NEWS: mention logind inhibitors change

logind: always check for inhibitor locks

Currently inhibitors are bypassed unless an explicit request is made to
check for them, or even in that case when the requestor is root or the
same uid as the holder of the lock.

But in many cases this makes it impractical to rely on inhibitor locks.
For example, in Debian there are several convoluted and archaic
workarounds that divert systemctl/reboot to some hacky custom scripts
to try and enforce blocking accidental reboots, when it's not expected
that the requestor will remember to specify the command line option
to enable checking for active inhibitor locks.

Also in many cases one wants to ensure that locks taken by a user are
respected by actions initiated by that same user.

Change logind so that inhibitors checks are not skipped in these
cases, and systemctl so that locks are checked in order to show a
friendly error message rather than "permission denied".

Add new block-weak and delay-weak modes that keep the previous
behaviour unchanged.

sd-event: do not assert on invalid signal

The signalfd_siginfo struct is received from outside via a FD, hence
assert() is not appropriate way to check it. Just do a normal runtime
check.

logind-dbus: check auth. for all inhibitor operations

Fixes #33834

docs/CONTROL_GROUP_INTERFACE.md: document accounting information available via D-Bus

Merge pull request #33727 from intelfx/work/analyze-capability-masks

analyze: capability: add support for decoding capability masks

basic/log: do not treat all negative errnos as synthetic

Currently, IS_SYNTHETIC_ERRNO() evaluates to true for all negative errnos,
because of the two's-complement negative value representation.
Subsequently, ERRNO= is not logged for most of our own code.
Let's fix this, by formatting all synthetic errnos as positive.
Then, treat all negative values as non-synthetic.

While at it, mark the evaluation order explicitly, and remove
unneeded comment.

Fixes #33800

analyze: capability: add support for decoding capability masks

This adds support in `systemd-analyze capability` for decoding
capability masks (sets), e.g.:

```console
$ systemd-analyze capability --mask 0000000000003c00
NAME                 NUMBER
cap_net_bind_service     10
cap_net_broadcast        11
cap_net_admin            12
cap_net_raw              13
```

This is intended as a convenience tool for pretty-printing capability
values as found in e.g. `/proc/$PID/status`.

mkosi: update debian commit reference

* c7138e0b87 Configure default DNS servers for upstream CI builds
* bc5d1afe1e Drop out-of-tree localed patch and use D-Bus policy instead
* b5f8ababde autopkgtest: set Release= in mkosi.local.conf to distinguish testing vs unstable
* 323afafd80 autopkgtest: add allow-stderr to timedated test
* 0291f361e3 Install valrinkctl zsh completion file
* f40b9eba02 d/t/control: add Depends: lib{systemd,udev}-dev for upstream
* 3def595de3 d/t/upstream: ensure correct ubuntu codename is used
* 531bb6817e d/t/boot-and-services: fix a couple python sytax warnings
* 963ac13b7d d/t/boot-and-services: skip test_tmp_cleanup if tmp.mount is overridden

hwdb: add axis range corrections for the Lenovo Thinkpad E16

Merge pull request #33823 from YHNdnzj/varlink-deserialize-again

core: reliably check if varlink socket has been deserialized; switch varlink server to pidref

add udev rules for trezor hw wallet devices

resolved: report svc params as a json object

This representation is significantly more useful. The previous array
format omitted the svc param key, which is not very useful.

Merge pull request #33810 from YHNdnzj/find-executable-simplify

path-util: minor cleanup for find_executable()

Merge pull request #33809 from YHNdnzj/pidref-namespace

namespace-util: introduce pidref_namespace_open() and use it where appropriate; clean up mount-util a bit along the way

Merge pull request #33535 from neighbourhoodie/tests/dns-cache

Tests for DnsCache functions

Merge pull request #33534 from neighbourhoodie/tests/dns-query

Tests for DnsQuery functions

core-varlink: switch to PidRef + manager_get_unit_by_pidref()

core-varlink: do not log about ENOENT if oomd isn't available

This is simply too noisy, since every invocation of
manager_varlink_send_managed_oom_update() would try to
connect to oomd if not already.

core-varlink: add missing runtime_scope check for manager_varlink_init_user()

core: reliably check if varlink socket has been deserialized

Follow-up for 6906c028e83b77b35eaaf87b27d0fe5c6e1984b7

The mentioned commit uses access() to check if varlink socket
already exists in the filesystem, but that isn't sufficient.

> Varlink sockets are not serialized until v252, so upgrading from
> v251 or older means we will not listen anymore on the varlink sockets.
>
> See https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=1074789
> for more details as this was found when updating from Debian Bullseye to a new version.

After this commit, the set up of varlink_server is effectively
split into two steps. manager_varlink_init_system(), which is
called after deserialization, would no longer skip listening
even if Manager.varlink_server is in place, but actually
check if we're listening on desired sockets.
Then, manager_deserialize() can be switched back to using
manager_setup_varlink_server().

Alternative to #33817

Co-authored-by: Luca Boccassi <bluca@debian.org>

mount-util: reorder params for mount_in_userspace, clean up logging

mount-util: do not unnecessarily acquire mountns fd twice

This also enables us to use pidref_namespace_open().

mount-util: clean up mount_exchange_graceful a bit, don't duplicate move_mount when fallback

machine-dbus: use pidref_namespace_open() where appropriate

namespace-util: introduce pidref_namespace_open()

namespace-util: explicitly specify namespace_info[]'s size

We do this already in all string lookup tables. This way
it's guaranteed that iterators which ends with _NAMESPACE_TYPE_MAX
wouldn't overrun the array.

path-util: simplify final path for find_executable()

Currently, systemd-run ./test.sh would set Description=
to $PWD/./test.sh. This is quite ugly.

path-util: trivial cleanup for find_executable_full()

core: clean up Set/LoadCredential= parsers

Make logging consistent, plus introduce helper function
for adding creds to ExecContext.set_credential too.

mkosi: Bump device timeout even more

I still manage to hit it in some cases so let's bump again.

Merge pull request #33533 from neighbourhoodie/tests/dns-synthesize

resolved: tests for dns_synthesize_family() and dns_synthesize_protocol()

resolved: tests for dns_synthesize_answer()

sd-dhcp-server: persist hardware addresses in leases

resolved: tests for dns_query_string()

resolved: tests for dns_query_go(); multiple search domains for dns_query_candidate_notify()

resolved: refactor environment management in dns_query_go() tests

resolved: tests for dns_query_go() when configured with search domains

resolved: tests for dns_query_go() when no scopes are available

resolved: tests for dns_query_go() using a bypass query

resolved: tests for dns_query_go() -- with and without network link

resolved: tests for dns_query_process_cname_one(); no match, DNAME, utf-8 handling

resolved: tests for dns_query_process_cname_many()

resolved: tests for common usage of dns_query_process_cname_one()

resolved: tests for dns_query_make_auxiliary()

resolved: tests for dns_query_new()

resolved: tests for dns_cache_lookup() clamping the TTL

resolved: tests for dns_cache_put() for  NXDOMAIN with no SOA

resolved: test that pseudo classes and types are not cached

resolves: tests for dns_cache_prune()

resolved: tests for dns_cache_check_conflicts()

resolved: tests for dns_cache_export_shared_to_packet()

resolved: tests for dns_cache_lookup(); mDNS and multiple matching entries

resolved: tests for dns_cache_lookup() returning the most recent input

resolved: tests for dns_cache_dump()

resolved: test cache misses

resolved: tests for dns_cache_lookup() for NXDOMAIN

resolved: first test for dns_cache_lookup()

resolved: tests for dns_cache_dump_to_json()

resolved: check that adding an expired response removes cache entry

resolved: tests for dns_cache_put(); CNAME success and name error

resolved: tests for dns_cache_put() with non-matching class, type, name

resolved: refactor DNS answer construction for cache tests

resolved: test for dns_cache_put() with empty answer

resolved: tests for dns_cache_put() with different RCODEs

resolved: tests for dns_cache_put(); successful A query

Co-Authored-By: jan@neighbourhood.ie

Merge pull request #33531 from neighbourhoodie/tests/dns-zone

resolved: tests for dns_zone_lookup()

resolved: tests for dns_zone_remove_rrs_by_key()

resolved: tests for dns_zone_remove_rr()

resolved: tests for dns_zone_put()

Merge pull request #33530 from neighbourhoodie/tests/dns-search-domain

resolved: tests for dns_search_domain_find()

resolved: tests for search domain marking and unlinking

resolved: extract function for checking search domains

resolved: tests for dns_search_domain_unlink()

resolved: tests for dns_search_domain_new()

Merge pull request #33529 from neighbourhoodie/tests/dns-link

Tests for DNS Link functions

Merge pull request #33528 from neighbourhoodie/tests/dns-answer

resolved: tests for dns_answer_order_by_scope()

resolved: tests for dns_answer_has_dname_for_cname()

resolved: tests for dns_answer_dump()

resolved: tests for dns_answer_{copy,move}_by_key()

resolved: tests for dns_answer_remove_by_answer_keys()

resolved: tests for dns_answer_remove_by_{key,rr}()

resolved: tests for dns_answer_merge() and dns_answer_extend()

resolved: tests for dns_answer_find_soa()

resolved: tests for dns_answer_add(), dns_answer_match_key()

Merge pull request #33526 from neighbourhoodie/tests/dns-question

resolved: tests for dns_question_merge()

resolved: tests for dns_question_first_name()

resolved: tests for dns_question_dump()

resolved: tests for dns_question_cname_redirect()

resolved: tests for dns_question_is_equal()

resolved: tests for dns_question_is_valid_for_query()

resolved: tests for dns_question_matches_cname_or_dname()

resolved: tests for dns_question_matches_rr()

resolved: tests for dns_question_new_service()

resolved: tests for dns_question_new_reverse()