udev-builtin-input-id: drop unused value

tree-wide: use device_get_sysattr_unsigned() and friends

udev-builtin-usb_id: make set_usb_iftype() and friends return const char*

udev-builtin-usb_id: use device_get_sysattr_unsigned() and friends

This also fix the parser of bInterfaceClass from safe_atoi() to
safe_atou_full() as it is unsigned hex.

sd-device: also add device_get_sysattr_streq()

sd-device: also add device_get_sysattr_u8() and _u16()

sd-device: use macro to define device_get_sysattr_int() and friends

test: add test cases for device_get_sysattr_int() and friends

sd-device: rename argument names for storing result

When a function takes only one argument for storing result, the argument
is not necessary to be named as ret_xyz, but ret should be enough.

tree-wide: use device_get_sysattr_safe_string()

The obtained strings are passed to another function, e,g, handled as a
path and opened, printed to the terminal, written to a file, saved to
udev database as udev property, exposed through DBus, passed to logger,
and so on. Hence, these should not contain any malicious characters.

udev-builtin-net_id: quote strings in log messages

udev-builtin-net_id: use EINVAL when we get unexpected sysattr value

The results are completely ignored or only checked if it is negative or
not. Hence, this does not change anything.

udev: drop redundant checks

This partially reverts 16325b35fa6ecb25f66534a562583ce3b96d52f3,
as bad characters are already filtered.

Revert "udev-builtin-net-id: print cescaped bad attributes"

This reverts commit 7c4047957ef58744ecfad6d277f7c45d430f6d70.

This is not necessary, as bad characters are already filtered.

udev: use device_get_sysattr_safe_string() in device_get_sysattr_value_filtered()

Then, renamed to device_get_sysattr_safe_string_filtered().

sd-device: use device_get_sysattr_safe_string()

The read value are exposed by sd_device_get_subsystem() and friends.
Hence, it is better to filter invalid characters.
Of course, these should be always safe unless the kernel is buggy.
But, just for safety.

Note, even if uevent file contains invalid characters, then
device_read_uevent_file() should succeed without parsing the contents.
The caller should fail later with a proper error code if a necessary
field is unset. E.g. sd_device_get_ifindex() should still return -ENOENT
even when uevent file contains an invalid characters.

sd-device: introduce device_get_sysattr_safe_string()

This introduce a helper function that verifies read sysattr value.
Some sysattr value may come from firmware, and kernel may expose unsafe
string. The introduced function should be used when we use the result as
a string.

string-util: introduce STRING_ALLOW_NEWLINES switch for string_is_safe()

This also make StringSafeFlags defined in basic-forward.h so other
headers can use the enum.

sd-device: use string_is_safe() at one more place

sd-device: logs about refused property

Follow-up for a62cd5a153ffe18c27aff02685ed75c5bc4509a2.

networkctl: introduce 'dhcp-lease' command to dump acquired DHCP lease (#42137)

sd-dhcp-client: use dhcp_message_send_{udp,raw}() and update BPF code (#42138)

sd-dhcp-client: drop unused data in sd_dhcp_client

With the previous commit, now sd_dhcp_client.link is not used anymore.
Let's drop it.

dhcp-client-send: move/update BPF code and socket initialization from dhcp-network.c

- BPF code now supports the case when IP header has IP packet options,
- also set socket priority to UDP socket.

Co-developed-by: Google Gemini Pro

dhcp-client-send: use dhcp_message_send_{udp,raw}()

NEWS: mention new 'networkctl dhcp-lease' command

networkctl: add dhcp-lease verb to dump DHCP lease

This shows the DHCP message of an acquired DHCP lease.
Example:
```
$ networkctl dhcp-lease eth0
Header:
              KEY VALUE
   Hardware Type: ETHER
Hardware Address: 41:42:43:31:32:33
  Client Address: 192.0.2.123
  Server Address: 192.0.2.1

Options:
CODE NAME               DATA
   1 subnet mask        255.255.255.0
   3 router             192.0.2.1
   6 domain name server 192.0.2.1
  12 hostname           test-node
  15 domain name        lan
  28 broadcast address  192.0.2.255
  42 NTP server         192.0.2.11
                        192.0.2.12
  51 lease time         1d
  53 message type       5
  54 server identifier  192.0.2.1
  58 renewal time       11h 5min 38s
  59 rebinding time     20h 5min 38s
 119 domain search      hoge.example.com
                        foo.example.com
```

dhcp: cleanups for sd-dhcp-lease.c and rewrite test-dhcp-client (#42135)

dhcp-message-dump: introduce dump_dhcp_message()

It dumps DHCP messages in a human friendly format.
It will be used in networkctl in a later commit.

ci/alpine: do not install util-linux-login

For some reasons, after util-linux is bumped from 2.41.4-r0 to 2.42-r0,
the 'su' command from util-linux-login seems to not correctly run commands in
https://github.com/jirutka/setup-alpine/blob/v1.4.1/alpine.sh
and causes the following spurious failure:
```
2026-05-15T21:19:15.6539432Z ##[group]Set up user runner
2026-05-15T21:19:15.6981963Z /bin/sh: line 0: ��: not found
2026-05-15T21:19:15.6982503Z /bin/sh: line 1: ␡ELF␂␁␁␃: not found
2026-05-15T21:19:15.6985788Z /bin/sh: line 10: ␒␐␆␒B␈␒�␄␒y␄␒�␁␒␞␇␒:␁␒�␃␒�␄␒@␁␒9␈␒?␆␒␚␈␒x: not found
2026-05-15T21:19:15.7010731Z /bin/sh: line 33: can't open ␂␒-␂␒�: no such file
2026-05-15T21:19:15.7016026Z /bin/sh: line 33: syntax error: unexpected word (expecting ")")
2026-05-15T21:19:15.7049583Z
2026-05-15T21:19:15.7050199Z ␛[1;31mError occurred at line 338:␛[0m
2026-05-15T21:19:15.7050830Z   335 |  echo 'permit nopass keepenv $SUDO_USER' | tee /etc/doas.d/root.conf
2026-05-15T21:19:15.7051287Z   336 |  fi
2026-05-15T21:19:15.7051549Z   337 | SHELL
2026-05-15T21:19:15.7052039Z ␛[1;31m> 338 | abin/"$INPUT_SHELL_NAME" --root /.setup.sh␛[0m
2026-05-15T21:19:15.7052506Z   339 |
2026-05-15T21:19:15.7052796Z   340 | rm .setup.sh
2026-05-15T21:19:15.7053172Z   341 | endgroup
2026-05-15T21:19:15.7096322Z ##[error]Error occurred at line 338: abin/"$INPUT_SHELL_NAME" --root /.setup.sh (see the job log for more information)
2026-05-15T21:19:15.7101400Z ##[error]Process completed with exit code 1.
```
Let's not install the package. It seems no command provided by the
package is used.

fuzz-dhcp-client: externally set socket fd, rather than override functions

test-dhcp-client: add test cases for discover attempt counter

test-dhcp-client: add test cases for IPv6-only mode

test-dhcp-client: add test case for BOOTP client mode

test-dhcp-client: add test case for INIT-REBOOT sequence

test-dhcp-client: add test case for rapid commit mode

test-dhcp-client: add test case for anonymized mode

update TODO

sd-dhcp-client: two tiny cleanups (#42129)

test-dhcp-client: rewrite the test by using sd_dhcp_message

More test cases will be added later.

sd-dhcp-client: allow to set socket fd externally

It will be used by the unit test and fuzzer for the DHCP client.
Preparation for later changes.

sd-dhcp-lease: coding style cleanups

Rename function arguments for storing results, and accept NULL for
them. Also, adjust the position of asterisk.

Final batch of conversions to option and verb macros (#42127)

sd-dhcp-client: drop unused legacy code (#42128)

treewide: get rid of remaing getopt/getopt_long stuff

tree-wide: get rid of old dispatch_verb

Also rename dispatch_verb_with_args to dispatch_verb.

test-verbs: dispatch via _dispatch_verb_with_args() directly

Drops the global-optind dependency from the test helper. Verb fixtures
stay inline as static const Verb[] — the section-based VERB() macro
would force unique verb names across the three test cases, which they
deliberately share to exercise overlap.

Co-developed-by: Claude Opus 4.7 (1M context) <noreply@anthropic.com>

veritysetup: convert verbs to VERB macros

Place VERB() declarations above each dispatch function and use
verbs_get_help_table() in help(). run() switches to
dispatch_verb_with_args(); the argv_looks_like_help() shortcut is
preserved since this is an internal tool with no proper option parsing.

Co-developed-by: Claude Opus 4.7 (1M context) <noreply@anthropic.com>

update-utmp: convert verbs to VERB macros

There is no --help implemented, so both verbs don't get help strings.
We should probably add --help + --version, and a proper description
of the program, but I'm leaving that for later.

Co-developed-by: Claude Opus 4.7 (1M context) <noreply@anthropic.com>

integritysetup: convert verbs to VERB macros

Place VERB() declarations above each dispatch function and use
verbs_get_help_table() in help() so the command listing stays in sync.
run() switches to dispatch_verb_with_args(); the argv_looks_like_help()
shortcut is preserved since this is an internal tool with no proper
option parsing.

Co-developed-by: Claude Opus 4.7 (1M context) <noreply@anthropic.com>

backlight: convert verbs to VERB macros

Place VERB() declarations directly above each dispatch function and use
verbs_get_help_table() in help() so the command listing stays in sync.
run() switches to dispatch_verb_with_args(); the argv_looks_like_help()
shortcut is preserved since this is an internal tool with no proper
option parsing.

Co-developed-by: Claude Opus 4.7 (1M context) <noreply@anthropic.com>

dissect: convert the other parser to option macros

storagectl: convert run_as_mount_helper to OPTION macros

This is the util-linux mount-helper interface (mount.storage), so all
options stay hidden via help=NULL — they are not user-facing. The
namespace "mount.storage" is distinct from the storagectl namespace
used for the user-facing CLI.

Co-developed-by: Claude Opus 4.7 <noreply@anthropic.com>

udev: drop leftover includes of getopt.h

Not sure why those were left and why clang-tidy didn't complain.

sd-dhcp-client: set TOS and socket priority by default

Also this renames sd_dhcp_client_set_service_type() to _set_ip_service_type().

sd-dhcp-client: split out setting anonymize parameter

No effective functional change. Just refactoring.

tree-wide: get rid of most uses of ALIGN_PTR

This bothered me for a while, but I didn't think too much about it and just
copied the existing usage pattern. But it really doesn't make sense. We expect
the compiler to align the section properly. But if it didn't align it, applying
alignment after the fact would just cause our pointer to point to the middle
of the structure. That'd be even worse than a misaligned pointer.

Similarly, when doing pointer arithmetic, p++ should really result in a value
with the appropriate alignment. This is the basic principle of C pointer
addition. So we really shouldn't try to adjust the pointer ourselves. At most,
we can assert that it is indeed aligned in tests.

dhcp-packet: drop unused dhcp_packet_verify_headers()

sd-dhcp-lease: drop several more unused functions and conditions

sd-dhcp-lease: drop unused dhcp_lease_save() and dhcp_lease_load()

They are not used anymore. Let's kill them.

network: drop serialization of DHCP lease

No one use it now anymore. Let's drop it.

networkctl: always use DHCP message serialized in JSON desciption

Now the interface description by networkd always contains DHCP message
(of course when there is a bound DHCP lease). Let's use it.

network: drop unmet conditions

Now sd_dhcp_lease object always wraps sd_dhcp_message object, hence we
can unconditionally use it.

sd-dhcp-client: use new message parser (#42123)

In 26b7c5ff3b944aa3a16d4e859e9c84ce7e968a5a, we introduced a new parser
for received DHCP message, but it was not used at that time. This PR
replaces the legacy parser with the new one, and makes the fuzzer also
use the new parser.

Convert machinectl to option and verb macros (#42117)

machinectl: convert to OPTION and VERB macros

For the shell verb we want switches specified after the program name to
be passed to the program to execute, not processed by us. Mirror the
approach in 'userdbctl ssh-authorized-keys': start with
OPTION_PARSER_RETURN_POSITIONAL_ARGS, then lates switch to
STOP_AT_FIRST_NONOPTION for "shell" or NORMAL otherwise.

VERB declarations are placed directly above each function; functions
that dispatch multiple verb names get stacked VERB() declarations.
chainload_importctl() now takes the args strv instead of relying on the
global optind.

--help output is mostly the same.
--no-pager/--no-legend/--no-ask-password/-q/--quiet are now at the end.
bind-volume/unbind-volume are documented.

Fixes c9f461a8067996c6b0c3ac3bf6f9097aedbf4734.

Co-developed-by: Claude Opus 4.7 (1M context) <noreply@anthropic.com>

shared/verbs: add VERB_DEFAULT_NOARG

sd-dhcp-client: do not trigger assertion when running on interface with small MTU

This also drops spurious default value. If mtu is unset, now the correct
default value is set in client_new_message() in dhcp-client-send.c.

sd-dhcp-client: drop unnecessary T1/T2 adjustment logic

It is already done in client_parse_ack() -> dhcp_lease_new_from_message().

sd-dhcp-lease: drop unused dhcp_lease_unref_and_replace()

sd-dhcp-client: use dhcp_client_parse_message()

This also unify two IO event source handlers.

fuzz-dhcp-client: fuzz dhcp_client_parse_message()

Also, if the fuzzing engine provides a valid message, then try to build
json variant and UDP payload from the parsed message. We will drop
dhcp_lease_save() and dhcp_lease_load(), hence the tests for them are
dropped.

socket-util: extend the buffer in sockaddr_union to make it consistent with hw_addr_data

Concerned by Claude:
https://github.com/systemd/systemd/pull/42119#discussion_r3251133516

dhcp-message: introduce dhcp_message_send_{udp,raw}()

network: preparation for using serialized DHCP message in Describe() method (#42122)

po: Translated using Weblate (Spanish)

Currently translated at 100.0% (266 of 266 strings)

Co-authored-by: Fco. Javier F. Serrador <fserrador@gmail.com>
Translate-URL: https://translate.fedoraproject.org/projects/systemd/main/es/
Translation: systemd/main

Revert "shared/pager: add support for more(1) pager in secure mode"

udev,sd-device: drop old database support (#40801)

Closes #40776.

networkctl: load information about DHCP client from varlink

By the previous commit, networkd now exposes the received DHCP message
in the Descibe() DBus/Varlink method. Let's make networkctl deserialize
the DHCP message and use it where necessary.

network: append DHCP message in json output

Also, get private options from sd_dhcp_message object if sd_dhcp_lease
has it.

With this change, networkctl will be able to use the serialized DHCP
message object. Preparation for later changes.

sd-dhcp-lease: introduce dhcp_client_parse_message()

It parses a received DHCP message and create corresponding sd_dhcp_lease
object for the message. Internally, it uses sd_dhcp_message object.

Note, the new parser is not used yet. The currently used one will be
replaced in later commit.

dhcp-client-send: introduce dhcp_client_send_message()

This internally uses sd_dhcp_message object, and replaces functions
for creating and sending DHCP messages.

By using sd_dhcp_message internally, now we can correctly send long
(> 255 bytes) option data that cannot be fit in a single DHCP option TLV.

This also fixes the value in DHCP option 57 (Maximum Message Size).
Previously the IP and UDP header size is subtracted from the interface
MTU, but it should not.

Except for the above, this should not change any effective behaviors.

varlink: MethodNotImplemented: drop extraneous dot;  vl_error_MethodNotFound: an method  (#42112)

test-network: retry networkctl status in wait_operstate()

networkctl status may transiently fail right after start_networkd() because networkd has not yet picked up the freshly-created link from the kernel. The retry loop in wait_operstate() did not catch the resulting subprocess.CalledProcessError, so the test aborted on the first attempt instead of retrying for the configured timeout.

Observed in TEST-85-NETWORK-NetworkdBridgeTests, subtest test_bridge_configure_without_carrier[no-slave]:

  [   19.600156] systemd-networkd-tests.py[526]: Failed to issue io.systemd.Network.Link.Describe() varlink call: Invalid argument
  [   53.124982] systemd[1]: systemd-networkd.service: Changed start -> running
  [   53.336167] systemd-networkd-tests.py[526]: ERROR: test_bridge_configure_without_carrier (__main__.NetworkdBridgeTests.test_bridge_configure_without_carrier) (test='no-slave')
  [   53.336167] systemd-networkd-tests.py[526]:     self.wait_operstate('bridge99', operstate=r'(no-carrier|routable)', setup_state=None, setup_timeout=30)
  [   53.336167] systemd-networkd-tests.py[526]: subprocess.CalledProcessError: Command '['/usr/bin/networkctl', '-n', '0', 'status', 'bridge99']' returned non-zero exit status 1.

Co-developed-by: Claude Opus 4.7 <noreply@anthropic.com>

meson: Drop two unnecessary dependencies

meson: drop vestigial libgpg-error dependency

libgpg-error was added in 2017 (commit 76c8741060, Michael Biebl) to
gate HAVE_GCRYPT on its presence because src/resolve referenced
libgpg-error directly at the time. That usage is long gone — no source
file references any gpg-error API today — so the dependency only served
to fail HAVE_GCRYPT detection when gpg-error-dev wasn't installed.

libgcrypt's pkg-config Requires already pulls in the gpg-error headers
(via the transitive #include <gpg-error.h> in <gcrypt.h>), so dropping
the dep doesn't break compilation.

machinectl: reorder cases in parse_argv() to match order in --help

--no-pager, --no-legend, --no-ask-password, --quiet are shifted to
the end.

Co-developed-by: Claude Opus 4.7 (1M context) <noreply@anthropic.com>

machinectl: reorder verb functions to match --help

The net diff is negative because some spurious whitespace and forward
declarations were dropped. One new forward declaration was added. (For
verb_poweroff_machine. The func could be moved, but I think it's better
to keep it adjacent to verb_reboot_machine which is very similar.)

nsresourced: detect and clean up registry entries for dead user namespaces (#42070)

The BPF kprobe that fires on user namespace destruction is the only
thing
that triggers registry cleanup, so any time it doesn't run — ring buffer
overflow, kprobe missing, fdstore entry dropped outside our cleanup path
— a registry entry is left behind forever.

Stamp each registry entry with the kernel's unique namespace identifier
(NS_GET_ID, kernel ≥ 6.13) at allocation time. At manager startup, after
the existing fdstore→registry sweep, walk the registry and ask the
kernel
to look each namespace up by id via open_by_handle_at() on nsfs; if the
lookup returns -ESTALE the namespace is gone and we release the entry.
Old entries written before this change carry no identifier and are left
alone.

Add a namespace_open_by_id() helper for the lookup. The kernel restricts
open_by_handle_at() on nsfs to processes in the initial user namespace,
collapsing both permission denials and dead namespaces onto -ESTALE; the
helper refuses early with -EPERM outside the initial user namespace
so callers can tell the two apart.

Convert homectl to option and verb macros (#42113)

shell-completion: add --when to systemctl

Fixes https://github.com/systemd/systemd/issues/41672

nsresourced: detect and clean up registry entries for dead user namespaces

The BPF kprobe that fires on user namespace destruction is the only thing
that triggers registry cleanup, so any time it doesn't run — ring buffer
overflow, kprobe missing, fdstore entry dropped outside our cleanup path
— a registry entry is left behind forever.

Stamp each registry entry with the kernel's unique namespace identifier
(NS_GET_ID, kernel ≥ 6.13) at allocation time. At manager startup, after
the existing fdstore→registry sweep, walk the registry and ask the kernel
to look each namespace up by id via open_by_handle_at() on nsfs; if the
lookup returns -ESTALE the namespace is gone and we release the entry.
Old entries written before this change carry no identifier and are left
alone.

Add a namespace_open_by_id() helper for the lookup. The kernel restricts
open_by_handle_at() on nsfs to processes in the initial user namespace,
collapsing both permission denials and dead namespaces onto -ESTALE; the
helper refuses early with -EHOSTDOWN outside the initial user namespace
so callers can tell the two apart.

homectl: fix unlocking of multiple homes

Fixes 4aa0a8ac3e548219d380a0c566242338eab185da.

homectl: convert verbs to VERB macros

--help looks pretty much the same. "[list]" is shown in parentheses
because it's the default.

Co-developed-by: Claude Opus 4.7 (1M context) <noreply@anthropic.com>

homectl: convert parse_argv to OPTION macros

Rewrite help() with help-util.h primitives + option_parser_get_help_table_group
for each User Record Properties section. The verbs[] table stays
unchanged for now; run() switches from dispatch_verb() (which depended
on the global optind) to _dispatch_verb_with_args() fed by
option_parser_get_args().

Explanations are improved for --birth-date[=DATE] (correct placement of
'['), --skel=, --shell= (short options listed). Some minor rewordings
for other options. The explanation for -E and -EE is split.
(OPTION_HELP_ENTRY_VERBATIM is used for -EE.)

Co-developed-by: Claude Opus 4.7 (1M context) <noreply@anthropic.com>

shared/options: fix display of OPTION_HELP_ENTRY_VERBATIM

So far it was used only once, in bootctl. It should not be indented:
  -R --print-root-device
  -RR
  ^

homectl: reorder cases in parse_argv() to match order in --help

Display options --no-pager, --no-legend, --no-ask-password are placed at
the end, after --mute-console=yes, rather than near the top.

Co-developed-by: Claude Opus 4.7 (1M context) <noreply@anthropic.com>

homectl: reorder verb functions to match order in --help

Just a hand-crafted moving of blocks of code up and down, no other
changes. The net diff is -2 because add_signing_keys_from_credentials
forward declaration was dropped.

varlink: vl_error_MethodNotFound: an method

varlink: MethodNotImplemented: drop extraneous dot