shared/install: do not use a temporary variable outside of its scope

Coverity says:
> Pointer to local outside scope (RETURN_LOCAL)9.
> use_invalid: Using dirs, which points to an out-of-scope temporary variable of type char const *[5].

And indeed, the switch statement forms a scope. Let's use an if to
avoid creating a scope.

fuzz: do not assume the existence of /sys/class/net/lo

Hopefully fixes oss-fuzz#13440.

Merge pull request #11795 from yuwata/fix-network-routing-policy-11280

network: fix routing policy rule issue #11280

journalctl: New option --cursor-file

The option cursor-file takes a filename as argument. If the file exists and
contains a valid cursor, this is used to start the output after this position.
At the end, the last cursor gets written to the file.

This allows for an easy implementation of a timer that regularly looks in the
journal for some messages.

    journalctl --cursor-file err-cursor -b -p err
    journalctl --cursor-file audit-cursor -t audit --grep DENIED

Or you might want to walk the journal in steps of 10 messages:

    journalctl --cursor-file ./curs -n10 --since=today -t systemd

Merge pull request #11844 from keszybz/networkd-fuzzer-fixes

Networkd fuzzer fixes

Merge pull request #11807 from yuwata/test-vlan-mtu

network: increase MTU if VLAN= or MACVLAN= requests higher value

analyze security: check for ProtectHostname=yes

networkd: refuse more than 128 NTP servers

This test case is a bit silly, but it shows that our code is unprepared to
handle so many network servers, with quadratic complexity in various places.
I don't think there are any valid reasons to have hundres of NTP servers
configured, so let's just emit a warning and cut the list short.

https://bugs.chromium.org/p/oss-fuzz/issues/detail?id=13354

networkd: fix memleak when the same NetDev is specified twice

hashmap_put() returns 0 if the (key, value) pair is already present in the
hashmap, and -EEXIST if the key exists, but the value is different.

https://bugs.chromium.org/p/oss-fuzz/issues/detail?id=13433

network: wrap some long lines

selinux: don't log SELINUX_INFO and SELINUX_WARNING messages to audit

Previously we logged even info message from libselinux as USER_AVC's to
audit. For example, setting SELinux to permissive mode generated
following audit message,

time->Tue Feb 26 11:29:29 2019
type=USER_AVC msg=audit(1551198569.423:334): pid=1 uid=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:init_t:s0 msg='avc:  received setenforce notice (enforcing=0)  exe="/usr/lib/systemd/systemd" sauid=0 hostname=? addr=? terminal=?'

This is unnecessary and wrong at the same time. First, kernel already
records audit event that SELinux was switched to permissive mode, also
the type of the message really shouldn't be USER_AVC.

Let's ignore SELINUX_WARNING and SELINUX_INFO and forward to audit only
USER_AVC's and errors as these two libselinux message types have clear
mapping to audit message types.

man: clarify whitespace handling in systemd.syntax

Merge pull request #11837 from yuwata/network-tiny-cleanups

network: tiny cleanups

test-network: add testcase for issue #11280

test-network: drop relevant ip routing policy rules before testing

network: fix error code in log

network: merge conditions and use FLAGS_SET() macro

network: make ndisc_router_process_options() propagate error

And its caller ignore the error.

fs-util: add missing linux/falloc.h include

network: do not remove rule when it is requested by existing links

Otherwise, the first link once removes all saved rules in the foreign
rule database, and the second or later links create again...

network: remove routing policy rule from foreign rule database when it is removed

Previously, When the first link configures rules, it removes all saved
rules, which were configured by networkd previously, in the foreign rule
database, but the rules themselves are still in the database.
Thus, when the second or later link configures rules, it errnously
treats the rules already exist.
This is the root of issue #11280.

This removes rules from the foreign database when they are removed.

Fixes #11280.

test-network: add test for MTUBytes= in vlan or macvlan devices

network: bump mtu if stacked vlan or macvlan requests larger size

Closes #5972.

Merge pull request #11824 from keszybz/fuzzer-fixes

Fuzzer fixes

Merge pull request #11827 from keszybz/pkgconfig-variables

Allow overriding pkgconfig prefixes

Merge pull request #11357 from GiacintoCifelli/dbus_labels

sd-bus: add methods and signals parameter names

Merge pull request #11823 from keszybz/more-fuzz-coverage

More fuzz coverage

fuzz-ndisc-rs: avoid assertion failure on samples which dont fit in pipe

Fixes https://bugs.chromium.org/p/oss-fuzz/issues/detail?id=11605.

fuzz-lldp: avoid assertion failure on samples which dont fit in pipe

Fixes https://bugs.chromium.org/p/oss-fuzz/issues/detail?id=11603.

fuzz-journal-stream: avoid assertion failure on samples which don't fit in pipe

Fixes https://bugs.chromium.org/p/oss-fuzz/issues/detail?id=11587.
We had a sample which was large enough that write(2) failed to push all the
data into the pipe, and an assert failed. The code could be changed to use
a loop, but then we'd need to interleave writes and sd_event_run (to process
the journal). I don't think the complexity is worth it — fuzzing works best
if the sample is not too huge anyway. So let's just reject samples above 64k,
and tell oss-fuzz about this limit.

sd-bus: add methods and signals parameter names. Fixes: #1564

shared/ask-password-api: when echoing multi-byte characters, print the whole sequence

This is untested, but I don't see how the previous code could have worked
for multibyte characters (with echo on).

basic/utf8: do not read past end of string when looking for a multi-byte character

Fixes https://bugs.chromium.org/p/oss-fuzz/issues/detail?id=9341.

basic/utf8: change type of function to emphasize that it only looks at one character

Merge pull request #11822 from yuwata/fuzz-udev-database

fuzz: add fuzzer for udev database

core: consider non-SERVICE_EXEC_START commands for EXIT_CLEAN_COMMAND

When there are multiple ExecStop= statements, the next command would continue
to run even after TimeoutStopSec= is up and sends SIGTERM. This is because,
unless Type= is oneshot, the exit code/status would evaluate to SERVICE_SUCCESS
in service_sigchld_event()'s call to is_clean_exit(). This success indicates
following commands would continue running until the end of the list
is reached, or another timeout is hit and SIGKILL is sent.

Since long running processes should not be invoked in non-SERVICE_EXEC_START
commands, consider them for EXIT_CLEAN_COMMAND instead of EXIT_CLEAN_DAEMON.
Passing EXIT_CLEAN_COMMAND to is_clean_exit() evaluates the SIGTERM exit
code/status to failure and will stop execution after the first timeout is hit.

Fixes #11431

Merge pull request #11780 from yuwata/fix-4211

network: skip .network files earlier when conditions do not match system environment

fuzz: add a sample for fuzz-udev-database

fuzz: add fuzzer for udev database

sd-device: split device_read_db_internal() into two part

The new device_read_db_internal_filename() will be used by a fuzzer.

cryptsetup: Treat key file errors as a failed password attempt

6f177c7dc092eb68762b4533d41b14244adb2a73 caused key file errors to immediately fail, which would make it hard to correct an issue due to e.g. a crypttab typo or a damaged key file.

Closes #11723.

network: assign Network::manager when it is listed to the manager object.

Now Network::manager is not necessary during parsing configs.

C.f. 838b2f7a30dbb68f4d6939626a165b313cc94542.

network: make resolving NetDev names delayed and moved to network_verify()

And before resolving NetDev names, check conditions in .network,
and if they do not match the system environment, drop the network
unit earlier.

Fixes #4211.

network: add debug log when conditions do not match system environment

Merge pull request #11767 from yuwata/network-bridge-enslaved

network: extend 'enslaved' state to bridge slave

meson: declare version.h as dependency for systemd

This is a followup to #11815 and adds the last missing dependency.
With this #11565 is hopefully really fixed.

fuzz-unit-file: also run manager_dump()

This should increase coverage a bit.

fuzz-unit-file: add some directives for stuff coverage reports as not covered

Some of those directives appear in the corpus, but without arguments, so maybe
the fuzzing libraries can't trigger the right cases. Let's help them.

Merge pull request #11798 from keszybz/mem-sanitizer-fix

meson: make sure preprocesor warnings are not treated as errors

meson: declare version.h as dep for various targets that include build.h

Should fix #11565.

test-json: use standard test intro

test-json: avoid deep stack recursion under msan

test-mountpoint-util: unpoison string allocated by sscanf %ms

Add wrapper for __msan_unpoinson() to reduce #ifdeffery

This isn't really necessary for the subsequent commit, but I expect that we'll
need to unpoison more often once we turn on msan in CI, so I think think this
change makes sense in the long run.

meson: make sure preprocesor warnings are not treated as errors

Clang includes -W#warning in -Werror, so the #warning used for msan would
be an error.

v2:
- use -Wno-error=... so that the warning is still emitted, but not as an error.

Merge pull request #11796 from yuwata/fuzz-link-parser

fuzz: add fuzzer for .link files

tools: check all directives even if it detects non-updated files

tools: update check-directives.sh to support fuzz-link-parser

fuzz: add directives.link and 99-default.link for fuzz-link-parser

Also adds several reproducers of errors fixed in earlier commits.

fuzz: add fuzzer for parsing .link files

This also renames load_link() to link_load_one()

fuzz: use fflush() and drop unnecessary rewind()

udev/ethtool: fix error detection of ethtool_link_mode_bit_from_string()

udev: fix memleak in conditions for .link file

udev/net: drop .link files earlier when their conditions do not match system environment

udev/net: use structured initializer at one more place

udev/net: use size_t for index at one more place

udev/net: ignore errors in loading .link files but warn about that

udev/net: shorten load_link() a little bit

udev: drop unused Ethernet section

man: update explanation about operational state of network interfaces

man: mention that LinkLocalAddressing= is disabled by default when Bridge= is set

test-network: add more tests for IgnoreCarrierLoss=

Suggested by @amishmm in #9262.

test-network: add more tests for Bridge=

network: make bridge master also follow operstates of slave interfaces

If one of bridge slaves is in off, no-carrier, or dormant, then
operstate of the bridge master is set to degraded.

network: extend 'enslaved' state to bridge slave interfaces

Currently, the interface's operstate is set to 'enslaved' only when
it is managed by networkd.

network: disable LinkLocalAddressing= and IPv6AcceptRA= on bridge slaves by default

If they are not explicitly configured, then let's disable these
functionality on bridge slaves.

network: do not disable dynamic addressing for bridge slaves

This effectively reverts 5971cb9de9081b537945d28895df70992e5664d0 and
2b00a4e03dc375465de7f60f3a6937cbe8ffdf31.

Usually, it is not necessary to assign addresses to bridge slaves,
but such functionality is supported by kernel. If users explicitly
request such configuration, networkd should support that.

network: fix invalid memory access

This fixes a bug introduced by 959f65d32ec15cf84afe3efff1a18b0987b56c60.

Merge pull request #11808 from yuwata/fix-11806

test-network: testing with two bond slaves

test-network: testing with two bond slaves

logind: don't print warning when user@.service template is masked

User instance of systemd is optional feature and if user@.service
template is masked then administrator most likely doesn't want --user
instances of systemd for logged in users. We don't need to be verbose
about it.

Fix manpage typo: abrubtly

Fix a minor typo: abrubtly -> abruptly.

Merge pull request #11797 from keszybz/analyze-calendar-highlight

Highlight in systemd-analyze calendar

logind: udev rule for Parallels video adapter

This enables graphical capability for a video adapter of Parallels
virtualization platform (Parallels Desktop for Mac product) which is not
a DRM device at the moment.

This fixes GUI in Fedora 29 guest on Parallels Desktop where gdm now
strictly checks for CanGraphical property of a seat, see [1].

Should be noted that there's no in-kernel driver for Parallels video at
the moment so device matching is done by vid/pid.

[1] https://gitlab.gnome.org/GNOME/gdm/merge_requests/37

mkosi: (Archlinux) increase the size of root partition.

Currently "mkosi --default .mkosi/mkosi.arch" fails to build the image due to pacman error:

"error: Partition /var/tmp/mkosi-xxx/root too full: yyy blocks needed, zzz blocks free"
"error: not enough free disk space"
"error: failed to commit transaction (not enough free disk space)"

So increase the size to 3G.

Merge pull request #11781 from yuwata/udev-rule-continuation-fix

udev-rules: fix line continuation

analyze: add color highlighting when printing calendar elapses

With multiple iterations, I found it hard to pick out the interesting bits in
the column of text. I tried plain highlighting first, but it doesn't seem
enough. But blue/yellow makes it easy to jump to the right iteration.

analyze: split out loop innards into a separate function

This was intended to be just a refactoring, but it also fixes a minor bug:
after printing "never", we would skip subsequent expressions:

$ systemd-analyze calendar --iterations=20 @0 @1
systemd-analyze calendar --iterations=20 @0 @1
  Original form: @0
Normalized form: 1970-01-01 00:00:00 UTC
    Next elapse: never

(the second expression was skipped).

analyze: optionally, show more than one elapse time for calendar expressions

units: re-drop ProtectHostname from systemd-hostnamed.service (#11792)

This was an overzealous setting from commit 99894b867f. Without this,
`hostnamectl set-hostname` fails with

    Could not set property: Access denied

as `sethostname()` fails with `EPERM`.

libsystemd: check if _POSIX_C_SOURCE is defined

This can cause issues if sd-event.h is included in a source file that doesn't
define _POSIX_C_SOURCE and is compiled with -Wundef.

test-udev: fix alignment and drop unnecessary white spaces

test-udev: add more tests for line continuation

udev-rules: do not ignore short lines

Otherwise, a short line continues the previous continuation.

This fixes a bug introduced by f10aa08e3e48de7dcb71be348f021c6b1385304f.

hwdb: Add accelerometer orientation quirk for the Medion Akoya E2212T

Add accelerometer orientation quirk for the Medion Akoya E2212T 2-in-1.

Merge pull request #11608 from taro-yamada/add_persistent_randmized_delay

core: add "Persistent=delay" to delay persistent timers after boot

Merge pull request #11776 from keszybz/networkd-ordered-sets

Store domains lists in OrderedSets in networkd

Merge pull request #11784 from martinpitt/networkd-tests

Various networkd test fixes

Add a work-around for memsan

Fixes #11735.

networkd-test: fix test_dropin()

 - This test needs resolved, so make sure it is started. In some Debian
   environments it is not.
 - It was an unnecessary, and now failing assumption that name servers
   get atomically written to the resolved's resolv.conf. Wait until both
   expected name servers are in the file.