tree-wide: drop several doubled space

tree-wide: drop space between variable and an increment/decrement

tree-wide: insert space after for and switch

Merge pull request #30620 from mrc0mmand/more-test-tweaks

test: a couple of fixes for failing tests

busctl: avoid asserting on NULL message

Avoid passing a NULL message to sd_bus_message_is_signal(), to not trip
over an assertion:

[  132.869436] H testsuite-82.sh[614]: + systemctl --no-block --check-inhibitors=yes soft-reboot
[  132.967386] H systemd[1]: Created slice system-systemd\x2dcoredump.slice.
[  133.018292] H systemd[1]: Starting inhibit.service...
[  133.122610] H systemd[1]: Started systemd-coredump@0-665-0.service.
[  133.163643] H systemd[1]: Started inhibit.service.
[  133.206836] H testsuite-82.sh[614]: + exec sleep infinity
[  133.236762] H systemd-logind[611]: The system will reboot now!
[  135.891607] H systemd-coredump[667]: [🡕] Process 663 (busctl) of user 0 dumped core.

                                        Stack trace of thread 663:
                                        #0  0x00007f2ec45e6acf raise (libc.so.6 + 0x4eacf)
                                        #1  0x00007f2ec45b9ea5 abort (libc.so.6 + 0x21ea5)
                                        #2  0x00007f2ec4b5c9a6 log_assert_failed (libsystemd-shared-255.so + 0x1ff9a6)
                                        #3  0x00007f2ec4b5dca5 log_assert_failed_return (libsystemd-shared-255.so + 0x200ca5)
                                        #4  0x00007f2ec4bb3df6 sd_bus_message_is_signal (libsystemd-shared-255.so + 0x256df6)
                                        #5  0x000000000040e478 monitor (busctl + 0xe478)
                                        #6  0x000000000040e82f verb_monitor (busctl + 0xe82f)
                                        #7  0x00007f2ec4b202cb dispatch_verb (libsystemd-shared-255.so + 0x1c32cb)
                                        #8  0x00000000004074fa busctl_main (busctl + 0x74fa)
                                        #9  0x0000000000407525 run (busctl + 0x7525)
                                        #10 0x000000000040ff67 main (busctl + 0xff67)
                                        #11 0x00007f2ec45d2d85 __libc_start_main (libc.so.6 + 0x3ad85)
                                        #12 0x00000000004044be _start (busctl + 0x44be)
                                        ELF object binary architecture: AMD x86-64
[  136.141152] H dbus-daemon[634]: [system] Monitoring connection :1.2 closed.
[  136.152233] H systemd[1]: busctl.service: Main process exited, code=dumped, status=6/ABRT
[  136.153996] H systemd[1]: busctl.service: Failed with result 'core-dump'.

The asertion in question:

Assertion 'm' failed at src/libsystemd/sd-bus/bus-message.c:1015, function sd_bus_message_is_signal(). Aborting.

We can get a NULL message here through sd_bus_process() ->
bus_process_internal() -> process_running(), so let's handle this case
appropriately.

test: flush the socket once the triggered unit exits

Since the triggered unit intentionally fails without consuming any data
from the socket, we'd try to trigger it again and again, and we might
try to check the unit state in one of the "in-between" states, failing
the test:

[  165.271698] H testsuite-07.sh[1032]: + systemctl start badbin_assert.socket
[  165.977637] H testsuite-07.sh[1032]: + socat - ABSTRACT-CONNECT:badbin_assert.socket
[  165.983787] H systemd[1]: Cannot find unit for notify message of PID 1039, ignoring.
[  166.817187] H testsuite-07.sh[1032]: + timeout 10 sh -c 'while systemctl is-active badbin_assert.service; do sleep .5; done'
[  167.049218] H testsuite-07.sh[1065]: active
[  167.146854] H systemd[1]: Listening on badbin_assert.socket.
[  167.163473] H systemd[1]: badbin_assert.socket: Incoming traffic
[  167.542626] H systemd[1]: Cannot find unit for notify message of PID 1065, ignoring.
[  167.543437] H (badbin)[1062]: badbin_assert.service: Failed to execute /tmp/badbin: Exec format error
[  167.548346] H systemd[1]: badbin_assert.service: Main process exited, code=exited, status=203/EXEC
[  167.549482] H systemd[1]: badbin_assert.service: Failed with result 'exit-code'.
[  167.561537] H systemd[1]: badbin_assert.socket: Incoming traffic
[  167.933390] H systemd[1]: Started badbin_assert.service.
[  167.950489] H (badbin)[1070]: badbin_assert.service: Failed to execute /tmp/badbin: Exec format error
[  167.956318] H systemd[1]: badbin_assert.service: Main process exited, code=exited, status=203/EXEC
[  167.957173] H systemd[1]: badbin_assert.service: Failed with result 'exit-code'.
[  167.974609] H systemd[1]: badbin_assert.socket: Incoming traffic
[  168.042838] H testsuite-07.sh[1072]: failed
[  168.094431] H testsuite-07.sh[1075]: ++ systemctl show -P ExecMainStatus badbin_assert.service
[  168.704022] H systemd[1]: Started badbin_assert.service.
[  168.778680] H (badbin)[1074]: badbin_assert.service: Failed to execute /tmp/badbin: Exec format error
[  168.826881] H systemd[1]: badbin_assert.service: Main process exited, code=exited, status=203/EXEC
[  168.833825] H systemd[1]: badbin_assert.service: Failed with result 'exit-code'.
[  168.923931] H testsuite-07.sh[1032]: + [[ 0 == 203 ]]
[  168.951492] H systemd[1]: Cannot find unit for notify message of PID 1075, ignoring.
[  168.999862] H testsuite-07.sh[615]: + echo 'Subtest /usr/lib/systemd/tests/testdata/units/testsuite-07.issue-30412.sh failed'
[  168.999862] H testsuite-07.sh[615]: Subtest /usr/lib/systemd/tests/testdata/units/testsuite-07.issue-30412.sh failed

Follow-up for 1eeaa93de36 and 28a2d27650c.

Merge pull request #30615 from dtardon/docbook-valid-1

DocBook validation fixes (part 1)

man: adjust indentation

man: use the right element for untitled example

man: fix markup

man: fix option value

man: fix markup

man: drop stray empty paragraph

man: wrap sentinel in <parameter>

man: use just one <listitem> for the description

<varlistentry> allows one or more <term>s, but exactly one <listitem>.

man: wrap the whole description in <listitem>

Unfortunately, version-info includes and standard-options includes are
not composable...

man: move misplaced </varlistentry>

man: move </listitem> to the right position

man: add missing <listitem>

man: add missing <cmdsynopsis> wrapper

man: add required <title>

man: match doctype and root element

Merge pull request #30594 from yuwata/udev-timeout-cleanups

udev: several cleanups for timeout settings

Merge pull request #30596 from yuwata/sd-device-db-cleanups

sd-device: several cleanups for udev database related functions

meson: check for pefile dependency before enabling ukify

ukify (and all the tests, including the autogenerated check-version-ukify)
does not work unless pefile is available, so track it as a dependency
in meson to avoid unit test failures later

Merge pull request #30609 from YHNdnzj/analyze-fdstore

analyze-fdstore: minor fixups

core/executor: use log level specified in LogLevelMax=

Follow-up for cc9f4cad8cd759ab55048dc7a3eaa2c2fb0344da.

Otherwise, still unexpected lines may be logged by executor.

analyze-fdstore: don't log duplicate error

table_print_with_pager() logs print error internally.

analyze-fdstore: ignore table header when checking stored fd count

systemctl: swap cached_id_map and cached_name_map at one more place

Follow-up for 2962a508508564ec35f231bd4246846d6d057115.
Fortunately, this does not change any behavior.

Replaces #30601.
Fixes CID#1532831.

Merge pull request #30604 from mrc0mmand/test-journal-shenanigans

test: redirect stdout/stderr of TEST-04-JOURNAL to console as well

Merge pull request #30587 from mrc0mmand/test-stuff

test: slightly extend uid0's coverage

networkd: support `proxy_arp_pvlan` sysctl

The proxy ARP private VLAN sysctl is useful for VLAN aggregation, see
https://sysctl-explorer.net/net/ipv4/proxy_arp_pvlan/ for details.

Merge pull request #30049 from yuwata/assert-return-critical

test: make assert_return() critical by default

network: use json_variant_append_arrayb()

No functional change, just refactoring and shortening code.

log: make assert_return() critical when -Dmode=developer

Triggering assert_return() should be a bug in general, and we should
really fix that.  But, previously, it is hard to notice such bug, as
it was not critical.
This is for making CI or our testing environment fail if we unexpectedly
trigger assert_return(). So, hopefully we can easily find such bugs.

test: make assert_return() critical by default on fuzzer and unit tests

Several test cases intentionally trigger assert_return(). So, to avoid
the entire test fails, this introduces several macros that tentatively
make assert_return() not critical.

log: introduce a knob to make assert_return() critical

These can be used to check if we trigger assert_return()
unexpectedly.

Co-authored-by: Frantisek Sumsal <frantisek@sumsal.cz>

test: make the variable names slightly more descriptive

Follow-up for 5ca8d2474ca8b8b3f42999fb2f6e5e1498b22aa9.

test: slightly extend uid0's coverage

test: make the test actually test

Follow-up for dd25a95763e6ee52d40f4012ffeb2ce719f26b8d.

Merge pull request #30603 from mrc0mmand/openssl-shenanigans

test/ukify: make the tests happy with OpenSSL 3.2.0+

test: redirect stdout/stderr of TEST-04-JOURNAL to console as well

This effectively reverts fa6f37c043 just for TEST-04, as we nuke the
journal repeatedly in this test which makes it particularly hard to
debug. Let's hope the issue behind fa6f37c043 won't bite us back in this
case.

Follow-up for: fa6f37c043
Reverts: 8f7c876bdc

test: don't truncate the final journal

This is no longer necessary, as the test for which this was introduced
in the first place has this handled explicitly (testsuite-04.journal.sh).

Follow-up to 9457dd8bae.

test: make sure the dummy CA certificate is marked as such

With OpenSSL 3.2.0+ this is necessary, otherwise the verification
of such CA certificate fails badly:

$ openssl s_client -CAfile /run/systemd/remote-pki/ca.crt -connect localhost:19532
...
Connecting to ::1
CONNECTED(00000003)
Can't use SSL_get_servername
depth=1 C=CZ, L=Brno, O=Foo, OU=Bar, CN=Test CA
verify error:num=79:invalid CA certificate
verify return:1
depth=1 C=CZ, L=Brno, O=Foo, OU=Bar, CN=Test CA
verify error:num=26:unsuitable certificate purpose
verify return:1
...
---
SSL handshake has read 1566 bytes and written 409 bytes
Verification error: unsuitable certificate purpose
---
New, TLSv1.3, Cipher is TLS_AES_256_GCM_SHA384
Server public key is 2048 bit
This TLS version forbids renegotiation.
Compression: NONE
Expansion: NONE
No ALPN negotiated
Early data was not sent
Verify return code: 26 (unsuitable certificate purpose)

ukify: make the test happy with the latest OpenSSL

Which dropped some whitespaces in the output:

$ openssl version
OpenSSL 3.2.0 23 Nov 2023 (Library: OpenSSL 3.2.0 23 Nov 2023)
$ openssl x509 -in cert.pem -text -noout | grep Issuer
        Issuer: C=AU, ST=Some-State, O=Internet Widgits Pty Ltd

$ openssl version
OpenSSL 3.0.9 30 May 2023 (Library: OpenSSL 3.0.9 30 May 2023)
$ openssl x509 -in cert.pem -text -noout | grep Issuer
        Issuer: C = XX, L = Default City, O = Default Company Ltd

Making test-ukify unhappy:

>       assert 'Issuer: CN = SecureBoot signing key on host' in out
E       AssertionError: assert 'Issuer: CN = SecureBoot signing key on host' in '<...snip...>Issuer: CN=SecureBoot signing key on host archlinux2\n...'

Merge pull request #30600 from dtardon/see-also-simplelist

man: use `<simplelist>` for 'See also' sections

man: conditionalize sd-pcrlock and sd-measure on the same variable as their binaries

The binaries are built and installed if HAVE_TPM2 is set, and ignore ENABLE_BOOTLOADER,
so do the same for the manpages.

For the sd-pcrlock case this also installs the manpage aliases for the units, which
are not installed with -Dbootloader=disabled, but there's no way to conditionalize
the aliases, so on balance it's better to have too much documentation rather than
too little.

Fixes https://github.com/systemd/systemd/issues/30588

man: capitalize "also" for consistency

Almost all our man pages write it that way.

man: use <simplelist> for 'See also' sections

This is just a slight markup improvement; there should be no difference
in rendering.

udev: use SD_EVENT_SIGNAL_PROCMASK

Merge pull request #30590 from yuwata/backlight-cleanups

backlight: several cleanups and use dispatch_verb()

TODO: fix typo

sd-device: introduce device_has_db() helper function

sd-device: modernize device_update_db() and friends

- introduce device_should_have_db(),
- split out device_get_db_path(),
- update log messages, especially clarify which stage is failed,
- use _cleanup_(unlink_and_freep) attribute,
- clear existing database file also when failed to create database directory
  and when failed to create temporary file.

udev-spawn: slightly adjust logs about timed out commands

- Add full stop to the messages.
- Do not kill commands before logging "killing", but do after.

udev: refuse too short timeout value

Setting zero or too short timeout for each uevent is meaningless, and
causes the system fails to boot. Let's refuse such values.

Also, delaying execution of RUN= commands too long also makes many
uevents enter the failed state. So, let's refuse such misconfiguration.

udev: handle event_timeout=infinity correctly

This is a paranoia, as even USEC_INFINITY / 3 is finite, it is still so large
in general.

udev-manager: use ASSERT_PTR()

network: use varlink for networkctl check_netns_match()

Use varlink to detect networkd's network namespace when executing
networkctl rather than the D-Bus interface.

Signed-off-by: Matt Layher <mdlayher@gmail.com>

backlight: split out verb_load() and verb_save(), then use dispatch_verb()

No functional change, just refactoring.

backlight: use WRITE_STRING_FILE_MKDIR_0755 flag on save

No functional change, just refactoring.

backlight: split out read_saved_brightness()

No functional change, just refactoring.

backlight: split out device_new_from_arg()

While at it, this replaces strndupa_safe() with strndup(), as the input
is a user-controlled string.

No functional change, just refactoring.

backlight: split out build_save_file_path()

No functional change, just refactoring.

backlight: move validity check of max_brightness to get_max_brightness()

Also rename get_max_brightness() -> read_max_brightness() for
consistency with read_brightness().

Merge pull request #30585 from YHNdnzj/isatty-handling

various: clean up isatty() handling

various: clean up isatty() handling

As per https://github.com/systemd/systemd/pull/30547#discussion_r1434371627

terminal-util: introduce isatty_safe that rejects EBADF

terminal-util: use RET_GATHER more

test: fix check for device in test-execute

The unit actually uses /dev/kmsg, not /dev/kvm

Follow-up for ae7482b994e6a9bc8e

Merge pull request #30550 from yuwata/network-nexthop-cleanups-3

network: several cleanups for nexthop (part3)

systemctl: swap cached_id_map and cached_name_map

These are unused or used in the same order. So, this patch does not
change any behavior, just for naming consistency with the function
prototype.

Closes #30570.

networkd: add basic Varlink interface

Let's get networkd onto Varlink. This only adds the most basic of
operations.

I'd love to see networkd do Varlink for all its basic operations so that
networkctl can use that, and work correctly before D-Bus is up. Right
now, many of networkctls calls simply don't work before D-Bus, and I'd
like to see that improved.

service: don't try to determine selinux label for socket activation if RootImage= is used

We cannot determine the SELinux label ahead of time if RootImage= is
used, since we'd have to mount the image then, hence don't, and handle
this cleanly, and gracefully.

While we are at it, stop "reaching over" so much from the socket code to
the service code, and instead provide function that most of the hard
work in service.c that socket.c just calls.

While we are at it, add debug logging and stuff.

I noticed the issue when also noticing #30560, but that one is harder to
fix, hence I avoided it for now.

Merge pull request #30553 from yuwata/network-post-event-source

network: merge two post event sources

Merge pull request #30541 from yuwata/network-address-empty

network/address: make Address= in [Network] support an empty string

Merge pull request #30575 from arthurzam/bash

bash-completion: add some missing options

Merge pull request #30284 from YHNdnzj/fstab-wantedby-defaultdeps

fstab-generator: disable default deps if x-systemd.{wanted,required}-by= is used

Merge pull request #28658 from H5117/enroll_with_ec

cryptsetup: Add support for EC keys in PKCS#11 tokens

Merge pull request #30547 from poettering/uid0

add new "uid0" command as alternative multi-call interface for systemd-run, as sudo replacement

Drop /dev test in test-mountpoint-util

Even /dev isn't always guaranteed to be a mount point, so let's drop
this part of the test.

bash-completion: add missing option to systemd-confext

Signed-off-by: Arthur Zamarin <arthurzam@gentoo.org>

bash-completion: add missing option to systemd-cgls

Signed-off-by: Arthur Zamarin <arthurzam@gentoo.org>

bash-completion: add missing option to systemd-cat

Signed-off-by: Arthur Zamarin <arthurzam@gentoo.org>

Merge pull request #30568 from poettering/creds-varlink

creds: add varlink interface to encrypt/decrypt credentials

Merge pull request #30566 from poettering/varlink-inval-param

add a new helper varlink_error_invalid_parameter_name(), and make more use of the existing varlink_error_invalid_parameter()

polkit: simplify bus_verify_polkit_async() + drop auth-by-cap dbus feature

This simplifies bus_verify_polkit_async() and related calls quite a bit:

1. This removes any support for authentication-by-Linux-capability. This
   is ultimately a kdbus leftover: with classic AF_UNIX transports we
   cannot authenticate by capabilities securely (because we cannot
   acquire it from the peer without races), hence we never actually did.
   Since the necessary kernel work didn't materialize in the last 10y,
   and is unlikely to be added, let's just kill this context. We cannot
   quite remove the caps stuff from sd-bus for API compat, but for our
   polkit logic let's kill it.

2. The "good_uid" and "interactive" params are only necessary in very
   few cases, hence let's move them to a new call
   bus_verify_polkit_async_full() and make bus_verify_polkit_async() a
   wrapper around it without those two parameters.

This also fixes a bunch of wrong uses of the "interactive" bool. The
bool makes no sense today as the ALLOW_INTERACTIVE_AUTHORIZATION field
in the D-Bus message header replaces it fully. We only need it to
implement method calls we introduced prior to that header field becoming
available in D-Bus. And it should only be used on such old method calls,
and otherwise always be set to false.

This does not change behaviour in any way. Just simplifies stuff.

Fixes: #21586

varlink: make use of varlink_error_invalid_parameter() helper where appropriate

varlink: add helper varlink_error_invalid_parameter_name()

test: add simple creds/varlink integration test

creds: add varlink API for encrypting/decrypting credentials

varlink: add helper varlink_error_invalid_parameter_name()

update TODO

test: add minimal integration test coverage for uid0 tool

man: try to improve wording on --slice-inherit docs

run/uid0: tint the terminal background color (and add new --background= switch)

This adds a new --background= switch that allows specifiying a
background color for the terminal while the tool runs.

It also teaches the tool when invoked as uid0 to tint the terminal in a
reddish hue when operating as root, and in a yellowish hue when
operating as any other user.

This should highlight nicely when the user is operating with elevated
privileges, or changed privileges.

color-util: add helper to convert RGB → HSV

We already have HSV → RGB, add the opposite operation.

color-util: split out HSV color conversion into color-util.[ch]

ptyfwd: optionally, change ANSI background color of forwarded terminals

As the bytes flow through our terminal forwarder we can color the
background of the terminal with a color of our choices, if that's
desired.

This will later allow us to color the background of the uid0 tool when
running as root with a slightly alarming red color.

This does two things:

1. When an ANSI sequence is seen that resets the background color, it is
   extended to immediately set the color to our choice.
2. When a newline is seen it is immeidately extended to set the
   background color again and clear the current line till the end.

Net effect: all lines written while we forward the ttys will be shown
with the background color of choice.