hibernate-resume: use devnode_same to compare device nodes

Addresses https://github.com/systemd/systemd/pull/28321#discussion_r1257866179

When devnode_same() fails we only debug log about it, because
the device nodes might not have appeared by the time the generator
is run.

Fixes #28340

shared/device-nodes: add devnode_same

path-util: make path_equal_or_inode_same static inline

No functional change, just refactoring.

seccomp: add arm_fadvise64_64 to system-service group

fadvise64 and fadvise64_64 are already in the group, but arm_ version
was not.

Fixes #28350.

Merge pull request #28348 from YHNdnzj/async-close-waitpid

shared/async: don't use WEXITED for waitpid()

shared/async: don't use WEXITED for waitpid()

Follow-up for c26d7837bb08508c8d906d849dff8f1bc465063e

waitpid() doesn't support WEXITED and returns -1 (EINVAL),
which results in the intermediate close process not getting
reaped.

Fixes https://github.com/systemd/systemd/issues/26744#issuecomment-1628240782

shared/async: prefix process name with sd-

Merge pull request #28343 from poettering/daemon-reload-common

tree-wide: add common implementation of Reload() bus call to PID 1

Merge pull request #28333 from DaanDeMeyer/tpm-support-dlopen

tpm2-util: Only assume system support if we can dlopen() the tpm libraries

tree-wide: drop trailing newline from various log calls

We generate this implicitly, hence we generally don't include it
explicitly.

bus-unit-util: add common code for reloading PID 1

We have this very similar code in various places, and it#s not entirely
obvious (since we want a prolonged timeout for the reload), hence unify
this at one place.

test-fstab-generator: use test_env

When running from the build directory systemd-detect-virt might not be installed,
so tell meson to set up the PATH accordingly to point to the build directory.

Fixes https://github.com/systemd/systemd/issues/28316

sd-gpt: add missing SD_GPT_*NATIVE* defines for mips/mips64/parisc

We already had the arch-specific UUIDs defined, but they were not wired up

Merge pull request #28308 from bluca/casting

Fix compilation on mipsel, ia64 and x32

test: reorder the machinectl signal tests

So the multiple-machines tests run last to avoid a race where the
checked signal would get ignored while the stub init is still processing
the previous signals:

[   17.380417] testsuite-13.sh[376]: + machinectl reboot long-running long-running long-running
[   17.389888] systemd-nspawn[495]: ++ touch /reboot
[   17.390904] testsuite-13.sh[376]: + rm -f /var/lib/machines/long-running/trap
[   17.393937] testsuite-13.sh[376]: + machinectl kill --signal=SIGTRAP --kill-whom=leader long-running
[   17.408905] testsuite-13.sh[376]: + timeout 10 bash -c 'while ! test -e /var/lib/machines/long-running/trap; do sleep .5; done'
[   27.413210] testsuite-13.sh[376]: + at_exit
...
[   27.993376] testsuite-13.sh[373]: + echo 'Subtest /usr/lib/systemd/tests/testdata/units/testsuite-13.machinectl.sh failed'

mkosi: Add tpm2-tools to the initrd

To provide tpm2_eventlog for PCR debugging.

Merge pull request #28334 from DaanDeMeyer/network-generator

Network generator fixes

analyze-pcrs: Fix typo

tpm2-util: Check for dlopen() when calculating tpm2 support

sleep: fix unused variable warning

log_level_ignored is used only inside the ifdef, so declare it there too

process-util: use clone2 on ia64

glibc does not provide clone() on ia64, only clone2. But only as a
symbol in the shared library, there's no prototype in the gblic
headers, so we have to define it, copied from the manpage.

Cast st_dev to dev_t when printing

st_dev is not the same as dev_t, and on O32 architectures like
mipsel it's an unsigned long, but dev_t is still unsigned long long,
so they don't match and compilation fails:

../src/journal/cat.c: In function ‘run’:
../src/basic/format-util.h:46:19: error: format ‘%llu’ expects argument of type ‘long long unsigned int’, but argument 3 has type ‘long unsigned int’ [-Werror=format=]
   46 | #  define DEV_FMT "%" PRIu64
      |                   ^~~
../src/journal/cat.c:168:34: note: in expansion of macro ‘DEV_FMT’
  168 |                 if (asprintf(&s, DEV_FMT ":" INO_FMT, st.st_dev, st.st_ino) < 0)
      |                                  ^~~~~~~
In file included from ../src/systemd/sd-journal.h:20,
                 from ../src/journal/cat.c:11:
/usr/include/inttypes.h:105:41: note: format string is defined here
  105 | # define PRIu64         __PRI64_PREFIX "u"

network-generator: Add missing umask(0022)

network-generator: Add missing log_setup()

boot: Fix build for x32

When building on a x32 system we need to explicitly pass `-m64` to get
the right ABI as the kernel and EFI are still 64bit. For this to
actually work, a suitable multilib compiler, 32bit libc headers and
libgcc need to be installed (similar to ia32 builds on x86_64).

Print ssize_t as %zd

On some architectures (x32) ssize_t is int, not long int.

../src/basic/confidential-virt.c: In function ‘msr’:
../src/basic/confidential-virt.c:133:27: error: format ‘%ld’ expects argument of type ‘long int’, but argument 7 has type ‘ssize_t’ {aka ‘int’} [-Werror=format=]
  133 |                 log_debug("Short read %ld bytes from MSR device %s (index %" PRIu64 "), ignoring",
      |                           ^~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  134 |                           rv,
      |                           ~~
      |                           |
      |                           ssize_t {aka int}
../src/basic/log.h:214:86: note: in definition of macro ‘log_full_errno_zerook’
  214 |                         ? log_internal(_level, _e, PROJECT_FILE, __LINE__, __func__, __VA_ARGS__) \
      |                                                                                      ^~~~~~~~~~~
../src/basic/log.h:242:28: note: in expansion of macro ‘log_full’
  242 | #define log_debug(...)     log_full(LOG_DEBUG,   __VA_ARGS__)
      |                            ^~~~~~~~
../src/basic/confidential-virt.c:133:17: note: in expansion of macro ‘log_debug’
  133 |                 log_debug("Short read %ld bytes from MSR device %s (index %" PRIu64 "), ignoring",
      |                 ^~~~~~~~~
../src/basic/confidential-virt.c:133:41: note: format string is defined here
  133 |                 log_debug("Short read %ld bytes from MSR device %s (index %" PRIu64 "), ignoring",
      |                                       ~~^
      |                                         |
      |                                         long int
      |                                       %d

test: mount_option_supported() returns EAGAIN when new mount API is not supported

Don't fail test-mountpoint-util if we get EAGAIN as it's expected on old
kernels

efi: skip libefitest if 'bootloader' is explicitly set to false

On x32 efi_arch will be set as the kernel architecture is just x86_64,
but there's no userland support to build the EFI ABI. When -Dbootloader=false
is set, skip libefitest too.

Merge pull request #28321 from YHNdnzj/hibernate-resume-compare-dev

hibernate-resume: follow-ups

hibernate-resume: compare device nodes using path_equal_or_inode_same

Follow-up for 9deeca127520b1098c3dfab9cdfd3b9c6bf983a4

hibernate-resume: add missing newline to the generated unit

hibernate-resume: refuse resume if resume_offset= is set but not resume=

coccinelle/take-fd: match for -EBADF instead of -1

Follow-up for 254d1313ae5a69c08c9b93032aaaf3d6083cfc07

LICENSES/README.md: fix syntax

seccomp: add riscv_hwprobe to @default

This syscall is for probing hardware capabilities from userspace and should do no harm.
Added in https://github.com/torvalds/linux/commit/ea3de9ce8aa280c5175c835bd3e94a3a9b814b74

Merge pull request #28309 from weblate/weblate-systemd-master

Translations update from Fedora Weblate

po: Translated using Weblate (Georgian)

Currently translated at 100.0% (195 of 195 strings)

Co-authored-by: Temuri Doghonadze <temuri.doghonadze@gmail.com>
Translate-URL: https://translate.fedoraproject.org/projects/systemd/master/ka/
Translation: systemd/main

po: Translated using Weblate (Ukrainian)

Currently translated at 100.0% (195 of 195 strings)

Co-authored-by: Yuri Chornoivan <yurchor@ukr.net>
Translate-URL: https://translate.fedoraproject.org/projects/systemd/master/uk/
Translation: systemd/main

po: Translated using Weblate (Swedish)

Currently translated at 100.0% (195 of 195 strings)

Co-authored-by: Luna Jernberg <bittin@reimu.nl>
Translate-URL: https://translate.fedoraproject.org/projects/systemd/master/sv/
Translation: systemd/main

po: Translated using Weblate (Korean)

Currently translated at 100.0% (195 of 195 strings)

Co-authored-by: 김인수 <simmon@nplob.com>
Translate-URL: https://translate.fedoraproject.org/projects/systemd/master/ko/
Translation: systemd/main

po: Translated using Weblate (Czech)

Currently translated at 100.0% (195 of 195 strings)

Co-authored-by: Pavel Borecki <pavel.borecki@gmail.com>
Translate-URL: https://translate.fedoraproject.org/projects/systemd/master/cs/
Translation: systemd/main

fuzz: switch fuzz-manager-serialize to MANAGER_TEST_RUN_MINIMAL

When there is no access to cgroups MANAGER_TEST_RUN_BASIC will fail
to set up and assert. This happens on a build system like Debian's.
Switch to _MINIMAL which skips cgroup and other machine-wide setups.

test: Add DA lockout handling to TEST-70-TPM2

Since this test intentionally provides an incorrect PIN, the DA lockout counter
is incremented; the test needs to reset it so there is no DA lockout.

test-proc-cmdline: run tests only with efi

Run these tests only with efi enabled.

dissect: add new verbs to brief version of cmline in --help

Merge pull request #28287 from yuwata/network-null-address

network: fix null address handling

Merge pull request #28296 from bluca/shell_compl

Add new verbs to bash shell completions

shell-completion: add show-cache to bash

shell-completion: add whoami to bash

shell-completion: add soft-reboot to bash

Merge pull request #28295 from eworm-de/zsh-soft-reboot

shell-completion/zsh: misc verbs

shell-completion/zsh/resolvectl: add show-cache

Make zsh shell-completion aware of show-cache.

shell-completion/zsh/systemctl: add whoami

Make zsh shell-completion aware of whoami.

shell-completion/zsh/systemctl: add soft-reboot

Make zsh shell-completion aware of soft-reboot.

meson: allow to fallback to use libxcrypt.pc or glibc's libcrypt

Some distributions still use glibc's libcrypt. In that case, libcrypt.pc
does not exist and dependency() will fail.
Also, even if libxcrypt is used, there may not be a symlink
from libcrypt.pc to libxcrypt.pc. So, let's add a secondary name.

Follow-up for d625f717db6e151fd78742593c35eaba4cd2841d.

Fixes #28289.

test: remove +x from some units

typo: dont -> don't

test: add +x to generator-utils.sh

It is marked and named as a script, so add +x otherwise Lintian complains:

 W: systemd-tests: script-not-executable [usr/lib/systemd/tests/testdata/units/generator-utils.sh]

README: mention that meson 0.60 is now required

NEWS: mention that meson 0.60 is now required

NEWS: mention that gnu-efi is no longer required

test-network: add tests for null addresses

For issue #26113.

network: make address_get() work for null address

When a static null address is requested, e.g. Address=0.0.0.0/24,
then the corresponding Address object owned by Network object has
null address, and previously it did not match any addresses already
assigne to the interface.

Let's search matching Address object when originally it is requested as
the null address.

Then, the address configured with requested as a null address will be
kept on reconfigure.

Fixes #26113.

network: always copy input address for link_request_address()

Then, the code becomes much simpler.
This also adds several missing log messages.

No functional change, just refactoring.

network: also use address_kernel_{hash,compare}_func() for managing address requests

Request may refer Address object owned by Link, but its broadcast
address or label may be updated by address_equalify(), hence these
fields cannot be used in the hash and compare functions.

network: log broadcast address and address label

network: ignore Broadcast= setting when the address is null

When an address is requested with null address, then broadcast should be
determined after an address aquired that will be assigned to the
interface.

network: split-out address_section_adjust_broadcast()

No functional change, just refactoring.

man/systemd.unit: document restart behavior on Upholds=

Behavior on constantly failing (or oneshot) unit was unclear. Let's
document it here.

fstab-generator: unify initrd-root-device.target dependency handling code

This fixes a bug from #26038 where it would actually write generator
stuff during sysroot check when it was only supposed to check for daemon
reload.

Merge pull request #28233 from mrc0mmand/append-to-corrupted-journals

test: append to corrupted journals

Merge pull request #28286 from yuwata/network-dhcp4-classless-static-routes

network,dhcp4: do not ignore gateway in classless static routes option

network,ndisc: use ndisc_captive_portal_free() at one more place

Fixes another memleak introduced by 64de00c49fde341d09b817164fe8cc8f7da46268.
Fixes #28283.

test-network: add one more testcase for DHCPv4 classless route

For issue #28280.

network/dhcp4: do not ignore the gateway even if the destination is in the same network

Fixes #28280.

test: append to corrupted journals

Introduce a manual test tool that creates a journal, corrupts it by
flipping bits at given offsets, and then attempts to write to the journal.
In ideal case we should handle this gracefully without any crash or
memory corruption.

po: Update translation files

Updated by "Update PO files to match POT (msgmerge)" hook in Weblate.

Co-authored-by: Weblate <noreply@weblate.org>
Translate-URL: https://translate.fedoraproject.org/projects/systemd/master/
Translation: systemd/main

NEWS: finalize for 254-rc1

meson: bump versions for v254-rc1

Update translation files

NEWS: update contributors list

Update NEWS for latest changes

NEWS: rearrange deprecation notices from more imminent to less imminent

Merge pull request #27584 from rphibel/add-restartquick-option

service: add new RestartMode option

Merge pull request #20425 from Blarse/passwdqc-pr

Add passwdqc support

network,ndisc: use correct free function for captive portal

Fixes memleak introduced by 64de00c49fde341d09b817164fe8cc8f7da46268.
Fixes #28277.

Merge pull request #28242 from berrange/cond-sec-cvm

Detect and expose the confidential virtualization technology in various places

Merge pull request #28274 from DaanDeMeyer/dissect-root

dissect: Allow a few verbs to operate on directories as well as image files

service: fix for RestartMode=direct option

With the fix done in PR28215, the unit restart job is created with type JOB_START.
Because of that, it is not properly merged anymore with the old one: the
merged job has state JOB_RUNNING. It should have state JOB_WAITING.

I think that the old job is not cleaned up because we don't go through the failed state.

With this fix, the merged job is properly created with state JOB_WAITING.

service: add new RestartMode option

When this option is set to direct, the service restarts without entering a failed
state. Dependent units are not notified of transitory failure.

This is useful for the following use case:

We have a target with Requires=my-service, After=my-service.
my-service.service is a oneshot service and has Restart=on-failure in
its definition.

my-service.service can get stuck for various reasons and time out, in
which case it is restarted. Currently, when it fails the first time, the
target fails, even though my-service is restarted.

The behavior we're looking for is that until my-service is not restarted
anymore, the target stays pending waiting for my-service.service to
start successfully or fail without being restarted anymore.

udev: add 'conf-virt' constant for confidential virtualization tech

Related: https://github.com/systemd/systemd/issues/27604
Signed-off-by: Daniel P. Berrangé <berrange@redhat.com>

core: set SYSTEMD_CONFIDENTIAL_VIRTUALIZATION env for generators

This reports the confidential virtualization type that was detected

Related: https://github.com/systemd/systemd/issues/27604
Signed-off-by: Daniel P. Berrangé <berrange@redhat.com>

core: log detected confidential virtualization type

Related: https://github.com/systemd/systemd/issues/27604
Signed-off-by: Daniel P. Berrangé <berrange@redhat.com>

dbus: add 'ConfidentialVirtualization' property to manager object

This property reports whether the system is running inside a confidential
virtual machine.

Related: https://github.com/systemd/systemd/issues/27604
Signed-off-by: Daniel P. Berrangé <berrange@redhat.com>

unit: add "cvm" option for ConditionSecurity

The "cvm" flag indicates whether the OS is running inside a confidential
virtual machine.

Related: https://github.com/systemd/systemd/issues/27604
Signed-off-by: Daniel P. Berrangé <berrange@redhat.com>

detect-virt: add --list-cvm option

The --list-cvm option reports the known types of confidential virtualization
technology that can be detected.

Related: https://github.com/systemd/systemd/issues/27604
Signed-off-by: Daniel P. Berrangé <berrange@redhat.com>

detect-virt: add --cvm option

The --cvm option detects whether the OS is running inside a confidential
virtual machine.

Related: https://github.com/systemd/systemd/issues/27604
Signed-off-by: Daniel P. Berrangé <berrange@redhat.com>

add APIs for detecting confidential virtualization

This code uses various CPUID checks to be able to identify

 * AMD SEV
 * AMD SEV-ES
 * AMD SEV-SNP
 * Intel TDX

On HyperV/Azure, it has special checks for detecting SEV-SNP
since the normal CPUID is blocked.

Related: https://github.com/systemd/systemd/issues/27604
Signed-off-by: Daniel P. Berrangé <berrange@redhat.com>

shared: add libpasswdqc support

Co-authored-by: Dmitry V. Levin <ldv@altlinux.org>
Resolves: #15055

treewide: fix "an" before consonant U sounds

The article "a" goes before consonant sounds and "an" goes before vowel
sounds. This commit changes an to a for UKI, UDP, UTF-8, URL, UUID, U-Label, UI
and USB, since they start with the sound /ˌjuː/.