basic/memfd: fix memfd_map() seal test

Private mappings are required when F_SEAL_WRITE is set on a memfd,
because otherwise you could end up with writable mappings through
mprotect() and other calls. This is a limitation of the kernel
implementation, and might be lifted by future extensions.

Regardless, the current code tests for the full `is_sealed()` before
using MAP_PRIVATE. This might end up using MAP_SHARED for write-sealed
memfds, which will be refused by the kernel.

Fix this and make memfd_map() check for exactly `F_SEAL_WRITE`.

basic/memfd: add fcntl() wrappers

Add wrappers around GET/ADD_SEALS to allow future use outside of the
current `memfd_get/set_sealed()` helpers.

basic/memfd: reduce default seals to historic set

Rather than always setting all seals, make `memfd_set_seals()` employ
the original set of seals, that is: SEAL+GROW+SHRINK+WRITE

Historically, the memfd code was used with the out-of-tree memfd
patches, which merely supported a single seal ("SEALED", which
effectively was GROW+SHRINK+WRITE). When the code was adapted to the
upstream memfd seals, it was extended to the full seal set. With more
and more seals being added upstream, this because more problematic. In
particular, it is unclear what the function really is meant to achieve.

Instead of just adding all seals, the function is returned to its
original purpose: seal the memfd so futher modifications to its content
are prevented.

basic/memfd: drop test for F_SEAL_SEAL

With `F_SEAL_SEAL` a memfd can disable further sealing operations,
effectively sealing the set of seals. Testing for it ensures that no
further seals can be added, it never prevents seals from being dropped,
since seals cannot be dropped, ever.

Now testing for `F_SEAL_SEAL` makes sense if you want to ensure that
some seals are *not* set. That is, you either test for the entire set of
seals to match a local set, or you verify that a specific seal is not
set. Neither is what we are doing, so it feels wrong requiring it to be
set.

By dropping the requirement for `F_SEAL_SEAL`, the same FD can be shared
with other entities while retaining the ability to further restrict the
set of seals later on (e.g., being able to mark a region as executable
later on, and then adding `F_SEAL_EXEC`).

test: avoid TEST-70 passphrase and password file mode complaints

Minor change, to adjust mode of /tmp/passphrase and /tmp/password test files to
avoid repeated warning logs that each file "...has 0644 mode that is too
permissive, please adjust the ownership and access mode."

tpm2: add tpm2_get_pin_auth()

Add function to calculate the hash digest for a provided pin, and also verify
that the final byte in the digest is not 0. This is required because the TPM
will always remove all trailing 0's from an auth value before using it.

Fixes: #27716

Merge pull request #28416 from bluca/gpt_mips

Two more fixes for MIPS and sd-gpt

sd-gpt: __mips__ is also defined when building __mips64

Follow-up for d75ec33ed2a1781a82f9e0d62a79244ecd1e1edc

gpt: it's __mips64, not __mips64__

But it's __mips__ not __mips, obviously

Follow-up for d75ec33ed2a1781a82f9e0d62a79244ecd1e1edc

po: Translated using Weblate (Polish)

Currently translated at 100.0% (227 of 227 strings)

Co-authored-by: Piotr Drąg <piotrdrag@gmail.com>
Translate-URL: https://translate.fedoraproject.org/projects/systemd/master/pl/
Translation: systemd/main

NEWS: fix typo

po: Translated using Weblate (Georgian)

Currently translated at 100.0% (227 of 227 strings)

po: Translated using Weblate (Georgian)

Currently translated at 97.3% (221 of 227 strings)

po: Translated using Weblate (Georgian)

Currently translated at 94.2% (214 of 227 strings)

po: Translated using Weblate (Georgian)

Currently translated at 90.3% (205 of 227 strings)

po: Translated using Weblate (Georgian)

Currently translated at 88.9% (202 of 227 strings)

Co-authored-by: Temuri Doghonadze <temuri.doghonadze@gmail.com>
Translate-URL: https://translate.fedoraproject.org/projects/systemd/master/ka/
Translation: systemd/main

Update NEWS for v254-rc2

Liberté, égalité, releasé 🇫🇷

Merge pull request #28405 from bluca/rc2

RC2 busywork

Update NEWS with latest changes

NEWS: update contributors list

Update hwdb

po: Translated using Weblate (Georgian)

Currently translated at 94.2% (214 of 227 strings)

po: Translated using Weblate (Georgian)

Currently translated at 90.3% (205 of 227 strings)

po: Translated using Weblate (Georgian)

Currently translated at 88.9% (202 of 227 strings)

Co-authored-by: Temuri Doghonadze <temuri.doghonadze@gmail.com>
Translate-URL: https://translate.fedoraproject.org/projects/systemd/master/ka/
Translation: systemd/main

Merge pull request #27867 from keszybz/vconsole-reload-again

Restore ordering between vconsole-setup and firstboot services

Merge pull request #28401 from keszybz/set-console-size

Set console size when we reset it

Merge pull request #28097 from goenkam/maanya/dissect-tool-support-for-confext

systemd-confext: image-based systemd-wide config update including dm-verity support​

Merge pull request #28387 from yuwata/network-route-table-name

network: cleanups for route table name

po: update Japanese translation

tpm2: handle older tpm enrollments without a saved pcr bank

Older code did not save the pcr bank (i.e. pcr hash algorithm), and instead let
tpm2_unseal() find the best pcr bank to use. In commit
2cd9d57548b0dadd52523df486d33aa4cf7c3b84 we changed tpm2_unseal() to no longer
handle an unset pcr bank. This adds back in the handling of an unset pcr_bank
so older sealed data should continue to work.

test: reduce the number of loops in tpm2 test_tpms_pcr_selection_mask_and_hash()

This test loops through masks, but is a relatively long test due to the
increment size between loops; this slightly increases the increment size (from
3->5) which greatly speeds up the test.

tree-wide: a bunch of Coccinelle-suggested tweaks

rc2 edition

Merge pull request #28370 from ldv-alt/cname

resolved: fix canonical names returned by hosts lookups

Merge pull request #28301 from berrange/cvm-lockdown

Avoid using SMBIOS for kernel cmdline injection in sd-stub in confidential VMs

compare: fix typo

network: refuse to override predefined route table name

network: do not append table number in TableString field in json output

The json output already contains table number, hence, it is not
necessary to include number in the string.

confext: test image wide systemd support for confext

confext: add dissect tool support for confext images

Allow image wide systemd tool support for confext images by adding dissect
tool support for these images

sysext: change the table lookup string to be more verbose

catalog: update Polish translation

Merge pull request #28355 from yuwata/unit-skip-battery-check-by-kernel-command-line

unit: skip battery check when systemd.skip-battery-check specified on boot

battery-check: allow to skip by passing systemd.battery-check=0

Merge pull request #28397 from DaanDeMeyer/python-stuff

mkosi: Stop using python3.9 on CentOS 8

efi: don't pull kernel cmdline from SMBIOS in a confidential VM

In a confidential VM, the SMBIOS data is not trusted, as it is under the
control of the host OS/admin and not covered by attestation of the machine.

Fixes: https://github.com/systemd/systemd/issues/27604
Signed-off-by: Daniel P. Berrangé <berrange@redhat.com>

efi: add helper API for detecting confidential virtualization

This helper is a simplified version of detect_confidential_virtualization()
that merely returns a boolean status flag reflecting whether we are believed
to be running inside a confidential VM.

This flag can be used for turning off features that are inappropriate to
use from a CVM, but must not be used for releasing sensitive data. The
latter must only be done in response to an attestation for the environment.

Signed-off-by: Daniel P. Berrangé <berrange@redhat.com>

resolved: fix the canonical name returned by hosts lookup by name

In etc_hosts_lookup_by_name(), return the canonical name of the resolved
address instead of the name used to obtain that address.

Resolves: #20158

Merge pull request #26365 from dtardon/multiple-polkit-calls

Allow D-Bus methods to auth. for more than one polkit action

resolved: fix the canonical name returned by hosts lookup by address

In etc_hosts_lookup_by_address(), make sure the canonical name of the given
address is returned first in the list of names that address resolves to.

Resolves: #25088

resolved: keep track of first names listed for each address in /etc/hosts

These names will be used later in responses as canonical names.

fundamental: share constants for confidential virt detection

Signed-off-by: Daniel P. Berrangé <berrange@redhat.com>

mkosi: Move settings to right sections

mkosi: Stop using python3.9 on CentOS 8

Let's get rid of all the complexity and just not build ukify on
CentOS Stream 8.

mkosi: Drop kernel command line arguments that are set by mkosi

mkosi sets these by default now so let's drop them from our
configuration.

mkosi: Update to latest

mkosi now supports CentOS SIGs natively so we drop our own definition
of that and use the mkosi builtin one. We also enable hyperscale for
both CentOS 8 and CentOS 9 for consistency and add epel-next as well
which is a requirement for Hyperscale.

elf2efi: Make compatible with python 3.6 again

CentOS 8 ships python 3.6 so let's try and stay compatible with that
since the only feature we're using that requires python 3.9 is the
streamlined type annotations which are trivial to convert back to
the older stuff to stay compatible with python 3.6.

po: Translated using Weblate (Ukrainian)

Currently translated at 100.0% (227 of 227 strings)

po: Translated using Weblate (Ukrainian)

Currently translated at 93.8% (213 of 227 strings)

Co-authored-by: Yuri Chornoivan <yurchor@ukr.net>
Translate-URL: https://translate.fedoraproject.org/projects/systemd/master/uk/
Translation: systemd/main

po: Update translation files

Updated by "Update PO files to match POT (msgmerge)" hook in Weblate.

Co-authored-by: Weblate <noreply@weblate.org>
Translate-URL: https://translate.fedoraproject.org/projects/systemd/master/
Translation: systemd/main

packit: temporarily use older Rawhide spec

Until [0] is deployed to production.

[0] https://github.com/packit/specfile/commit/2bdcec3db5cbee5e1f61fd578edd6a3393afd787

kernel-install: Avoid reopening file descriptor via /proc

kernel-install used to work without /proc mounted before the rewrite
in C. Let's restore that property by making sure we don't reopen
file descriptors via /proc. In this case, parse_env_file_fdv() calls
fdopen_independent() to get a FILE * for the given file descriptor
(which itself calls fd_reopen()). Let's avoid the call to
fdopen_independent() by using chase_and_fopenat_unlocked() which
gives us a FILE * immediately without having to reopen any file
descriptors.

Merge pull request #28380 from bluca/homed_translate

homed: make all pam_prompt strings translatable

po: add homed file and regenerate pot

Merge pull request #28376 from yuwata/json_append

Use json_append() and json_variant_append_array()

network: check lifetime of address and route before configure

Otherwise, we may configure a route that depends on the existence
of an address or another route, and may fail when lifetime of one
of them are already zero.

Hopefully fixes #28358.

sd-journal: fix 'the the'

mkosi: Set systemd.early_core_pattern=/core

This makes sure we get pid1 coredumps during early boot.

terminal-util: Document boolean parameter in one more place

tree-wide: Set /dev/console size when we reset it

If a size is configured for /dev/console via the kernel cmdline,
let's make sure we take that into account when resetting /dev/console.

proc-cmdline: re-implement proc_cmdline_filter_pid1_args() without using getopt_long()

If getopt_long() is called for a list of arguments and it is freed, then
calling getopt_long() for another list will trigger use-after-free.

The function proc_cmdline_filter_pid1_args() may be called before or during
parsing program arguments (typically named as parse_argv()), hence we cannot
use getopt_long() in proc_cmdline_filter_pid1_args().

Fixes #28366.

test: add more test cases for proc_cmdline_filter_pid1_args()

Merge pull request #27526 from mrc0mmand/journal-fss

journal: clean up the FSS related code a bit & add a couple of tests

core: fix race condition during startup of a service with ExitType=cgroup

This commit allows service_sigchld_event() is executed before
service_dispatch_exec_io(), which might happen when a main process exits
very quickly.

Also do not check PID for service goodness because the main process have
already been exited in this case.

Fix: #27919

Merge pull request #28385 from YHNdnzj/fstab-initrd-bind-mount

fstab-generator: resolve bind mount source when in initrd

fstab-generator: resolve bind mount source when in initrd

We currently prepend /sysroot to mount points for entries
in /sysroot/etc/fstab. But when it comes to bind mounts,
the source needs to canonicalized too.

Fixes #6827
Replaces #7894

fstab-util: add fstab_is_bind

ukify: Derive public key from private key if not specified

bus-polkit: avoid extra variable

bus-polkit: allow to auth. a bus call for multiple actions

In #20155, verify_shutdown_creds() needs to authenticate for both
org.freedesktop.login1.hibernate-multiple-sessions and
org.freedesktop.login1.hibernate-ignore-inhibit . Previously, the second
authentication attempt would fail with -ESTALE.

Fixes #20155.

bus-polkit: parse reply from polkit on receive

... and store just the result.

bus-polkit: extract action into a separate struct

This is a preparation for later commits.

bus-polkit: describe async. polkit verification

bus-polkit: refactor a bit to avoid goto

bus-polkit: drop unused argument

bus-polkit: use automatic cleanup

test: add a couple of tests for FSS journals

journal: clean up the FSS handling code a bit

homed: make all pam_prompt strings translatable

Users get prompted with these, so they should be translated.
Note that a comment is moved up, as otherwise the pot generation picks
it up and copies it into the translation file.

Fixes https://github.com/systemd/systemd/issues/28379

docs: fix order

units/systemd-vconsole-setup: suppress error when service is restarted

The service has Type=oneshot, which means that the default value of SuccessExitStatus=0.
When multiple vtcon devices are detected, udev will restart the service after each
one. If this happens quickly enough, the old instance will get SIGTERM while it is
still running:

[    5.357341] (udev-worker)[593]: vtcon1: /usr/lib/udev/rules.d/90-vconsole.rules:12 RUN '/usr/bin/systemctl --no-block restart systemd-vconsole-setup.service
[    5.357439] (udev-worker)[593]: vtcon1: Running command "/usr/bin/systemctl --no-block restart systemd-vconsole-setup.service"
[    5.357485] (udev-worker)[593]: vtcon1: Starting '/usr/bin/systemctl --no-block restart systemd-vconsole-setup.service'
[    5.357537] (udev-worker)[609]: vtcon0: /usr/lib/udev/rules.d/90-vconsole.rules:12 RUN '/usr/bin/systemctl --no-block restart systemd-vconsole-setup.service
[    5.357587] (udev-worker)[609]: vtcon0: Running command "/usr/bin/systemctl --no-block restart systemd-vconsole-setup.service"
[    5.357634] (udev-worker)[609]: vtcon0: Starting '/usr/bin/systemctl --no-block restart systemd-vconsole-setup.service'
...
[    5.680529] systemd[1]: systemd-vconsole-setup.service: Trying to enqueue job systemd-vconsole-setup.service/restart/replace
[    5.680565] systemd[1]: systemd-vconsole-setup.service: Merged into running job, re-running: systemd-vconsole-setup.service/restart as 557
[    5.680600] systemd[1]: systemd-vconsole-setup.service: Enqueued job systemd-vconsole-setup.service/restart as 557
...
[    5.682334] systemd[1]: Received SIGCHLD from PID 744 ((le-setup)).
[    5.682377] systemd[1]: Child 744 ((le-setup)) died (code=killed, status=15/TERM)
[    5.682407] systemd[1]: systemd-vconsole-setup.service: Child 744 belongs to systemd-vconsole-setup.service.
[    5.682436] systemd[1]: systemd-vconsole-setup.service: Main process exited, code=killed, status=15/TERM
[    5.682471] systemd[1]: systemd-vconsole-setup.service: Failed with result 'signal'.
[    5.682518] systemd[1]: systemd-vconsole-setup.service: Service will not restart (manual stop)
[    5.682552] systemd[1]: systemd-vconsole-setup.service: Changed stop-sigterm -> failed

This is expected and not a problem. Let's treat SIGTERM as success so we don't
get this spurious "failure".

core: adjust indentation

One of the two conditionals in the function had different indentation than the
other.

pid1,vconsole-setup: take a lock for the console device

When systemd-firstboot (or any other unit which uses the tty) is started,
systemd will reset the terminal. If systemd-vconsole-setup happens to be
running at that time, it'll error out when it tries to use the vconsole fd and
gets an EIO from ioctl.

e019ea738d63d5f7803f378f8bd3e074d66be08f was the first fix. It added an
implicit ordering between units using the tty and systemd-vconsole-setup.
(The commit title is wrong. The approach was generalized, but the commit title
wasn't updated.)
Then cea32691c313b2dab91cef986d08f309edeb4a40 was added to restart
systemd-vconsole-setup.service from systemd-firstboot.service. This was OK,
with the ordering in place, systemd-vconsole-setup.service would wait until
systemd-firstboot.service exited. But this wasn't enough, because we want the
key mappings to be loaded immediately after systemd-firstboot writes the
config. 8eb668b9ab2f7627a89c95ffd61350ee9d416da1 implemented that, but actually
reintroduced the original issue. I had to drop the ordering between the two
units because otherwise we'd deadlock, waiting from firstboot for
vconsole-setup which wouldn't start while firstboot was running.
Restarting vconsole-setup.service from systemd-firstboot.service works just
fine, but when vconsole-setup.service is started earlier, it may be interrupted
by systemd-firstboot.service.

To resolve the issue, let's take a lock around the tty device. The reset is
performed after fork, so the (short) delay should not matter too much.

In xopenat_lock() the assert on <path> is dropped so that we can call
xopenat(fd, NULL) to get a copy of the original fd.

Fixes #26908.

network: use json_append() and json_variant_append_array()

hashmap: introduce hashmap_dump_sorted() and friends

logs-show: use json_variant_append_array()

tpm2-util: use json_variant_append_array()

busctl: use json_variant_append_array()

loop-write: do strlen() implicitly if size is specified as SIZE_MAX

This reduces repetition in the function calls, since quite often we
write out strings with loop_write().

Noticed while reviewing #28077.

ndisc: honour MTU for onlink prefix

Fixes #26520

Merge pull request #28368 from mrc0mmand/test-fail-on-error

test: a couple of clean ups

Add alternate name for MX Ergo as found on some devices

Fixes #28349

update TODO

Merge pull request #28365 from DaanDeMeyer/udevadm-query

Various fixes and improvements

logs-show: Rename json_data to JsonData and add typedef

json: free array in json_variant_unref_many()

This allows using it with CLEANUP_ARRAY(). For the 2 call sites
where we don't need to free the array, we do a regular for loop
calling json_variant_unref() instead.

basic: Fix color + underline functions/macros

We currently concatenate ANSI_UNDERLINE to the color of our choice
in DEFINE_ANSI_FUNC_UNDERLINE() and DEFINE_ANSI_FUNC_UNDERLINE_256().
The first thing that ANSI_UNDERLINE does is reset all previous ansi
escape sequences, so you just get underlining without any colors.

Let's fix the issue by actually concatenating _UNDERLINE to the given
color macro name so this works properly.

Also add missing color macros that this uncovered.

device-util: Declare iterator variables inline