kmod: Don't assume all modules are in kernel/ subdirectory

When dkms is used or depending on the distribution, there might be modules
in other directories than kernel/.

kmod: Simplify resolve_module_dependencies() slightly

ci: Use pcid=off with qemu instead of disabling secure boot

This allows us to boot with secure boot again until the Hyper-V bug
is fixed that causes KVM to crash.

We also switch back to using 2Gs of ram by default as a second Hyper-V
bug prevents us from using any more on Github Actions.

Simplify gen_required_kernel_modules()

- Make sure we yield paths in sorted order
- Use yield from more
- Replace parents_relative_to() with a simpler solution

Merge pull request #2523 from DaanDeMeyer/kmod

Only add directories with modules in them to the kmods initrd

mkosi-initrd: Tighten up kernel module regexes

The previous ones matched more than than the modules we wanted, so
let's make sure we only match the ones we want.

Remove unneeded directories as well in process_kernel_modules()

Only add directories with modules in them to the kmods initrd

Default to UTC timezone if we can't figure out the local one

Merge pull request #2521 from septatrix/fix/include-firmware

Fix erroneous negation leading to omitted firmware files

Fix inclusion of firmware files

Add .venv to gitignore

Merge pull request #2518 from DaanDeMeyer/hypervisor

Introduce VirtualMachineMonitor= and various cleanups

Switch to debian unstable temporarily in default image and tests

pacman got removed from Debian Testing, so let's use unstable until
it's added back.

Hard code cache directory in test framework

Add ToolsTreeDistribution= match

mkosi-initrd: Merge libtss configs again

Removing the Suggests on the old name from systemd in Debian Testing
seems to have fixed the apt error we were getting before.

Check whether ukify is available in want_uki()

Fix missing tss libraries on OpenSUSE

qemu: Set vmm.notify_socket credential even if SMBIOS is not supported

Let's apply the same credential passing logic to vmm.notify_socket that
we apply to all other credentials. Use SMBIOS if available and fall back
to fw_cfg and kernel command line otherwise.

qemu: Use -no-user-config option

We want full control over the qemu command line, so let's make sure
qemu doesn't look up any user config files.

qemu: Introduce generate_scratch_fs()

qemu: Introduce finalize_drive()

vmspawn: Drop unnecessary exists check

config.qemu_kernel is verified to exist at config parsing time
already;

vmspawn: Inline variable

Move condition check into copy_ephemeral()

Introduce apply_runtime_size()

Store cpus and memory as integers

Remove vmspawn verb in favor of VirtualMachineMonitor= setting

Instead of adding a new verb for each new virtual machine monitor  we
want to support, let's configure the vmm to use with a new setting. As
vmspawn is still experimental we don't need to keep backwards compat
intact in this case.

Add link to new blog about mkosi

Merge pull request #2516 from DaanDeMeyer/virtiofsd

Virtiofsd fixes

Merge pull request #2513 from DaanDeMeyer/mounts

Always mount context.root to /buildroot

Fix kernel module glob

When dkms modules are installed there will be .ko modules in directories
other than "kernel" so make sure we only look for modules in the "kernel"
directory.

Always mount context.root to /buildroot

Let's leak fewer host specific details into the sandbox by always
mounting the image root directory to /buildroot in the sandbox. This
also simplifies debugging as the image rootfs will always be at /rootfs
instead of in some host specific path.

Add more logging when we don't reuse cached images

Force virtiofsd to use inode-handles when running as root

When running as root virtiofsd should have all it needs to use
file handles which reduces the chance of running out of file descriptors,
so make sure it uses them when running as root.

Enable --cache=always for virtiofsd

According to the documentation, this can be enabled when virtiofsd
has exclusive access to the directory, which is the case for us so
let's enable this.

apt: Drop duplicate option

This was leftover from earlier times. Let's make sure the first
Dir::Log option we set actually takes effect.

Merge pull request #2511 from DaanDeMeyer/mounts

Filter and sort all mounts in sandbox_cmd()

Filter and sort all mounts in sandbox_cmd()

We don't want users of sandbox_cmd() to have to care about mount
ordering. Currently, if mounts with a more general destination are
ordered after mounts with a more specific destination, the earlier
mount is hidden by the later mount. By sorting by destination, we
avoid this issue.

Introduce Mount named tuple to pass mounts to sandbox_cmd()

No change in behavior, but this will allow us to post-process mounts
in sandbox_cmd() in later commits.

Check sync scripts are executable in run_sync()

check_inputs() is only invoked after sync scripts have already run,
so do the check in run_sync() instead.

Merge pull request #2510 from DaanDeMeyer/microcode

Microcode improvements

Build microcode initrd for ESP and UKI images in save_uki_components()

Otherwise the necessary files might have already been removed from
the rootfs.

Don't remove microcode files in process_kernel_modules()

These are somewhat special so let's not remove them in
process_kernel_modules().

kmod: Simplify

Both m and fw are already absolute paths to within the root.

Merge pull request #2508 from CodethinkLabs/richardmaw/shared-build-machine-fixes

Misc fixes for running mkosi as root on a shared build machines

Restore all of a user's groups when running sync

Shared development hardware often has storage partitioned up by project
groups, with the root of the shared storage owned by root:project.

Since this group isn't the primary group of the user
using setgroups and restoring groups to just the user's primary gid
will mean that it does not have this project group gid
and so won't be able to see the contents of this shared directory.

Using getgrouplist to get all of the groups from the user database
allows these additional groups to be set.

Reorder ExtraSearchPaths mounts before options

When not running in a tools tree the extra search paths are
read-only bind-mounted into the sandbox.

Files are initially created in the workspace tree but then moved
into the output directory after they are complete.

If the directories are on different devices the rename syscall
falls back to a copy then delete.

It is not unusual to have a single build output directory
and you might potentially want your mkosi output directory in there.

If you are adding ExtraSearchPaths to use just-built executables
then this probably points to your `build/` directory.

If search paths are bind-mounted in read-only after the copy command's
sandboxing options, then this generates a command-line with options:
`--bind build/mkosi.output build/mkosi.output ... --bind-ro build build`
which means that the output directory is not writable.

Ordering the sandbox's own mount arguments before the command's options
should ensure the read-only search paths mount doesn't inferfere with
the command's writable bind-mounts.

Merge pull request #2507 from DaanDeMeyer/flock

Be more careful about concurrent access to outputs

Introduce flock_or_die() and use it in various places

Let's avoid weird error cases caused by two instances of mkosi trying
to currently do stuff with the same output by taking a BSD lock when
trying to do something with the output.

Introduce lock_repository_metadata()

Add flags argument to flock()

Release 22

Update NEWS

Set $PROFILE to the current profile

Merge pull request #2487 from behrmann/cisection

ci: print group section lines for GitHub workflow

ci: print group section lines for GitHub workflow

Partially fixes: #2361

arch: install dbus-broker and dbus-broker-units explicitly

dbus and dbus-units have been split in Arch recently. Currently everything
seems to be pulled in CI, let's see whether we can get this down to just
dbus-broker.

ci: Remove btrfs logic

Doesn't seem to noticeably speed things up.

Merge pull request #2499 from DaanDeMeyer/async-rm

ci: Free up disk space asynchronously

ci: Btrfs mount option tuning

Let's choose the lowest compression level so as to not impact CPU
usage too much. Use noatime as it's generally a straight speed boost
and make sure some new btrfs features are enabled (should already
be enabled but never hurts to be sure).

ci: Free up disk space asynchronously

Free-ing up disk space can take up to 8 minutes so let's make sure
we do it asynchronously since we don't need the free space immediately.

Merge pull request #2497 from DaanDeMeyer/btrfs

Use btrfs in CI

ci: Do all work on a btrfs filesystem

Let's make sure we take advantage of our COW and subvolume support
in CI by doing all work in a btrfs filesystem. Additionally enable
compression and user subvolume deletes on the btrfs filesystem to
speed things up even more.

Always create directories as invoking user if not invoked as root

We don't want to leak the subuids into the system, so make sure any
directories created by INVOKING_USER.mkdir() are always created as
the invoking user if we're not invoked as root.

Fix double whitespace

Optimize rmtree() for btrfs subvolumes

Try "btrfs subvolume delete" on subvolumes and fall back to a regular
delete since it will fail for unprivileged users without the
user_subvol_rm_allowed mount option.

Optimize is_subvolume()

Try the condition that doesn't need a subprocess to run first.

Use KVM when running an x86 image on x86_64

ci: Enable KVM

Since https://github.blog/2024-01-17-github-hosted-runners-double-the-power-for-open-source/,
it seems that KVM has started working, so let's make sure we take
advantage of it to speed up CI.

Merge pull request #2492 from DaanDeMeyer/timeout

Extend timeout of systemd-machine-id-commit.service to 90s

Run sync scripts in strict sandbox again

We can't use a relaxed sandbox as we need to be able to mount the
directories containing certificates and keys from the tools tree
(finalize_crypto_mounts()) which will fail with permission errors
in a relaxed sandbox if the required mountpoints do not already
exist in the host filesystem.

So let's switch back to a strict sandbox, except that we now always
run as root in the strict sandbox so the overlay mount for /usr from
the package manager tree won't fail anymore.

Partial revert of 9dd49ad22944bdb90a748d5b35d138ed1ce0ae2a

Extend timeout of systemd-machine-id-commit.service to 90s

Should hopefully reduce the number of CI failures.
See https://github.com/systemd/systemd/pull/31750

Remove mkosi.extra from .gitignore

It's way to complicated to include files in an excluded directory so
let's simply not exclude it.

Fix typing error

We drop the special logic for TERM since we do **env later which
will make sure any value for TERM from env overrides the default
value we pick.

Merge pull request #2478 from DaanDeMeyer/shim

Boot improvements

Rework QemuFirmware=

- Use the qemu official firmware descriptions to look up OVMF
  firmware instead of having our own homegrown logic.
- Add QemuFirmware=uefi-secure-boot to explicitly look for firmware
  with secure boot support
- Add QemuFirmwareVariables=microsoft to use OVMF variables with
  Microsoft keys enrolled
- Add QemuFirmwareVariables=custom to enroll the certificate from
  SecureBootCertificate= into the OVMF variables

This commit also contains the changes from a second commit that
was accidentally rebased into this one:

Only use already signed binaries when ShimBootloader=signed

When we're using signed shim, we need to make sure we use already
signed bootloaders, kernel images and UKIs. Anything we sign ourselves
will cause security violations in shim.

Don't log sandbox for every command

This is excessively verbose. Let's instead log only the command
we're executing but still log the full sandbox if a command fails.

Pass custom environment to other verbs as well

Let's use both the host environment and the custom env variables,
and let the custom env variables override the host ones.

Check for TERM=unknown and set TERM=dumb if not on tty

in CI, TERM is set to "unknown" so let's check for that and translate
it to "dumb" if we're not on a tty which systemd checks for when it
decides whether to enable logging or not. Also set TERM itself on
the kernel command line which is another thing parsed by systemd to check
whether to log colors or not. Finally, make sure we set "TERM" correctly
in our own environment that is passed to scripts

Use sandbox for cp --version

So that we detect the correct version.

Simplify chroot_cmd()

Reduce number of mounts in rmtree()

Make sure we mount each parent directory only once.

Drop --verbose from grub tools if --debug is specified

This makes grub tools incredibly noisy so let's drop it given
this has been working smoothly for a while now.

Stop setting SYSTEMD_LOG_LEVEL=debug when --debug is specified

This is generally too noisy (tmpfiles, sysusers and presets especially).
Let's not imply it when using --debug.

Disable SELinux relabeling by default for default image

Sometimes selinux-policy gets pulled in as a dependency, causing
SELinux relabels even though we don't care about SELinux at all in
the general case, so let's by default not relabel anything.

Streamline test logging

Let's get rid of the status messages in favor of logging the journal
itself to the console. Let's also make sure we get info messages on
the console from the journal. Finally, make the kernel log at INFO
level instead of the default WARNING.

Skip UKI/ESP/CPIO format boot for all distributions

We need to write a separate test with a minimal image for these as
these images have to fit into memory.

Catch ENODEV as well when checking if a device is available

This triggers on kernel updates on Arch without rebooting first so
let's make sure we handle it as well.

Use --close with flock and drop --no-fork

Let's make sure only flock holds the lock and it's not inherited by
the child process it spawns. This fixes an SELinux denial on some
systems.

Don't remount /usr read-only if the output dir is inside of it

Because some build systems use output directories in /usr, let's only remount
/usr read-only if the output directory is not relative to it.

Fix --local-mirror mounting

This can be specified as a URI, let's make sure we handle that
properly.

Only mount /etc/resolv.conf if it actually exists

Handle symlink explicitly in finalize_staging()

move_tree() doesn't handle symlinks so add some special casing for
the symlink we create in the staging directory.

Fixes #2479

Merge pull request #2477 from DaanDeMeyer/fix

Run sync scripts in relaxed sandbox without package manager trees

Run sync scripts in relaxed sandbox without package manager trees

Sync scripts run as the invoking user in the sandbox, which means
that they're not able to mount an overlayfs over /usr in the sandbox
to overlay extra files from package manager trees.

To circumvent the issue, let's run sync scripts in a relaxed sandbox
without package manager trees, which shouldn't be crucial to have
when running sync scripts.

Always run as root in Context sandbox

If there's files in /usr in the package manager tree, we need to
be running as root to mount an overlayfs on top of /usr so make
sure we are always root in the Context sandbox.

Merge pull request #2476 from DaanDeMeyer/grub

Add grub for EFI support

Add grub for EFI support

We also rework the grub setup to not copy the grub modules into the
ESP anymore. We do this as grub for EFI booted in secure boot mode
does not load any unsigned modules for security reasons so we opt
to include all necessary modules into the grub image itself.