Build distribution packages in mkosi

Instead of running meson install and hoping for the best, let's build
distribution packages from the downstream packaging specs. This gets
us the following:

- Vastly simplified mkosi scripts since we don't need a separate initrd
  image anymore but can just reuse the default mkosi initrd.
- Almost everything can move to the base image as its not the basis
  anymore for the initrd and as such we don't need to care about the
  size anymore.
- The systemd packages that get pulled in as dependencies of other
  packages get properly uninstalled and replaced with our packages that
  we built instead of just installing on top of an existing systemd
  installation with no guarantee that everything from that previous
  installation was removed.
- Much better testing coverage as what we're testing is much closer
  to what will actually be deployed in distributions.
- Immediate feedback if something we change breaks distribution packaging
- We get integration with the distribution for free as we'll automatically
  use the proper directories and such instead of having to hack this
  into a mkosi build script.
- ...

mkosi: Update to v21

Merge pull request #31656 from DaanDeMeyer/meson

meson: Remove version_h dependency from jinja2_cmdline

boot: replace manual string manipulation with xasprintf

Improve the formatting by adding AlignArrayOfStructures and setting it to Right(right justify)

meson: Remove version_h dependency from jinja2_cmdline

version_h includes GIT_VERSION which only makes sense for C files
which aren't preprocessed by jinja2 so remove the argument.

The end result of this change is that the man pages are not recompiled
anymore every time GIT_VERSION changes.

Use VERSION_TAG instead of GIT_VERSION in kernel-install scripts

GIT_VERSION only makes sense for C files as it depends on C preprocessor
macro expansion now so let's use VERSION_TAG instead of GIT_VERSION
for the two remaining usages of GIT_VERSION that are not in C files.

Merge pull request #31580 from poettering/resolved-naptr

resolved: properly decode NAPTR RRs

Merge pull request #31621 from poettering/resolved-proxy-do

resolved: proxy upstream local requests to our stub with DO bit set

string-util: allow taking SIZE_MAX as size to shorten to

This is useful for two reasons:

1. it addresses a potential overflow in a graceful way

2. Gives callers the ability to just pass SIZE_MAX for a NOP

Prompted by: #31341

udev: use strndupa_safe() rather than strndupa()

As per coding style, we don't use strndupa(), but strndupa_safe() only.

As a side-effect, this means musl folks can just drop this mess:

https://git.openembedded.org/openembedded-core/tree/meta/recipes-core/systemd/systemd/0003-src-basic-missing.h-check-for-missing-strndupa.patch

PORTABLE_SERVICES.md: Improve grammar

meson/man: allow man pages to use multiple conditions

This way the man pages are installed only when the corresponding binary is
installed. The conditions in man pages and man/rules/meson.build are adjusted to
match the conditions for units in units/meson.build.

ukify: convert certificate to public key before embedding in .pcrpkey

Follow-up for 419b25ddcac39cf967555c7a2eaa274fbf1ad03c

Merge pull request #31642 from weblate/weblate-systemd-main

Translations update from Fedora Weblate

test: use 'ahost' instead of 'hosts' where applicable

As explained in [0] the 'hosts' database uses deprecated
gethostbyname2() which uses AF_INET6 instead of AF_UNSPEC for IPv6
lookups which is broken and makes the test fail with disabled IPv6.

[0] https://github.com/systemd/systemd/pull/28136#issuecomment-1974901039

po: Translated using Weblate (Georgian)

Currently translated at 100.0% (233 of 233 strings)

Co-authored-by: Temuri Doghonadze <temuri.doghonadze@gmail.com>
Translate-URL: https://translate.fedoraproject.org/projects/systemd/main/ka/
Translation: systemd/main

po: Translated using Weblate (Ukrainian)

Currently translated at 100.0% (233 of 233 strings)

Co-authored-by: Yuri Chornoivan <yurchor@ukr.net>
Translate-URL: https://translate.fedoraproject.org/projects/systemd/main/uk/
Translation: systemd/main

po: Translated using Weblate (Swedish)

Currently translated at 100.0% (233 of 233 strings)

Co-authored-by: Göran Uddeborg <goeran@uddeborg.se>
Translate-URL: https://translate.fedoraproject.org/projects/systemd/main/sv/
Translation: systemd/main

hwdb: Add touchpad toggle mapping for Kvadra LE14U/LE15U

Signed-off-by: Vasiliy Kovalev <kovalev@altlinux.org>

basic: remove spuriously doubled newline and leftover separator

Follow-up for 3fc72d54132151c131301fc7954e0b44cdd3c860

Merge pull request #31550 from teknoraver/dlopen_compress

Dynamically load compression libraries

Merge pull request #31640 from DaanDeMeyer/mkosi

Mkosi fixes

test: bump the timeout for test-execute subtests if running w/ QEMU

Bump the timeout for test-execute subtests if running with plain QEMU
(as part of TEST-02-UNITTESTS), since we might start hitting the default
2m timeout with some more involved subtests, especially when the AWS
region we're running in is under heavy load. I see this regularly in the
CentOS Stream 9 nightly cron job with exec-dynamicuser-statedir.service
which has a lot of ExecStart's.

mkosi: Use specifier to refer to the output directory

Otherwise the output directory cannot be configured by users.

mkosi: Allow users to configure the build and cache directory

mkosi: Set minimum version

This will only be taken into account by newer mkosi versions but it'll
at least save some pain from running on a too old version.

resolved: remove entry from cache when goodbye packet received

RFC6762 10.1 says that queriers receiving a Multicast DNS response with a TTL
of zero SHOULD record a TTL of 1 and then delete the record one second later.

Added a timer event to trigger a callback to clean-up the cache one second after
a goodbye packet is received. The callback also checks for any cache entries
expiring within the next one second and schedules follow-up cleanup callbacks
accordingly.

resolved: properly decode NAPTR RRs

Fixes: #18126

escape: teach octescape() to work with NUL terminated strings

resolved: make resolved authoritative in resolveing our local host name

This is a kinda a follow-up for ce266330fc3bd6767451ac3400336cd9acebe9c1: it
makes resolved authoritative on our local hostname, and never contacts
DNS anymore for it.

We effectively already were authoritative for it, except if the user
queried for other RR types than just A/AAAA. This closes the gap and
refuses routing other RR type queries to DNS.

Fixes: #23662

resolved: make outselves authoritative for /etc/hosts entries in full

If you query for an MX RR of a host listed in /etc/hosts, let's return
an empty reply rather than NXDOMAIN, i.e. indicate that the name exists
but has no MX RR assigned, thus making ourselves authoritative.

The venerable "host" tool by default sends requests for A + AAAA + MX
and ensures we never propagate queries further on.

Fixes: #31223

resolved: rename variable found_{a|aaaa} → question_for_{a|aaaa}

Te variables indicate what kind of RRs we are looking for, but the name
so far suggests it was about what we already found. Let's rename the
variables to make the purpose clearer.

resolved: do DNS RR type based routing

So far we only looked at the domain name when routing requests to
specific scopes. With this we'll also take the DNS RR type into account.
This takes benefit of the fact that lookups for RRs such as SOA or NS or
the various DNSSEC RR types never really make sense to be routed to
LLMNR or mDNS, since they don't have concepts there.

This hence refuses to route requests for those RR types to the
LLMNR/mDNS scopes, which hence means they'll likely be routed to classic
DNS instead.

This should improve behaviour of tools that assumes it speaks to classic
DNS only via 127.0.0.53, since it will now usually do that.

ci: disable test that is now answered by knot

dig question with DNSSEC on will now be proxied upstream, i.e. to the
test knot server. This leads to different results, but the result isn't
tha tinteresting since we don't want to test knot, but resolved. Hence
comment this test.

There seems to be something wrong with the test though, as the upstream
server refused recursion, but if so it is not suitable as an upstream
server really, as resolved can only be client to a recursive resolver.

resolved: enable DNS proxy mode if client wants DNSSEC

So far we disabled DNSSEC if local clients asked for it via DO flag if
DNSSEC=no is set. Let's instead switch to proxy mode in this case, and
thus treat client requested DO mode as a way to force proxy mode.

This means DNSSEC=no just controls whether resolved will do validation
for regular looups, but it has no effect anymore on lookups from clients
that indicated they want to do their own DNSSEC anyway.

Fixes: #19227 #23737 #25105

resolved: use relaxed single label rules when proxying DNS queries

When we use proxy mode when propagating DNS queries to upstream DNS
servers, let's use the relaxed single label rules. This has the benefit
that tools such "delv" work on the proxy stub 127.0.0.54.

resolvectl: expose new SD_RESOLVED_RELAX_SINGLE_LABEL flag in resolvectl

resolved: add new SD_RESOLVED_RELAX_SINGLE_LABEL resolver flag

This new flag allows resolving single label names via public DNS. By
default this is turned off, and this option allows excepting a lookup
for this.

Merge pull request #31631 from mrc0mmand/mkosi-addons

mkosi: fix UKI addons test

extract-word: update remaining calls to `extract_many_words`

Follow-up to 4f49512695f8214c55c206b3c2f583dc7b309e1b

sd-netlink: allow to call rtnl_get_link_info() without iftype and flags

mkosi: make shellcheck happy

Update TODO file

Update the line about dynamically load compression libraries.

dynamically load compression libraries

Dynamically load liblz4, libzstd and liblzma with dlopen().
This helps to reduce the size of the initrd image when these libraries
are not really needed.

move dlfcn-util into basic

I'm going to dlopen_many_sym_or_warn() in src/basic/compress.c, this
will introduce a circular dependency because libshared already depends
from libbasic.
To avoid this, move dlfcn-util.c from libshared to libbasic.

Revert "mkosi: Don't fail on systemd-vconsole-setup.service failure for now"

This doesn't seem to fail anymore.

This reverts commit 84c7929cd461f6f1cc2c44c69877b9fd0676c794.

Revert "mkosi: Disable cmdline addon test for now"

Let's see if this finally works.

This reverts commit e167a8283d5964ca0f903b3e362ab7e48a1ed2ab.

mkosi: fix UKI addons test

The test hasn't been working for a while, since there's no /efi or /boot
in $DESTDIR.

Resolves: #31618

test: check for kernel.apparmor_restrict_unprivileged_userns

Some tests in test-execute are already skipped if we do not have
unprivileged user namespaces. Extend this check to look for an apparmor
specific sysctl indicating that unprivileged userns creation is
restricted.

Fixing bad link to Debian packages tests

Merge pull request #31597 from keszybz/option-P-for-machinectl-and-timedatectl

Option -P for machinectl and timedatectl

fuzz: dump LLDP neighbors JSON too

to make sure all the fields are in more or less good shape.

It's a follow-up to https://github.com/systemd/systemd/pull/31583

Merge pull request #31582 from bluca/fix_hostnamed_ci

test: fix test-loopback and test-resolved-stream on Ubuntu 24.04

stat-util: generalize is_* and verify_* handling

resolved,pcrlock: make a bunch of varlink introspection structures static

Not sure why gcc doesn't warn that these have no "extern" definition,
but also aren't static...

resolved: mention the Varlink interface of resolved

This is ready from prime-time, hence mention it.

resolvectl: output nice error message if we can't JSONify RR

Some RR types we don't have a mapping to JSON for. Handle this
reasonably.

varlink: allow strings for integer varlink IDL fields

This is a follow-up for 67a3028555c58cea152cd8b8e863a643eb147a97: also
allow strings as integer during IDL validation of JSON records.

Merge pull request #31619 from weblate/weblate-systemd-main

Translations update from Fedora Weblate

man/systemd-debug-generator: be consistent on '=' for boolean options

po: Translated using Weblate (Turkish)

Currently translated at 100.0% (233 of 233 strings)

Co-authored-by: Oğuz Ersen <oguz@ersen.moe>
Translate-URL: https://translate.fedoraproject.org/projects/systemd/main/tr/
Translation: systemd/main

po: Translated using Weblate (Polish)

Currently translated at 100.0% (233 of 233 strings)

Co-authored-by: Piotr Drąg <piotrdrag@gmail.com>
Translate-URL: https://translate.fedoraproject.org/projects/systemd/main/pl/
Translation: systemd/main

po: Translated using Weblate (Korean)

Currently translated at 100.0% (233 of 233 strings)

Co-authored-by: 김인수 <simmon@nplob.com>
Translate-URL: https://translate.fedoraproject.org/projects/systemd/main/ko/
Translation: systemd/main

update TODO

test: fix test-resolved-stream unit test failure

On Noble setting this ioctl fails:

1570s  819/1330 systemd:resolve / test-resolved-stream  FAIL 0.14s   killed by signal 6 SIGABRT
1570s Successfully forked off '(usernstest)' as PID 27737.
1570s Skipping PR_SET_MM, as we don't have privileges.
1570s (usernstest) succeeded.
1570s Assertion 'ioctl(socket_fd, SIOCSIFFLAGS, &req) >= 0' failed at src/resolve/test-resolved-stream.c:372, function try_isolate_network(). Aborting.

Ignore the result.

test: fix test-loopback failure when lacking privileges

Setting up the loopback might fail due to lack of privileges, as it
happens when running unit tests in the Noble CI environment. Skip
the test when it happens.

1584s  862/1330 systemd:test / test-loopback   FAIL  0.01s   exit status 1
1584s /* test_loopback_setup */
1584s Failed to configure loopback network device, ignoring: Operation not permitted
1584s loopback: Operation not permitted

Merge pull request #31600 from YHNdnzj/fd-poll

core/service: several trivial cleanups for fdstore

Merge pull request #31615 from poettering/hostname-method-missing

hostnamectl: deal gracefully when talking to old hostnamed

machinectl: add -P

timedatectl: add -P

hostnamectl: gracefully handle old hostnamed replies to GetHardwareSerial()

Old versions of hostnamed used to propagate ENODEV/ENOENT as-is. Bad
idea. This was fixed in 171ddae1a122e9c97b4ef12ccb2d29e1ba7a318a, but
let's handle this gracefully in hostnamectl.

hostnamectl: properly initialize the two timestamp fields before doing bus call

Otherwise if talking to an old hostnamed (which doesn't have these
fields) we'd assume the timestamp is valid even though it isn't and show
garbage.

po: Update translation files

Updated by "Update PO files to match POT (msgmerge)" hook in Weblate.

Co-authored-by: Weblate <noreply@weblate.org>
Translate-URL: https://translate.fedoraproject.org/projects/systemd/main/
Translation: systemd/main

Merge pull request #31607 from mrc0mmand/update-translation-strings

po: update translation strings

docs: update translation-related instructions

Just making them consistent with the rest of the doc.

po: update translation strings

Resolves: #31603

test: explicitly set TERM=linux for TEST-69-SHUTDOWN

sulogin from the latest util-linux started falling back to vt102 instead
of linux, which makes screen sad (because we install only the linux
terminfo into the test image) and expect trips over the unexpected
warning. Let's just explicitly set TERM=linux before invoking screen to
avoid this.

+ make -C TEST-69-SHUTDOWN setup run
...
INFO:test-shutdown:log in and start screen
root
root
Last login: Sun Mar  3 13:19:31 from 18.191.105.60
-bash-5.2# screen
screen
Cannot find terminfo entry for 'vt102'.
-bash-5.2# ERROR:test-shutdown:Timeout exceeded.

kernel-install: Add kernel version to title (#31581)

When using uki, kernel installations always have the same name in
systemd-boot menu.

Signed-off-by: Guilhem Lettron <guilhem@barpilot.io>

man/sd_notify: be explicit that FDPOLL= is not a global setting

"submitted" is already used in the description of FDNAME=.
Let's use that instead of "stored" for FDPOLL= too, to make
it more clear that it's a per-submission/per-fdset setting.

core/service: use extract_many_words at one more place

extract-word: modernize extract_many_words

core/service: minor cleanup for service_add_fd_store

Merge pull request #31594 from YHNdnzj/logind-seat-basename

logind: several coding style cleanups

hostnamed: use sd_bus_reply_method_return() to shorten code a bit

docs/UEFI_SECURITY: minor tweaks to the text

Oxford comma, some mistakes in counts, and splitting of long sentences.

resolved: explicitly disconnect all left-over TCP connections when coming back from suspend

Fixes: #13730 (original reporter's log shows the TCP connection needed
to time out first)

po: add false positives to POTFILES.skip

Scripts used to detect files that should be in POTFILES.in, like
intltool-update -m used on https://l10n.gnome.org/module/systemd/,
falsely detect these files as containing translations. Avoid this
behavior by putting the files in POTFILES.skip.

logind-{session,seat}: get rid of basename() in _new()

logind-device: remove unneeded 'struct'

logind: place 'ret' param at last

Merge pull request #31587 from yuwata/udev-rps-follow-ups

udev: follow-ups for RPS setting

Merge pull request #31586 from YHNdnzj/progress-bar-minor-followup

shared/pretty-print: minor follow-up for progress bar

Merge pull request #31583 from yuwata/sd-lldp-json-follow-up

sd-lldp: fix assignment of capabilities in JSON output

test-network: wait for the interface being processed by udevd

Otherwise, even if the interface is available, the requested config may
not be applied to the interface yet.

This also merges multiple tests for RPS setting. Hopefully the
performance of the test is improved.

test-network: introduce udevadm() and friends

udev/net: fix ReceivePacketSteeringCPUMask=disable assignment

Follow-up for 0f30bf5886f839984df545df74e9658daf3533d2.

If 'mask' is newly allocated, previously the value was ignored.

fuzz-lldp-rx: fuzz lldp_rx_build_neighbors_json()

Addresses https://github.com/systemd/systemd/pull/31583#discussion_r1509882453.

test-network: check enabled capabilities in LLDP neighbors

Addresses https://github.com/systemd/systemd/pull/31583#discussion_r1509880349.

sd-lldp: fix assignment of capabilities in JSON output

Follow-up for 329146a9ac73ac3f91b80f318e3037041488087c.