Merge the "boot loader specification" wiki page

Add description of field correspondence

units: Add new system-update-pre.target

systemd offline-updates allows dropping multiple system update units
to be added to system-update.target.wants.

As documented in systemd.offline-updates(7) only 1 of these units
should actually be active (based on the /system-update symlink) and
when that unit is done it should reboot the system.

In some cases it is desirable to run a unit whenever booting in
offline-updates mode indepedent of which update unit is going to
handle the update. One example of this is integration with bootloader
code which checks if the previous boot was succesful.

Since the active unit will reboot the system when it is done, there
is no guarantee that adding such a unit to system-update.target.wants
will get it executed always.

This commit adds a system-update-pre.target which can be used for
units which should always run when booting in offline-updates mode.

Also add link to the systemd-boot man page

Note that the link is dead right now, because we haven't released v239
which contains the rename sd-boot → systemd-boot.

Add a description of unified kernel images

Rename sd-boot to systemd-boot

C.f. 70c8db755558927bdea56e9571c5d71300a81e8e.

Wording and formatting updates

UTF-8 is not a character set. Unicode is the character set. UTF-* are encodings.

scsi_id: Fixup prefix for pre-SPC inquiry reply

The prefix for EMC Symmetrix pre-SPC VPD inquiry reply
is always SCSI_ID_NAA, so we need to hardcode it to
avoid false values here.

Signed-off-by: Hannes Reinecke <hare@suse.com>

BLS: allow /boot, /efi, and mention /boot/efi

BLS: remove trailing whitespace

Reference sd-boot/bootctl instead of gummiboot

https://github.com/systemd/systemd/issues/2751

Update link to grub2 patch

Require a VFAT filesystem

Rename back to "The Boot Loader Specification"

Add table of GPT identifiers

Rename to "The Discoverable Partitions Specification"

Drop 'fdt', 'devicetreedir', 'fdtdir' description again

Update 'devicetreedir' description

Add fdt, devicetreedir and fdtdir

Add 'devicetree'

Update formatting

Fix Fedora Grub2 Boot Loader Speficiation patch

Add links

Split paragraphs

fixed example file

moin2mdwn: convert page Specifications/BootLoaderSpec

[zj: change file path and name and extension]

add _AUDIT_TYPE_NAME field to audit records in the journal

resolved: move dot to end of sentence

Noticed in #9285.

man: avoid "predicate" in coredumpctl match description

"Predicate" might not be clear to everyone, it is a CS term.

Fixes #9324.

sd-bus: fix typo in comment

tree-wide: do not assign values if not used

Merge pull request #9330 from yuwata/ja-po-portable

portable: update polkit messages

mount: do not output (null) in option

Fixes #9327.

po: update Japanese translations

portable: update polkit messages

Correct a number of trivial typos.

po: update Russian translation

Portable service stuff.

Translated "inspect portable service" as "прочитать образ переносимой
службы" ("read the portable service image"), because there is no exact
Russian analog for "inspect" ("инспектировать" has a slightly different
meaning). I think reading (some data from) images is the main job for
bus_image_common_get_metadata and bus_image_common_get_os_release, so
this translation will be more or less correct.

do not filter out deprecated USER audit messages

shared: do not include ~ when appending syscall filters property

The method already uses a boolean argument to determine whether it is in
whitelist mode or not. The code that will parse the string of filters
does not expect the ~, since it already has the boolean argument. Thus,
it will fail to parse the list of filters.

Fix orientation sensor position for Lenovo Miix 510

Looks like the Miix 510 has the same sensor and placement as the Miix 320
(put it separate for clarity)

Verified on own hardware

hwdb: fix backlash/pipe on Librem 13v3

Merge pull request #9307 from yuwata/man-sd-boot

man: use systemd-boot instead of sd-boot

Merge pull request #8766 from poettering/syscall-filter-service

add a new `@system-service` syscall group that is good as a starting point for whitelisting syscalls

namespace: drop protect_{home,system}_or_bool_from_string()

The functions protect_{home,system}_from_string() are not used
except for defining protect_{home,system}_or_bool_from_string().
This makes protect_{home,system}_from_string() support boolean
strings, and drops protect_{home,system}_or_bool_from_string().

man: re-format man page for bootctl

man: use systemd-boot instead of sd-boot

Merge pull request #9303 from poettering/busctl-fixlets

tiny busctl fixlets

NEWS: rework the description of device naming changes

We really should try to be as precise as possible here. Saying
"your interfaces might be renamed" scares the shit of out people,
for obvious reasons. This change only touches some niche cases
fortunately, let's make this clear.

NEWS: update contributor list to current git

resolved: fix error handling in resolved-dns-stream

During the transition from system functions using errno to our own read and write functions with negative return codes some errors where introduced. This patch correctly convert errno to negative return codes for read and write and fix checks still using errno instead of the return code.

Closes #9283

update NEWS

portable: add SystemCallFilter=@system-service to the three main portable service profiles

… but leave the "trusted" profile unmodified, it shall have full access
to all system calls, as before.

units: switch from system call blacklist to whitelist

This is generally the safer approach, and is what container managers
(including nspawn) do, hence let's move to this too for our own
services. This is particularly useful as this this means the new
@system-service system call filter group will get serious real-life
testing quickly.

This also switches from firing SIGSYS on unexpected syscalls to
returning EPERM. This would have probably been a better default anyway,
but it's hard to change that these days. When whitelisting system calls
SIGSYS is highly problematic as system calls that are newly introduced
to Linux become minefields for services otherwise.

Note that this enables a system call filter for udev for the first time,
and will block @clock, @mount and @swap from it. Some downstream
distributions might want to revert this locally if they want to permit
unsafe operations on udev rules, but in general this shiuld be mostly
safe, as we already set MountFlags=shared for udevd, hence at least
@mount won't change anything.

seccomp: explain why we use setuid rather than @setuid in @privileged

seccomp: add new system call filter, suitable as default whitelist for system services

Currently we employ mostly system call blacklisting for our system
services. Let's add a new system call filter group @system-service that
helps turning this around into a whitelist by default.

The new group is very similar to nspawn's default filter list, but in
some ways more restricted (as sethostname() and suchlike shouldn't be
available to most system services just like that) and in others more
relaxed (for example @keyring is blocked in nspawn since it's not
properly virtualized yet in the kernel, but is fine for regular system
services).

mkosi: add mkosi snippet for ubuntu, too

Merge pull request #9301 from keszybz/man-drop-authorgroup

man: drop unused <authorgroup> tags from man sources

busctl: make use of log_error_errno() where we can

busctl: add 'const' where we can

busctl: use fflush_and_check() where appropriate

Merge pull request #9302 from keszybz/drop-my-copyright-and-some-license-tags

Drop my copyright and some license tags

Drop more license boilerplate

$ git grep -e 'This program is free software' -l |grep -v LICENSE | \
  xargs perl -i -0pe 's/ \* This program.*?for more details.\s*\*\n( \* You should have.*licenses.>.\n)?//gms'

For some reason they were missed previously. All those files seem to
have proper SDPX tags.

Fix SPDX license tags

Drop my copyright headers

perl -i -0pe 's/\s*Copyright © .... Zbigniew Jędrzejewski.*?\n/\n/gms' man/*xml
git grep -e 'Copyright.*Jędrzejewski' -l | xargs perl -i -0pe 's/(#\n)?# +Copyright © [0-9, -]+ Zbigniew Jędrzejewski.*?\n//gms'
git grep -e 'Copyright.*Jędrzejewski' -l | xargs perl -i -0pe 's/\s*\/\*\*\*\s+Copyright © [0-9, -]+ Zbigniew Jędrzejewski[^\n]*?\s*\*\*\*\/\s*/\n\n/gms'
git grep -e 'Copyright.*Jędrzejewski' -l | xargs perl -i -0pe 's/\s+Copyright © [0-9, -]+ Zbigniew Jędrzejewski[^\n]*//gms'

Also drop <authorgroup> from autogenerated pages

man: drop unused <authorgroup> tags from man sources

Docbook styles required those to be present, even though the templates that we
use did not show those names anywhere. But something changed semi-recently (I
would suspect docbook templates, but there was only a minor version bump in
recent years, and the changelog does not suggest anything related), and builds
now work without those entries. Let's drop this dead weight.

Tested with F26-F29, debian unstable.

$ perl -i -0pe 's/\s*<authorgroup>.*<.authorgroup>//gms' man/*xml

Merge pull request #9274 from poettering/comment-header-cleanup

drop "this file is part of systemd" and lennart's copyright from header

Merge pull request #9199 from poettering/copy-file-atomic

make copy_file_atomic() use O_TMPFILE to create the destination file

namespace: always use a root directory when setting up namespace

1) mv /var/tmp /var/tmp.old
2) mkdir /tmp/varrr
3) ln -s /tmp/varrr /var/tmp

Now, when a service has PrivateTmp=yes, during namespace setup,
/tmp is first mounted over with a new mount. Then, when /var/tmp
is being resolved, it points to /tmp/varrr, which by then doesn't
exist, because it had already been obscured.

Merge pull request #9297 from yuwata/rfe-9296

timesync: ignore any errors related to timestamp file

tree-wide: beautify remaining copyright statements

Let's unify an beautify our remaining copyright statements, with a
unicode ©. This means our copyright statements are now always formatted
the same way. Yay.

tree-wide: remove Lennart's copyright lines

These lines are generally out-of-date, incomplete and unnecessary. With
SPDX and git repository much more accurate and fine grained information
about licensing and authorship is available, hence let's drop the
per-file copyright notice. Of course, removing copyright lines of others
is problematic, hence this commit only removes my own lines and leaves
all others untouched. It might be nicer if sooner or later those could
go away too, making git the only and accurate source of authorship
information.

grypt-util: drop two emacs modelines

No idea why they didn't get removed earlier...

po: drop copyright lines referencing COPYRIGHT HOLDER

These lines are template lines that never got filled in. Let's drop
them, as they carry zero information and are just useless.

tree-wide: use proper unicode © instead of (C) where we can

Let's use a proper unicode copyright symbol where we can, it's prettier.

This important patch is very important.

tree-wide: drop 'This file is part of systemd' blurb

This part of the copyright blurb stems from the GPL use recommendations:

https://www.gnu.org/licenses/gpl-howto.en.html

The concept appears to originate in times where version control was per
file, instead of per tree, and was a way to glue the files together.
Ultimately, we nowadays don't live in that world anymore, and this
information is entirely useless anyway, as people are very welcome to
copy these files into any projects they like, and they shouldn't have to
change bits that are part of our copyright header for that.

hence, let's just get rid of this old cruft, and shorten our codebase a
bit.

locale-util: on overlayfs FTW_MOUNT causes nftw(3) to not list *any* files

On overlayfs, FTW_MOUNT causes nftw to not list *any* files because the
condition used by glibc to verify that it's on the same mountpoint doesn't work
on overlayfs, see https://bugzilla.suse.com/show_bug.cgi?id=1096807 for the
details.

However using FTW_MOUNT doesn't seem to be really needed when walking through
the keymap directorie tree. So until the glibc or the kernel is fixed (which
might take some time), let's make localectl works with overlayfs.

There's a small side effect here, by which regular (non-directory) files with
bind mounts will be parsed while they were skipped by the previous logic.

timedatectl: add 'show' command to display machine-readable output

Closes #9249.

Merge pull request #9193 from keszybz/coverity

Coverity support for glibc-2.27

resolve: rename PrivateDNS to DNSOverTLS

PrivateDNS is not considered a good name for this option, so rename it to DNSOverTLS

Merge pull request #9263 from poettering/log-serialize

save/restore log level across daemon reexec

timesync: ignore any errors related to timestamp file

sysusers: use fchmod_and_chown()

fs-util: introduce fchmod_and_chown()

The new function fchmod_and_chown() is almost same as chmod_and_chown()
except it takes file descriptor instead of file path.

Merge pull request #9291 from poettering/nspawn-fixlets

tiny nspawn fixlets

Merge pull request #9290 from poettering/radv-fixlets

tiny sd-radv fixlets

machine: ignore containers which disable private user namespace in MapToMachine{User,Group}

Fixes #9286.

main: simplify arg_system initialization a bit

For both branches of the if check it's the first line, hence let's just
do it before.

pid1: preserve current value of log target across re-{load,execution}

To make debugging easier, this patches allows one to change the log target and
do reload/reexec without modifying configuration permanently, which makes
debugging easier.

Indeed if one changed the log target at runtime (via the bus or via signals),
the change was lost on the next reload/reexecution.

In order to restore back the default value (set via system.conf, environment
variables or any other means ), the empty string in the "LogTarget" property is
now supported as well as sending SIGTRMIN+26 signal.

pid1: preserve current value of log level across re-{load,execution}

To make debugging easier, this patches allows one to change the log level and
do reload/reexec without modifying configuration permanently, which makes
debugging easier.

Indeed if one changed the log max level at runtime (via the bus or via
signals), the change was lost on the next daemon reload/reexecution.

In order to restore the original value back (set via system.conf, environment
variables or any other means), the empty string in the "LogLevel" property is
now supported as well as sending SIGRTMIN+23 signal.

nspawn: free global variables before exiting

This doesn't really matter much, but is prettier for valgrind

sd-radv: use strv_isempty() where we can

sd-radv: normalize function parameters a bit

Let's add "const" where we don't change structures passed.

Also, we generally use "unsigned char" for IP prefix length values, do
so here too. Previously different parts of the sd-radv.h API used
different types for this.

sd-radv: close fd when destroying object

nspawn: drop unused parameter from one call

networkd: Don't try to close fd in sd_radv_stop if fd is closed.

sd_radv_stop is called from two places. if sd_radv_stop is alrady
success then just don't try to close it .
```
systemd-networkd[604]: RADV: Stopping IPv6 Router Advertisement daemon
systemd-networkd[604]: RADV: Unable to send last Router Advertisement with router lifetime set to zero: Bad file descriptor <==================HERE
systemd-networkd[604]: RADV: Updated prefix 2a0a:*:*:fc::/64 preferred 1h valid 2h
systemd-networkd[604]: RADV: Started IPv6 Router Advertisement daemon
```

Closes one of the issue #8960

Merge pull request #9261 from keszybz/drop-bool-casts

Drop bool casts

hwdb-update: make sure it works when run from meson

let's make the argument optional again, so that the command line "ninja
-C build hwdb-update" runs works.

hwdb: update from upstream

terminal-util: make file names in --cat-config output clickable links