test: use newer verb to set log levels

docs: fix path to unit files

core: fix build failure if seccomp is disabled

Revert "build: install /etc/systemd/{system,user}-generators"

This reverts commit 509276f2b7d44d472b66e79cbfa531c1de4c3801.

Merge pull request #12188 from poettering/coccinelle-fixlets

tree-wide: let's run coccinelle again

Merge pull request #12056 from poettering/seccomp-suid-sgid

Introduce RestrictSUIDSGID= for disabling SUID/SGID file creation

update TODO

core: imply NNP and SUID/SGID restriction for DynamicUser=yes service

Let's be safe, rather than sorry. This way DynamicUser=yes services can
neither take benefit of, nor create SUID/SGID binaries.

Given that DynamicUser= is a recent addition only we should be able to
get away with turning this on, even though this is strictly speaking a
binary compatibility breakage.

units: turn on RestrictSUIDSGID= in most of our long-running daemons

man: document the new RestrictSUIDSGID= setting

analyze: check for RestrictSUIDSGID= in "systemd-analyze security"

And let's give it a heigh weight, since it pretty much can be used for
bad things only.

core: expose SUID/SGID restriction as new unit setting RestrictSUIDSGID=

test: add test case for restrict_suid_sgid()

seccomp: introduce seccomp_restrict_suid_sgid() for blocking chmod() for suid/sgid files

seccomp: add debug messages to seccomp_protect_hostname()

core: add a generic helper that forwards per-unit method calls from Manager

Quite often we have a method DoSomethingWithUnit() on the Manager object
that is the same as a function DoSomething() on a Unit object. Let's
shorten things by introducing a common function that forwards the
former to the latter, instead of writing this again and again.

Merge pull request #12013 from yuwata/fix-switchroot-11997

core: on switching root do not emit device state change based on enumeration results

udev: use strempty() where appropriate

json: use SYNTHETIC_ERRNO() where appropriate

sd-event: use DIV_ROUND_UP where appropriate

sd-device: use xsprintf() where appropriate

tree-wide: use SYNTHETIC_ERRNO() where appropriate

boot: use TAKE_PTR() where appropriate

tree-wide: use reallocarray() where appropriate

util-lib: use FLAGS_SET() where appropriate

analyze: use empty_or_root() where appropriate

Merge pull request #12185 from poettering/login-unstore-fd

logind: remove unused fds from fdstore

Merge pull request #12186 from poettering/lgtm-updates

lgtm ruleset updates

Merge pull request #12183 from poettering/askpwargv

tty-ask-password: let's copy argv[] before forking

journal: LGTM doesn't recognize suppressions in /* */

test: stop using dup() needlessly

lgtm: beef up list of dangerous/questionnable API calls not to make

logind: when we cannot attach a passed fd to a device, close it

Replaces: #8532

logind: simplify removal of device fds

let's use sd_notifyf(). Let's also stop validating the session ID here.
This is the destructor. if it contains a dash, we are already too late
here anyway.

journal-remote: use source's boot-id

systemd-journal-remote always wrote the boot-id of the device it was running on
to the header of its journal files. When the source had a different boot-id
(because it was generated on a different boot, or a different device), the
boot-ids in the file were inconsistent. The _BOOT_ID field was that of the
source, but the journal file header and each entry object header were that of
the device systemd-journal-remote ran on. This breaks journalctl --list-boots
on any of these files.

Set the boot-id in the header to be that of the source. This also fixes the
entry object headers.

ipv4ll: do not reset seed generation counter on restart

Fixes #12145.

Merge pull request #12007 from poettering/clock-change

.timer OnClockChange= and OnTimezoneChange= settings

tty-ask-password: re-break comment

tty-ask-password: simplify signal handler installation

tty-ask-password: no need to initialize something already NUL initialized to NUL

tty-ask-password: drop redundant local variable

tty-ask-password: copy argv[] before forking child

Another fix in style of bd169c2be0fbdaf6eb2ea7951e650d5e5983fbf6.

Let's also avoid strjoina() in a loop (i.e. stack allocation). While in
this specific caseone could get away with it (since we'd immediately
afterwards leave the loop) it's still ugly, and every static checker
would be totally within its rights to complain.

Also, let's simplify things by not relying on argc, since it's redundant
anyway, and it's nicer to just treat things as NULL terminated strv
array.

Fixes: #12180

update TODO

man: document the two new .timer settings

test: add tests for new .timer units

core: optionally, trigger .timer units on timezone and clock changes

Fixes: #6228

run: rename with_timer → arg_with_timer

The value is directly initialized from cmdline args, hence let's name it
so, following our usual naming style.

core: use more structured initialization

build: install /etc/systemd/{system,user}-generators

Manual page systemd.generators refers to /etc/systemd/{system,user}-generators,
but the paths do not exist, so let's install them.

Merge pull request #12030 from poettering/condition-memory

add ConditionCPUs= + ConditionMemory=

Merge pull request #12168 from poettering/man-fixes

three minor tweaks to the man pages

core: refactor transaction.c to use fewer gotos

In particular, let's not use gotos that jump up, i.e. are loops. gotos
that jump down for the purpose of clean-up are cool, but using them for
loops is evil.

No change in behaviour, just some refactoring.

NEWS: document the change to installation

Merge pull request #12160 from yuwata/wait-online-allow-configuring

wait-online: add --any option

Merge pull request #12155 from yuwata/network-fix-and-extend-foo-over-udp-support

network: fix and extend Foo over UDP

systemctl: print a more accurate error message when we can

rm-rf: refuse combining REMOVE_ONLY_DIRECTORIES and REMOVE_SUBVOLUME for now

It's not easy to implement such a combined operation race-freely since
dropping a subvolume will drop all its contents, including any
non-directories.

Hence, let's just not support this combination for now. Which isn't much
of a loss, since we never combine these flags anyway.

core: export ReloadResult value on the bus

We keep track of it, but never exposed it. Let's fix that.

shared: add some minor comments

core: add a common function for bus calls that return unit dbus path

Let's shorten the code a bit by using a single function for similar
cases.

No change in behaviour, just some refactoring and shortening.

Merge pull request #12167 from poettering/timer-parse-tweak

two tweaks for timer expression parsing

fs-util: suppress world-writable warnings if we read /dev/null

Fixes: #12165

sd-bus: add missing empty line

test-network: add tests for --any option of wait-online

test-network: fix timeout argument for wait_online()

wait-online: add --any option

When this option is specified, wait-online exits with success even
when several interfaces are in configuring state.

Closes #9714.

test-network: add tests for FooOverUDP tunnels

man: update FooOverUDP=

network: make FooOverUDP.Protocol= support name of ipproto

network: use asynchronous call for creating FOU tunnels

Otherwise, multiple FOU tunnels cannot be created correctly.

network: do not ignore FooOverUDP.Encapsulation= setting

Previously the setting is ignored and always FOU_ENCAP_GUE is sent.

network: merge ipip_init() and sit_init()

network: add FooOverUDP support for SIT and GRE tunnels

test-network: add more tests for SerializeTunneledPackets=, Key=, and friends

hwdb: Fix micmute on ASUS FX503VD

The micmute key needs to be remapped to F20 for userspace to consume it.

See https://gitlab.gnome.org/GNOME/gnome-settings-daemon/issues/121

test: set longer StartLimitIntervalSec= and fewer StartLimitBurst=

Some test environment may be in heavy load. In that case, rate limit
never hit, and the test fails...

Merge pull request #12164 from keszybz/units-use-presets

Enable our units using presets in the usual fashion

man: be clearer that .timer time expressions need to be reset to override them

let's be clearer about the overriding concept for OnCalendar= settings.

Prompted by this thread:

https://lists.freedesktop.org/archives/systemd-devel/2019-March/042351.html

man: refer to innermost directory as innermost, not as "lowest"

Let's avoid confusion whether the root is at the top or of the bottom of
the directory tree. Moreover we use "innermost" further down for the
same concept, so let's stick to the same terminology here.

man: tweak XyzDirectory= table a bit

core: pass parse error to log functions when parsing timer expressions

core: simply timer expression parsing by using ".ltype" field of conf-parser logic

No change of behaviour. Let's just not parse the lvalue all the time
with timer_base_from_string() if we can already pass it in parsed.

udev: move udev_ctrl_cleanup() into manager_free()

Merge pull request #12157 from yuwata/network-netdev-name-conflict

network: handle NetDev.Name= conflict nicely

meson: stop creating enablement symlinks in /etc during installation

This patch was initially prompted by a report on a Fedora update [1], that the
upgrade causes systemd-resolved.service and systemd-networkd.service to be
re-enabled. We generally want to preserve the enablement of all services during
upgrades, so a reset like this is not expected.

Both services declare two symlinks in their [Install] sections, for their dbus
names and for multi-user.target.wants/.  It turns out that both services were
only partially enabled, because their dbus unit symlinks
/etc/systemd/system/dbus-org.freedesktop.{resolve1,network1}.service were
created, by the symlinks in /etc/systemd/system/multi-user.target.wants/ were
not. This means that the units could be activated by dbus, but not in usual
fashion using systemctl start. Our tools make it rather hard to figure out when
something like this happens, and it is definitely an area for improvement on its
own. The symlink in .wants/ was filtered out by during packaging, but the dbus
symlink was left in (I assume by mistake).

Let's simplify things by not creating the symlinks statically during 'ninja
install'. This means that the units shipped by systemd have to be enabled in
the usual fashion, which in turns means that [Install] section and presets
become the "single source of truth" and we don't have two sets of conflicting
configuration.

Let's consider a few cases:
- developer: a developer installs systemd from git on a running system, and they
  don't want the installation to reset enablement of anything. So this change is
  either positive for them, or has no effect (if they have everything at
  defaults).

- package creation: we want to create symlinks using 'preset-all' and 'preset'
  on upgraded packages, we don't want to have any static symlinks. This change
  will remove the need to filter out symlinks in packaging and of course fix
  the original report.

- installation of systemd from scratch: this change means that without
  'preset-all' the system will not be functional. This case could be affected
  negatively by this change, but I think it's enough of a corner case to accept
  this. In practice I expect people to build a package, not installl directly
  into the file system, so this might not even matter in practice.

Creating those symlinks was probably the right thing in the beginning, but
nowadays the preset system is very well established and people expect it to
be honoured. Ignoring the presets and doing static configuration is not welcome
anymore.

Note: during package installation, either 'preset-all' or 'preset getty@.service
machines.target remote-cryptsetup.target remote-fs.target
systemd-networkd.service systemd-resolved.service
systemd-networkd-wait-online.service systemd-timesyncd.service' should be called.

[1] https://bodhi.fedoraproject.org/updates/FEDORA-2019-616045ca76

meson: indentation

Merge pull request #12156 from yuwata/fix-bootspec-memleaks

bootspec: fix memleaks

po: update ja.po

test-network: add test for NetDev.Name= conflict

udev: shorten code a bit

network: add '=' to config key names in log

Also, long lines are wrapped.

network: do not abort execution when NetDev.Name= conflicts

This also changes that .netdev files are loaded in ascending order.
Otherwise, when NetDev.ifname= setting conflicts with other .netdev file,
then .netdev file with large prefix number wins.

test-network: add test for drop-in [WireGuardPeer] section

This also merges the two wireguard tests, and use wait_online()
to speed up the test.

bootspec: fix memleak caused by setting invalid cleanup function

bootspec: add missing free() in boot_config_free()

Merge pull request #12147 from yuwata/network-gre-key-12144

network: make GRE and GRETAP support Key= or friends

test-network: test stacked erspan tunnels

man: update Tunnel.Key= and friends

network: make GRE and GRETAP support Key=, InputKey=, OutputKey=, and SerializeTunneledPackets=

This also merge netdev_gre_fill_message_create() and netdev_erspan_fill_message_create().

Merge pull request #12048 from jengelh/master

rpm: avoid hiding errors from systemd commands