core: add specifier expansion to ReadOnlyPaths= and friends

Expanding specifiers here definitely makes sense.

Also simplifies the loop a bit, as there's no reason to keep "prev" around...

core: add specifier expansion to RequiresMountsFor=

This might be useful for some people, for example to pull in mounts for paths
including the machine ID or hostname.

core: turn on specifier expansion for more unit file settings

Let's permit specifier expansion at a numbre of additional fields, where
arbitrary strings might be passed where this might be useful one day. (Or at
least where there's no clear reason where it wouldn't make sense to have.)

core: use unit_full_printf() at a couple of locations we used unit_name_printf() before

For settings that are not taking unit names there's no reason to use
unit_name_printf(). Use unit_full_printf() instead, as the names are validated
anyway in one form or another after expansion.

core: resolve more specifiers in unit_name_printf()

unit_name_printf() is usually what we use when the resulting string shall
qualify as unit name, and it hence avoids resolving specifiers that almost
certainly won't result in valid unit names.

Add a couple of more specifiers that unit_full_printf() resolves also to the
list unit_name_printf() resolves, as they are likely to be useful in valid unit
names too. (Note that there might be cases where this doesn't hold, but we
should still permit this, as more often than not they are safe, and if people
want to use them that way, they should be able to.)

man: drop reference to %U being useless

This paragraph was a missed left-over from
79413b673b45adc98dfeaec882bbdda2343cb2f9. Drop it now.

core: move specifier expansion out of service.c/socket.c

This monopolizes unit file specifier expansion in load-fragment.c, and removes
it from socket.c + service.c. This way expansion becomes an operation done exclusively at time of loading unit files.

Previously specifiers were resolved for all settings during loading of unit
files with the exception of ExecStart= and friends which were resolved in
socket.c and service.c. With this change the latter is also moved to the
loading of unit files.

Fixes: #3061

dhcp: bind udp sockets to interfaces (#4822)

Merge pull request #4841 from hadess/oke-barcode-reader

hwdb: Add fixed layout for a few devices

calendarspec: always interpret missing seconds as :00 (#4813)

"*:*" should be equivalent to "*-*-* *:*:00" (minutely)
rather than running every microsecond.

Fixes #4804

networkd: Use dhcp correct type for IP port (#4840)

Fixes: #4839

core: introduce parse_ip_port (#4825)

1. Listed in TODO.
2. Tree wide replace safe_atou16 with parse_ip_port incase
   it's used for ports.

hwdb: Add fixed layout for another Yubikey

hwdb: Add fixed layout for OKE barcode reader

time-util: accept "µs" as time unit, in addition to "us" (#4836)

Let's accept "µs" as alternative time unit for microseconds. We already accept
"us" and "usec" for them, lets extend on this and accept the proper scientific
unit specification too.

We will never output this as time unit, but it's fine to accept it, after all
we are pretty permissive with time units already.

rules: consider MMC device partitions with partition number > 9 (#4831)

Add entries for extra partitions found on MMC devices (common in Chromebooks).

Merge pull request #4838 from phomes/misc-cleanup2

Misc cleanups

core: remove unused variable

udev: remove duplicate flag

One SA_RESTART is enough. Fall out from
e28c7cd0665364bb910fe2cead882623c23c28ac

man: Document return value of event source prepare callback (#4834)

nspawn: don't hide --bind=/tmp/* mounts (#4824)

Fixes #4789

networkd: link_enter_configured remove assert (#4800)

When we are in link_enter_configured we assume that the
link->state should be LINK_STATE_SETTING_ROUTES but in some
situation it's LINK_STATlE_SETTING_ADDRESSES.

Just ignore the wrong state.

Also since the return value not used any where
make link_enter_configured return type void.

Fixes: #4746

journal: make sure to initially populate the space info cache (#4807)

Make sure to populate the cache in cache_space_refresh() at least once
otherwise it's possible that the system boots fast enough (and the journal
flush service is finished) before the invalidate cache timeout (30 us) has
expired.

Fixes: #4790

cgroup: properly check for ignore-notfound paths (#4803)

Follow-up to #4687 and e7330dfe14b1965f.

treewide: fix typos (#4802)

Merge pull request #4228 from dm0-/coreos-1554

networkd: support marking links unmanaged

Merge pull request #4797 from keszybz/pylint

Python cleanups based on pylint advice

python: use raw strings for regexp patterns

Behaviour is not changed, because "unknown" escapes like \s or \d were not
substituted, but it's much nicer to use raw strings to avoid ambiguity.

hwdb_parse: adjust indentation and imports following pylint advice

(This commit is separate to make it easy to export to libinput.)

python: adjust imports, indentation, unused variables following pylint advice

acpi-update.py: there is no "Error" class

Evidently this code path was never hit, because we'd crash with NameError.
The exception message also seems bogus. So just replace the whole thing
with the standard exception for invalid input.

Spot inconsistent quoting (just one single quote) (#4732)

It is possible to specify only one quote in udev rules, which is not
detected as an invalid quoting (" instead of "" for empty string).

Technically this doesn't lead to a bug, because the string ends in two
terminating nul characters at this position, but a user should still be
reminded that his configuration is invalid.

networkd: VXLAN add better explanation for ARPProxy (#4781)

This closes #4768

networkd: support marking links unmanaged

networkd-test: define a utility class to simplify tests

rules: add persistent links for nbd devices (#4785)

https://bugs.debian.org/837999

Update boot.c (#4780)

Merge pull request #4694 from poettering/chase-everywhere

tree-wide: stop using canonicalize_file_name(), use chase_symlinks() …

Merge pull request #4778 from whot/xkb-fixed-layout

Xkb fixed layout

util-lib: rename CHASE_NON_EXISTING → CHASE_NONEXISTENT

As suggested by @keszybz

nspawn: improve log messages

When complaining about the inability to resolve a path, show the full path, not
just the relative one.

As suggested by @keszybz.

nspawn: optionally, automatically allocated --bind=/--overlay source from /var/tmp

This extends the --bind= and --overlay= syntax so that an empty string as source/upper
directory is taken as request to automatically allocate a temporary directory
below /var/tmp, whose lifetime is bound to the nspawn runtime. In combination
with the "+" path extension this permits a switch "--overlay=+/var::/var" in
order to use the container's shipped /var, combine it with a writable temporary
directory and mount it to the runtime /var of the container.

nspawn: permit prefixing of source paths in --bind= and --overlay= with "+"

If a source path is prefixed with "+" it is taken relative to the container's
root directory instead of the host. This permits easily establishing bind and
overlay mounts based on data from the container rather than the host.

This also reworks custom_mounts_prepare(), and turns it into two functions: one
custom_mount_check_all() that remains in nspawn.c but purely verifies the
validity of the custom mounts configured. And one called
custom_mount_prepare_all() that actually does the preparation step, sorts the
custom mounts, resolves relative paths, and allocates temporary directories as
necessary.

tree-wide: set SA_RESTART for signal handlers we install

We already set it in most cases, but make sure to set it in all others too, and
document that that's a good idea.

nspawn: add ability to configure overlay mounts to .nspawn files

Fixes: #4634

hwdb: add XKB_FIXED_LAYOUT/VARIANT to the keyboard hwdb

Yubikeys and other pseudo keyboards require that they are in the US layout,
otherwise the data they send is invalid. Add two new keys to signal this to
processes that handles (XKB) layouts.

hwdb: fix comment referring to rules file

60-keyboard.rules was renamed to 60-evdev.rules in 51c0c2869

Signed-off-by: Peter Hutterer <peter.hutterer@who-t.net>

nspawn: split out overlayfs argument parsing into a function of its own

Add overlay_mount_parse() similar in style to tmpfs_mount_parse() and
bind_mount_parse().

nspawn: use -ENOMEM instead of log_oom() in one case

The function is of the "library" kind and doesn't log ENOMEM in all other
cases, hence fix the one outlier.

nspawn: make use of CHASE_NON_EXISTING when locking image

If --template= is used on an image, then the image might not exist initially.
We can use CHASE_NON_EXISTING to properly lock the image already before it
exists. Let's do so.

nspawn: use the new CHASE_NON_EXISTING flag when resolving mount points

This restores the ability to implicitly create files/directories to mount
specified mount points on.

fs-util: add new CHASE_NON_EXISTING flag to chase_symlinks()

This new flag controls whether to consider a problem if the referenced path
doesn't actually exist. If specified it's OK if the final file doesn't exist.

Note that this permits one or more final components of the path not to exist,
but these must not contain "../" for safety reasons (or, to be extra safe,
neither "./" and a couple of others, i.e. what path_is_safe() permits).

This new flag is useful when resolving paths before issuing an mkdir() or
open(O_CREAT) on a path, as it permits that the file or directory is created
later.

The return code of chase_symlinks() is changed to return 1 if the file exists,
and 0 if it doesn't. The latter is only returned in case CHASE_NON_EXISTING is
set.

fs-util: add flags parameter to chase_symlinks()

Let's remove chase_symlinks_prefix() and instead introduce a flags parameter to
chase_symlinks(), with a flag CHASE_PREFIX_ROOT that exposes the behaviour of
chase_symlinks_prefix().

fs-util: change chase_symlinks() behaviour in regards to escaping the root dir

Previously, we'd generate an EINVAL error if it is attempted to escape a root
directory with relative ".." symlinks. With this commit this is changed so that
".." from the root directory is a NOP, following the kernel's own behaviour
where /.. is equivalent to /.

As suggested by @keszybz.

test-fs-util: add a test case with repeated ".." parts that would escape the root

nspawn: use chase_symlinks() on all paths specified via --tmpfs=, --bind= and so on

Fixes: #2860

fs-util: add chase_symlinks_prefix() and extend comments

chase_symlinks() currently expects a fully qualified, absolute path, relative
to the host's root as first argument. Which is useful in many ways, and similar
to the paths unlink(), rename(), open(), … expect. Sometimes it's however
useful to first prefix the specified path with the specified root directory.
Add a new call chase_symlinks_prefix() for this, that is a simple wrapper.

nspawn: coding style: don't mix variable declarations and function calls

nspawn: use realloc_multiply() where it makes sense

nspawn: accept --ephemeral --template= as alternative for --ephemeral --directory=

As suggested in PR #3667.

This PR simply ensures that --template= can be used as alternative to
--directory= when --ephemeral is used, following the logic that for ephemeral
options the source directory is actually a template.

This does not deprecate usage of --directory= with --ephemeral, as I am not
convinced the old logic wouldn't make sense.

Fixes: #3667

nspawn: properly handle image/directory paths that are symlinks

This resolves any paths specified on --directory=, --template=, and --image=
before using them. This makes sure nspawn can be used correctly on symlinked
images and directory trees.

Fixes: #2001

tree-wide: stop using canonicalize_file_name(), use chase_symlinks() instead

Let's use chase_symlinks() everywhere, and stop using GNU
canonicalize_file_name() everywhere. For most cases this should not change
behaviour, however increase exposure of our function to get better tested. Most
importantly in a few cases (most notably nspawn) it can take the correct root
directory into account when chasing symlinks.

core: make unit_free() accept NULL pointers

We generally try to make our destructors robust regarding NULL pointers, much
in the same way as glibc's free(). Do this also for unit_free().

Follow-up for #4748.

l10n: update line numbers in Czech translation (#4776)

systemctl: fix 'is-enabled' exit status on failure when executed in chroot (#4773)

As per use case we should allow ForwardDelaySec to be set as 0 (#4765)

So let's set ForwardDelaySec to USEC_INFINITY .

Reference:
https://wiki.linuxfoundation.org/networking/bridge#does-dhcp-work-overthrough-a-bridge

Merge pull request #4772 from martinpitt/hwdb

parse_hwdb: fix to work with pyparsing 2.1.10

hwdb/parse_hwdb.py: open files with UTF-8 mode

pyparsing uses the system locale by default, which in the case of 'C' (in lots
of build environment) will fail with a UnicodeDecodeError. Explicitly open it
with UTF-8 encoding to guard against this.

parse_hwdb: fix to work with pyparsing 2.1.10

pyparsing 2.1.10 fixed the handling of LineStart to really just apply to line
starts and not ignore whitespace and comments any more. Adjust EMPTYLINE to
this.

Many thanks to Paul McGuire for pointing this out!

test: retry checking for transient hostname in hostnamectl (#4769)

Sometimes setting the transient hostname does not happen synchronously, so
retry up to five times. It is not yet clear whether this is legitimate
behaviour or an underlying bug, but this will at least show whether the wrong
transient hostname is just a race condition or permanently wrong.

Fixes #4753

Merge pull request #4745 from joukewitteveen/notify

Improvements for notify services (including #4212)

service: new NotifyAccess= value for control processes (#4212)

Setting NotifyAccess=exec allows notifications coming directly from any
control process.

NEWS: mention more aggressive failing of notify services

bus-util: add protocol error type explanation

cgroup: support prefix "-" in cgroups whitelisting entries (#4687)

So far systemd-nspawn container has been creating files under
/run/systemd/inaccessible, no matter whether it's running in user
namespace or not. That's fine for regular files, dirs, socks, fifos.
However, it's not for block and character devices, because kernel
doesn't allow them to be created under user namespace. It results
in warnings at booting like that:

====
  Couldn't stat device /run/systemd/inaccessible/chr
  Couldn't stat device /run/systemd/inaccessible/blk
====

Thus we need to have the cgroups whitelisting handler to silently ignore
a file, when the device path is prefixed with "-". That's exactly the
same convention used in directives like ReadOnlyPaths=. Also insert the
prefix "-" to inaccessible entries.

networkctl: install zsh completion from #3062 (#4767)

zsh autocompletion provided by #3062 will be installed when networkd is
enabled.

ima: Write the policy filename into IMA's sysfs policy file (#4766)

IMA validates file signatures based on the security.ima xattr. As of
Linux-4.7, instead of copying the IMA policy into the securityfs policy,
the IMA policy pathname can be written, allowing the IMA policy file
signature to be validated.

This patch modifies the existing code to first attempt to write the
pathname, but on failure falls back to copying the IMA policy contents.

Merge pull request #4763 from keszybz/offline-update-loop

A fix for offline update loop

service: prevent registering control pids as the main pid

We assume a process can be only one of the two in service_sigchld_event.

service: only fail notify services on empty cgroup during start

We stay in the SERVICE_START while no READY=1 notification message has
been received. When we are in the SERVICE_START_POST state, we have
already received a ready notification. Hence we should not fail when the
cgroup becomes empty in that state.

units: add system-update-cleanup.service to guard against offline-update loops

Note: the name is "system-update-cleanup.service" rather than
"system-update-done.service", because it should not run normally, and also
because there's already "systemd-update-done.service", and having them named
so similarly would be confusing.

In https://bugzilla.redhat.com/show_bug.cgi?id=1395686 the system repeatedly
entered system-update.target on boot. Because of a packaging issue, the tool
that created the /system-update symlink could be installed without the service
unit that was supposed to perform the upgrade (and remove the symlink). In
fact, if there are no units in system-update.target, and /system-update symlink
is created, systemd always "hangs" in system-update.target. This is confusing
for users, because there's no feedback what is happening, and fixing this
requires starting an emergency shell somehow, and also knowing that the symlink
must be removed. We should be more resilient in this case, and remove the
symlink automatically ourselves, if there are no upgrade service to handle it.

This adds a service which is started after system-update.target is reached and
the symlink still exists. It nukes the symlink and reboots the machine. It
should subsequently boot into the default default.target.

This is a more general fix for
https://bugzilla.redhat.com/show_bug.cgi?id=1395686 (the packaging issue was
already fixed).

man: update the description of offline updates

- use "service" instead of "script", because various offline updaters that we have
  aren't really scripts, e.g. dnf-plugin-system-upgrade, packagekit-offline-update,
 fwupd-offline-update.
- strongly recommend After=sysinit.target, Wants=sysinit.target
- clarify a bit what should happen when multiple update services are started
- replace links to the wiki with refs to the man page that replaced it.

Merge pull request #4761 from fsateler/python3

Explicitly use python3 everywhere

networkd: move event loop handling out of the manager (#4723)

This will allow us to have several managers sharing an event loop
and running in parallel, as if they were running in separate processes.

The long term-aim is to allow networkd to be split into separate
processes, so restructure the code to make this simpler.

For now we drop the exit-on-idle logic, as this was anyway severely
restricted at the moment. Once split, we will revisit this as it may
then make more sense again.

Use python3 explicitly in all python scripts

build-sys: explicitly require python3

Otherwise python programs might be run with python2

socket-proxyd: Introduced dynamic connection limit via an option. (#4749)

udevd: check correct return value of fcntl() (#4758)

This looks like a copy&paste error from the code block above.

test: make transient hostname tests fail verbosely (#4754)

This test fails sometimes but it is hard to reproduce, so we need more
information what happens. Set journal log level to "debug" for the entirety of
networkd-test.py, and show networkd's and hostnamed's journals and the DHCP
server log on failure of the two test_transient_hostname* tests. Also sync the
journal before querying it to get more precise output.

This should help with tracking down issue #4753.

device: Avoid calling unit_free(NULL) in device setup logic (#4748)

Since a581e45ae8f9bb5c, there's a few function calls to
unit_new_for_name which will unit_free on failure. Prior to this commit,
a failure would result in calling unit_free with a NULL unit, and hit an
assertion failure, seen at least via device_setup_unit:

Assertion 'u' failed at src/core/unit.c:519, function unit_free().  Aborting.

Fixes #4747
https://bugs.archlinux.org/task/51950

Merge pull request #4736 from dobyrch/calendar-cleanup

calendarspec: miscellaneous parsing and formatting fixes

calendarspec: refactor format_chain()

Factor out repeated references to usec and remove nested ifs.

fix journald startup problem when code is compiled with -DNDEBUG (#4735)

Similar to this patch from here:
http://systemd-devel.freedesktop.narkive.com/AvfCbi6c/patch-0-3-using-assert-se-on-actions-with-side-effects-on-test-cases

If the code is compiled with -DNDEBUG which is the default for
some embedded buildsystems, systemd-journald does not startup
and silently fails.

Revert "hwdb/parse_hwdb.py: open files with UTF-8 mode"

"encoding" is not a valid Python 2 keyword, and despite the hashbang this
script can be called with Python 2.

This reverts commit 115a10c58d343d00b73bd9442f7ce6c294debad8.

calendarspec: rename "eom" to "end_of_month"

calendarspec: make specifications with ranges reversible

"*-*-01..03" is now formatted as "*-*-01..03" instead of "*-*-01,02,03"

calendarspec: allow whole second ranges

Previously a string like "00:00:01..03" would fail to parse due to the
ambiguity between a decimal point and the start of a range.

calendarspec: make specifications with seconds wildcard reversible

"*:*:*" is now formatted as "*:*:*" instead of "*:*:00/1"

calendarspec: reject strings with spurious spaces and signs

strtoul() parses leading whitespace and an optional sign;
check that the first character is a digit to prevent odd
specifications like "00:  00:  00" and "-00:+00/-1".

calendarspec: reject open weekday ranges

Forbid open ranges like "Tue.."; trailing commas are still OK.