network,udev: explicitly declare 'conditions' is a list

util: fix condition_free_list_type()

This fixes a bug introduced by c4f58deab56282cd438922203287cb073b861513.

Closes oss-fuzz#13878, oss-fuzz#13882, oss-fuzz#13884, oss-fuzz#13886, and
oss-fuzz#13888.

Merge pull request #11602 from vesajaaskelainen/dbus-reboot-with-parameters

dbus-manager: Add RebootWithParameters d-bus method

Merge pull request #12079 from keszybz/fuzz-nspawn-oci

Add fuzzer for nspawn-oci

logind: Add support for RebootParameter

This adds support for user to set & get reboot parameter for reboot.

As callee would be next issuing Reboot call same policy checks are being used.

If unit file issuing the reboot action defines RebootArgument (or similar) that
setting takes precedence.

Merge pull request #12075 from keszybz/two-docs

Two small man page enhancements

nspawn: don't free "fds" twice

Previously both run() and run_container() would free 'fds'. Let's fix
that, and let run() free it but make run_container() already remove all
fds from it, because that's what we actually want to do.

Fixes: #12073

nspawn-oci: fix double free

Also rename function to make it clear that it also frees the array
object itself.

udev/link-config: rename MACPolicy to MACAddressPolicy

Things are clearer if the same name is used everywhere, and we don't gain
much by saving a few bytes.

Merge pull request #12055 from poettering/save-argc-argv

main-func.h and systemctl argc/argv improvements

Merge pull request #12072 from poettering/string-table-fixes

three small string table fixes

logind: relocate function return_test_polkit()

Relocate function return_test_polkit() upper in file for easier access from other functions.

systemctl: restore "systemctl reboot ARG" functionality

Commit d85515edcf9700dc068201ab9f7103f04f3b25b2 changed logic how reboot is
executed. That commit changed behavior to use emergency action reboot code path
to perform the reboot.

This inadvertently broke rebooting with argument:
$ systemctl reboot custom-reason

Restore original behavior so that if reboot service unit similar to
systemd-reboot.service is executed it is possible to override reboot reason
with "systemctl reboot ARG".

When "systemctl reboot ARG" is executed ARG is placed in file
/run/systemd/reboot-param and reboot is issued using logind's Reboot
dbus-service.

If RebootArgument is specified in systemd-reboot.service it takes precedence
over what systemctl sets.

Fixes: #11828

NEWS: add missing word

man: clarify that ExecStop= is always called

Fixes #11744.

man: update description of initrd in bootup(7)

Mention that initramfs is used, not initrd, even though we still call
it that. Also add links and clarify who loads the initramfs.

NEWS: prepare for v242

network: add missing nulstr terminator

https://bugs.chromium.org/p/oss-fuzz/issues/detail?id=13821

dbus-execute: don't needlessly override error code

dbus-execute: lets use exec_directory_type_from_string() to simplify things

udev: use string_table_lookup() where we can

string-table: use string_table_lookup() in our own macros everywhere

nspawn-oci: mount source is optional

nspawn-oci: use _cleanup_ in one more place

fuzz-nspawn-oci: add fuzzer for the oci bundle loader

meson: add libseccomp as a nspawn dep (#12067)

Due to this specific change: d0b6a10#diff-0203416587516c224c8fcfe8129e7caeR8,
systemd-nspawn uses libseccomp now if it is available. We we need to pass -I/usr/include
/libseccomp (or wherever seccomp.h is located) when compiling systemd-nspawn because
nspawn-settings.h does #include <seccomp.h>.

Fixes: #12060

nspawn: conditionalize libseccomp use

We support compilation without libseccomp, hence don't rely on its
symbols.

Merge pull request #12066 from yuwata/fix-network-tunnel-12041

network: fix netdev_tunnel_verify()

hwdb: make ids_parser.py compatible with pyparsing-2.3.0+

https://github.com/pyparsing/pyparsing/blob/master/CHANGES#L175
says something about fixing erroneously created levels in the hierarchy.
I don't have the faintest idea what this means, but with the change in
this patch we generate output that is unchanged from pre-2.3.0 versions.

Tested with python3-pyparsing-2.3.1-1.fc30.noarch and
python3-pyparsing-2.2.0-3.fc29.noarch.

Fixes #12021.

man: mention that Tunnel.Local= and Tunnel.Remote= can take 'any'

man: do not wrap line in the table

test-network: add more tests for tunneling devices

Merge pull request #12046 from keszybz/simplify-invocation-id-check

sd-id128: look for invocation id in environment first, keyring second

Merge pull request #11931 from yuwata/condition-test-list

split static condition tests from net_match_config()

Merge pull request #12020 from mrc0mmand/test-functions-interactive-debug

test: test-functions improvements for debugging

systemctl: make a copy of the "verb" from argv[] before forking off a child

main-func: make sure we destruct memory and stuff last

Let's terminate pagers and agents before releasing all memory.

systemctl: tiny optimization

systemctl: add missing OOM check

systemctl: document argv[] array

systemctl: use saved_argv where we can

No need to have another variable where we keep the original argv[].
Let's juse reuse the one DEFINE_MAIN_FUNCTION() stores for us anyway.

main-func: implicitly save argc/argv in DEFINE_MAIN_FUNCTION() functions

Let's remove the risk of forgetting to save argc/argv if
DEFINE_MAIN_FUNCTION() is used.

util: introduce save_argc_argv() helper

Merge pull request #12062 from poettering/nspawn-main-func

nspawn: port to DEFINE_MAIN_FUNCTION()

network: fix netdev_tunnel_verify()

Fixes #12041.

nspawn: add --no-pager switch

It only matters for --help.

Merge pull request #12014 from poettering/systemctl-exit-fix

systemctl fallback error propagation fix

Merge pull request #12052 from poettering/systemctl-fixlets

systemctl refactorings

Merge pull request #12057 from poettering/chown-tty

chown TTY back to root:tty after a service terminates that used them

nspawn: voidify sd_notify() calls

nspawn: port to static destructors

nspawn: port to main-func.h logic

man: mention that conditions in [Match] section support negation

man: use literal tag

network,udev: split static condition tests from net_match_config()

network: drop unnecessary strdup()

core/unit: use condition_test_list()

condition: introduce condition_test_list()

log: expose log_object_internalv()

Merge pull request #12059 from poettering/nspawn-typos

some typo and other fixes result of the OCI nspawn merge

man: make separate "Errors" sections subsection of "Return value"

Logically, this is better, because we're describing a subset of possible
return values. Visually this also looks quite good because groff renders
refsect2 much less prominently.

Also rewrap things, add <constant> in various places, fix some typos.

man: document error values for sd_id128_get_*()

Merge pull request #12058 from keszybz/oci-simplifications

Follow-ups for nspawn-oci review

nspawn: add a few missing flags from --help text

man: adjust nspawn man page to follow same section/order as --help text

No other changes, just some reshuffling and adding of section headers
(well, admittedly, I changed some "see above" and "see below" in the
text to match the new order.)

nspawn: reorder --help text, and add section

The list is so long, let's add a bit of structure and order things a
bit.

mount: when we fail to establish an inaccessible mount gracefully, undo the mount

capability: add a test that fails if we ever enter > 64bit capability territory

capability: also cap CAP_LAST_CAP at 63

capability: typo fix

capability: use UINT64_C() where appropriate

capability: minimize scope of a few variables

capability: minor coding style updates

capability: add missing ')'

As pointed out by @polarina

https://github.com/systemd/systemd/commit/d0b6a10c005ab1fff44d032be995e3f2bcfba225#commitcomment-32857641

sd-id128: look for invocation id in environment first, keyring second

As general principle, we generally check command line args first, the
enviroment second, and external configuration and system state only later.
In case of the invocation ID, checking the keyring before the environment
was implemented as a poor-man's security measure. But this is not really
useful, since we're moving within the same security boundary. So let's just
do the expected thing, and check environment first.

Prompted by https://github.com/systemd/systemd/pull/11991#issuecomment-474647652.

util-lib: get rid of a helper variable

nspawn-oci: add helper function for free_and_strdup with oom check

Merge pull request #9762 from poettering/nspawn-oci

OCI runtime support for nspawn

nspawn-oci: use SYNTHETIC_ERRNO

update TODO

core: rework how we reset the TTY after use by a service

This makes two changes:

1. Instead of resetting the configured service TTY each time after a
   process exited, let's do so only when the service goes back to "dead"
   state. This should be preferable in case the started processes leave
   background child processes around that still reference the TTY.

2. chmod() and chown() the TTY at the same time. This should make it
   safe to run "systemd-run -p DynamicUser=1 -p StandardInput=tty -p
   TTYPath=/dev/tty8 /bin/bash" without leaving a TTY owned by a dynamic
   user around.

execute: split check if we might touch a tty out of exec_context_may_touch_console()

Some simple refactoring that'll come handy in a later commit.

execute: use path_equal() to compare tty names

After all they might be strings such as pts/1 which we really should
consider the same as pts//1.

Merge pull request #12049 from keszybz/assorted-fixups

Assorted fixups

shared/install: Preserve escape characters for escaped unit names

Since switching to extract_first_word with no flags for parsing
unit names in 4c9565eea534cd233a913c8c21f7920dba229743, escape
characters will be stripped from escaped unit names such as
"mnt-persistent\x2dvolume.mount" resulting in the unit not being
configured as defined.  Preserve escape characters again for
compatibility with existing preset definitions.

systemctl: start_unit() returns > 0 on error, let's catch that properly

Let's make sure we fall back correctly to initctl when start_unit()
returns an error > 0.

Fixes: #11546

systemctl: use strv_consume() where we can

systemctl: port to static destructors

test-fileio: avoid warning about ineffective comparison

On arm64 with gcc-8.2.1-5.fc29.aarch64:
../src/test/test-fileio.c:645:29: warning: comparison is always false due to limited range of data type [-Wtype-limits]
                 assert_se(c == EOF || safe_fgetc(f, &c) == 1);
                             ^~

Casting c to int is not enough, gcc is able to figure out that the original
type was unsigned and still warns. So let's just silence the warning like
in test-sizeof.c.

sd-bus: reduce scope of variable

sd-bus: avoid IN_SET() invocation with two identical values

Fixes #12036.

../../../src/systemd/src/libsystemd/sd-bus/bus-objects.c: In function ‘add_object_vtable_internal’:
../../../src/systemd/src/basic/macro.h:423:19: error: duplicate case value

test-alloc-util: add a smoke test for greedy_realloc

TODO: add some bootctl items

Merge pull request #12033 from fbuihuu/watched-process-improvments

Watched process improvments

Merge pull request #12047 from poettering/cryptsetup-fixlets

some small cryptsetup, ask-password and allocation fixlets

journal-file: handle SIGBUS on offlining thread

The thread launched in journal_file_set_offline() accesses a memory
mapped file, so it needs to handle SIGBUS. Leave SIGBUS unblocked on the
offlining thread so that it uses the same handler as the main thread.

The result of triggering SIGBUS in a thread where it's blocked is
undefined in Linux. The tested implementations were observed to cause
the default handler to run, taking down the whole journald process.

We can leave SIGBUS unblocked in multiple threads since it's handler is
thread-safe. If SIGBUS is sent to the journald process asynchronously
(i.e. with kill, sigqueue, or raise), either thread handling it will
result in the same behavior: it will install the default handler and
reraise the signal, killing the process.

Fixes: #12042

Merge pull request #12024 from poettering/bindtoifindex

use SO_BINDTOIFINDEX where appropriate

scope: tiny cleanup: UNIT(s) -> u

No functional changes.

core: only watch processes when it's really necessary

If we know that main pid is our child then it's unnecessary to watch all
other processes of a unit since in this case we will get SIGCHLD when the main
process will exit and will act upon accordingly.

So let's watch all processes only if the main process is not our child since in
this case we need to detect when the cgroup will become empty in order to
figure out when the service becomes dead. This is only needed by cgroupv1.

core: reduce the number of stalled PIDs from the watched processes list when possible

Some PIDs can remain in the watched list even though their processes have
exited since a long time. It can easily happen if the main process of a forking
service manages to spawn a child before the control process exits for example.

However when a pid is about to be mapped to a unit by calling unit_watch_pid(),
the caller usually knows if the pid should belong to this unit exclusively: if
we just forked() off a child, then we can be sure that its PID is otherwise
unused. In this case we take this opportunity to remove any stalled PIDs from
the watched process list.

If we learnt about a PID in any other form (for example via PID file, via
searching, MAINPID= and so on), then we can't assume anything.