mkosi: make kmsg work in our mkosi builds at least

NEWS: explain the RLIMIT_NOFILE bump

rlimit-util: don't call setrlimit() needlessly if it wouldn't change anything

Just a tiny tweak to avoid generating an error if there's no need to.

core: bump RLIMIT_NOFILE soft+hard limit for systemd itself in all cases

Previously we'd do this for PID 1 only. Let's do this when running in
user mode too, because we know we can handle it.

units: bump the RLIMIT_NOFILE soft limit for all services that access the journal

This updates the unit files of all our serviecs that deal with journal
stuff to use a higher RLIMIT_NOFILE soft limit by default. The new value
is the same as used for the new HIGH_RLIMIT_NOFILE we just added.

With this we ensure all code that access the journal has higher
RLIMIT_NOFILE. The code that runs as daemon via the unit files, the code
that is run from the user's command line via C code internal to the
relevant tools. In some cases this means we'll redundantly bump the
limits as there are tools run both from the command line and as service.

core: raise the RLIMIT_NOFILE hard limit for all services by default

Following the discussions with the kernel folks, let's substantially
increase the hard limit (but not the soft limit) of RLIMIT_NOFILE to
256K for all services we start.

Note that PID 1 itself bumps the limit even further, to the max the
kernel allows. We can deal with that after all.

tree-wide: uniformly bump RLIMIT_NOFILE in all our tools that access the journal

This makes use of rlimit_nofile_bump() in all tools that access the
journal. In some cases this replaces older code to achieve this, and
others we add it in where it was missing.

core: add a new call for bumping RLIMIT_NOFILE to "high" values

Following discussions with some kernel folks at All Systems Go! it
appears that file descriptors are not really as expensive as they used
to be (both memory and performance-wise) and it should thus be OK to allow
programs (including unprivileged ones) to have more of them without ill
effects.

Unfortunately we can't just raise the RLIMIT_NOFILE soft limit
globally for all processes, as select() and friends can't handle fds
>= 1024, and thus unexpecting programs might fail if they accidently get
an fd outside of that range. We can however raise the hard limit, so
that programs that need a lot of fds can opt-in into getting fds beyond
the 1024 boundary, simply by bumping the soft limit to the now higher
hard limit.

This is useful for all our client code that accesses the journal, as the
journal merging logic might need a lot of fds. Let's add a unified
function for bumping the limit in a robust way.

def: add a "high" limit for RLIMIT_NOFILE

This simply adds a new constant we can use for bumping RLIMIT_NOFILE to
a "high" value. It default to 256K for now, which is pretty high, but
smaller than the kernel built-in limit of 1M.

Previously, some tools that needed a higher RLIMIT_NOFILE bumped it to
16K. This new define goes substantially higher than this, following the
discussion with the kernel folks.

update TODO

siphash24: add helper for calculating the hash value for a string

Let's shorten some code.

Merge pull request #10416 from poettering/udev-coverity

three simple coverity fixes

udev: (void)ify calls to kill() where we knowingly ignore the return values

CID 1368231
CID 1368229

udev: don't use devname before we acquired it

CID 1396107

core: log about unit_watch_pid() failing

CID 1237509

Merge pull request #10327 from yuwata/test-sd-device-enumerator-subsystem

sd-device-enumerator: dedup enumerated devices and add test for subsystem filtering

Set theme jekyll-theme-cayman

catalog: fix name of variable

All the messages would (literally) say "The start-up result is RESULT."
because @RESULT@ was not defined.

Fixes https://bugzilla.redhat.com/show_bug.cgi?id=1639482
and the first part of #8005.

Fixup for 646cc98dc81c4d0edbc1b57e7bca0f474b47e270.

rules: Add ID_REVISION environment var for NVMe devices

Merge pull request #9824 from poettering/login-unit-fixes

many logind improvements

Merge pull request #10391 from poettering/systemctl-exit-code-fixes

systemctl exit code fixes

Merge pull request #10373 from poettering/systemd-io

adopt systemd.io urls

Merge pull request #10392 from poettering/manager-no-inotify-fail

make sure /etc/localtime issues don't cause systemd to fail boot

man/systemd.nspawn: fix reference to --timezone argument (#10403)

Merge pull request #10394 from yuwata/fixes-found-by-clang

Fix warnings reported by clang

udev: use readlink_malloc() or its friend

Follow-up for a2554acec652fc65c8ed0c6c1fede9ba8c3693b1 and
70068602713e8f441c5ddc2618f007f24488e422.

Merge pull request #10381 from poettering/coverity-fixes

fixes for various recent coverity issues

test: use fabsl instead of fabs as json_variant_real() returns 'long double'

busctl: drop unused variable

core: set _unused_ attribute to 'reloading'

Follow-up for 4df7d537c8203557d330b68ba7833515ddd4e985.

core: ensure it's not fatal if we cannot watch /etc/localtime

See: #9602

core: add debug logging if we cant watch /etc/localtime itself

test: make test-sd-device stricter

sd-device: dedup enumerated devices

test: add test for subsystem filtering of sd_device_enumerator

hashmap: introduce hashmap_first_key_and_value() and friends

systemctl: clean up start_unit_one() error handling

Let's split exit code handling in two: "r" is only used for errno-style
errors, and "ret" is used for exit() codes. Then, let's use EXIT_SUCCESS
for checking whether the latter is already used.

This way it should always be clear what kind of error we are processing,
and when we propaate one into the other.

Moreover this allows us to drop "q" form all inner loops, avoiding
confusion when to use "q" and when "r" to store received errors.

Fixes: #9704

systemctl: add missing OOM check

logind: validate /run/user/1000 before we set it

Let's be safe than sorry, in particular as logind doesn't set it up
anymore, but user-runtime-dir@.service does, and logind doesn't really
track success of that.

core: fix unfortunate typo in unit_is_unneeded()

Follow-up for a3c1168ac293f16d9343d248795bb4c246aaff4a.

core: make destructive transaction error a bit more useful

update TODO

man: also use "yes"/"no" rather than "true"/"false" in man pages

We usually use yes/no in all our unit files, do the same in the man
pages.

Triggered by:

https://github.com/systemd/systemd/pull/9824#issuecomment-420729987

units: use =yes rather than =true everywhere

So far we always used "yes" instead of "true" in all our unit files,
except for one outlier. Let's do this here too. No change in behaviour
whatsoever, except that it looks prettier ;-)

logind: automatically GC lingering users for who now user@.service (nor slice, not runtime dir service) is running anymore

This heavily borrows from @intelfx' PR #5546, but watches all three
units that are associated with a user now: the slice, the user@.service
and user-runtime-dir@.service.

The logic and reasoning behind it is the same though: there's no value
in keeping lingering users around if all their three services are gone.

Replaces: #5546
Fixes: #4162

logind: improve error propagation of user_check_linger_file()

Let's make this a bit prettier, and propagate unexpected access() errors
correctly.

(The callers of this function will suppress them, but it's nicer of they
do that, rather than us doing that twice in both the callers and the
callees)

logind: add a RequiresMountsFor= dependency from the session scope unit to the home directory of the user

This is useful so that during shutdown scope units are always terminated
before the mounts necessary for the home directory.

(Ideally we'd also add a similar dependency from the user@.service
instance to the home directory, but this isn't as easy as that service
is defined statically and not dynamically, and hence not easy to modify
dynamically, in particular when it comes to deps)

logind: change user-runtime-dir to query runtime dir size from logind via the bus

I think this is a slightly cleaner approach than parsing the
configuration file at multiple places, as this way there's only a single
reload cycle for logind.conf, and that's systemd-logind.service's
runtime.

This means that logind and dbus become a requirement of
user-runtime-dir, but given that XDG_RUNTIME_DIR is not set anyway
without logind and dbus around this isn't really any limitation.

This also simplifies linking a bit as this means user-runtime-dir
doesn't have to link against any code of logind itself.

logind: optionally watch utmp for login data

This allows us to determine the TTY an ssh session is for, which is
useful to to proper idle detection for ssh sessions.

Fixes: #9622

logind: add hashtable for finding session by leader PID

This is useful later on, when we quickly want to find the session for a
leader PID.

logind: optionally, keep the user@.service instance for eached logged in user around for a while

This should speed up rapid logout/login cycles a bit.

By default this timeout is now set to 10s.

Fixes: #8410
Replaces: #4434

logind: minor session time handling tweaks

logind: rework how we manage the slice and user-runtime-dir@.service unit for each user

Instead of managing it explicitly, let's simplify things and rely on
regular Wants=/Requires= dependencies to pull in these units from
user@.service and the session scope, and StopWhenUneeded= to stop these
auxiliary units again. This way, they can be pulled in easily by
unrelated units too.

This simplifies things quite a bit: for each session we now only need to
manage the session scope, and for each user the user@.service, the other
units are not something we need to manage anymore.

This patch also makes sure that if user@.service of a user is masked we
will continue to work, and user-runtime-dir@.service will still be
correctly pulled in, as it is now a dependency of the scope unit.

Fixes: #9461
Replaces: #5546

logind: don't clobber bus error structure if we don't fail

logind: propagate session stop errors

Let's propagate errors from stopping sessions via seat_stop(). This is
similar to how we propagate such errors in user_stop() for all sessions
associated with a user.

Note that we propagate these errors, but we don't abort the function.

logind: introduce little helper that checks whether a session is ready

logind: use TAKE_PTR() where we can

logind: prefer strjoin() over asprintf()

logind: don't rely on downgrade-to-bool

logind: voidify a few calls

logind: make better use of logging functions

logind: never elect a session that is stopping as display

logind: make unit/job active checking more debuggable

Let's log the error messages if we get any at debug level.

man: add missing space

sd-bus: add new API call sd_bus_error_move()

This new call move an sd_bus_error into another one.

logind: fix bad error propagation

logind: correct bad clean-up path

logind: save/restore User object's "stopping" field during restarts

Whether we are stopping or not is highly relevant, hence don't forget it
across restarts.

logind: improve logging in manager_connect_console()

let's make sure we log about every failure

Also, complain about systems where /dev/tty0 exists but
/sys/class/tty/tty0/active does not. Such systems (usually container
environments) are pretty broken as they mount something that is not a VC
to /dev/tty0 and they really shouldn't.

Systems should either have a VC or not, but not badly fake one by
mounting things wildly.

This just adds a warning message, as before we'll simply turn off VC
handling in this case.

logind: initialize Manager object with structure initialization too

units: improve Description= string a bit

Let's not use the word "wrapper", as it's not clear what that is, and in
some way any unit file is a "wrapper"... let's simply say that it's
about the runtime directory.

units: set StopWhenUnneeded= for the user slice units too

We'd like them to go away, just like the user-runtime-dir@.service when
they aren't needed anymore.

logind: turn of stdio locking when writing session files too

This just copies what we already do for user and seat files to session
files.

logind: fix serialization/deserialization of user's "display session"

Previously this was serialized as part of the user object. This didn't
work however, as we load users first, and sessions seconds and hence
referencing a session from the user load logic cannot work.

Fix this by storing an IS_DISPLAY property along with each session, and
make the session with this set display session when it is loaded.

logind: rework Seat/Session/User object allocation and freeing a bit

Let's update things a bit to follow current practices:

- User structure initialization rather than zero-initialized allocation

- Always propagate proper errors from allocation functions

- Use _cleanup_ for freeing objects when allocation fails half-way

- Make destructors return NULL

format-table: don't use unsigned when there's no point in it

CID 1394372

journal-upload: check for overflow

CID 1394386

wait-online: more voidifyin of sd_event_add_signal()

CID 1394444

machinectl: voidify calls to sd_event_add_signal()

CID 1394445

udevadm: assert_se() around sigprocmask()

CID #1395708

efivars: add missing OOM check

CID #1395833

sd-ndisc: change return value of ndisc_reset() to void

We never generate anything other than 0 anyway, and we never check it,
hence let's just simplify things.

sd-ndisc: voidify sd_ndisc_stop() call

CID 1395839

json: fix memleak on OOM

CID 1396083

cgroup: voidify a few things

cgroup: make sure whitelist_device() always returns a valid return value

CID 1396094

journal: voidify fd_nonblock()

CID #1396098
CID #1396096
CID #1396091
CID #1396086

Revert "alloc-util: return NULL if 0-sized allocation is requested"

This reverts commit c05107767b589e9aac9711eb385738887f86eb77.

man: systemctl: clarify that --lines=0 is allowed (#10375)

The term “positive” is often read to exclude 0 (though “strictly
positive” is sometimes used to clarify this), so let’s explicitly state
that --lines=0 is legal and completely disables journal output.

Motivated by an answer on StackExchange [1].

[1]: https://unix.stackexchange.com/a/475068/44049

Merge pull request #10371 from poettering/sd-event-man-fix

trivial sd-event man page fixes

networkd: fix attribute length for wireguard (#10380)

This is actually a u16, not a u32, so the kernel complains:

kernel: netlink: 'systemd-network': attribute type 5 has an invalid length

This is due to:

if (nla_attr_len[pt->type] && attrlen != nla_attr_len[pt->type]) {
        pr_warn_ratelimited("netlink: '%s': attribute type %d has an invalid length.\n",
                            current->comm, type);
}

Presumably this has been working fine in functionality on little-endian
systems, but nobody bothered to try on big-endian systems.

Signed-off-by: Jason A. Donenfeld <Jason@zx2c4.com>

shared: add %g, %G specifiers for group / gid (#10368)

Merge pull request #10366 from poettering/in-set-fixes

IN_SET() compile time check fixes

Merge pull request #10356 from dtardon/covscan

assorted coverity/clang fixes

Merge pull request #10379 from jwrdegoede/hwdb-updates

Hwdb updates

hwdb: Add mapping for unknown keycodes on Microsofy Reclusa keyboard

Add mapping for unknown keycodes on Microsoft Reclusa keyboard.

hwdb: Add accelerometer orientation quirk for the Onda V80 Plus tablet

Add accelerometer orientation quirk for the Onda V80 Plus tablet.

hwdb: Add accelerometer orientation quirk for the Acer One 10 aka S1003

Add accelerometer orientation quirk for the Acer One 10 2-in-1 also known
as the Acer S1003.

efivars: check path_len before using it as loop boundary

journal-file: avoid calling ftruncate with invalid fd

This can happen if journal_file_close is called from the failure
handling code of journal_file_open before f->fd was established.