man: update documentation for 'networkctl reload'

test-network: test for reload of .netdev file of stacked netdev

For issue #9627, #27177, and #34907.

network/netdev: replace old NetDev object with newer one on reload

Then, when a .netdev file of a stacked netdev is modified, the netdev
can be reconfigured with the updated setting by something like the
following way:
```
ip link del vlan99
networkctl reload
```

Note, removing the vlan interface in the above example may not be necessary,
e.g. when only VLAN flags, egress mapping, or ingress mapping are updated.
But, it is necessary when VLAN ID is updated.

Closes #9627.
Closes #27177.
Closes #34907.
Replaces #22557.

network/netdev: reconfigure netdev if possible

Some netdev configs can be modified after the interface is created.
Let's allow to reconfigure existing interfaces.

network/netdev: move calls of netdev_attach() and netdev_request_to_create() to netdev_load()

No functional change, preparation for later commits.

mkosi: Ensure we build with debuginfo

coredump: allow only empty messages after first "sentinel"

network/tunnel: reuse existing 6rd sit tunnel (#34938)

split-out of #34909.

network/netdev: do not try to update several parameters if the interface already exists (#34937)

split-out of #34909.

network: several cleanups for reloading .network files (#34933)

split-out of #34909.

network: process queued remove requests on stop (#34871)

Fixes a regression caused by 85a6f300c14d75d161cbfdb3eaf5af9594400ecd
and its later commits.
Fixes #34837.

mkosi: Update packaging specs to latest (#34951)

test-network: add test case for reuse of existing 6rd SIT tunnel

Fix display of qrcodes by bsod and other related cleanups (#34914)

ask-password: Allow configuring the keyring timeout via an environment variable

In mkosi, we want an easy way to set the keyring timeout for every
tool we invoke that might use systemd-ask-password to query for a
password which is then stored in the kernel keyring. Let's make this
possible via a new $SYSTEMD_ASK_PASSWORD_KEYRING_TIMEOUT_SEC environment
variable.

Using an environment variable means we don't have to modify every separate
tool to add a CLI option allowing to specify the timeout. In mkosi specifically,
we'll set up a new session keyring for the mkosi process linked to the user keyring
so that any pins in the user keyring are used if available, and otherwise we'll query
for and store password in mkosi's session keyring with a zero timeout so that they stay
in the keyring until the mkosi process exits at which point they're removed from the
keyring.

logind: add BlockWeakInhibited property

Fixes https://github.com/systemd/systemd/issues/34091
Follow-up for 804874d26ac73e0af07c4c5d7165c95372f03f6d

core: make mount(8) and swapon(8) inherit SMACK label from systemd

By default mount(8), umount(8), swapon(8) and swapoff(8) should run with
with the SMACK label inherited from systemd rather than the default one
meant for services.

Fixes: aa5ae9711ef3cd0c69b7fcfbd65bca05fb704a8a
Follow-up-for: 20bbf5ee4c6c80599a91e7a4b7474e931a27db4a

network/ipvlan: do not try to update MAC address

network/macsec: IFLA_MACSEC_PORT attribute cannot be changed

Also, though currently not supported by networkd,
  IFLA_MACSEC_CIPHER_SUITE, IFLA_MACSEC_ICV_LEN, IFLA_MACSEC_SCI
cannot be updated.

network/vxlan: do not try to update several parameters

Currently, netdev->ifindex is always zero when this function is called.
So, this does not change any behavior. Preparation for later commits.

network/netdev: introduce netdev_can_set_mac/mtu() helper functions

Several netdevs cannot set IFLA_ADDRESS or IFLA_MTU attribute on update.
Currently, the vtable field is unused, as we do not support updating
existing netdevs. Preparation for later commits.

network: use newly loaded Network object if a referenced NetDev object is updated

Even if .network file is not updated, referenced NetDev object may be
different. In that case, let's use the newly loaded Network object.

network: drop no-op cleanup

- network_load() is always called with an empty OrderedHashmap, renamed the output
  parameter to 'ret'.
- When netdev_load() is called on startup, the hashmap is NULL. When it is
  called on reloading, the hashmap is not cleaned up.

Hence, then these cleanups are always no-op. Let's drop them.

network/netdev: update state file when NetDev object assignment is changed

network: swap asterisk and space

github: drop workaround and use distro mold

Now, ubuntu-24.04 has mold-2.30.0+dfsg-1build1 .
See https://packages.ubuntu.com/noble/mold .

test-network: add test for DHCPv4 address removal on stop

For issue #34837.

network: process queued remove requests before networkd is stopped

This makes networkd process all queued remove requests when a
terminating or restarting signal is received. Otherwise, e.g. DHCPv4
address will not be removed on stop, especially when
KeepConfiguration=no.

Fixes a bug introduced by 85a6f300c14d75d161cbfdb3eaf5af9594400ecd and
its subsequent commits.

Fixes #34837.

Co-authored-by: Will Fancher <elvishjerricco@gmail.com>

mkosi: update debian commit reference

* 2f288667e0 Install sysupdate.feature manpage
* 384393a955 d/systemd.postrm: delete more internal state directories on purge

mkosi: update arch commit reference

* 62c224b60c Specify --no-rebuild when calling meson install
* b5c20dc6b0 fix redirection for dash
* 7fef8e4cdd upgpkg: 256.7-1: new upstream release

coredump: AccessContainer= bunch of followups (#34333)

Fixes #34130

NEWS: remove duplicated entry

The same item is described below.

Also reflow some paragraphs (presumably indented with emacs, which does this
wrong).

cryptenroll,homectl,journalctl: adjust messages before qrcodes

Users will generally know what a qrcode is, so let's not treat them as dumb and
explain that it can be scanned. OTOH, we should say what the qrcode contains
and it is useful to give a hint why the users would want to scan it. Reword
messages accordingly.

(Also, don't say "to your phone", when somebody might be using a stolen phone,
or something else then a phone.)

bsod: make message for qrcode more useful

People know what a qrcode is. We don't need to tell them to scan it.
Instead, we should say what the code contains.

While at it, rename "stream" to "f" in line with the usual style.

test: add test coverage for EnterNamespace=

coredump: return correct error variable

coredump: rename AccessContainer= to EnterNamespace=

coredump: rework gather_pid_mount_tree_fd()

coredump: use FORK_WAIT

core: add EXEC_DIRECTORY_TYPE_SHALL_CHOWN() helper

Let's make ConfigurationDirectory= a bit less "special-casey", by hiding
the fact that it's the only per-service dir we do not do chown()ing for
inside of a new EXEC_DIRECTORY_TYPE_SHALL_CHOWN() helper.

coredump: store actual fd in appropriate variable

coredump: use FORK_LOG to get more precise logging

coredump: fix coding style

coredump: get rid of redundant double space

coredump: use more appropriate return code

coredump: check for and close unexpected FDs

coredump: fix line spacing

coredump: merge variable definitions

coredump: rework attaching container mount trees

docs: Update instructions for building distribution packages in HACKING.md (#34941)

When building distribution packages without building an image, the
distribution packages will only be located in mkosi.builddir/ now and
not in mkosi.output/, so update the documentation to reflect that.

Also add installation instructions for distributions other than
CentOS/Fedora while we're at it.

docs: Update instructions for building distribution packages in HACKING.md

When building distribution packages without building an image, the
distribution packages will only be located in mkosi.builddir/ now and
not in mkosi.output/, so update the documentation to reflect that.

Also add installation instructions for distributions other than CentOS/Fedora
while we're at it.

docs: Align some comments in HACKING.md

analyze: Add times in seconds for Activating and Activated in tooltip

Print the times in seconds in the tooltip to remove the need to count
and trying to follow the lines in the svg diagram in order to see at
what times these events happen.

network/tunnel: allow Local=/Remote=any for all tunnel types

It seems there is no restriction for local and remote addresses.

Fixes #34930.

sd-netlink,network: do not set NLM_F_CREATE and NLM_F_EXCL flags if an interface index is specified

If an ifindex is specified, we are modifying the existing interface.
Hence, these flags should not be set. Otherwise, the request will be
refused with -EEXIST.

network: skip processing netdev if it is already detached (#34935)

split-out of #34909.

pretty-print: add format-string version of draw_progress_bar() (#34939)

We often format the prefix string via asprintf() before, let's hence add
a helper for that.

update NEWS

update TODO

core/service: support sd_notify() MAINPIDFD=1 and MAINPIDFDID= (#34932)

network: add missing else in dhcp_lease_load (#34927)

Fixes: 3fd6708cde0f (network: Serialize DNR servers)
---

Fixes: #34926

network: Restrict the valid charset of DNR names

Not all possible DNS names will survive serialization. Restrict the set
of valid dns names to LDH encoded names.

Fixes: 25c33e350042 (network: parse RFC9463 DHCPv4 DNR option, 2024-01-16)
Fixes: a07e83cc58f6 (network: Parse RFC9463 DHCPv6 DNR option, 2024-01-17)
Fixes: 0c90d1d2f243 (ndisc: Parse RFC9463 encrypted DNS (DNR) option, 2024-01-19)

pretty-print: add format-string version of draw_progress_bar()

We often format the prefix string via asprintf() before, let's hence add
a helper for that.

pretty-print: rename draw_progress_bar_impl()→draw_progress_bar_unbuffered()

busctl: minor tweak to help text for --limit-messages=

import: Draw progress bars

Currently every progress update results in a new progress message
which is extremely verbose. Instead, let's use the progress bar infra
to draw a proper progress bar similar to what we do in systemd-repart
now.

progress-bar: issue Windows Terminal progress indicating ANSI sequences (#34929)

This generates the Windows Terminal OSC sequences indicating progress.
This let's the terminal know that we are doing a slow operation, and how
we are progressing.

Windows Terminal uses this in two ways: it shows a circle in the tab
that completes, and it highlights the progress in the task bar.

I found no Linux terminal that currently supports it, but also none that
didn't like it. Thankfully most terminals correctly ignore unrecognized
OSC sequences.

I think we should just merge this, and see if this trips up too many
people, but I have reason to believe this shouldn't be too bad.

And yes, I do work from Windows Terminal sometimes, ssh into my Linux
build systems, and it is really cute seeing the progress animation
there.

sysusers: optionally create fully locked accounts (#34876)

Let's ramp up security for system user accounts, at least where
possible, by creating them fully locked (instead of just with an invalid
password). This matters when taking non-password (i.e. SSH) logins into
account.

Fixes: #13522

network/tunnel: reuse existing 6rd SIT tunnel

The 6rd SIT tunnel configuration can be updated without recreating the
interface. Let's reuse existing tunnel.

network/tunnel: merge dhcp4_pd_create_6rd_tunnel_message() into dhcp4_pd_create_6rd_tunnel()

No functional change, just refactoring and preparation for later
commits.

busctl: various bugfixes + tweaks (#34928)

Fixes: #34048
Replaces: #34796
Follow-up for: #33961

analyze: don't use Yoda conditions

analyze: modernize opening ELF binary a bit

network/netdev: skip processing netdev if it is already detached

No functional change, as currently networkd detaches NetDev objects only
on stop (or invalid .netdev file is loaded).
Preparation for later commits.

network/netdev: split out netdev_attach_name_full()

No functional change, preparation for later commits.

TEST-80-NOTIFYACCESS: don't specify --pid= if MAINPID= is provided explicitly

Otherwise, with recent additions, the MAINPIDFDID= generated by
systemd-notify would mismatch with overridden MAINPID=.

notify: send MAINPIDFDID= for --pid= too if available

core/service: support sd_notify() MAINPIDFD=1 and MAINPIDFDID=

These serve as race-free alternatives for MAINPID= notification.

shared/fdset: minor modernization

mkosi: update fedora commit reference

* e42eed4afd test_sysusers_defined: support new ! line flag for creating fully locked accounts
* 2c6a4e2f90 Version 256.7
* bedc0270e7 Move yum/dnf protection removal config file under /usr
* 5a82129a41 Reword some descriptions
* ce99022f7b Version 256.6

Merge pull request #34245 from bluca/logind_drop_weak_delay_inhibitor

logind: drop new delay-weak inhibitor

busctl: add the usual section highlighting to our --help texts

busctl: add a testcase that definitely causes the timeout to trigger

busctl: if --timeout= or --limit-messages= are specified with no argument, reset to defaults.

Follow-up for: 989e843e7543b21b91de4368da44692d674722a5
See: #34048

busctl: rename --num-matches= → --limit-messages=

We should avoid unnecessary abbreviations for such messages, and this
puts a maximum limit on things, hence it should indicate this in the
name.

Moreover, matches is a bit confusing, since most people will probably
call "busctl monitor" without any match specification, i.e. zero
matches, but that's not what was meant here at all.

Also, add a brief switch for this (-N) since I figure in particular
"-N1" might be a frequent operation people might want to use.

Follow-up for: 989e843e7543b21b91de4368da44692d674722a5
See: #34048

busctl: fix timeout calculation for "busctl monitor"

The --timeout= logic was implemented incorrectly, as it would not put a
a limit on the runtime of the operation, but only on the IO sleep.
However, spurious wakeups are possible, hence the timer would be reset
too often.

Fix that, by determining the absolute timestamp early, and checking
against that.

Follow-up for: 989e843e7543b21b91de4368da44692d674722a5
See: #34048

NEWS: be less misleading since systemd-run does not support ExtraFileDescriptors= yet

meson.build: do not mark test-progress-bar as manual

It will finish on its own always and cleanly, and running it always
should increase test coverage.

progress-bar: issue Windows Terminal progress indicating ANSI sequences

This generates the Windows Terminal OSC sequences indicating progress.
This let's the terminal know that we are doing a slow operation, and how
we are progressing.

Windows Terminal uses this in two ways: it shows a circle in the tab
that completes, and it highlights the progress in the task bar.

I found no Linux terminal that currently supports it, but also none that
didn't like it. Thankfully most terminals correctly ignore unrecognized
OSC sequences.

I think we should just merge this, and see if this trips up too many
people, but I have reason to believe this shouldn't be too bad.

And yes, I do work from Windows Terminal sometimes, ssh into my Linux
build systems, and it is really cute seeing the progress animation
there.

udevadm: automatically anable JSON-SEQ in case JSON is used for "udevadm info -a"

We are going to output a series of JSON objects, hence let's
automatically enable JSON-SEQ output mode, as we usually do.

"jq --seq" supports this natively, hence this should not really restrict
us.

Follow-up for: 67ea8a4c0edef33b1775536bc81d5de2c8ac4d88

mkosi: Move copying packages to the output directory to the postinst script

Now that we have the mkosi.clangd script to run clangd from the mkosi
build script, it becomes clear that doing cleanup with mkosi.clean has
a big gap in that we always run the mkosi.clean script and thus we also
run it when we run the mkosi.clangd script, causing the previously built
packages to be removed when we run clangd without producing new ones.

In mkosi we're improving the situation by only running clean scripts when we
clean up the output directory and disallowing writing to the output directory
from build scripts.

Let's adapt systemd to these changes by moving the copying of packages to the
output directory to the postinst script.

test: test new 'u' sysusers.d lines

sysusers.d: lock all system users defined by us

sysusers: add new ! line flag for creating fully locked accounts

Fixes: #13522

Merge pull request #34391 from poettering/dns-long-label-fix

resolved: fixes when trying to serialize overly long DNS names

qrcode-util: avoid memleak in error path

test-terminal-util: print value of colors_enabled()

This makes it easier to diagnose why colors are disabled.

bsod: do not check for color support

When invoked on a running system, bsod would not print the qrcode.
The check for "color support" on stdout is pointless, since we're not
printing to stdout but to a terminal fd that is opened separately.

network: add missing else in dhcp_lease_load

Fixes: 3fd6708cde0f (network: Serialize DNR servers)

update-utmp: wait slightly longer for the private bus socket being active

Before a339495b1d67f69f49ffffdd96002164a28f1c93, update-utmp typically
connects the public DBus socket when disconnected from the private DBus
socket, as dbus service should be active even during PID1 is being reexecuted.

However, after a339495b1d67f69f49ffffdd96002164a28f1c93, update-utmp
tries to connect only the private DBus socket, but reexecution of PID1
may be slow, hence all trials may fail when the reexecution is slow.

With this change, now it waits for 100ms to 2000ms, so in total it waits
about 37 seconds in average, previously about 4 seconds.