Smack - relabel directories and files created by systemd

Systemd creates directories in /dev. These directories will
get the label of systemd, which is the label of the System
domain, which is not accessable to everyone. Relabel the
directories, files and symlinks created so that they can be
generally used.

Change-Id: I59f81c4be116647748a4ca3a94f9061c1b64fb85
Signed-off-by: Casey Schaufler <casey.schaufler@intel.com.com>

Update to v208

Fixes an issue with IVI bootup: TIVI-2197

Change-Id: I9ab660a9babd2e160aef2f441c6824a49d43f4c6
Signed-off-by: Patrick McCarty <patrick.mccarty@linux.intel.com>

Update changelog

Change-Id: I3922fda773079094b9d45aca1043bbc45ccd3d9a
Signed-off-by: Patrick McCarty <patrick.mccarty@linux.intel.com>

Remove temporary Smack rules

Now that the 'default-ac-domains' package is being used to define the
foundational set of Smack rules, the conflicting rules should be removed
from the systemd package.

Change-Id: I0cbf63fbf25b25ff8d4d34f7c53d4e6c37d5eee0
Signed-off-by: Patrick McCarty <patrick.mccarty@linux.intel.com>

[backport] Support additional argument in reboot

reboot syscall can be performed with an additional argument. In some
systems this functionality can be useful to modify the mode of the
next boot performed by the bootloader.

Change-Id: I99fe238c83da12937b9280dbc8feff9e70e7d178
Signed-off-by: WaLyong Cho <walyong.cho@samsung.com>
Signed-off-by: Sangjung Woo <sangjung.woo@samsung.com>

Update changelog

Change-Id: I3c7e299b98badfc08f8ffbab563baf4d5c6688ad
Signed-off-by: Rusty Lynch <rusty.lynch@intel.com>

Set Smack ambient to match run label.

Set the Smack networking ambient label to match the
run label of systemd. System services may expect to
communicate with external services over IP. Setting
the ambient label assigns that label to IP packets
that do not include CIPSO headers. This allows systemd
and the services it spawns access to unlabeled IP
packets, and hence external services.

A system may choose to restrict network access to
particular services later in the startup process.
This is easily done by resetting the ambient label
elsewhere.

Change-Id: Ia9c8d8744b732b2ee1126d2e446585d16fa56908
Signed-off-by: Casey Schaufler <casey.schaufler@intel.com>

Smack sharing of /run

Make /run a transmuting directory to enable systemd
communications with services in the User domain.

Add more devices that require general access.
Mount /tmp publicly accessable.

Signed-off-by: Casey Schaufler <casey.schaufler@intel.com>
Change-Id: I85f4b386978b7a993938557f8739067f3183e432

Add a permissive set of Smack rules

- These rules are here temporarily until all issues have
  been worked out. Then they will be placed in the proper
  location. This is solely for developers ease of use.

Change-Id: I0a35a70a99c4bf8fbb245c96a19c8c5bfa0c6a38
Signed-off-by: Michael Demeter <michael.demeter@intel.com>

Smack enabled systems need /dev special devices correctly labeled

- Add AC_DEFINE for HAVE_SMACK to configure.ac
- Add Check for smack in Makefile.am to include smack default rules
- Add smack default rules to label /dev/xxx correctly for access

Change-Id: Iab07eb632b487b9ac4567cd08d0da6879709d44f
Signed-off-by: Michael Demeter <michael.demeter@intel.com>

Add systemd-system.rule workaround to fix the boot

Until the Smack three-domain system is in place, and systemd is running
with label "System", then "System" should have access to the default
floor domain and vice versa.

Change-Id: I52bf275eeebbc08f5243690647084fb9f3e8d8eb
Signed-off-by: Patrick McCarty <patrick.mccarty@linux.intel.com>

Add System label to systemd

Change-Id: I5f5ba4e7a0279db514b428be14846adbd1994b72
Signed-off-by: William Douglas <william.douglas@intel.com>

Run with a custom SMACK domain (label).

Allows the systemd --system process to change its current
SMACK label to a predefined custom label (usually "system")
at boot time.

This is needed to have a few system-generated folders and
sockets automatically be created with the right SMACK
label. Without that, processes either cannot communicate with
systemd or systemd fails to perform some actions.

Change-Id: Ie0427422407cd1b7ffa94f6f3b1b918b2c03bb0f

Mount /run, /dev/shm usable to tasks when using SMACK.

Once systemd itself is running in a security domain for SMACK,
it will fail to start countless tasks due to missing privileges
for mounted and created directory structures. For /run and shm
specifically, we grant all tasks access.

These 2 mounts are allowed to fail, which will happen if the
system is not running a SMACK enabled kernel or security=none is
passed to the kernel.

Change-Id: I0b2af620b69f86f5b4a1536959e502b1328c1f27

Update .changes for a new release

Change-Id: Ib212c50603ad9546c6787b3b48e9f355eefaddca
Signed-off-by: Mikko Ylinen <mikko.ylinen@intel.com>

install pamconsole-tmp.conf into /usr/lib/..

it was incorrectly installed in /usr/lib64 on x86_64 systems.

Signed-off-by: Anas Nashif <anas.nashif@intel.com>

[systemd upgrade] Import platform restart from RSA

Platform restart functionality patch reorganized.

 Previous patch made by Sangjung Woo <sangjung.woo@samsung.com>
 had to be reorganized to ensure that it may be applied on any
 systemd version. Now it is applied without modifying any
 systemd files (ex. Makefile).

Change-Id: I187f05c24f3e8267a9e88c11a0a9ca84a6ae7d71
Signed-off-by: Krzysztof Opasiak <k.opasiak@samsung.com>

[systemd upgrade] Add pamconsole-tmp.conf from RSA

Change-Id: I4a80b0a472711d20d42d4b24f1a6d382d4df166a
Signed-off-by: Maciej Wereski <m.wereski@partner.samsung.com>

Update changelog

Allow swap to be activated concurrently with sysinit target

resetting manifest requested domain to floor

own directories

Add changelog entry

Change-Id: I73f7f7934b1bbc861095aee26812ed917c3c3369

libsystemd: remove explicit dependency on systemd

There is a circular dependency between the systemd and libsystemd
packages; during a package build, the dependency chain is broken and the
installation order may be incorrect.

By removing the explicit dependency on systemd for libsystemd, the
circular dependency is removed.

Change-Id: I887b42ad1870fe04aad0ce694fb6f2bbd3e82772

Update to v204

update to v204

add gbs.conf

Adding smack label support for udev

Update to 2.01

Update version to v200

Update to v199

Fixed package groups

Update to v198

Updater to v198

Fix the dangling /var/lock -> /run/lock symlink

In upstream systemd, legacy.conf, which creates /run/lock, is only
installed when sysvcompat is enabled, but this breaks the /var/lock
symlink. Installing legacy.conf fixes the issue.

Change-Id: Id287d8206ae1052899048247eb532fee8fa126c5

Add baselibs.conf to support multilib

Enable readahead services

Change-Id: I4751eb0c58d20ffe5f61eb0440ccc1c56ce39087

disable sysv compatibility

define %_unitdir_user macro for user session units

add %install_service macro

add packaging

cgroup: there's no point in labelling cgroupfs dirs, so let's not do that

This allows us to get rid of the dep on libsystemd-label for cgroup
management.

https://bugs.freedesktop.org/show_bug.cgi?id=69966

build-sys: mkdir.[ch] should be in libsystemd-shared

Otherwise, why is mkdir-label.[ch] split out?

build-ss: prepare new release

hashmap: randomize hash functions a bit

Update TODO

Remove "logind fbdev removal" as it is no longer supported.

logind: remove fbdev session-device support

fbdev does not support access-handover so it is quite useless to route it
through logind. If compositors want to use it they ought to open it
themselves. It's highly recommended to be ignored entirely, though. fbdev
is about to be deprecated in the kernel.

logind: run with CAP_SYS_ADMIN

DRM Master access requires CAP_SYS_ADMIN, yay! Add it to the capability
bounding set for systemd-logind. As CAP_SYS_ADMIN actually allows a huge
set of actions, this mostly renders the restriction-set useless. Anyway,
patches are already pending to reduce the restriction on the kernel side.
But these won't really make it into any stable-release so for now we're
stuck with CAP_SYS_ADMIN.

logind: send PropertyChanged during deactivation

We only send the PropertyChanged signal for the to-be-activated session
but not for the to-be-deactivated one. Fix that so both listeners get
notified about the new state.

logind: check whether first drmSetMaster succeeded

The initial drmSetMaster may fail if there is an active master already. We
must not assume that all existing clients comply to logind rules. We check
for this during session-activation already but didn't during device setup.
Fix this by checking the return code.

As drmSetMaster has had horrible return codes in the past (0 for failure?
EINVAL for denied access, ..) we need to be quite pedantic. To guarantee
an open file-descriptor we need to close the device and reopen it without
master if setting master failed first.

logind: fix session-device dbus notify

Had this fix lying around here for some time. Thanks to missing
type-checking for va-args we passed in the actual major/minor values
instead of pointers to it. Fix it by saving the values on the stack first
and passing in the pointers.

kernel-install: add compat with 'installkernel'

If 'kernel-install' is called as 'installkernel' it will be compatible with the
syntax used by the kernel's build system.

This means it can be called by doing 'make install' in a kernel build
directory, if the correct symlink has been installed (which we don't do by
default yet).

[Edit harald@redhat.com: removed basename and use shift]

update TODO

core: whenever a new PID is passed to us, make sure we watch it

util.c: ignore pollfd.revent for loop_read/loop_write

Let read()/write() report any error/EOF.

units: Add SHELL environment variable

With the advent of systemd --user sessions, it's become very interesting to spawn X as a user unit, as well as accompanying processes that may have previously been in a .xinitrc/.xsession, or even just to replace a collection of XDG/GDM/KDM/etc session files with independent systemd --user units. The simplest case here would be to login on a tty, with the traditional /usr/sbin/login "login manager".

However, systemd --user (spawned by user@.service) is at the top level of the slice for the user, and does not inherit any environment variables from the login process. Given the number of common applications which rely on SHELL being set in the environment, it seems like the cleanest way to provide this variable is to set it to %s in the user@.service.

Ideally in the long-term, applications which rely on SHELL being set should be fixed to just grab it from getpwnam() or similar, but until that becomes more common, I propose this simple change to make user sessions a little bit nicer out of the box.

build-sys: don't fallback to upstart defaults

systemctl: remove legacy upstart compatibility

smack-setup: fix path to Smack/CIPSO mappings

The correct path to the dir with CIPSO mappings is /etc/smack/cipso.d/;
/etc/smack/cipso is a file that can include these mappings as well,
though it is no longer supported in upstream libsmack.

Revert "build-sys: link libsystemd-login with libsystemd-label.la"

Systemd-logind does not pull in cg_create(), if we unconditionally link
this, all users of systemd-logind qill need the label stuff and therefore
link against selinux.

It is probably a build-system issue, or something that need to be sorted
out in a differnt way than linking not needed libs.

This reverts commit ceadabb102b05b237bfab11e1f742975ee4daeb1.

Update TODO

hashmap: size hashmap bucket array dynamically

Instead of fixing the hashmap bucket array to 127 entries dynamically
size it, starting with a smaller one of 31. As soon as a fill level of
75% is reached, quadruple the size, and so on.

This should siginficantly optimize the lookup time in large tables
(from O(n) back to O(1)), and save memory on smaller tables (which most
are).

local: fix memory leak when putting together locale settings

Also, we need to use proper strv_env_xyz() calls when putting together
the environment array, since otherwise settings won't be properly
overriden.

And let's get rid of strv_appendf(), is overkill and there was only one
user.

main: don't free fds array twice

logs-show.c: show all messages for a slice

build-sys: link libsystemd-login with libsystemd-label.la

libsystemd-login.la uses cg_create() that currently seems to be a part
of libsystemd-label.la. However, it doesn't link against that library
and it seems that none of the (unconditional) libraries it uses do. In
the end, people end up getting «undefined reference to `cg_create'»
when trying to build e.g. dbus.

man: mention the systemd homepage from systemd(1)

update TODO

man: link cgroups api docs from relevant man pages

set IgnoreOnIsolate=true for systemd-cryptsetup@.service

When crypttab contains noauto, cryptsetup service does not have any
explicit dependencies. If service is started later manually (directly or via
mount dependency) it will be stopped on isolate.

mount units already have IgnoreOnIsolate set by default. Set it by
default for cryptsetup units as well.

Fix buffer overrun when enumerating files

https://bugs.freedesktop.org/show_bug.cgi?id=69887

Based-on-a-patch-by: Hans Petter Jansson <hpj@copyleft.no>

kmod-static-nodes: condition execution on modules.devname

Add a bit more explicit message, to help confused users

Seeing http://www.happyassassin.net/2013/09/27/further-sysadmin-adventures-wheres-my-freeipa-badge/
it seems that the default message is a bit confusing for people
who never encountered it before, so adding a link to the manpage could
help them.

kernel-install: avoid using 'cp --preserve'

Force 0644 and root:root instead, to avoid problems with fat filesystems.

build-sys: restore detection of sphinx

Do not use unitialized variable and remove duplicated line

Update TODO

swap: properly expose timeout property on the bus

dbus: fix introspection for TimerSlackNSec

systemctl: make sure set-property mangles unit names

man: drop references to "cgroup" wher appropriate

Since cgroups are mostly now an implementation detail of systemd lets
deemphasize it a bit in the man pages. This renames systemd.cgroup(5) to
systemd.resource-control(5) and uses the term "resource control" rather
than "cgroup" where appropriate.

This leaves the word "cgroup" in at a couple of places though, like for
example systemd-cgtop and systemd-cgls where cgroup stuff is at the core
of what is happening.

core: drop some out-of-date references to cgroup settings

logind: never consider a closing session relevant for PK checks

https://bugzilla.redhat.com/show_bug.cgi?id=1010215

main: set umask before creating any files

This avoids a problem when we inherit a non-zero umask from the
initramfs. This would cause /run/systemd to be created with the wrong
mode.

logind: if a user is sitting in front of the computer and can shutdown the machine anyway he should also be able to reboot it

core: rework how we match mount units against each other

Previously to automatically create dependencies between mount units we
matched every mount unit agains all others resulting in O(n^2)
complexity. On setups with large amounts of mount units this might make
things slow.

This change replaces the matching code to use a hashtable that is keyed
by a path prefix, and points to a set of units that require that path to
be around. When a new mount unit is installed it is hence sufficient to
simply look up this set of units via its own file system paths to know
which units to order after itself.

This patch also changes all unit types to only create automatic mount
dependencies via the RequiresMountsFor= logic, and this is exposed to
the outside to make things more transparent.

With this change we still have some O(n) complexities in place when
handling mounts, but that's currently unavoidable due to kernel APIs,
and still substantially better than O(n^2) as before.

https://bugs.freedesktop.org/show_bug.cgi?id=69740

unit-name: when escaping a path consider the empty path identical to the root dir

util: properly handle the root dir in PATH_FOREACH_PREFIX

Also add PATH_FOREACH_PREFIX_MORE which includes the specified dir
itself in the iteration

cgroup: when referencing cgroup controller trees allow omission of the path

Move part of logind.c into a separate file

liblogind-core.la was underlinked, missing a few functions
defined in logind.c. They are moved to a new file, logind-core.c,
and this file is linked into liblogind-core.la.
In addition, logind-acl.c is attached to the liblogind-core.la,
instead of systemd-logind directly.

Move functions around to fix underlinking in test-machine-tables

build-sys: add ./configure --enable-address-sanitizer

Enabling address sanitizer seems like a useful thing, but is quite
tricky. Proper flags have to be passed to CPPFLAGS, CFLAGS and
LDFLAGS, but passing them on the commandline doesn't work because
we tests are done with ld directly, and not with libtool like in
real linking. We might want to fix this, but let's add a handy
way to enable address checking anyway.

journald: accept EPOLLERR from /dev/kmsg

Also print out unexpected epoll events explictly.

test-hashmap: fix access to uninitialized memory

execute.c: little modernization

util: add macro for iterating through all prefixes of a path

Syntactic sugar in a macro PATH_FOREACH_PREFIX.

keymap: Add Samsung Ativ 9 Plus

https://launchpad.net/bugs/1229936

cgroup: if we do a cgroup operation then do something on all supported controllers

Previously we did operations like attach, trim or migrate only on the
controllers that were enabled for a specific unit. With this changes we
will now do them for all supproted controllers, and fall back to all
possible prefix paths if the specified paths do not exist.

This fixes issues if a controller is being disabled for a unit where it
was previously enabled, and makes sure that all processes stay as "far
down" the tree as groups exist.

journalctl(1): s/adm/systemd-journal/

logind: return -EINVAL when PID is wrong

dbus-send --print-reply --system --dest=org.freedesktop.login1
/org/freedesktop/login1 org.freedesktop.login1.Manager.GetUserByPID
uint32:0
causes
systemd-logind[29843]: Assertion 'pid >= 1' failed at
src/login/logind.c:938, function manager_get_user_by_pid(). Aborting.