Merge pull request #8296 from poettering/resolvconf

resolvconf(8) compat interface

dhcp4: introduce new option 'duid-only' for ClientIdentifier= (#8350)

This makes users can configure DHCPv4 client with ClientIdentifier=duid-only.
If set so, then DHCP client sends only DUID as the client identifier.
This may not be RFC compliant, but some setups require this.

Closes #7828.

Merge pull request #8377 from sourcejedi/logind_restart_is_sorely_lacking_in_testing3

login: don't remove all devices from PID1 when only one was removed

man: add some basic documentation for sd-boot (#8379)

I'm sure this can be improved in various ways, but I think
it's a good start.

shared/sleep-config: fix unitialized variable and use STR_IN_SET (#8416)

login: effectively revert "open device if needed"

This replaces commit 4d3900f1b7ccce03366f9a57d259d0735c1cfbcf.
The underlying cause of issue #8291 has been fixed, so there is no reason
to paper over it any more.

But it might still be useful not to crash in the face of bad restart data.
That can cause several restarts, or maybe at some point an infinite loop
of restarts.  Fail the start (or stop!) request, and write an error to the
system log.  Each time reflects a user request where we fail to resume the
display server's access (or revoke it), and it can be useful if the log
shows the most recent one.

login: don't remove all devices from PID1 when only one was removed

FDSTOREREMOVE=1 removes all fds with the specified name.  And we had named
the fds after the session.  Better fix that.

Closes #8344.

AFAICT there's no point providing compatibility code for this transition.
No-one would be restarting logind on a system with a GUI (where the
session devices are used), because doing so has been killing the GUI, and
even causing startup of the GUI to fail leading to a restart loop.

Upgrading logind on a running system with a GUI might start being possible
after this commit (and after also fixing the display server of your
choice).

Merge pull request #8403 from evverx/test-mount-util

 tests: skip the rest of test_mnt_id after getting any error

core: ignore errors from cg_create_and_attach() in test mode (#8401)

Reproducer:

$ meson build && cd build
$ ninja
$ sudo useradd test
$ sudo su test
$ ./systemd --system --test
...
Failed to create /user.slice/user-1000.slice/session-6.scope/init.scope control group: Permission denied
Failed to allocate manager object: Permission denied

Above error message is caused by the fact that user test didn't have its
own session and we tried to set up init.scope already running as user
test in the directory owned by different user.

Let's try to setup cgroup hierarchy, but if that fails return error only
when not running in the test mode.

Fixes #8072

Merge pull request #8412 from keszybz/meson-warning-fixes

Meson warning fixes

Merge pull request #8415 from Werkov/fix-man

Fix default values for KillUserProcesses and MemoryAccounting in documentation

man: Correct value of default KillUserProcesses=

man: Unify values of boolean configuration values with sample config

tests: skip g_dbus_message_new_from_blob under asan

Some versions of asan report the following false positive
when strict_string_checks=1 is passed:

=================================================================
==3297==ERROR: AddressSanitizer: SEGV on unknown address 0x000000000000 (pc 0x7f64e4090286 bp 0x7ffe46acd9a0 sp 0x7ffe46acd118 T0)
==3297==The signal is caused by a READ memory access.
==3297==Hint: address points to the zero page.
    #0 0x7f64e4090285 in __strlen_sse2 (/lib64/libc.so.6+0xaa285)
    #1 0x7f64e5a51e46  (/lib64/libasan.so.4+0x41e46)
    #2 0x7f64e4e5e3a0  (/lib64/libglib-2.0.so.0+0x383a0)
    #3 0x7f64e4e5e536 in g_dgettext (/lib64/libglib-2.0.so.0+0x38536)
    #4 0x7f64e48fac5f  (/lib64/libgio-2.0.so.0+0xc1c5f)
    #5 0x7f64e4c03978 in g_type_class_ref (/lib64/libgobject-2.0.so.0+0x30978)
    #6 0x7f64e4be9567 in g_object_new_with_properties (/lib64/libgobject-2.0.so.0+0x16567)
    #7 0x7f64e4be9fd0 in g_object_new (/lib64/libgobject-2.0.so.0+0x16fd0)
    #8 0x7f64e48fd43e in g_dbus_message_new_from_blob (/lib64/libgio-2.0.so.0+0xc443e)
    #9 0x564a6aa0de52 in main ../src/libsystemd/sd-bus/test-bus-marshal.c:228
    #10 0x7f64e4007009 in __libc_start_main (/lib64/libc.so.6+0x21009)
    #11 0x564a6aa0a569 in _start (/home/vagrant/systemd/build/test-bus-marshal+0x5569)

AddressSanitizer can not provide additional info.
SUMMARY: AddressSanitizer: SEGV (/lib64/libc.so.6+0xaa285) in __strlen_sse2
==3297==ABORTING

It's an external library and errors in external libraries are generally not very
useful for looking for internal bugs.

It would be better not to change the code and use standard suppression
techinques decribed at
https://clang.llvm.org/docs/AddressSanitizer.html#suppressing-reports-in-external-libraries,
but, unfortunaley, none of them seems to be able to suppress fatal errors in asan intself.

tests: make / private after creating a mount namespace

so that the test never affects the root namespace.

tests: skip the rest of test_mnt_id after getting any error

This mainly gets around a kernel bug making it possible to
have non-existent paths in /proc/self/mountinfo, but it should also
prevent flaky failures that can happen if something changes immediately
after or during reading /proc/self/mountinfo.

Closes https://github.com/systemd/systemd/issues/8286.

meson: libmount is required for oss-fuzz builds now too

See https://github.com/google/oss-fuzz/issues/1191.

meson: avoid warning about comparison of bool and string

meson.build:2907: WARNING: Trying to compare values of different types (bool, str) using ==.
The result of this is undefined and will become a hard error in a future Meson release.

meson: use triple-quote delimition in one more place

core/socket: support binary inside chroot when looking for SELinux label (#8405)

Otherwise having a .socket unit start a .service running a binary under
a chroot fails as the unit is unable to determine the SELinux label of
the binary.

core/cgroup: accepts MemorySwapMax=0 (#8366)

Also, this moves two macros from dbus-util.h to dbus-cgroup.c,
as they are only used in dbus-cgroup.c.

Fixes #8363.

hwdb: add axis overrides for HP Pavilion 15 (#8404)

https://bugzilla.redhat.com/show_bug.cgi?id=1551188

Merge pull request #8372 from keszybz/two-cleanups

Two cleanups

login: we only allow opening character devices

We already don't allow directly opening block devices attached to the seat.
They are handled by udisks instead.  Clarify the code used when restarting
logind.

login: correct comment in session_device_free()

We're not removing the pushed fd "again"; this is the only place
logind removes it from PID1.  (And stopping the fd doesn't always
cause PID1 to remove the fd itself; it depends on the device type).

core: do not free heap-allocated strings (#8391)

Fixes #8387.

sd-bus: do not try to close already closed fd (#8392)

Fixes #8376, which is introduced by 2b33ab0957f453a06b58e4bee482f2c2d4e100c1.

Introduce suspend-to-hibernate (#8274)

Suspend to Hibernate is a new sleep method that invokes suspend
for a predefined period of time before automatically waking up
and hibernating the system.

It's similar to HybridSleep however there isn't a performance
impact on every suspend cycle.

It's intended to use with systems that may have a higher power
drain in their supported suspend states to prevent battery and
data loss over an extended suspend cycle.

Signed-off-by: Mario Limonciello <mario.limonciello@dell.com>

hwdb: add accelerometer mount matrix for Eve V (#8382)

hwdb: add Dell Inspiron 3537 axis overrides (#8388)

PS/2 and RMI4 entries

https://bugs.freedesktop.org/show_bug.cgi?id=105370

Revert "core: don't setup init.scope in test mode (#8380)" (#8390)

This reverts commit a9e8ecf0374c675831208559ba37749a8f9719ef,
as it breaks test-path.

Fixes #8389.

test-cgroup-util: bail out when running under mock (#8365)

The builds were failing in Fedora koji, where something strange is mounted
on /sys/fs/cgroup.

Also closes https://github.com/systemd/systemd/issues/8383.

core: don't setup init.scope in test mode (#8380)

Reproducer:

$ meson build && cd build
$ ninja
$ sudo useradd test
$ sudo su test
$ ./systemd --system --test
...
Failed to create /user.slice/user-1000.slice/session-6.scope/init.scope control group: Permission denied
Failed to allocate manager object: Permission denied

Above error message is caused by the fact that user test didn't have its
own session and we tried to set up init.scope already running as user
test in the directory owned by different user.

Let's skip setting up init.scope altogether since we won't be launching
processes anyway.

Merge pull request #8378 from evverx/get-around-freopen

tests: stop using `freopen` in `test-fileio`

Merge pull request #8086 from hdante/sdboot-setmode-v2

Merge pull request #7817 from medhefgo/systemd-boot

systemd-boot improvements

systemd-boot: fix off-by-one buffer overrun

We'd allocate a buffer of some size and then write zero to the byte one after.

systemd-boot: reduce indentation in config_entry_add_linux()

No functional change.

systemd-boot: Try harder not to add ourselves to the list

We don't need to check if we are adding ourselves to the list
if we know that it's the windows or EFI shell loaders.

If we are adding the EFI default loader, additionally try to
see if we can find the systemd-boot magic string and skip
this entry if we do.

core: drop unnecessary __useless_struct_to_allow_trailing_semicolon__

ISO C does not allow empty statements outside of functions, and gcc
will warn the trailing semicolons when compiling with -pedantic:

  warning: ISO C does not allow extra ‘;’ outside of a function [-Wpedantic]

But our code cannot compile with -pedantic anyway, at least because

  warning: ISO C does not support ‘__PRETTY_FUNCTION__’ predefined identifier [-Wpedantic]

Without -pedatnic, clang and even old gcc (3.4) generate no warnings about
those semicolons, so let's just drop __useless_struct_to_allow_trailing_semicolon__.

basic/cgroup-util: remove unused variable

NEWS: fix typos in v238 section (#8369)

rpm: add missing '-p <lua>' in trigger script (#8367)

Follow-up for 32a00a9c097cf04ec2b0fcbf9b73eba188318424 (#8090).

tests: close a leftover file descriptor in `test-fileio`

This should make it a bit easier to search for real file descriptor leaks.

```
$ valgrind --leak-check=full --track-fds=yes ./build/test-fileio
...
==29457==
==29457== FILE DESCRIPTORS: 4 open at exit.
==29457== Open file descriptor 3: /tmp/test-systemd_writing_tmpfile.lyV5Rc
==29457==    at 0x4B9AD9E: open (open.c:43)
==29457==    by 0x4B19B24: __gen_tempname (tempname.c:261)
==29457==    by 0x4BA5CC3: mkostemp64 (mkostemp64.c:32)
==29457==    by 0x48F739B: mkostemp_safe (fileio.c:1206)
==29457==    by 0x10D968: test_writing_tmpfile (test-fileio.c:620)
==29457==    by 0x10E930: main (test-fileio.c:767)
==29457==
```

Merge pull request #8362 from keszybz/release-238

Release 238

Merge pull request #8358 from fbuihuu/tmpfiles-dont-resolve-pathnames-when-traversing-recursively

Tmpfiles dont resolve pathnames when traversing recursively

tests: stop using `freopen` in `test-fileio`

This helps get around a bug confusing `glibc` and making the test bail
out with the following error under `asan` on `x86`:

Fatal error: glibc detected an invalid stdio handle
Aborted (core dumped)

The bug has been reported in https://github.com/google/sanitizers/issues/778,
but it is unlikely to be fixed anytime soon.

test: add tests for systemd-tmpfiles

test: fix setup_suse() to make it work with an already populated root

tmpfiles: don't resolve pathnames when traversing recursively through directory trees

Otherwise we can be fooled if one path component is replaced underneath us.

The patch achieves that by always operating at file descriptor level (by using
*at() helpers) and by making sure we do not any path resolution when traversing
direcotry trees.

However this is not always possible, for instance when listing the content of a
directory or some operations don't provide the *at() helpers or others (such as
fchmodat()) don't have the AT_EMPTY_PATH flag. In such cases we operate on
/proc/self/fd/%i pseudo-symlink instead, which works the same for all kinds of
objects and requires no checking of type beforehand.

Also O_PATH flag is used when opening file objects in order to prevent
undesired behaviors: device nodes from reacting, automounts from
triggering, etc...

Fixes: #7986
Fixes: CVE-2018-6954

tmpfiles: fstat() works with fd opened with O_PATH since Linux 3.6

tmpfiles: make hardlink_vulnerable() argument constant

Merge pull request #8341 from yuwata/test-execute-ambient

test-execute: check capabilities before runnig tests

NEWS: bump version and add contributors

meson: bump so revision and systemd version in preparation for v238

mailmap: one more person

Merge pull request #8345 from sourcejedi/logind_restart_is_sorely_lacking_in_testing

login: fix for #8343

Merge pull request #8354 from keszybz/new-NEWS

NEWS for v238

mkosi: use locale that supports UTF-8, detect one that is available (#8340)

Using C.UTF-8 (as was done before #7244) breaks Arch Linux, but using
en_US.UTF-8 (after #7244) breaks Debian in our .mkosi/mkosi.debian.

So try to detect which one is available and works, first checking
whether we're already running under a valid UTF-8 locale, then trying
C.UTF-8 and finally en_US.UTF-8.

If we fail to find a valid UTF-8 locale, then fail early, instead of
letting the whole build complete only for Mesos to fail midway through
the `ninja test` step.

Tested on all of mkosi.fedora, mkosi.debian and mkosi.arch.

Fixes: #7238

Add accel matrix for iOTA 360 (#8342)

NEWS: update for v238

man: just use unicode for an mdash

basic/glob-util: do not use names with "_" prefix

Names starting with _ or __ are reserved by the standard, better to
avoid them.

coredump: do not leak memory (#8352)

Fixes #8351.

test-execute: use CAP_CHOWN instead of CAP_NET_ADMIN

CAP_NET_ADMIN is somtrimes dropped by container runtime.
This changes to use CAP_CHOWN instead of CAP_NET_ADMIN, as it is
less likely to be dropped.

test-execute: check capabilities before running tests

Fixes #8193.

po: Updated Indonesian translation (#8348)

fixed 3 occurences of 'Failed top open' (#8349)

test-execute: change log level from error to notice

Skipping some tests due to the missing e.g., capsh binary
or kernel support, are not error.
This changes the log level for such messages.

test-execute: rename tests for AmbientCapabilities=

The unit files for test-execute are named like
`exec-(setting-name-in-lower-character)-(optional-text).service`.
However, test units for AmbientCapabilities= are not following this.
So, let's rename them for the consistency.
This does not change anything in the functionality of the test.

hwdb: add axis range corrections for the Lenovo ThinkPad Edge 13 (02173BG) (#8253)

login: remember that fds received from PID1 need to be removed eventually

Remember to set sd->pushed_fd when we receive an fd from PID1 on startup,
the same as we set it when we send an fd to PID1.

login: fix FDNAME in call to sd_pid_notify_with_fds()

$ git grep FDNAME
logind-session-device.c: ... "FDNAME=session-", sd->session->id);
logind-session-device.c: ... "FDNAME=session", sd->session->id);

Oops.

Fixes #8343.  Or at least a more minimal reproducer.  Xorg still
dies when logind is restarted, but the Xorg message says this
is entirely deliberate.

(This could also be the reason I hit #8035, instead of the race
condition I originally suggested).

update TODO

man: briefly document the resolvconf(8) compatibility interface

resolve-tool: provide resolvconf(8) compatibility

This turns resolve-tool into a multi-call binary. When invoked as
"resolvconf" it provides minimal compatibility with the resolvconf(8)
tool of various distributions (and FreeBSD as it appears).

This new interface understands to varying degrees features of the two
major implementations of resolvconf(8): Debian's original one and
"openresolv". Specifically:

Fully supported:

        -a -d (supported by all implementations)
        -f    (introduced by openresolv)

Somewhat supported:

        -x    (introduced by openresolv, mapped to a '~.' domain entry)

Unsupported and ignored:

        -m -p (introduced by openresolv, not really necessary for us)

Unsupported and resulting in failure:
        -u    (supported by all other implementations)
        -I -i -l -R -r -v -V
              (all introduced by openresolv)
        --enable-updates --disable-updates --updates-are-enabled
              (specific to Debian's implementation)

Of course, resolvconf(8) is a tool with multiple backends, in our
implementation systemd-resolved is the only backend.

Fixes: #7202

Merge pull request #8314 from poettering/rearrange-stdio

refactor how we rearrange fds for stdin/stdout/stderr

units: use SuccessAction=reboot where appropriate (#8335)

We should really use our own native concepts for rebooting.

Merge pull request #8336 from poettering/coccinelle-reallocarray

reallocarray() coccinellization

Merge pull request #8333 from keszybz/hwdb-update

Hwdb update

Merge pull request #8337 from poettering/resolve-fixes

various resolve-tool fixes

man: there's no point in referenceing systemd.unit(5) from itself (#8338)

Merge pull request #8323 from xyproto/ok_color

Make the color of the status OK configurable at build-time

sysusers: support `u username -:300` style syntax (#8325)

This PR implements the first part of RFE #8046. I.e. this allows to
write:
```
u username -:300
```
Where the uid is chosen automatically but the gid is fixed.

Merge pull request #8332 from poettering/logind-open-if-needed

logind device resume fix

mount-setup: change bpf mount mode to 0700 (#8334)

After discussing with the kernel folks, we agreed to default to 0700 for
this. Better safe than sorry.

Merge pull request #8303 from yuwata/fix-8276

test: use synthesize_nobody() in test-execute

systemctl: document telinit/init matching a bit (#8339)

See: #8305

resolved: debug log about resolv.conf lines we don't grok

man: extend synopsys to recently added commands

resolve-tool: propagate sensible errors from due to dns_name_is_valid() check failures

resolve-tool: trivial coding style improvements

coccinelle: similar to reallocarray() let's also systematically use malloc_multiply()

coccinelle: add reallocarray() coccinelle script

Let's systematically make use of reallocarray() whereever we invoke
realloc() with a product of two values.

resolve-tool: use reallocarray() where appropriate

hwdb: update

usb.ids are not updated, because linux-usb.org is down.

It seems that the updates are corrections and new entries, to major
removal of existing entries.

hwdb: add accelerometer mount matrix for Asus TP300LD (#8327)

Merge pull request #8237 from sourcejedi/timer_suspend

core: let OnCalendar= timer units expire during suspend (#8231)

hwdb: ignore whitespace in downloaded files

tools/hwdb-update: allow downloads to fail

sf.net is down, and linux-usb.org which is hosted there also fails.
That's not nice, but there's not we can do about it now.