memfd: escape the comm field we get from PR_GET_NAME, but assume everything else is proper UTF8

NEWS: fix minor nits

memfd: skip utf-8 escaping if we use a name that was passed in

If a name was passed in as function argument, trust it, and don't do utf-8
encoding for them. Callers are obliged to check the names themselves, and
escape them in case they use anything they got from the outside world.

socket: suffix newly added TCP sockopt time properties with "Sec"

This is what we have done so far for all other time values, and hence we
should do this here. This indicates the default unit of time values
specified here, if they don't contain a unit.

README: document what to do with the NSS modules

prepare NEWS for next release

memfd: reduce name escaping logic to utf-8 checks

As memfds are now created by proper kernel API, and not by our functions, we
can't rely on names being escaped/unescaped according to our current logic.

Thus, the only safe way is to remove the escaping and when reading names,
just escape names that are not properly encoded in UTF-8.

Also, remove assert(name) lines from the memfd creation functions, as we
explictly allow name to be NULL.

memfd: simplify API

Now, that the memfd stuff is not exported anymore, we can simplify a few
things:

Use assert() instead of assert_return(), since this is used internally
only, and we should be less permissive then.

No need to pass an allocated fd back by call-by-reference, we can just
directly return it.

update TODO

Revert "socket: introduce SELinuxLabelViaNet option"

This reverts commit cf8bd44339b00330fdbc91041d6731ba8aba9fec.

Needs more discussion on the mailing list.

tmpfiles: add new 'r' line type to add UIDs/GIDs to the pool to allocate UIDs/GIDs from

This way we can guarantee a limited amount of compatibility with
login.defs, by generate an appopriate "r" line out of it, on package
installation.

networkd: don't consider deprecated or tentative addresses when determining operstate

https://bugs.freedesktop.org/show_bug.cgi?id=81287

socket: introduce SELinuxLabelViaNet option

This makes possible to spawn service instances triggered by socket with
MLS/MCS SELinux labels which are created based on information provided by
connected peer.

Implementation of label_get_child_label derived from xinetd.

Reviewed-by: Paul Moore <pmoore@redhat.com>

networkd: netdev - add missing callback when adding stacked devices

As the comment says, the passed in callback must always be invoked, or the underlying link
will hang. This was missed when reworking the code, so add it back in.

networkd: link - don't enforce ENSLAVING state

We are only guaranteed to stay in ENSLAVING state whilst enslaving by bridges/bonds, not
when adding stacked devices (as then the underlying device can be IFF_UP'ed and configured
in parallel), so drop these asserts.

update TODO

util: remove unused FOREACH_WORD_SEPARATOR_QUOTED

sysusers: realign sysusers snippets

sysusers: set home directory for root to /root

sysusers: add another column to sysusers files for the home directory

networkd: fix use-after-free

Elements must be removed from the hashtable before they are freed.

update TODO

sysusers: add a new RPM macro for creating users directly from data passed in via stdin

This allows encoding users to create directly in %pre, which is
necessary so that files owned by the RPM can be assigned to the right
users/groups.

This new macro does create a redundancy, as user definitions for all
users that shall own files need to to be listed twice, once with this
new macro, and then secondly, in the sysusers file shipped with the
package. But there's little way around that, as the users of this type
need to exist before we install the first file, but we actually want to
ship the user information in a file.

sysusers: optionally, read sysuers configuration from standard input

update TODO

sysusers: also update /etc/shadow and /etc/gshadow when creating new system users

This should resolve problems with tools like "grpck" and suchlike.

hashmap: try to use the existing 64bit hash functions for dev_t if it is 64bit

bus: map sealed memfds as MAP_PRIVATE

Mapping files as MAP_SHARED is handled by the kernel as 'writable'
mapping. Always! Even with PROT_READ. Reason for that is,
mprotect(PROT_WRITE) could change the mapping underneath and currently
there is no kernel infrastructure to add protection there. This might
change in the future, but until then, map sealed files as MAP_PRIVATE so
we don't get EPERM.

Update TODO

util: try to be a bit more NFS compatible when checking whether an FS is writable

https://bugs.freedesktop.org/show_bug.cgi?id=81169

core: minor modernizations

units: fix BindsTo= logic when applied relative to services with Type=oneshot

Start jobs for Type=oneshot units are successful when the unit state
transition activating → inactive took place. In such a case all units
that BindsTo= on it previously would continue to run, even though the unit
they dependet on was actually already gone.

man: fix typo

bootchart: use NSEC_PER_SEC

bus-control: Fix cgroup handling

On systems without properly setup systemd, cg_get_root_path returns
-ENOENT.  This means that busctl doesn't display much information.

busctl monitor also fails whenever it intercepts messages.

This fix fakes creates a fake "/" root cgroup which lets busctl work
on such systems.

man: mention that "units" are commonly system services

Also, provide an example for -u.

networkd: fix how we generate lists in link_save()

https://bugs.freedesktop.org/show_bug.cgi?id=82721

tests: add missing entry to test-tables

tests: add tests for time-util.c

add tests for:
- timezone_is_valid
- get_timezones

tests: add test-condition-util

tests: add tests for util.c

add tests for:
- is_symlink
- pid_is_unwaited
- pid_is_alive
- search_and_fopen
- search_and_fopen_nulstr
- glob_exists
- execute_directory

tests: add test for fdset_iterate

tests: add tests for fileio.c

add tests for:
- write_string_stream
- write_string_file
- sendfile_full

tests: add missing unlink

tests: add tests for socket-util.c

add tests for:
- socket_address_is
- socket_address_is_netlink
- sockaddr_equal

man: fix typo

tmpfiles: only execute chmod()/chown() when needed

This avoids errors like this, when the paths are already there with the
correct permissions and owner:

chmod(/var/spool) failed: Read-only file system

Merge remote-tracking branch 'origin/master'

networkd: warn when ignoring unsupported tuntap options

The interface for creating tuntap devices should be ported to rtnl so it would support the same settings
as other kinds. In the meantime, the best one can do is to drop in a .link file to set the desired options.

core: Verify systemd1 DBus method callers via polkit

DBus methods that retrieve information can be called by anyone.

DBus methods that modify state of units are verified via polkit
action: org.freedesktop.systemd1.manage-units

DBus methods that modify state of unit files are verified via polkit
action: org.freedesktop.systemd1.manage-unit-files

DBus methods that reload the entire daemon state are verified via polkit
action: org.freedesktop.systemd1.reload-daemon

DBus methods that modify job state are callable from the clients
that started the job.

root (ie: CAP_SYS_ADMIN) can continue to perform all calls, property
access etc. There are several DBus methods that can only be
called by root.

Open up the dbus1 policy for the above methods.

(Heavily modified by Lennart, making use of the new
bus_verify_polkit_async() version that doesn't force us to always
pass the original callback around. Also, interactive auhentication must
be opt-in, not unconditional, hence I turned this off.)

bus-util: simplify bus_verify_polkit_async() a bit

First, let's drop the "bus" argument, we can determine it from the
message anyway.

Secondly, determine the right callback/userdata pair automatically from
what is currently is being dispatched. This should simplify things a lot
for us, since it makes it unnecessary to pass pointers through the
original handlers through all functions when we process messages, which
might require authentication.

sd-bus: add API to query which handler/callback is currently being dispatched

memfd: internalize functions, drop sd_memfd type

Remove the sd_ prefix from internal functions and get rid of the sd_memfd
type. As a memfd is now just a native file descriptor, we can get rid of our
own wrapper type, and also use close() and dup() on them directly.

memfd: use _cleanup_ if applicable

We now have a sd_memfd_freep helper, use it if applicable.

memfd: map unsealed files as MAP_SHARED

We need to map sealed files as MAP_PRIVATE so far as the kernel treats
MAP_SHARED as writable mapping (you can run mprotect(PROT_WRITE) at any
time on those). However, unsealed files must be mapped as MAP_SHARED.
Otherwise, we never end up writing to the real file.

memfd: disallow importing memfds without sealing

We use memfds for sealing. Lets not bother with memfds created without
MFD_ALLOW_SEALING for now. They're equivalent to random shmem files, so
don't bother treating them as sealable memfds.

memfd: don't open kdbus for memfd

No reason to open /dev/kdbus/control if we want memfds. memfd_create() is
always available.

memfd: internalize header

Fix the memfd.h header to use handy features like #pragma, cleanup-funcs
and util.h. Also drop the EXTERN-C macros.

memfd: fix memfd_create() syscall wrapper

Unlike earlier versions, the syscall only takes 2 arguments in its
final version, not 3.

memfd: move code from public library to src/shared

Don't expose generic kernel API via libsystemd, but keep the code internal
for our own usage.

Makefile.am: test-bus-memfd went away. Kill its residues in Makefile.am

kdbus: switch over to generic memfd implementation (ABI+API break)

networkctl: use safe_qsort in case no links are present

Unlikely to happen but still...

sd-bus,log: remove unused variables

sd-event: return 'r' rather than '-errno'

Merge commit 'b39a2770ba55637da80e2e389222c59dbea73507'

sd-event: fix missing needs_rearm

sd-bus: add API to check if a client has privileges

This is a generalization of the vtable privilege check we already have,
but exported, and hence useful when preparing for a polkit change.

This will deal with the complexity that on dbus1 one cannot trust the
capability field we retrieve via the bus, since it is read via
/proc/$$/stat (and thus might be out-of-date) rather than directly from
the message (like on kdbus) or bus connection (as for uid creds on
dbus1).

Also, port over all code to this new API.

update TODO

cgroup: only generate warnings if actually writing to cgroup attributes failed

main,log: parse the log related kernel command line parameters at one place only, and for all tools

Previously, we ended up parsing some of them three times: in main.c when
processing the kernel cmdline, in main.c when processing the process
cmdline (only for containers), and in log.c again.

Let's streamline this, and only parse them in log.c

In PID 1 also make sure we parse "quiet" first, and then override this
with the more specific checks in log.c

main: minor code modernization for initializing the console

update TODO

hostnamectl: actually implement location support

resolve: fix compilation on LLVM+clang

LLVM+clang does not allow statement-expressions inside of
type-declarations (file-scope). Use CONST_MAX() to avoid this.

macro: add CONST_MAX() macro

The CONST_MAX() macro is similar to MAX(), but verifies that both
arguments have the same type and are constant expressions. Furthermore,
the result of CONST_MAX() is again a constant-expression.

CONST_MAX() avoids any statement-expressions and other non-trivial
expression-types. This avoids rather arbitrary restrictions in both GCC
and LLVM, which both either fail with statement-expressions inside
type-declarations or statement-expressions inside static-const
initializations.

If anybody knows how to circumvent this, please feel free to unify
CONST_MAX() and MAX().

macro: const'ify MIN/MAX/... macros

We must add 'const' to local variables in statement-expressions to
guarantee that the macros can produce constant-expressions if given such.
GCC seems to ignore this, but LLVM/clang requires it (understandably).

resolved: fix assertion when joining llmnr mcast group

networkd: print nice warnings if people configure invalid domain names

util: make is_localhost() check for 'localdomain' too, so that we can use it for both validating domains and host names

networkd: fix minor memory leak

networkctl: show acquired system domains

sd-network: add system-wide sd_network_get_domains() API

networkd: always write out locally configured settings first, dhcp-acquired ones later

This is primarily important for the domains list, as we really should
prefer the locally configured domain over the dhcp supplied ones when we
use it as a search list.

networkd: remove "*" from domains list

Also, simplify things a bit and make sure we don't forget looking at one
of the entries.

networkctl: two OOM fixes

sd-nework: be more careful with error codes, return ENODATA if you lack information

sd-network: add support for wildcard domains

networkd: add support for Domains= to .network files

This allows the search/routing domanis to be specified per link/network and be passed
on to resolved.

kernel-install/90-loaderentry.install: fixed cmdline parsing

If /etc/kernel/cmdline is missing or empty, we read /proc/cmdline and
want to filter out the initrd line. Due to a bug, the whole contents was
filtered out.

core: Rename Job.subscribed field to Job.clients

This reflects how this field will be used, to not only track where
to send signals, but also which callers (other than root) are allowed
to call DBus methods on the Job.

core: Common code for DBus methods that Cancel a job

Both ofs.Job.Cancel() and ofs.Manager.CancelJob() now use same
implementation. So we can add caller verify logic appropriately.

sd-bus: Remove bus arg from bus_verify_polkit_async_registry_free()

It's unneccessary, not used, and complicates callers of the
function.

test: fix strtod test for real

The "0,5" syntax was actually right. The real problem is, the test should
only run if the local system has the de_DE.UTF-8 locale. Therefore, skip
the tests if setlocale() fails. This is kinda ugly, as it is done
silently, but we cannot skip partial tests with the current
infrastructure. Should be fine this way.

util: never use ether_ntoa(), since it formats with %x, not %02x, which makes ethernet addresses look funny

unit: remove spurious newline

networkctl: increase column width for link type to 18, to accomodate for 'ieee80211_radiotap'

networkd: rename UseDomainName to UseDomains

This option will also apply to the search domains, so make it plural.

sysctl: always write net.ipv4.conf.all.xyz= in addition to net.ipv4.conf.default.xyz=

Otherwise we have a boot-time race, where interfaces that popped up
after the sysctl service would get the settings applied, but all others
wouldn't.

cgroup: downgrade log messages about non-existant cgroup attributes to LOG_DEBUG