efi: don't pull kernel cmdline from SMBIOS in a confidential VM

In a confidential VM, the SMBIOS data is not trusted, as it is under the
control of the host OS/admin and not covered by attestation of the machine.

Fixes: https://github.com/systemd/systemd/issues/27604
Signed-off-by: Daniel P. Berrangé <berrange@redhat.com>

efi: add helper API for detecting confidential virtualization

This helper is a simplified version of detect_confidential_virtualization()
that merely returns a boolean status flag reflecting whether we are believed
to be running inside a confidential VM.

This flag can be used for turning off features that are inappropriate to
use from a CVM, but must not be used for releasing sensitive data. The
latter must only be done in response to an attestation for the environment.

Signed-off-by: Daniel P. Berrangé <berrange@redhat.com>

fundamental: share constants for confidential virt detection

Signed-off-by: Daniel P. Berrangé <berrange@redhat.com>

dissect: add new verbs to brief version of cmline in --help

Merge pull request #28287 from yuwata/network-null-address

network: fix null address handling

Merge pull request #28296 from bluca/shell_compl

Add new verbs to bash shell completions

shell-completion: add show-cache to bash

shell-completion: add whoami to bash

shell-completion: add soft-reboot to bash

Merge pull request #28295 from eworm-de/zsh-soft-reboot

shell-completion/zsh: misc verbs

shell-completion/zsh/resolvectl: add show-cache

Make zsh shell-completion aware of show-cache.

shell-completion/zsh/systemctl: add whoami

Make zsh shell-completion aware of whoami.

shell-completion/zsh/systemctl: add soft-reboot

Make zsh shell-completion aware of soft-reboot.

meson: allow to fallback to use libxcrypt.pc or glibc's libcrypt

Some distributions still use glibc's libcrypt. In that case, libcrypt.pc
does not exist and dependency() will fail.
Also, even if libxcrypt is used, there may not be a symlink
from libcrypt.pc to libxcrypt.pc. So, let's add a secondary name.

Follow-up for d625f717db6e151fd78742593c35eaba4cd2841d.

Fixes #28289.

test: remove +x from some units

typo: dont -> don't

test: add +x to generator-utils.sh

It is marked and named as a script, so add +x otherwise Lintian complains:

 W: systemd-tests: script-not-executable [usr/lib/systemd/tests/testdata/units/generator-utils.sh]

README: mention that meson 0.60 is now required

NEWS: mention that meson 0.60 is now required

NEWS: mention that gnu-efi is no longer required

test-network: add tests for null addresses

For issue #26113.

network: make address_get() work for null address

When a static null address is requested, e.g. Address=0.0.0.0/24,
then the corresponding Address object owned by Network object has
null address, and previously it did not match any addresses already
assigne to the interface.

Let's search matching Address object when originally it is requested as
the null address.

Then, the address configured with requested as a null address will be
kept on reconfigure.

Fixes #26113.

network: always copy input address for link_request_address()

Then, the code becomes much simpler.
This also adds several missing log messages.

No functional change, just refactoring.

network: also use address_kernel_{hash,compare}_func() for managing address requests

Request may refer Address object owned by Link, but its broadcast
address or label may be updated by address_equalify(), hence these
fields cannot be used in the hash and compare functions.

network: log broadcast address and address label

network: ignore Broadcast= setting when the address is null

When an address is requested with null address, then broadcast should be
determined after an address aquired that will be assigned to the
interface.

network: split-out address_section_adjust_broadcast()

No functional change, just refactoring.

man/systemd.unit: document restart behavior on Upholds=

Behavior on constantly failing (or oneshot) unit was unclear. Let's
document it here.

fstab-generator: unify initrd-root-device.target dependency handling code

This fixes a bug from #26038 where it would actually write generator
stuff during sysroot check when it was only supposed to check for daemon
reload.

Merge pull request #28233 from mrc0mmand/append-to-corrupted-journals

test: append to corrupted journals

Merge pull request #28286 from yuwata/network-dhcp4-classless-static-routes

network,dhcp4: do not ignore gateway in classless static routes option

network,ndisc: use ndisc_captive_portal_free() at one more place

Fixes another memleak introduced by 64de00c49fde341d09b817164fe8cc8f7da46268.
Fixes #28283.

test-network: add one more testcase for DHCPv4 classless route

For issue #28280.

network/dhcp4: do not ignore the gateway even if the destination is in the same network

Fixes #28280.

test: append to corrupted journals

Introduce a manual test tool that creates a journal, corrupts it by
flipping bits at given offsets, and then attempts to write to the journal.
In ideal case we should handle this gracefully without any crash or
memory corruption.

po: Update translation files

Updated by "Update PO files to match POT (msgmerge)" hook in Weblate.

Co-authored-by: Weblate <noreply@weblate.org>
Translate-URL: https://translate.fedoraproject.org/projects/systemd/master/
Translation: systemd/main

NEWS: finalize for 254-rc1

meson: bump versions for v254-rc1

Update translation files

NEWS: update contributors list

Update NEWS for latest changes

NEWS: rearrange deprecation notices from more imminent to less imminent

Merge pull request #27584 from rphibel/add-restartquick-option

service: add new RestartMode option

Merge pull request #20425 from Blarse/passwdqc-pr

Add passwdqc support

network,ndisc: use correct free function for captive portal

Fixes memleak introduced by 64de00c49fde341d09b817164fe8cc8f7da46268.
Fixes #28277.

Merge pull request #28242 from berrange/cond-sec-cvm

Detect and expose the confidential virtualization technology in various places

Merge pull request #28274 from DaanDeMeyer/dissect-root

dissect: Allow a few verbs to operate on directories as well as image files

service: fix for RestartMode=direct option

With the fix done in PR28215, the unit restart job is created with type JOB_START.
Because of that, it is not properly merged anymore with the old one: the
merged job has state JOB_RUNNING. It should have state JOB_WAITING.

I think that the old job is not cleaned up because we don't go through the failed state.

With this fix, the merged job is properly created with state JOB_WAITING.

service: add new RestartMode option

When this option is set to direct, the service restarts without entering a failed
state. Dependent units are not notified of transitory failure.

This is useful for the following use case:

We have a target with Requires=my-service, After=my-service.
my-service.service is a oneshot service and has Restart=on-failure in
its definition.

my-service.service can get stuck for various reasons and time out, in
which case it is restarted. Currently, when it fails the first time, the
target fails, even though my-service is restarted.

The behavior we're looking for is that until my-service is not restarted
anymore, the target stays pending waiting for my-service.service to
start successfully or fail without being restarted anymore.

udev: add 'conf-virt' constant for confidential virtualization tech

Related: https://github.com/systemd/systemd/issues/27604
Signed-off-by: Daniel P. Berrangé <berrange@redhat.com>

core: set SYSTEMD_CONFIDENTIAL_VIRTUALIZATION env for generators

This reports the confidential virtualization type that was detected

Related: https://github.com/systemd/systemd/issues/27604
Signed-off-by: Daniel P. Berrangé <berrange@redhat.com>

core: log detected confidential virtualization type

Related: https://github.com/systemd/systemd/issues/27604
Signed-off-by: Daniel P. Berrangé <berrange@redhat.com>

dbus: add 'ConfidentialVirtualization' property to manager object

This property reports whether the system is running inside a confidential
virtual machine.

Related: https://github.com/systemd/systemd/issues/27604
Signed-off-by: Daniel P. Berrangé <berrange@redhat.com>

unit: add "cvm" option for ConditionSecurity

The "cvm" flag indicates whether the OS is running inside a confidential
virtual machine.

Related: https://github.com/systemd/systemd/issues/27604
Signed-off-by: Daniel P. Berrangé <berrange@redhat.com>

detect-virt: add --list-cvm option

The --list-cvm option reports the known types of confidential virtualization
technology that can be detected.

Related: https://github.com/systemd/systemd/issues/27604
Signed-off-by: Daniel P. Berrangé <berrange@redhat.com>

detect-virt: add --cvm option

The --cvm option detects whether the OS is running inside a confidential
virtual machine.

Related: https://github.com/systemd/systemd/issues/27604
Signed-off-by: Daniel P. Berrangé <berrange@redhat.com>

add APIs for detecting confidential virtualization

This code uses various CPUID checks to be able to identify

 * AMD SEV
 * AMD SEV-ES
 * AMD SEV-SNP
 * Intel TDX

On HyperV/Azure, it has special checks for detecting SEV-SNP
since the normal CPUID is blocked.

Related: https://github.com/systemd/systemd/issues/27604
Signed-off-by: Daniel P. Berrangé <berrange@redhat.com>

shared: add libpasswdqc support

Co-authored-by: Dmitry V. Levin <ldv@altlinux.org>
Resolves: #15055

treewide: fix "an" before consonant U sounds

The article "a" goes before consonant sounds and "an" goes before vowel
sounds. This commit changes an to a for UKI, UDP, UTF-8, URL, UUID, U-Label, UI
and USB, since they start with the sound /ˌjuː/.

shared: add password quality check abstraction layer to support both pwquality and passwdqc

Co-authored-by: Dmitry V. Levin <ldv@altlinux.org>

homed: change user_record_quality_check_password to use quality_check_password

With this change, the only direct users of libpwquality functions
are those defined in pwquality-util.

pwquality: add old password argument to quality_check_password

This would allow to use quality_check_password() in
user_record_quality_check_password() which still uses
sym_pwquality_check() directly.

pwquality: do not log password suggestions

As logging password suggestions might leak sensitive information,
print it instead.

Suggested-by: Yu Watanabe <watanabe.yu+github@gmail.com>

pwquality: fix quality_check_password return value

quality_check_password() used to return the same value 0 in two
different cases: when pwq_allocate_context() failed with a
ERRNO_IS_NOT_SUPPORTED() code, and when pwquality_check() rejected the
password.  As result, users of quality_check_password() used to report
password weakness also in case when the underlying library was not
available.

Fix this by changing quality_check_password() to forward the
ERRNO_IS_NOT_SUPPORTED() code to its callers, and change the callers
to handle this case gracefully.

pwquality: fix use of ERRNO_IS_NOT_SUPPORTED

Given that ERRNO_IS_*() also match positive values, call
ERRNO_IS_NOT_SUPPORTED() only if the value returned by
pwq_allocate_context() is negative.

Hwdb: Add Sanwa Direct 400-MA128 external trackpad (#28272)

* Hwdb: Add Sanwa Direct 400-MA128 external trackpad

```
$ udevadm info /dev/input/by-path/pci-0000:28:00.3-usb-0:1.4.4.1:1.1-event-mouse
P: /devices/pci0000:00/0000:00:07.1/0000:28:00.3/usb5/5-1/5-1.4/5-1.4.4/5-1.4.4.1/5-1.4.4.1:1.1/0003:258A:0501.0097/input/input256/event15
M: event15
R: 15
U: input
D: c 13:79
N: input/event15
L: 0
S: input/by-id/usb-SINO_WEALTH_USB_TOUCHPAD-if01-event-mouse
S: input/by-path/pci-0000:28:00.3-usb-0:1.4.4.1:1.1-event-mouse
E: DEVPATH=/devices/pci0000:00/0000:00:07.1/0000:28:00.3/usb5/5-1/5-1.4/5-1.4.4/5-1.4.4.1/5-1.4.4.1:1.1/0003:258A:0501.0097/input/input256/event15
E: DEVNAME=/dev/input/event15
E: MAJOR=13
E: MINOR=79
E: SUBSYSTEM=input
E: USEC_INITIALIZED=3436890430330
E: ID_INPUT=1
E: ID_INPUT_TOUCHPAD=1
E: ID_INPUT_WIDTH_MM=106
E: ID_INPUT_HEIGHT_MM=77
E: ID_BUS=usb
E: ID_MODEL=USB_TOUCHPAD
E: ID_MODEL_ENC=USB\x20TOUCHPAD
E: ID_MODEL_ID=0501
E: ID_SERIAL=SINO_WEALTH_USB_TOUCHPAD
E: ID_VENDOR=SINO_WEALTH
E: ID_VENDOR_ENC=SINO\x20WEALTH
E: ID_VENDOR_ID=258a
E: ID_REVISION=0521
E: ID_TYPE=hid
E: ID_USB_MODEL=USB_TOUCHPAD
E: ID_USB_MODEL_ENC=USB\x20TOUCHPAD
E: ID_USB_MODEL_ID=0501
E: ID_USB_SERIAL=SINO_WEALTH_USB_TOUCHPAD
E: ID_USB_VENDOR=SINO_WEALTH
E: ID_USB_VENDOR_ENC=SINO\x20WEALTH
E: ID_USB_VENDOR_ID=258a
E: ID_USB_REVISION=0521
E: ID_USB_TYPE=hid
E: ID_USB_INTERFACES=:030101:030000:
E: ID_USB_INTERFACE_NUM=01
E: ID_USB_DRIVER=usbhid
E: ID_PATH=pci-0000:28:00.3-usb-0:1.4.4.1:1.1
E: ID_PATH_TAG=pci-0000_28_00_3-usb-0_1_4_4_1_1_1
E: ID_INPUT_TOUCHPAD_INTEGRATION=internal
E: LIBINPUT_DEVICE_GROUP=3/258a/501:usb-0000:28:00.3-1.4.4
E: DEVLINKS=/dev/input/by-id/usb-SINO_WEALTH_USB_TOUCHPAD-if01-event-mouse /dev/input/by-path/pci-0000:28:00.3-usb-0:1.4.4.1:1.1-event-mouse
```
Link to product: https://www.amazon.co.jp/gp/product/B07Z5HCMFP

hwdb: add support for Archos 101 Cesium to 60-sensor.hwdb (#28270)

Co-authored-by: Yu Watanabe <watanabe.yu+github@gmail.com>

dissect: Add --mtree-hash= option

Let's make including hashes in the mtree output configurable to allow
speeding up the --mtree command in cases where file hashes are not
required.

dissect: Allow a few verbs to operate on directories as well as image files

--copy-to, --copy-from, --list and --mtree are useful for image directories
as well as image files, so for those verbs, let's check if we were passed
a directory and skip all the image file setup if that's the case.

tpm2-util: remove unnecessary semicolon

network/json: introduce PreferredLifetimeUSec and ValidLifetimeUSec

Merge pull request #28265 from yuwata/network-captive-portal-follow-ups

network: several follow-ups for captive portal support

service: explicitly cast float to usec_t

Let's cast these floats explicitly to usec_t, since implicit
float-to-integer casts are dangerous business, and we should underline
that there's a cast happening here.

core/service: make restart delay increase more smoothly

Suggested in https://github.com/systemd/systemd/pull/26902#issuecomment-1620400583.

NEWS: more preparation for 254-rc1

Merge pull request #27713 from ddstreet/tpm2_replace_make_primary

Tpm2 replace make primary

Merge pull request #28243 from bluca/sbat_initrd

ukify: enable --sbat for UKIs too

networkctl: urlify captive portal entry

test-network: drop ExecReload= in networkd.service and udevd.service

Follow-up for 0e07cdb0e77d0322bc866b5e13abbe38e988059d and
f84331539deae28fbeb42d45ad0c8d583b3372a3.

network/ndisc: downgrade log level

The failures may be critical for per-link operation, but not critical
for the service.

network: handle captive portal with multiple routers

Before this patch, if a network has multiple routers and one of them
provides a captive portal, then the portal was overwritten or cleared
when another RA from another router is received.

This makes captive portals managed in the similar way as DNS servers or
DNS domains. So now captive portal can safely handled even if a network
has multiple routers.

network: update comment

network: introduce link_get_captive_portal()

Then, downgrade log level of the message about mis-match of captive
portals in different protocols.

Merge pull request #28262 from YHNdnzj/transaction-followup

Follow-ups for PropagatesStopTo= fix

tpm2: remove tpm2_make_primary()

Replace use of tpm2_make_primary() with tpm2_create_loaded()

tpm2: move local vars in tpm2_unseal() to point of use

No functional change; cosmetic only.

tpm2: add tpm2_get_or_create_srk()

Add function to simplify getting the TPM SRK; if one exists, it is provided,
otherwise one is created and then the new SRK provided.

This also add tpm2_create_loaded() and updates tpm2_seal() to use the new
functions instead of tpm2_make_primary().

tpm2: add tpm2_persist_handle()

Add function to convert a transient handle in the TPM into a persistent handle
in the TPM.

tpm2: cache TPM algorithms

Cache the supported algorithms when creating a new context.

tpm2: cache the TPM supported commands, add tpm2_supports_command()

Cache the TPM's supported commands and provide a function to check if a command
is supported.

basic/alloc-util: add greedy_realloc_append()

Add function to perform greedy realloc as well as copying the new data into the
newly allocated space.

tpm2: replace tpm2_capability_pcrs() macro with direct c->capaiblity_pcrs use

tpm2: add tpm2_create()

This allows creating a new object (e.g. sealed secret) or key using the TPM.

Note that the new object/key is not loaded in the TPM after creation.

tpm2: replace magic number in hmac_sensitive initialization

Instead of setting hmac_sensitive.sensitive.data.size to '32' use the actual
hash size as set in the hmac_template.

tpm2: move local vars in tpm2_seal() to point of use

No functional change; cosmetic only.

tpm2: add tpm2_load_external()

This allows loading an external object/key (e.g. an openssl public key) into
the TPM.

tpm2: add tpm2_load()

This function allows loading an object (e.g. a sealed secret) or key into the
TPM.

update syscall tables for upcoming v254

update hwdb autosuspend data for v254

meson: run forgotten 'update-man-rules'