Merge pull request #12366 from lkundrak/lr/olpc-xo-175-keyboard

Add support for OLPC XO-1.75 keyboard

Merge pull request #12367 from keszybz/accept-check

Put a limit on the loop to flush connections

semaphore: merge semaphore scripts to avoid code duplication (#12365)

Merge pull request #12320 from mrc0mmand/tweak-start-timeout-in-TEST-16-EXTEND-TIMEOUT

test: don't timeout while waiting for other test units

basic/socket-util: put a limit on the loop to flush connections

Follow-up for #12346.

hwdb: Fix the key codes of the OLPC XO button pad

These are not on a key pad. These codes are sent by the "rocker" buttons
that resemble a game pad.

hwdb: Fix the OLPC XO rotate key

The comment is incorrect -- this key code is sent by the rotate button,
the brightness keys are separate.

hwdb: No LEDs on the OLPC XO keyboard

hwdb: Make the OLPC XO rules also match XO-1.75

Uses the same keyboard, attached to the "Security Processor" P1J core
that bit-bangs the PS/2 keyboard protocol.

basic/socket-util: fix typo and reword comment

Comment bike-shedding might be the ultimate form of procrastination, but
I can't stop myself. :)

Merge pull request #12346 from poettering/accept-flush

socket-util: make sure accept_flush() doesn't hang on EOPNOTSUPP

catalog: update Polish translation

udev: net_id: introduce predictable names for netdevsim

In order to properly and predictably name netdevsim netdevices,
introduce a separate implementation, as the netdevices reside on a
specific netdevsim bus. Note that this applies only to netdevsim devices
created using sysfs, because those expose phys_port_name attribute.

Signed-off-by: Jiri Pirko <jiri@mellanox.com>

udev-rules: add udmabuf to kvm group

It will have the default 0660 mode.

Fixes: #12283
Signed-off-by: Marc-André Lureau <marcandre.lureau@redhat.com>

Merge pull request #12336 from anitazha/disablecontroller

core: support DisableControllers= for transient units

core: support DisableControllers= for transient units

udev: whitespace fix

test: add test for flush_accept()

Fixes: #12335

socket-util: make sure flush_accept() doesn't hang on unexpected EOPNOTSUPP

So apparently there are two reasons why accept() can return EOPNOTSUPP:
because the socket is not a listening stream socket (or similar), or
because the incoming TCP connection for some reason wasn't acceptable to
the host. THe latter should be a transient error, as suggested on
accept(2). The former however should be considered fatal for
flush_accept(). Let's fix this by explicitly checking whether the socket
is a listening socket beforehand.

bootspec: fix build when EFI support is disabled

Follow-up for ce4c4f810876b2d6e50041c8bbe089e8a9e2576e.

linux: import if_ether.h from kernel-5.0

kernel-4.15's if_ether.h has a bug that the header does not provide
'struct ethhdr'. The bug is introduced by
6926e041a8920c8ec27e4e155efa760aa01551fd (4.15-rc8)
and fixed by da360299b6734135a5f66d7db458dcc7801c826a (4.16-rc3).

This makes systemd built with kernel-4.15 headers.

Fixes #12319.

hwdb: Add Medion Akoya E3216 MD60900 (#12323)

Fixes: #12312

test: don't timeout while waiting for other test units

The main testsuite service timeouts sporadically when waiting for
other testsuite-* units. As the test timeout is handled by
the "test executor" (test.sh), let's disable it for the service.

This should (hopefully) fix the test flakiness.

Merge pull request #12305 from yuwata/import-more-headers-from-kernel-5-0

linux: import more headers from kernel-5.0

Merge pull request #12301 from keszybz/silence-alignment-warning

Silence alignment warning

Merge pull request #12311 from yuwata/timeout_abort_set-change-bool

core: several follow-ups for timeout PR #11211

Check for final assignments in RUN keys (#12309)

As described in #12291

basic/fileio: Fix memory leak if READ_FULL_FILE_SECURE flag is used

The memory leak introduced in #12223 (15f8f02)

Document (final) assignment on the RUN (#12310)

As described in #12291, final assignments and assignments are clearing both command types.

core: do not show TimeoutStopSec= in dump message if it is not set

core: add assertion in two inline functions

core: use BUS_DEFINE_PROPERTY_GET() macro at more places

core: change type of Service::timeout_abort_set to bool

Follow-up for dc653bf487bae9d1ddf794442bf4176fee173b41 (#11211).

linux: also import l2tp.h from kernel-5.0

The L2TP_ATTR_UDP_ZERO_CSUM6_{TX,RX} attributes are introduced by
6b649feafe10b293f4bd5a74aca95faf625ae525, which is included in
kernel-3.16. To support older kernel, let's import the header.

Fixes #12300.

linux: also import linux/in.h and in6.h from kernel-5.0

Now linux/in.h has better conflict detection with glibc's
netinet/in.h. So, let's import the headers.

Note that our code already have many workarounds for the conflict,
but in this commit does not drop them. Let's do that in the later
commits if this really helps.

linux: move netdevice.h from shared/linux to basic/linux

As the header linux/if_arp.h includes linux/netdevice.h.

Merge pull request #12288 from yuwata/resolve-bond-rafactoring

resolve,network: tiny cleanups

tmpfiles: split tmp.conf out

tmp.conf was dealing with 2 different kind of paths: one dealing with general
temporary paths such as /var/tmp and /tmp and the other one dealing with
temporary directories owned by systemd.

If for example a user wants to adjust the age argument of the general paths
only, he had to overload the whole file which is cumbersome and error prone
since any future changes in tmp.conf shipped by systemd will be lost.

So this patch splits out tmp.conf so the systemd directories are dealt
separately in a dedicated conf file. It's named "systemd-tmp.conf" based on the
naming recommendation made in tmpfiles.d man page.

In practice it shouldn't cause any regression since it's very unlikely that
users override paths owned by systemd.

nspawn: Fix volatile SELinux label

nspawn should associate the specified nspawn container apifs object label instead of the nspawn container process label with the volatile tmpfs

sd-netlink: align table

network: avoid warning about unaligned pointers

With gcc-9.0.1-0.10.fc30.x86_64:
../src/network/netdev/macsec.c: In function ‘config_parse_macsec_port’:
../src/network/netdev/macsec.c:584:24: warning: taking address of packed member of ‘struct <anonymous>’ may result in an unaligned pointer value [-Waddress-of-packed-member]
  584 |                 dest = &c->sci.port;
      |                        ^~~~~~~~~~~~
../src/network/netdev/macsec.c:592:24: warning: taking address of packed member of ‘struct <anonymous>’ may result in an unaligned pointer value [-Waddress-of-packed-member]
  592 |                 dest = &b->sci.port;
      |                        ^~~~~~~~~~~~

(The alignment was probably OK, but it's nicer to avoid the warning anyway.)

Merge pull request #12296 from poettering/coding-style-sections

split CODING_STYLE document into multiple thematic sections

Merge pull request #12290 from poettering/json-foreach-love

some small JSON foreach macro love

Merge pull request #12293 from poettering/tiny-journal-modernizations

four simple journal modernizations

network: re-indent conf parser and wrap long lines in bond.c

network: use OrderedSet for bond ARP ip targets

ordered-set: add missing ordered_set_size()

network: drop allocation for Bond::ad_actor_system

network: drop bond_mode_to_kernel() and bond_xmit_hash_policy_to_kernel()

arp-util: use net/ethernet.h instead of netinet/if_ether.h

The header net/ethernet.h is used at all other places where
'struct ether_addr' is required.

resolve: use log_link_*() macro

resolve: rename Link.name -> Link.ifname

This also changes the type from char[IF_NAMESIZE] to char*.
By changing the type, now resolved-link.h can drop the dependency to
the header net/if.h.

service: handle abort stops with dedicated timeout

When shooting down a service with SIGABRT the user might want to have a
much longer stop timeout than on regular stops/shutdowns. Especially in
the face of short stop timeouts the time might not be sufficient to
write huge core dumps before the service is killed.

This commit adds a dedicated (Default)TimeoutAbortSec= timer that is
used when stopping a service via SIGABRT. In all other cases the
existing TimeoutStopSec= is used. The timer value is unset by default
to skip the special handling and use TimeoutStopSec= for state
'stop-watchdog' to keep the old behaviour.

If the service is in state 'stop-watchdog' and the service should be
stopped explicitly we still go to 'stop-sigterm' and re-apply the usual
TimeoutStopSec= timeout.

code style format: clang-format applied to src/a*/*

[zj: this is a subset of changes generated by clang-format, just the ones
  I think improve readability or consistency.]

This is a part of https://github.com/systemd/systemd/pull/11811.

cgroup: Implement default propagation of MemoryLow with DefaultMemoryLow

In cgroup v2 we have protection tunables -- currently MemoryLow and
MemoryMin (there will be more in future for other resources, too). The
design of these protection tunables requires not only intermediate
cgroups to propagate protections, but also the units at the leaf of that
resource's operation to accept it (by setting MemoryLow or MemoryMin).

This makes sense from an low-level API design perspective, but it's a
good idea to also have a higher-level abstraction that can, by default,
propagate these resources to children recursively. In this patch, this
happens by having descendants set memory.low to N if their ancestor has
DefaultMemoryLow=N -- assuming they don't set a separate MemoryLow
value.

Any affected unit can opt out of this propagation by manually setting
`MemoryLow` to some value in its unit configuration. A unit can also
stop further propagation by setting `DefaultMemoryLow=` with no
argument. This removes further propagation in the subtree, but has no
effect on the unit itself (for that, use `MemoryLow=0`).

Our use case in production is simplifying the configuration of machines
which heavily rely on memory protection tunables, but currently require
tweaking a huge number of unit files to make that a reality. This
directive makes that significantly less fragile, and decreases the risk
of misconfiguration.

After this patch is merged, I will implement DefaultMemoryMin= using the
same principles.

CODING_STYLE: rename "Others" section to "Code Organization and Semantics"

This is a bit of a grabbag, but it's the best I could come up with
without having lots of single-item sections.

CODING_STYLE: split out section about runtime behaviour

CODING_STYLE: add section about C constructs use

CODING_STYLE: split out section about deadlocks

CODING_STYLE: split out section about logging

CODING_STYLE: export section about exporting symbols

CODING_STYLE: split out section about destructors

CODING_STYLE: split out section about command line parsing

CODING_STYLE: Split out section about error handling

CODING_STYLE: split out section about commiting to git

CODING_STYLE: split out section about file descriptors

CODING_STYLE: split out section about memory allocations

CODING_STYLE: move out section about Types

CODING_STYLE: add section about how to reference specific concepts

CODING_STYLE: split out bits about Formatting into its own section

(And, for now, add a section "Other" to separate the rest of the stuff)

CODING_STYLE: add a section about functions not to use

Let's add sections to the document. First off, let's add one about
functions not to use.

journald: modernize config_parse_compress() a bit

journald: rebreak a few comments

journald: no need to check ptr for non-NULL before _unref(), as function does that anyway

journald: use structure initialization

Merge pull request #12222 from yuwata/macsec

network: introduce MACsec

Merge pull request #12217 from keszybz/unlocked-operations

Refactor how we do unlocked file operations

json: be more careful when iterating through a JSON object/array

Let's exit the loop early in case the variant is not actually an object
or array. This is safer since otherwise we might end up iterating
through these variants and access fields that aren't of the type we
expect them to be and then bad things happen.

Of course, this doesn't absolve uses of these macros to check the type
of the variant explicitly beforehand, but it makes it less bad if they
forget to do so.

json: simplify JSON_VARIANT_OBJECT_FOREACH() macro a bit

There's no point in returning the "key" within each loop iteration as
JsonVariant object. Let's simplify things and return it as string. That
simplifies usage (since the caller doesn't have to convert the object to
the string anymore) and is safe since we already validate that keys are
strings when an object JsonVariant is allocated.

Merge pull request #12289 from poettering/news-pid-max

NEWS: explain the kernel.pid_max sysctl change

NEWS: document kernel.pid_max change

NEWS: fix typo

Add fmemopen_unlocked() and use unlocked ops in fuzzers and some other tests

This might make things marginially faster. I didn't benchmark though.

Add open_memstream_unlocked() wrapper

core/smack-setup: add helper function for openat+fdopen

Unlocked operations are used in all three places. I don't see why just one was
special.

This also improves logging, since we don't just log the final component of the
path, but the full name.

Add fdopen_unlocked() wrapper

Make fopen_temporary and fopen_temporary_label unlocked

This is partially a refactoring, but also makes many more places use
unlocked operations implicitly, i.e. all users of fopen_temporary().
AFAICT, the uses are always for short-lived files which are not shared
externally, and are just used within the same context. Locking is not
necessary.

Add fopen_unlocked() wrapper

Merge pull request #12221 from keszybz/test-cleanups

Script indentation cleanups

Merge pull request #12287 from keszybz/patches-for-coverity-warnings

Patches for coverity warnings

seccomp: check more error codes from seccomp_load()

We noticed in our tests that occasionally SystemCallFilter= would
fail to set and the service would run with no syscall filtering.
Most of the time the same tests would apply the filter and fail
the service as expected. While it's not totally clear why this happens,
we noticed seccomp_load() in the systemd code base would fail open for
all errors except EPERM and EACCES.

ENOMEM, EINVAL, and EFAULT seem like reasonable values to add to the
error set based on what I gather from libseccomp code and man pages:

-ENOMEM: out of memory, failed to allocate space for a libseccomp structure, or would exceed a defined constant
-EINVAL: kernel isn't configured to support the operations, args are invalid (to seccomp_load(), seccomp(), or prctl())
-EFAULT: addresses passed as args are invalid

core: vodify one more call to mkdir

CID #1400460.

test-exec-util: do not call setenv with NULL arg

The comment explains that $PATH might not be set in certain circumstances and
takes steps to handle this case. If we do that, let's assume that $PATH indeed
might be unset and not call setenv("PATH", NULL, 1). It is not clear from the
man page if that is allowed.

CID #1400497.

test-env-util: allow $PATH to be unset

Coverity was unhappy, because it doesn't know that $PATH is pretty much always
set. But let's not assume that in the test. CID #1400496.

$ (unset PATH; build/test-env-util)
[1]    31658 segmentation fault (core dumped)  ( unset PATH; build/test-env-util; )

CODING_STYLE: adjust indentation rules, and add note about config loading

shell-completion/zsh: add -*type*- headers

Since there's no file extension, emacs and other editors do not know that this is
supposed to be in shell syntax.

shell-completion: use 4 space indentation too

The same as in other places, indentation levels were all over the place.

scripts: use 4 space indentation

We had all kinds of indentation: 2 sp, 3 sp, 4 sp, 8 sp, and mixed.
4 sp was the most common, in particular the majority of scripts under test/
used that. Let's standarize on 4 sp, because many commandlines are long and
there's a lot of nesting, and with 8sp indentation less stuff fits. 4 sp
also seems to be the default indentation, so this will make it less likely
that people will mess up if they don't load the editor config. (I think people
often use vi, and vi has no support to load project-wide configuration
automatically. We distribute a .vimrc file, but it is not loaded by default,
and even the instructions in it seem to discourage its use for security
reasons.)

Also remove the few vim config lines that were left. We should either have them
on all files, or none.

Also remove some strange stuff like '#!/bin/env bash', yikes.

test: filter out messages when stripping binaries

We would get an error for every script, which is just noise.

test-network: add tests for MACsec