networkd: pretiffy message about invalid prefix

We know how the field we are parsing is called, let's put this information in
the error message:
"Route Source= prefix is invalid, ignoring assignment: ..."
"Route Destination= prefix is invalid, ignoring assignment: ..."

networkd: route replace parse prefix with generic in_addr_prefix_from_string

hwdb: add the X200/X201 to the existing X201s entry (#5934)

https://bugs.freedesktop.org/show_bug.cgi?id=100628

man: fix LD_LIBRARY_PATH example in environment.d (#5929)

The example for LD_LIBRARY_PATH in the environment.d man page is wrong.

When setting LD_LIBRARY_PATH, the new directory usually needs to be at
the front so it overrides old directories.

In the example, the colon delimiter is correctly prepended to the front, but
the actual new path is erroneously appended to the end.

This commit moves it to the front where it belongs.

udev: don't allow pointing stick sensitivities greater than 255 (#5927)

It gets truncated, so the result is that people mess with the const accel
because the sensitivity isn't the expected 300 but the too-low 45.

One example: https://bugs.freedesktop.org/show_bug.cgi?id=100965

Merge pull request #5920 from fbuihuu/sysusers-disable-gshadow

Sysusers disable group shadow support

sysusers: make use of cleanup(unlink_and_freep) in write_files() and its auxiliary helpers

No functional changes.

automount: ack automount requests even when already mounted (#5916)

If a process accesses an autofs filesystem while systemd is in the
middle of starting the mount unit on top of it, it is possible for the
autofs_ptype_missing_direct request from the kernel to be received after
the mount unit has been fully started:

  systemd forks and execs mount             ...
            ...                     access autofs, blocks
  mount exits                               ...
  systemd receives SIGCHLD                  ...
            ...                     kernel sends request
  systemd receives request                  ...

systemd needs to respond to this request, otherwise the kernel will
continue to block access to the mount point.

units: make descriptions of api filesystems less generic (#5914)

All those names were very generic. Fixes #5911.

sysusers: make group shadow support configurable

Some distros (openSUSE) don't have group shadow support enabled. This can lead
to the following error:

  # systemd-sysusers
  Creating group foofoo with gid 478.
  # systemd-sysusers
  # groupdel foofoo
  # systemd-sysusers
  Creating group foofoo with gid 478.
  Failed to write files: File exists

This patch adds --disable-gshadow option to configure. If used,
systemd-sysvusers won't consider /etc/gshadow.

sysusers: split make_files()

This patch extracts the code which is in charge to write the new users or
groups into temporary files and move it into 4 dedicated functions.

This part was previously inlined in makes_files() making this function quite
big and hard to read and maintain.

There should be no functional change.

50-udev-default.rules.in: set correct group for mediaX/cecX (#5921)

The /dev/mediaX and /dev/cecX devices belong to the video group.
Add two default rules for that.

The /dev/cecX devices were introduced in kernel 4.8 in staging and moved
out of staging in 4.10. These devices support the HDMI CEC bus.

The /dev/mediaX devices are much older, but because they are not used very
frequently nobody got around to adding this rule to systemd. They let the
user control complex media pipelines.

sd-boot: added shim signature/MOK validation (#5702)

Adds support for booting in a SecureBoot environment with shim as a
preloader. Install an appropriate UEFI security policy to check PE
signature of a chained kernel or UEFI application (using LoadImage())
against the MOK database maintained by shim, using shim's installed
BootServices.

Implementation details for installing the security policy are based on
code from the LinuxFoundation's SecureBoot PreLoader, part of efitools
licensed under LGPL 2.1

Current signed (by Microsoft) versions of shim (Versions 0.8 & 0.9)
so not install a security policy by themselves, future Versions of
shim might (a compile time switch exists in rectent git versions),
so in the future this PR might become unnecessary.

Merge pull request #5619 from fbuihuu/fully-restore-unit-cgroup-state

core: when deserializing a unit, fully restore its cgroup state

Merge pull request #5420 from OpenDZ/tixxdz/namespace-fixes-v2

Namespace: RootImage= RootDirectory= and MountAPIVFS fixes

network: add support for vlan confs(MVRP, reorder header, loose binding) (#5834)

man: Clarify Restart= exception for systemctl stop (#5891)

Merge pull request #5906 from keszybz/man-links

man page link fixes

networkd: add IPv6ProxyNDP (#5913)

This allows enabling proxy_ndp even if no addresses are configured in
networkd, as well as disabling proxy_ndp from a drop-in.

networkd: add support to configure route protocol. (#5890)

Closes: #5889

Merge pull request #5919 from glaubitz/suse

Fix meson build on openSUSE Tumbleweed

build: Add missing SECCOMP_CFLAGS to test-seccomp and test-execute targets (#5924)

meson: Add missing dependency on libkmod for libudev_core

meson: Add missing dependency on libseccomp for libcore

execute: Properly log errors considering socket fds (#5910)

Till now if the params->n_fds was 0, systemd was logging that there were
more than one sockets.

Thanks @gregoryp and @VFXcode who did the most work debugging this.

man: improve readability of time shorthands and their normalized forms. (#5912)

hwdb: add axis range for Panasonic Toughbook CF-19, CF-30 and CF31 (#5908)

Merge pull request #5907 from keszybz/mark-python-scripts-+x

Mark python scripts executable

Add short-iso-precise for journalctl output (#5884)

This adds a short-iso-precise option for journalctl output.  It is similar to
short-iso, but includes microseconds.

Mark python scripts executable

Since all our python scripts have a proper python3 shebang, there is no benefit
to letting meson autodetect them. On linux, meson will just uses exec(), so the
shebang is used anyway. The only difference should be in how meson reports the
script and that the detection won't fail for (most likely misconfigured)
non-UTF8 locales.

Closes #5855.

man: fix two references to our own binaries

man: fix links to external man pages

linkchecker ftw!

Merge pull request #5901 from keszybz/mkosi-meson

Convert mkosi instructions to meson

tree-wide: use SET_FLAG in more places (#5892)

mkosi.build: set encoding

Otherwise python3 (via meson) complains.

mkosi.fedora: we need lz4 for lz4cat

mkosi: switch build to meson

For Fedora, the version is bumped to 26. In F25, ninja is still called ninja-build
(while the package with the rename is going through QA).

socket-util: add parse_ip_prefix (#5867)

networkd: replace parse prefix with generic in_addr_prefix_from_string

man: document that OnCalendar may be specified more than once. (#5885)

It's helpful to know you can provide this more than once, rather than try
to make a more complicated / less clear single expression.

man: fix URL for kernel-parameters doc

With the move to sphinx-generated docs, the old URL seems to have stopped
working and returns 404.

core: when deserializing a unit, fully restore its cgroup state

The state of a unit was not fully restored, especially the
"cgroup_realized_mask/cgroup_enabled_mask" fields were missing.

This could be seen with the following sequence:

 $ systemctl show -p TasksCurrent sshd
 TasksCurrent=1

 $ systemctl daemon-reload

 $ systemctl show -p TasksCurrent sshd
 TasksCurrent=18446744073709551615

This was also visible with the "status" command: "Tasks: " row wasn't
showed in status of a service after a "daemon-reload" command.

core: introduce cg_mask_from_string()/cg_mask_to_string()

seccomp: add clone syscall definitions for mips (#5880)

Also updates the documentation and adds a mention of ppc64 support
which was enabled by #5325.

Tested on Debian mipsel and mips64el. The other 4 mips architectures
should have an identical user <-> kernel ABI to one of the 2 tested
systems.

Merge pull request #5842 from keszybz/meson-status-and-conditionals

Meson status and conditional simplification

meson: use booleans for conf.set and drop unecessary conditionals

Using conf.set() with a boolean argument does the right thing:
either #ifdef or #undef. This means that conf.set can be used unconditionally.

Previously I used '1' as the placeholder value, and that needs to be changed to
'true' for consistency (under meson 1 cannot be used in boolean context). All
checks need to be adjusted.

meson: add status report

This is similar to what ./configure prints. Instead of a long list of yes/no lines,
I added two lines at the end with "enabled features" and "disabled features".
This is what the mplayer/mencoder ./configure script did back in the day.
The advantage is that it's easy to look at the list of disabled features
and check for any unexpected entries.

meson: add forgotten debug options

v2:
-rename -Dextra-debug to -Ddebug to match ./configure --debug

sd-ndisc: Reset counter for sent Router Solicitations (#5874)

Reset also the counter for number of Router Solicitations sent when
the associated file descriptor is closed and the event source
unreferenced. With this change the router discovery can now be
stopped and restarted arbitrary many times.

network: reject bridge port priorities above kernel's max value. (#5877)

Bridge port priority in the kernel can only be between 0 and 63. Therefore
reject values above maximum.

Fixes: #5729

build-sys: re-add systemd.directives and systemd.index to MANPAGES (#5876)

Those were dropped accidentally in commit
19fe49f62cc916f1237ea92a04fc80ee75285dde, most likely by running
make update-man-list. This is a known limitation of the autotools build:
the man pages must be built before update-man-list is called.

hwdb: update axis ranges for the Asus UX301LAA touchpad (#5872)

https://bugs.freedesktop.org/show_bug.cgi?id=100873

Merge pull request #5871 from keszybz/meson-html-2

meson: make sure html symlinks are also created in build directory

meson: make sure html symlinks are also created in build directory

The symlinks should be created in the build directory in two cases: when
configuration specifies -Dhtml=true, or when ninja html target is built.
Normally install : {true,false} is used to decide if a target should be built,
but in this case, we cannot use install : true, because, as described in
488477d101, that results in the target file being copied into the
installation directory instead of a symlink. So we need a work-around. To
achieve the first end, the commands to create the symlinks are added as
dependencies of the command to create the html page. To the second end, they
are added as dependencies of the html target.

Follow-up for 488477d101 and 064d9ef0d7.

meson: create index.html symlink pointing at systemd.index.html (#5870)

Re-use bits from 488477d1011559078dbebfea18e22dcc1c9ca7ea to create the
index.html symlink.

Fixes #5862

Merge pull request #5869 from keszybz/meson-html

meson: fix creation of html symlinks

meson: fix creation of html symlinks

This adds two somewhat independent rules:
1. to create symlinks to html pages in the build directory
2. to create symlinks in the installation directory

The second part needs to be coded separately, because telling meson to install
the symlinks created in step 1. results in a copy of the target, instead of a
symlink. So step 2. needs to ignore the result of 1. and create the symlink again.

Fixes #5863.

more portable python shebangs (#5816)

This is useful on systems like NixOS, where python3 is not in
/usr/bin/python3 as well as for people using alternative ways to
install python such as virtualenv/pyenv.

build-sys: don't generate index.html with --disable-manpages (#5865)

Don't generate man/index.html and the dependent man/systemd.index.html
if man pages have been disabled.

Closes #5854

networkd: Add check to ensure link is down before attempting to enslave (#5853)

netdev to bond.

There are situations where a link can be in an "UP" state when
 systemd-networkd attempts to add the link to a bond device.
This is a problem because the bonding driver will refuse to
 enslave a link if it is in the "UP" state.
This check ensures systemd-networkd sets the link to "DOWN"
 before attempting to add the link to the bond.

Fixes #5838.

Merge pull request #5808 from ssahani/util

conf parser: add config_parse_ip_port

sd-boot: remove compiler warning (#5860)

This small fixup removes a compiler warning when passing tcg (a const
arg type) to the uefi call wapper, which does not define it as const.

All other source files in sd-boot do this cast except measure.c, so
let's fix that.

Merge pull request #5809 from keszybz/glob-safe

Implement `safe_glob` that ignores "." and ".."

conf parser: add config_parse_ip_port

journald: fix assertion failure on journal_file_link_data. (#5843)

When some error occurs during the initialization of JournalFile,
the JournalFile can be left without hash tables created.  When later
trying to append an entry to that file, the assertion in
journal_file_link_data() fails, and journald crashes.

This patch fix this issue by checking *_hash_table_size in
journal_file_verify_header().

networkd: replace geneve/vxlan port parsing with generic config_parse_ip_port

config parser: Introduce config_parse_ip_port

Merge pull request #5164 from Werkov/ordering-for-_netdev-devices

Ordering for _netdev devices

Merge pull request #5783 from keszybz/compiler-warning-fixes

shared/extract-word: replace enum with int to avoid undefined behaviour

Merge pull request #5529 from ssahani/label

networkd / sd-netlink: add support for address label

Merge pull request #5852 from phomes/trivial

Trivial cleanups

Merge pull request #5801 from keszybz/help-error

nspawn,cgtop: make sure --version, --help always work

sd-boot: remove unnecessary defines (#5848)

As discussed in #5829 `#define` is not necessary, meson and autotools
set the correct compiler flags and the default value is provided by them.

test: explain why we explicitly make all despite test/Makefile's check target calling it (#5830)

meson: do not link libshared dynamically against libudev (#5850)

Linking dynamically against libudev will fail once
https://github.com/mesonbuild/meson/pull/1545 is merged and apparently
already triggers a link failure on s390x.

Make libshared provide the udev symbols by including libudev_sources
into libshared. This will cause those files to be compiled twice, but it
actually reduces the installed size and is closer to what the autotools
build system is doing.

Closes #5828

tree-wide: remove unused variables

networkd: remove duplicated include

shared: assert the source for memcpy

build-sys: do not install manpages from disabled features (#5844)

A few of the manpages where missing the "conditional" attribute.

hwdb: add Samsung 880Z5E series touchpad overrides (#5825)

https://bugs.freedesktop.org/show_bug.cgi?id=100631

meson: add compiler flags for "--tpm" in EFI apps (#5829)

Readds boot log tpm feature that was missing in meson by readding a
defines in efi_conf.h

Merge pull request #5827 from keszybz/meson-libcap

meson: fixes to allow meson builds on Ubuntu Trusty

meson: do not install files from disabled features (#5811)

Mirror conditions from Makefile.am.

Merge pull request #5818 from mbiebl/meson-no-libudev

meson: drop implicit libudev link dependencies

Merge branch 'master' into meson-no-libudev

Merge pull request #5821 from mbiebl/meson-no-libiptc

Merge libfirewall into libshared, and link libshared to libip[46]tc directly.

build-sys: only install libexecdir/resolv.conf if resolved is enabled (#5826)

as mentioned in https://github.com/systemd/systemd/pull/5811

execute: filter out "." for ".." in EnvironmentFile= globs too

This doesn't really matter much, only in case somebody would use
something strange like

  EnvironmentFile=/etc/something/.*

Make sure that "." and ".." is not returned by that glob. This makes
all our globbing patterns behave the same.

tmpfiles: use safe_glob()

This filters out "." and ".." from glob results. Fixes #5655 and #5644.

Any judgements on whether the path is "safe" are removed. We will not remove
"/" under any name (including "/../" and such), but we will remove stuff that
is specified using paths that include "//", "/./" and "/../". Such paths can be
created when joining strings automatically, or for other reasons, and people
generally know what ".." and "." is.

Tests are added to make sure that the helper functions behave as expected.

basic: add readdir_no_dot and safe_glob functions

safe_glob filters out "." and "..".

This converts all users of glob_extend() and glob_exists() to safe_glob.

meson: fix detection of "-Wno-" options

meson: add version check for libseccomp

Compilation fails because of the missing arm64 bits with old seccomp versions.

meson: also search for libcap directly

improve readability (#5814)

update-done: Create using a temporary file (#5789)

'/etc/.updated' is created without using a temporary file, this can be
problematic with filesystems that cache writes. Modify so that the
timestamp is written to a temporary file and then use an atomic move
to move it to its correct place.

meson: get rid of libfirewall

meson: drop libiptc link dependencies from libshared

The only place where libiptc is needed is in libfirewall, which already
takes care of linking against libiptc.

meson: drop implicit libudev link dependencies

Executables which link against libshared do not need an explicit
dependency on libudev, as libshared will make sure that those symbols
are available.

meson: add address label to build system

networkd: add support for address label

IPv6 address labels are used for address selection; they are described in RFC 3484.
Precedence is managed by userspace, and only the label itself is stored in the kernel.

enp0s25.network

[Match]
Name=enp0s25

[Network]
DHCP=yes
Address = 2001:db8:f00:baa::b

[AddressLabel]
Label=199
Prefix=2001:db8:41::/64

[AddressLabel]
Label=11
Prefix=2001:db8:31::/64

[AddressLabel]
Label=123
Prefix=2001:db8:21::/64

[AddressLabel]
Label=124
Prefix=2001:db8:11::/64
[sus@maximus label]$ ip addrlabel list

prefix ::1/128 label 0
prefix ::/96 label 3
prefix ::ffff:0.0.0.0/96 label 4
prefix 2001:db8:41::/64 dev enp0s25 label 199
prefix 2001:db8:31::/64 dev enp0s25 label 11
prefix 2001:db8:21::/64 dev enp0s25 label 123
prefix 2001:db8:11::/64 dev enp0s25 label 124
prefix 2001::/32 label 6
prefix 2001:10::/28 label 7
prefix 3ffe::/16 label 12
prefix 2002::/16 label 2
prefix fec0::/10 label 11
prefix fc00::/7 label 5
prefix ::/0 label 1

sd-netlink: add support for address label