bootctl: highlight SecureBoot enabled state in green

bootctl: if we can't access the ESP, show this in regular status output

bootctl: report if have been booted with a measured UKI

Just expose the result of efi_measured_uki() to the user.

Merge pull request #29353 from YHNdnzj/nft-followup

man/org.freedesktop.systemd1: add version info for NFTSet

Merge pull request #29265 from YHNdnzj/sleep-util-refactor

sleep-util: split into three and first round of cleanups

man/org.freedesktop.systemd1: add version info for NFTSet

Follow-up for dc7d69b3c1eb4aa78a5ba2791c6e146a365c4092

core/unit: use RET_GATHER in one more function

test: testing for core NFTSet= feature

core: add user and group to NFTSet=

The benefit of using this setting is that user and group IDs, especially dynamic and random
IDs used by DynamicUser=, can be used in firewall configuration easily.

Example:

```
[Service]
NFTSet=user:inet:filter:serviceuser
```

Corresponding NFT rules:

```
table inet filter {
        set serviceuser {
                typeof meta skuid
        }
        chain service_output {
                meta skuid @serviceuser accept
                drop
        }
}
```

```
$ cat /etc/systemd/system/dunft.service
[Service]
DynamicUser=yes
NFTSet=user:inet:filter:serviceuser
ExecStart=/bin/sleep 1000

[Install]
WantedBy=multi-user.target
$ sudo nft list set inet filter serviceuser
table inet filter {
        set serviceuser {
                typeof meta skuid
                elements = { 64864 }
        }
}
$ ps -n --format user,group,pid,command -p `systemctl show dunft.service -P MainPID`
    USER    GROUP     PID COMMAND
   64864    64864   55158 /bin/sleep 1000
```

core: firewall integration of cgroups with NFTSet=

New directive `NFTSet=` provides a method for integrating dynamic cgroup IDs
into firewall rules with NFT sets. The benefit of using this setting is to be
able to use control group as a selector in firewall rules easily and this in
turn allows more fine grained filtering. Also, NFT rules for cgroup matching
use numeric cgroup IDs, which change every time a service is restarted, making
them hard to use in systemd environment.

This option expects a whitespace separated list of NFT set definitions. Each
definition consists of a colon-separated tuple of source type (only "cgroup"),
NFT address family (one of "arp", "bridge", "inet", "ip", "ip6", or "netdev"),
table name and set name. The names of tables and sets must conform to lexical
restrictions of NFT table names. The type of the element used in the NFT filter
must be "cgroupsv2". When a control group for a unit is realized, the cgroup ID
will be appended to the NFT sets and it will be be removed when the control
group is removed.  systemd only inserts elements to (or removes from) the sets,
so the related NFT rules, tables and sets must be prepared elsewhere in
advance.  Failures to manage the sets will be ignored.

If the firewall rules are reinstalled so that the contents of NFT sets are
destroyed, command systemctl daemon-reload can be used to refill the sets.

Example:

```
table inet filter {
...
        set timesyncd {
                type cgroupsv2
        }

        chain ntp_output {
                socket cgroupv2 != @timesyncd counter drop
                accept
        }
...
}
```

/etc/systemd/system/systemd-timesyncd.service.d/override.conf
```
[Service]
NFTSet=cgroup:inet:filter:timesyncd
```

```
$ sudo nft list set inet filter timesyncd
table inet filter {
        set timesyncd {
                type cgroupsv2
                elements = { "system.slice/systemd-timesyncd.service" }
        }
}
```

update TODO

Merge pull request #29345 from poettering/measured-uki-condition

pid1: introduce ConditionSecurity=measured-uki

sleep-config: add explanatory comment on "modes"

sleep-config: several cleanups

* Rename free_sleep_config to sleep_config_free
* Rearrange functions
* Make SleepConfig.modes and .states only contain
  operations that needs configuration
* Add missing assert

sleep/battery-capacity: rearrange functions

sleep/battery-capacity: drop unused error-handling

sleep/battery-capacity: don't report we have trip alarm if no battery is found

sleep-util: split into sleep-config and hibernate-util

sleep-util: split battery-capacity into sleep/

This is only used by sleep.c. Let's start shrinking down
the "mixed" sleep-util.

sleep: rebreak lines in check_wakeup_type

sleep-util: move check_wakeup_type to sleep/sleep

Merge pull request #29134 from nabijaczleweli/short-iso-timestamp

journalctl -o short-iso[-precise]: timezone as +02:00 instead of +0200

Merge pull request #29296 from yuwata/sd-journal-several-cleanups-for-boot-id

test: introduce TEST-09-REBOOT

To test stuff involving state preserved across (multiple) reboots, like
journal boot IDs.

Merge pull request #29296 from keszybz/make-cryptsetup-offical-and-add-docs

Make cryptsetup offical and add docs

units/blockdev@.target: conflict with umount.target

Follow-up for d120ce478dc0043c89899799b5c1aaf62901bea9

blockdev@.target is used as a synchronization point between
the mount unit and corresponding systemd-cryptsetup@.service.
After the mentioned commit, it doesn't get a stop job enqueued
during shutdown, and thus the stop job for systemd-cryptsetup@.service
could be run before the mount unit is stopped.

Therefore, let's make blockdev@.target conflict with umount.target,
which is also what systemd-cryptsetup@.service does.

Fixes #29336

update TODO

efi-loader: add caching to efi_measured_uki()

EFI variable access is slow, hence let's avoid it if there's no need.
Let's cache the result of efi_measured_uki() so that we don't have to go
to the EFI variables each time.

This only caches in the yes/no case. If we encounter an error we don't
cache, so that we go to disk again.

This should optimize things a bit given we now have a bunch of services
which are conditioned with this at boot.

units: move units over to ConditionSecurity=measured-uki

condition: add ConditionSecurity=measured-uki

We have various services that should only run in a measured UKI
environment. Let's add an explicit high-level check for that.

efi-loader: rename efi_stub_measured() → efi_measured_uki()

Let's say "uki" rather than "stub", since that is just too generic, and
we shouldn't limit us to our own stub anyway, but generally define a
concept of a "measured UKI", which is a UKI that measures its part to
PCR 11.

This is mostly preparation for exposing this check to the user via
ConditionSecurity=.

ndisc: Also set link hoplimit

The per route hop limit does not place the hop limit in the IPv6 header.
https://github.com/systemd/systemd/issues/28437#issuecomment-1711055181

Revert "userdbd: Order systemd-userdbd.service after systemd-remount-fs.service"

This reverts commit 9dd88582813b6dbeea6ce336f70cae681e6cbfc6.

fix typo in NEWS

Looks like `-a change` is a typo and should have been `-c change` to
match on the action.

po: Translated using Weblate (Hungarian)

Currently translated at 100.0% (227 of 227 strings)

Co-authored-by: Balázs Úr <balazs@urbalazs.hu>
Translate-URL: https://translate.fedoraproject.org/projects/systemd/master/hu/
Translation: systemd/main

update-dbus-docs: Test that items are documented in the History section

This also adds an ignore list, which currently contains the whole API as of
version 250, since that's the base we used for dbus interfaces.

See d9d2d16aeaf7c18a7b2486cd7c2db484c99050df

network: Rename json_append_one() and move to json.h

journal: Stop trying to open runtime journal once flushed

Once we've flushed the runtime journal to /var, stop trying to open
it since that will just fail with ENOENT all the time.

meson: Fix version script handling

Build targets should have a link dependency on the version scripts they
use. This also uses absolute paths in anticipation for meson 1.3
needlessly deprecating file to string conversions.

systemd-hwdb: fix unsigned and signed comparison problem
...
uint8_t c;
struct trie_node *child;

for (p = 0; (c = trie->strings->buf[node->prefix_off + p]); p++) {
        _cleanup_free_ struct trie_node *new_child = NULL;
        _cleanup_free_ char *s = NULL;
        ssize_t off;
if (c == search[i + p])
        continue;
...
When '®' is present in search, c is 194, search[i + p] is -62, c is not equal to search[i + p], but c should be equal to search[i + p].

man: rename systemd-cryptsetup@.service → systemd-cryptsetup

We already had the other name as alias, so this just changes what is the "main"
name. The text is adjusted to describe the command briefly.

TEST-70: use new cryptsetup path

meson: add comments to compat symlinks

meson: move systemd-cryptsetup to /usr/bin

This was requested, though I think an issue was never filed. If people are
supposed to invoke it, even for testing, then it's reasonable to make it
"public".

cryptsetup: fail with error if extraneous arguments are specified

So far the program would silently ignore those… I think it's better to fail.

cryptsetup: add parse_argv() and implement --version

All public programs are expected to have that. The --help output is adjusted to
follow the usual style (highlighting, listing of options). The OPTIONS
positional argument is renamed to "CONFIG", because we now also have "OPTIONS…"
to describe the non-positional options.

cryptenroll: align tables

man/crypttab: fix indentation

man/crypttab: add a more comprehensive example of encrypted device setup

man/crypttab: do not recommend using /dev/sdX symlinks in /etc/crypttab

This is just wrong. Quering the symlink names with udevadm is not the
easiest, but I think that's the safest way for a documented example.

man/cryptenroll: link to crypttab(5) for examples

I was missing an example of how to use cryptenroll. We have that, but in
another page. Instead of repeating, let's just direct the user to the right
place.

Also, reformat synopsis to the "official" non-nested syntax.

journalctl -o short-iso[-precise]: timezone as +02:00 instead of +0200

journalctl.1: move --truncate-newline to the options instead of the -o values list

add support for hp pavilion gaming 15 lid switch (#29304)

Tested together with kernel patch: https://lore.kernel.org/linux-acpi/20230920130506.8595-1-hdegoede@redhat.com/
but the d7 key is still interpreted as a wlan key switch, so an hwdb update is needed.

Raw dmi:

dmi:bvnInsyde:bvrF.45:bd07/07/2023:br15.45:efr2.51:svnHP:pnHPPavilionGamingLaptop15-dk1xxx:pvrType1ProductConfigId:rvnHP:rn8742:rvr02.51:cvnHP:ct10:cvrChassisVersion:sku20T68EA#BH4::

Related to: https://github.com/systemd/systemd/issues/28942

Revert "man: Add /usr/local/lib path to Synopsis section for modules-load"

This reverts commit 17811767687fcee3b96333f724c5cdf3df11ae86.

udev: raise RLIMIT_NOFILE as high as we can

We might need a lot of fds on large systems, hence raise RLIMIT_NOFILE
to what the service manager allows us, which is quite a lot these days.

udev already sets FORK_RLIMIT_NOFILE_SAFE when forking of chilren, thus
ensuring that forked off processes get their RLIMIT_NOFILE soft limit
reset to 1K for compat with crappy old select().

Replaces: #29298
Fixes: #28583

varlink: remove duplicate varlink_clear_current()

core/service: log the next restart usec only when we're arming timer

service_restart_usec_next() is also called when querying
'RestartUSecNext' dbus property. Let's avoid the redundant
logging triggered every time user does a 'systemctl status'.

man: Add /usr/local/lib path to Synopsis section for modules-load

test: add test case that journal file with unreferenced _BOOT_ID data

For issue #29275.

sd-journal: always fallback to find entry by realtime

Consider the following situation:
- There are two journal files (x and y), that contains entries for two boots (X and Y).
- The journal file x contains entries of the boot X, and y contains
  entries of Y.
- Nevertheless x does not contains entries of boot Y, it contains
  the _BOOT_ID= data object of boot Y. Of course, the data object is not
  referenced by any entries in the journal file x.

In such situation, when the current location of sd_journal is the head
of journal y, that is, the first entry of the boot Y,
sd_journal_previous() failed without this change, and
'journalctl --boot -NUM' for boot X failed.

Fixes #29275.

test: add tests for journal_find_boot_by_offset() and friends

logs-show: use sd_journal_step_one()

logs-show: move journal_find_boot_by_offset() and friends from journalctl.c

journalctl: several cleanups for find_boot_by_offset()/_by_id()

- their names are prefixed with "journal_",
- make them not directly use global variables,
- simplifies the loop counter in find_boot_by_offset().

sd-journal: refuse to write entry without boot ID

To make journal entries always contain valid boot ID.

sd-journal: boot_id is always non-NULL

The two callers of journal_file_append_entry_internal() always pass
non-NULL boot ID.

sd-journal: also verify tail_entry_boot_id and friends in journal_file_verify_header()

Then, we can drop the redundant check in journal_file_read_tail_timestamp().

test: fix header verification

man: document SystemState's possible values

man: add version information for udev functions

Merge pull request #29314 from YHNdnzj/firstboot-fixup

Small fixups for first boot

Merge pull request #29309 from poettering/resolved-varlink-tweaks

resolved: minor varlink API tweaks

oomd: correct listening sockets

So, unfortunately oomd uses "io.system." rather than "io.systemd." as
prefix for its sockets. This is a mistake, and doesn't match the
Varlink interface naming or anything else in oomd.

hence, let's fix that.

Given that this is an internal protocol between PID1 and oomd let's
simply change this without retaining compat.

varlink: move O_NONBLOCK setting to varlink_server_listen_fd(), and set O_CLOEXEC too

Let's move setting of O_NONBLOCK into varlink_server_listen_fd() and out
of varlink_server_create_listen_fd_socket(). The latter has two callers:
varlink_server_listen_fd() and varlink_server_listen_address(), which
guarantees O_CLOEXEC+O_NONBLOCK anyway, hence no neet to repeat the
logic.

Merge pull request #29315 from poettering/strgrowpad0

string-util: make strgrowpad0() safer

Merge pull request #29308 from aafeijoo-suse/dissect-fix

dissect: fix man and bash-completion

repart: add extra safety check that the verity signature fits in the partition we want to write

string-util: make strgrowpad0() a bit safer

Let#s make sure we never shorten the allocation leaving an invalid
string (i.e. a memory allocation without a trailing NUL) around.

man/systemd-firstboot: /etc/ empty -> unpopulated

We use the phrase "unpopulated" in systemd.unit(5) too.
And "/etc/ is empty" is simply spurious.

core/main: log that we assume first boot if failed to read machine-id

alloc-util: remove duplicate empty line

resolved: rename varlink function to match exposed method name

resolved: also expose interface index in server JSON data

Merge pull request #29301 from poettering/pcr-extend-rename

rename pcrphase binary to pcrextend

man: briefly document that we are now keeping an event log in userspace for out measurements

pcrextend: make PCR index configurable

Let's make the tool a tiny bit more generic by allowing the PCR index to
measure into to be configurable.

pcrphase: rename binary to pcrextend

The tool initially just measured the boot phase, but was subsequently
extended to measure file system and machine IDs, too. At AllSystemsGo
there were request to add more, and make the tool generically
accessible.

Hence, let's rename the binary (but not the pcrphase services), to make
clear the tool is not just measureing the boot phase, but a lot of other
things too.

The tool is located in /usr/lib/ and still relatively new, hence let's
just rename the binary and be done with it, while keeping the unit names
stable.

While we are at it, also move the tool out of src/boot/ and into its own
src/pcrextend/ dir, since it's not really doing boot related stuff
anymore.

bash-completion: add missing commands and options to systemd-dissect

test: enable debug logs for the user instances as well

To make debugging [0], hopefully, easier.

[0] https://github.com/systemd/systemd/issues/28504

Merge pull request #29303 from abderrahim/syntax-fixes

man: a couple of small fixes

man/systemd-dissect: various fixes

- Add synopsis to `--discover` and `--validate` options.
- `-l` is for `--list`, not for `--mtree`.

man: fix docbook syntax for function docs

This fixes sd_bus_error_add_map and man/sd_uid_get_state

man/kernel-command-line: don't refer early_core_pattern to systemd

It is defined later in the same file

docs/FDS: add missing article and reword sentence

update TODO

mkosi: Run meson and ninja as the user invoking mkosi

Latest mkosi sets $MKOSI_UID and $MKOSI_GID to the uid/gid of the
user running mkosi. Let's make use of this to run meson setup and
ninja as the user running mkosi, so that if we execute git as a
subprocess during meson setup, it doesn't complain about unsafe
directories. This also makes sure all the build artifacts are owned
on the host by the user running mkosi.

po: Translated using Weblate (Korean)

Currently translated at 100.0% (227 of 227 strings)

Co-authored-by: 김인수 <simmon@nplob.com>
Translate-URL: https://translate.fedoraproject.org/projects/systemd/master/ko/
Translation: systemd/main

sd-dhcp-client: reject NAKs from servers that we did not send an offer to (#29290)

To support multiple DHCP servers in a network.

hwdb: ieee1394-unit-function: add Miglia Technology Harmony Audio (HA02)

This commit adds hwdb entry for Miglia Technology Harmony Audio (HA02).
The device is an application of OXford Semiconductor FW970 and will be
supported by ALSA oxfw driver in future.