ukify: Introduce --certificate-provider= option

This translates to --certificate-source=provider:<provider> for
signing tools invoked by ukify.

measure: Add pcrpkey verb

This verb writes a public key to stdout extracted from either a public key
path, from a certificate (path or provider) or from a private key (path,
engine, provider). We'll use this in ukify to get rid of the use of the
python cryptography module to convert a private key or certificate to a
public key.

tree-wide: Introduce --certificate-source= option

This allows loading the X.509 certificate from an OpenSSL provider
instead of a file system path. This allows loading certficates directly
from hardware tokens instead of having to export them to a file on
disk first.

openssl-util: Set expected object type to private keys

Configures the store to only try to fetch private keys and nothing
else.

bootctl: Validate private key path

mkosi: Add pytest to tools

Split and rename src/boot (#35068)

hwdb: fix broken numpad paren keys on Lenovo Thinkbook 16 G6+ 2024

po: Translated using Weblate (German)

Currently translated at 89.8% (231 of 257 strings)

Co-authored-by: Anselm Schueler <mail@anselmschueler.com>
Translate-URL: https://translate.fedoraproject.org/projects/systemd/main/de/
Translation: systemd/main

github: adjust version number in templates

Most people are probably on stable releases, but we don't want to update the
minor version all the time, so just specify 256.x as a hint to fill in the
full version.

Rename src/boot/efi to just src/boot

I very much dislike the approach in which we were mixing Linux and UEFI C code
in the same subdirectory. No code was shared between two environments. This
layout was created in e7dd673d1e0acfe5420599588c559fd85a3a9e8f, with the
justification of "being more consistent with the rest of systemd", but I don't
see how it's supposed to be so.

Originally, when the C code was just a single bootctl.c file, this wasn't so
bad. But over time the userspace code grew quite a bit. With the moves done in
previuos commits, the intermediate subdirectory is now empty except for the
efi/ subdir, and this additional subdirectory level doesn't have a good
justification. The components is called "systemd-boot", not "systemd-efi", and
we can remove one level of indentation.

Move systemd-sbsign to its own source subdirectory

It's already two files, and I expect that more will come. It's nicer to give
its own subdirectory to maintain consistent structure.

Move systemd-measure to its own source subdirectory

We have other subdirectories with just a single C file. And I expect
that systemd-measure will only grow over time, adding new functionality.
It's nicer to give its own subdirectory to maintain consistent structure.

Move bless-boot components to their own source subdirectory

Move bootctl to its own source subdirectory

It's been split into a bunch of files and deserves its own subdirectory
similarly to systemctl.

man: fix typos flagged by Lintian

Translations update from Fedora Weblate (#35060)

test: fix assertion on build system

/* test_path_is_network_fs_harder */
src/test/test-mount-util.c:541: Assertion failed: expected "path_is_network_fs_harder("/")" to succeed but got the following error: Invalid argument

https://buildd.debian.org/status/fetch.php?pkg=systemd&arch=all&ver=257%7Erc1-1&stamp=1730945197&raw=0

Follow-up for d49d95df0a260aaca9a3fdd1e6ce535592a53bca

po: Translated using Weblate (Turkish)

Currently translated at 100.0% (257 of 257 strings)

Co-authored-by: Oğuz Ersen <oguz@ersen.moe>
Translate-URL: https://translate.fedoraproject.org/projects/systemd/main/tr/
Translation: systemd/main

po: Translated using Weblate (Swedish)

Currently translated at 100.0% (257 of 257 strings)

Co-authored-by: Luna Jernberg <bittin@reimu.nl>
Translate-URL: https://translate.fedoraproject.org/projects/systemd/main/sv/
Translation: systemd/main

po: Translated using Weblate (Russian)

Currently translated at 100.0% (257 of 257 strings)

Co-authored-by: Sergey A <Ser82-png@yandex.ru>
Translate-URL: https://translate.fedoraproject.org/projects/systemd/main/ru/
Translation: systemd/main

po: Translated using Weblate (Polish)

Currently translated at 100.0% (257 of 257 strings)

Co-authored-by: Piotr Drąg <piotrdrag@gmail.com>
Translate-URL: https://translate.fedoraproject.org/projects/systemd/main/pl/
Translation: systemd/main

po: Translated using Weblate (Indonesian)

Currently translated at 100.0% (257 of 257 strings)

Co-authored-by: Andika Triwidada <andika@gmail.com>
Translate-URL: https://translate.fedoraproject.org/projects/systemd/main/id/
Translation: systemd/main

po: Translated using Weblate (French)

Currently translated at 100.0% (257 of 257 strings)

Co-authored-by: Léane GRASSER <leane.grasser@proton.me>
Translate-URL: https://translate.fedoraproject.org/projects/systemd/main/fr/
Translation: systemd/main

po: Translated using Weblate (Georgian)

Currently translated at 100.0% (257 of 257 strings)

Co-authored-by: Temuri Doghonadze <temuri.doghonadze@gmail.com>
Translate-URL: https://translate.fedoraproject.org/projects/systemd/main/ka/
Translation: systemd/main

po: Translated using Weblate (Korean)

Currently translated at 100.0% (257 of 257 strings)

Co-authored-by: 김인수 <simmon@nplob.com>
Translate-URL: https://translate.fedoraproject.org/projects/systemd/main/ko/
Translation: systemd/main

sbsign: remove unimplemented options

NEWS: fix typo

Follow-up for a6d7cc74d6510378fa6d286352bb987791bed8ab.

update TODO

NEWS: various cleanups

NEWS: various cleanups

docs: fix sbsign manpage syntax and add to list, update release instructions (#35055)

<!-- devel-freezer =
{"comment-id":"2460595245","freezing-tag":"v257-rc1"} -->

docs: add reminder to run update-man-rules before tagging a release

docs: remove 'v' prefix from meson.version

It is actually v-less

man: run update-man-rules

man: fix syntax error in systemd-sbsign.xml

Follow-up for 5f163921e9ff6d735798db259c47543822f81b5c

meson: update version numbers for 257~rc1

NEWS: finalize

NEWS: update list of contributors

NEWS: add note about sd-sbsign

Update hwdb and translations (#35048)

Introduce systemd-sbsign to do secure boot signing (#35021)

Currently in mkosi and ukify we use sbsigntools to do secure boot
signing. This has multiple issues:

- sbsigntools is practically unmaintained, sbvarsign is completely
broken with the latest gnu-efi when built without -fshort-wchar and
upstream has completely ignored my bug report about this.
- sbsigntools only supports openssl engines and not the new providers
API.
- sbsigntools doesn't allow us to cache hardware token pins in the
kernel keyring like we do nowadays when we sign stuff ourselves in
systemd-repart or systemd-measure

There are alternative tools like sbctl and pesign but these do not
support caching hardware token pins in the kernel keyring either.

To get around the issues with sbsigntools, let's introduce our own
tool systemd-sbsign to do secure boot signing. This allows us to
take advantage of our own openssl infra so that hardware token pins
are cached in the kernel keyring as expected and we get openssl
provider support as well.

Update NEWS for recent PRs

networkd: add possibility to specify MulticastIGMPVersion

Grammar and formatting for DeviceTree docs (#35050)

Update translations

ninja -C build systemd-pot
ninja -C build systemd-update-po

Update hwdb

ninja -C build update-hwdb

ukify: Add --signing-provider= option

po: Translated using Weblate (French)

Currently translated at 100.0% (253 of 253 strings)

Co-authored-by: Léane GRASSER <leane.grasser@proton.me>
Translate-URL: https://translate.fedoraproject.org/projects/systemd/main/fr/
Translation: systemd/main

docs/TPM2_PCR_MEASUREMENTS: drop quotes from around section titles

The section headers used quotes as if the strings were some constants. But
AFAICT, those are just normal plain-text titles. Also lowercase them, because
this is almost like a table and it's easier to read without capitalization.

tree-wide: use Device*T*ree spelling

We used both, in fact "Devicetree" was more common. But we have a general rule
that we capitalize all words in names and also we have a DeviceTree=
configuration setting, which we cannot change. If we use two different
spelllings, this will make it harder for people to use the correct one in
config files. So use the "DeviceTree" spelling everywhere.

introduce report_errno_and_exit() helper (#35028)

This is a follow for https://github.com/systemd/systemd/pull/34853. In
particular, this comment
https://github.com/systemd/systemd/pull/34853#discussion_r1825837705.

core/manager: silence false-positive warning by coverity

Follow-up for 406f1775017a5631bc91a1f53ac5e50f4fbfac0c.

Closes CID#1564897.

machine: introduce io.systemd.Machine.Open method (#34867)

This PR introduces io.systemd.Machine.Open method which combines three
DBus alternatives:
- OpenMachinePTY
- OpenMachineLogin
- OpenMachineShell

The PR contains basic tests.

pid1: stop refusing to boot with cgroup v1

Since v256 we completely fail to boot if v1 is configured. Fedora 41 was just
released with v256.7 and this is probably the first major exposure of users to
this code. It turns out not work very well. Fedora switched to v2 as default in
F31 (2019) and at that time some people added configuration to use v1 either
because of Docker or for other reasons. But it's been long enough ago that
people don't remember this and are now very unhappy when the system refuses to
boot after an upgrade.

Refusing to boot is also unnecessarilly punishing to users. For machines that
are used remotely, this could mean somebody needs to physically access the
machine. For other users, the machine might be the only way to access the net
and help, and people might not know how to set kernel parameters without some
docs. And because this is in systemd, after an upgrade all boot choices are
affected, and it's not possible to e.g. select an older kernel for boot. And
crashing the machine doesn't really serve our goal either: we were giving a
hint how to continue using v1 and nothing else.

If the new override is configured, warn and immediately boot to v1.
If v1 is configured w/o the override, warn and wait 30 s and boot to v2.
Also give a hint how to switch to v2.

https://bugzilla.redhat.com/show_bug.cgi?id=2323323
https://bugzilla.redhat.com/show_bug.cgi?id=2323345
https://bugzilla.redhat.com/show_bug.cgi?id=2322467
https://www.reddit.com/r/Fedora/comments/1gfcyw9/refusing_to_run_under_cgroup_01_sy_specified_on/

The advice is to set systemd.unified_cgroup_hierarchy=1 (instead of removing
systemd.unified_cgroup_hierarchy=0). I think this is easier to convey. Users
who are understand what is going on can just remove the option instead.

The caching is dropped in cg_is_legacy_wanted(). It turns out that the
order in which those functions are called during early setup is very fragile.
If cg_is_legacy_wanted() is called before we have set up the v2 hierarchy,
we incorrectly cache a true answer. The function is called just a handful
of times at most, so we don't really need to cache the response.

man/systemd-stub: rework the description of sections

The text added for .dtbauto/.hwids was very hard to grok. This rewords it to be
proper English. No semantic changes are intended.

When updating this, I noticed that the interaction of multi-profile UKIs and
dtb autoselection is very unclear, a FIXME is added.

ukify: Add support for systemd-sbsign

sbsign: Add validate-key verb

This verb checks that we can load the specified private key.

Introduce systemd-sbsign to do secure boot signing

Currently in mkosi and ukify we use sbsigntools to do secure boot
signing. This has multiple issues:

- sbsigntools is practically unmaintained, sbvarsign is completely
broken with the latest gnu-efi when built without -fshort-wchar and
upstream has completely ignored my bug report about this.
- sbsigntools only supports openssl engines and not the new providers
API.
- sbsigntools doesn't allow us to cache hardware token pins in the
kernel keyring like we do nowadays when we sign stuff ourselves in
systemd-repart or systemd-measure

There are alternative tools like sbctl and pesign but these do not
support caching hardware token pins in the kernel keyring either.

To get around the issues with sbsigntools, let's introduce our own
tool systemd-sbsign to do secure boot signing. This allows us to
take advantage of our own openssl infra so that hardware token pins
are cached in the kernel keyring as expected and we get openssl
provider support as well.

machine: tests for io.systemd.Machine.Open

machine: introduce io.systemd.Machine.Open method

json: introduce json_dispatch_strv_environment()

I just moved json_dispatch_environment() from src/shared/user-record.c
under name 'json_dispatch_strv_environment()' to shared json code.

machine: machine_default_shell_path() & machine_default_shell_args() helper functions

machine: introduce machine_start_getty() and machine_start_shell() helpers

use report_errno_and_exit() in src/core/exec-invoke.c

use report_errno_and_exit() in src/shared/elf-util.c

use report_errno_and_exit() in src/shared/dissect-image.c

use report_errno_and_exit() in src/shared/mount-util.c

use report_errno_and_exit() in src/shutdown/umount.c

process-util: introduce report_errno_and_exit() as part of src/basic/process-util.{h,c}

man/varlink: fix typo

Follow-up for 4f5fabe7a39f046e0456eba07472df061e85c94e.

man/udev: fix typo

Follow-up for df8f9b88bd41320653fe1c51ea515a2d03a349df.

man/systemd-measure: add forgotten "="

Both syntaxes work, but let's use one syntax for consistency.

Fixup for 0641ce809a27cc1bc358924c26770f19d1213ec1.

man/systemd-measure: update to new ukify syntax, non-root operation

It's been a while, but systemd-measure doesn't need root, and
ukify has a more modern syntax.

network: reconfigure interface more gracefully (#35035)

split-out of #34989.

UKI: Introduce `.dtbauto` sections (#34855)

Split out from #34158

namespace-util: make idmapping not supported if syscalls return EPERM

Various man page updates (#35032)

Fixes: #34996
Fixes: #15032
Fixes: #32751
Fixes: #33130
Fixes: #34735
Fixes: #34840
Fixes: #34949

mount-util: introduce path_is_network_fs_harder() and use it in networkd (#35040)

Closes #32426.

man: convert multiple left-over "See Also" sections to <simplelist>

These were forgotten during the initial conversion, probably because
most of them consisted only of a single entry.

Fix that.

man: link up D-Bus API docs from daemon man pages

Let's systematically make sure that we link up the D-Bus interfaces from
the daemon man pages once in prose and once in short form at the bottom
("See Also"), for all daemons.

Also, add reverse links at the bottom of the D-Bus API docs.

Fixes: #34996

man: point people from sd-bus man page to busctl

man: add brief entrypoint man page for sd-varlink

We have this in a similar fashion for the other APIs libsystemd
provides. Add the same for sd-varlink. There isn't too much on it for
now, but at least it's a start.

Also link it up everywhere.

man: tone down claims on processes having exited already in ExecStop=

Processes can easily survive the first kill operation we execute, hence
we shouldn't make strong claims about them having exited already. Let's
just say "likely" hence.

Fixes: #15032

man: document that .path units don't care for hidden files

Fixes: #32751

man: document that PrivateTmp= is unaffected by ProtectSystem=strict

Fixes: #33130

man: highlight the privilege issues around the LogControl1 more

Let's emphasize the privilege thing with a <caution> section.

Let's also point out that other D-Bus libraries are less restrictive
than sd-bus by default regarding permission access.

Fixes: #34735

man: Document stub behaviour for .hwids and .dtbauto sections

stub: Handle .dtbauto sections

measure: Introduce .dtbauto support

uki: add new .dtbauto PE section type

.dtbauto section contains DT blobs, just like .dtb, the difference is
that multiple .dtbauto sections are allowed to be in a UKI and only one
is selected automatically

Temporarily drop an assert_cc() check in systemd-measure to make it compilable before the next commit

measure: introduce support for a .hwids section

boot: Add .dtbauto section matching in PE section discovery against HWIDs and FW-provided DT

man: don't claim SELinuxContext= only worked in the system service manager

Fixes: #34840

man: document the timeout applied to /usr/lib/systemd/system-shutdown/ drop-in binaries

Fixes: #34949

test: delete /swapfile after swapoff

[   23.608342] TEST-55-OOMD.sh[689]: + btrfs filesystem mkswapfile -s 64M /swapfile
[   23.651930] TEST-55-OOMD.sh[704]: ERROR: cannot create new swapfile: File exists

network: handle ENODATA better with DNR

It is normal for DHCP leases not to have DNR options. We need to be less
verbose and more forgiving in these cases. Also, if either DHCP does not
have DNR options, make sure to still consider any DHCPv6/RA options.

Fixes: c7c9e3c7c016 (network: adjust log message about DNR)

network: use path_is_network_fs_harder()

Closes #32426.

mount-util: introduce path_is_network_fs_harder()

It also detects e.g. glusterfs or mounts with "_netdev" option.

tree-wide: time-out → timeout

For justification, see 3f9a0a522f2029e9295ea5e9984259022be88413.