before starting systemd-nspawn to make sure that
the root partition is also generated when we boot the image in a
container instead of a VM.

To make sure we start from scratch for both the container boot and
the VM boot, we also enable Ephemeral to make sure all changes to
the image are ephemeral.

test: wrap curl when running with ASan

Necessary (unfortunately) for curl on C8S.

journal-gatewayd: handle SIGTERM

To allow gatewayd to exit cleanly.

core/dbus-manager: also show DefaultIOAccounting and DefaultIPAccounting

fix: https://github.com/systemd/systemd/issues/28045

test: extend the DynamicUser=yes coverage workaround to a couple more services

Define 'microcode' type of initrd for the kernel-install staging area.

This allows microcode to be referenced first for UKIs and loader entries.

Merge pull request #28069 from medhefgo/boot-dp

boot: device_path_to_str improvements

journal: avoid infinite recursion when closing bad journal FD

When trying to log, if we fail we try to close the journal FD. If
it is bad, safe_close() will fail and assert, which will try to log,
which will fail, which will try to close the journal FD...
Infinite recursion looks very pretty live in gdb, but let's avoid
that by immediately invalidating the journal FD before closing it.

boot: Improve device_path_to_str_internal()

The UEFI spec has a generic `Path` node representation that can be used
for device path nodes that are unknown. So we can use that instead of
giving up when we see a node other than FilePath.

This also simplifies the FilePath case by just using xasprintf(). The
code is really just a fallback for silly firmware that does not
implement EFI_DEVICE_PATH_TO_TEXT_PROTOCOL (looking at you, Apple).

The correctness of this was tested by round-tripping it through
EFI_DEVICE_PATH_FROM_TEXT_PROTOCOL, which yielded an identical device
compared to our input path.

boot: Split log_hexdump()

boot: Move custom device path string creating into its own function

Merge pull request #28060 from mrc0mmand/remote-journal-tests

test: add a couple of tests for systemd-journal-gatewayd

Merge pull request #28063 from bluca/test_oomd_fixlets

Readability fixes for TEST-55-OOMD

TEST-55-OOMD: improve ephemeral configuration readability