update TODO

build-sys: prepare v190

util: fix overflow checks

build-sys: require certain version of libselinux

./.libs/libsystemd-core.a(libsystemd_core_la-selinux-access.o):
In function "selinux_access_check":
src/core/selinux-access.c:487: undefined reference to
"selinux_check_access"

util: overflow hardening

util: make sure heap allocators fail when array allocations are out of bounds

https://bugzilla.redhat.com/show_bug.cgi?id=858777

journald: don't accept arbitrarily sized journal data fields

https://bugzilla.redhat.com/show_bug.cgi?id=858746

util: define union dirent_storage and make use of it everywhere

Make sure to allocate enough space for readdir_r().

https://bugzilla.redhat.com/show_bug.cgi?id=858754

util: fix bad strstrip() return value in normalize_env_assignment()

https://bugzilla.redhat.com/show_bug.cgi?id=858780

path: support specifier resolvin in .path units

libudev: remove dead code

timedated: unregister the right bus service

https://bugzilla.redhat.com/show_bug.cgi?id=858771

update TODO

logind: if a lid-switch lock was taken while the lid was closed, recheck lid status when the lock is released

logind: properly parse handle-lid-switch inhibitor

man: document new inhibitor types

logind: rework power key/suspend key/lid switch handling

http://lists.freedesktop.org/archives/systemd-devel/2012-September/006604.html
https://bugzilla.gnome.org/show_bug.cgi?id=680689

This changes the meaning of the
HandlePowerKey=/HandleSleepKey=/HandleLidSwitch= setting of logind.conf

journal: when comparing two entries from separate files make sure we reposition the mmap window

The mmap cache doesn't guarantee that we can look at two files at the
same time. Hence make sure to look at the entries to compare one
after the other, instead of at the same time when comparing them, and
reposition the window in between.

mount: reword directory empty warning a bit

systemctl: warn about triggering units only at the end

Instead of checking each unit separately, check once at the end. This
should avoid spurious warnings about a service being triggerable by
other stuff.

systemctl: properly report success

Systemctl would always return 1, because it treated uninteresting dbus
messages ("job added") as errors. Just ignore everything apart from
interesting ("job removed") messages.

systemctl: use automatic cleanup once more

Semantics are slightly different, because before unit_name_mangle
returning NULL was ignored, and now it is reported as oom. But
unit_name_mangle only returns NULL on oom.

systemctl: use automatic cleanup

Introduce a helper method to unref dbus messages and use it.

core: move ManagerRunningAs to shared

Note: I did s/MANAGER/SYSTEMD/ everywhere, even though it makes the
patch quite verbose. Nevertheless, keeping MANAGER prefix in some
places, and SYSTEMD prefix in others would just lead to confusion down
the road. Better to rip off the band-aid now.

automount: also whine if an automount directory is not empty

mount: notify the user if we over-mount a non-empty directory

https://bugzilla.redhat.com/show_bug.cgi?id=858266

update TODO

mount: don't mount securityfs in a container

unit-printf: add specifiers for the host name, machine id, boot id

unit-printf: before resolving exec context specifiers check whether the object actually has an exec context

unit: split unit_printf() and friends into its own .c file

unit: fix %f resolving

journalctl: don't choke on entries with no MESSAGE= field

https://bugs.freedesktop.org/show_bug.cgi?id=50177

docs: typos in loginctl.xml

target: imply default ordering for PartsOf deps as well

execute: apply PAM logic only to main process if PermissionsStartOnly is set

https://bugs.freedesktop.org/show_bug.cgi?id=54176

selinux: rework method tail, make it into a nulstr array

selinux: use existing library calls for audit data

selinux: prefer source path over fragment path

util: introduce get_process_gid()

selinux: add bus service access control

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

This patch adds the ability to look at the calling process that is trying to
do dbus calls into systemd, then it checks with the SELinux policy to see if
the calling process is allowed to do the activity.

The basic idea is we want to allow NetworkManager_t to be able to start and
stop ntpd.service, but not necessarly mysqld.service.

Similarly we want to allow a root admin webadm_t that can only manage the
apache environment.  systemctl enable httpd.service, systemctl disable
iptables.service bad.

To make this code cleaner, we really need to refactor the dbus-manager.c code.
 This has just become a huge if-then-else blob, which makes doing the correct
check difficult.

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.12 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://www.enigmail.net/

iEYEARECAAYFAlBJBi8ACgkQrlYvE4MpobOzTwCdEUikbvRWUCwOb83KlVF0Nuy5
lRAAnjZZNuc19Z+aNxm3k3nwD4p/JYco
=yops
-----END PGP SIGNATURE-----

Update TODO

logind: split up inhibit acquire policy

journald: log when we fail to forward messages to syslog

https://bugzilla.redhat.com/show_bug.cgi?id=847207

log: avoid function loop

https://bugs.freedesktop.org/show_bug.cgi?id=54766

conf-parser: don't unescape parsed configuration strings by default

In many cases this might have a negative effect since we drop escaping
from strings where we better shouldn't have dropped it.

If unescaping makes sense for some settings we can readd it later again,
on a per-case basis.

https://bugs.freedesktop.org/show_bug.cgi?id=54522

logind: make VT reservation logic compatible with containers

main: newer kernels return EINVAL if we invoke reboot() in a container lacking perms, deal with it

util: various cleanups for printing boot status

git: update .gitignore

utmp: read the right timestamp

main: when transitioning from initrd to the main system log to kmsg

When the new PID is invoked the journal socket from the initrd might
still be around. Due to the default log target being journal we'd log to
that initially when the new main systemd initializes even if the kernel
command line included a directive to redirect systemd's logging
elsewhere.

With this fix we initially always log to kmsg now, if we are PID1, and
only after parsing the kernel cmdline try to open the journal if that's
desired.

(The effective benefit of this is that SELinux performance data is now
logged again to kmsg like it used to be.)

hwclock: always set the kernel's timezone

Properly tell the kernel at bootup, and any later time zone changes,
the actual system time zone.

Things like the kernel's FAT filesystem driver needs the actual time
zone to calculate the proper local time to use for the on-disk time
stamps.

https://bugzilla.redhat.com/show_bug.cgi?id=802198

main: bump up RLIMIT_NOFILE for systemd itself

For setups with many listening sockets the default kernel resource limit
of 1024 fds is not enough. Bump this up to 64K to avoid any limitations
in this regard. We are careful to pass on the kernel default to daemons
however, since normally resource limits are a good to enforce,
especially since select() can't handle fds > 1023.

journald: properly update perms on freshly rotate user journals

service: don't hit an assert if a service unit changes type and we get a spurious event from before

update TODO

udev: add btrfs support

All "btrfs" file systems will be registered with the kernel when they
show up.

Incomplete multi-device volumes will set SYSTEMD_READY=0, to prevent
access until the volume is complete and fully registered.

directive-index: journal directives

directive-index: system manager directives

directive-index: add UDEV fields

man: generate an index of directives

Systemd has a large (and growing) number of manpages. Sometimes it's
not immediately obvious, where to look for a directive. Especially,
when something is described in more than one place. Making sense of
all the settings should be easier with an index.

logind: make sure there's always a getty available on TTY6

Previously, if X allocated all 6 TTYs (for multi-session for example) no
getty would be available anymore to guarantee console-based logins.

With the new ReserveVT= switch in logind.conf we can now choose one VT
(6 by default) that will always be subject to autovt-style activation,
i.e. we'll always have a getty on TTY6, and X will never take possession
of it.

build-sys: __secure_getenv lost dunder in libc 2.17

tmpfiles: use write(2) for the 'w' action

This resolves problems with filesystems which do not implement the
aio_write file operation. In this case, the kernel will fall back using
a loop writing technique for each pointer in a received iovec. The
result is strange errors in dmesg such as:

[   31.855871] elevator: type  not found
[   31.856262] elevator: switch to
[   31.856262]  failed

It does not make sense to implement a synchronous aio_write method for
sysfs as this isn't a real filesystem where a reasonable use case for
using writev exists, nor is there an expectation that tmpfiles will be
used to write more data than can be reasonably written in a single write
syscall.

In addition, some sysfs attrs are currently buggy and will NOT reject
the second write with the newline, causing the sysfs value to be zeroed
out. This of course should be fixed in the kernel regardless of any
wrongdoing in userspace, but this simple change makes us immune to such
a bug.

This change means that we do not write a trailing newline by default, as
the expected use case of 'w' is for sysfs and procfs. In exchange, honor
C-style backslash escapes so that if the newline is really needed, the
user can add it.

socket: prevent signed integer overflow

src/core/socket.c:588:25: error: overflow in implicit constant conversion
src/core/socket.c:589:17: error: overflow in implicit constant conversion

nspawn: fix memleak introduced with automatic cleanup

6b2d0e8 introduced a memleak instead of fixing one.
Fix both.

nspawn: use automatic cleanup for umask

nspawn: _cleanup_free_ more

nspawn: use automatic cleanup

This one actually clears up a (totally harmless) memleak.

nspawn: mount tmpfs on /dev/shm

Most things seem to function fine without /dev/shm, but it is expected
to be there (quoting linux/Documentation/filesystems/tmpfs.txt:
glibc 2.2 and above expects tmpfs to be mounted at /dev/shm for POSIX
shared memory (shm_open, shm_unlink)).

Since /tmp/ is already mounted as tmpfs, it would be enough to mkdir
/tmp/shm and chmod it. Mounting it separately has the advantage that
it can be easily remounted to change the quota.

install: use automatic cleanup

install: treat non-existent directory as empty

When looking for symlinks, it doesn't make sense to error-out if
the directory is missing. The user might delete an empty directory.

This check caused test-unit-file to fail when run before installation.

logind: redefine idleness to start at last activity

Before, after the timeout, a session would be timestamped as idle
since 'last activity' + 'idle timeout'. Now, it is timestamped as idle
since 'last activity'.

Before, after all sessions were idle, the seat would be marked with as
idle with the timestamp of the oldest idle session. Now it is
marked with the timestamp of the youngest idle session.

Both changes seem to me to be closer to natural understanding of
idleness: the time since last activity counts.

update TODO

TODO: isolate items to fix before F18

update TODO

man: update localtime(5) a bit

man: mention journalctl in the systemd man page

timedated: make /etc/timezone a Debian-only thing

timedate: assorted improvements

- Make writing/reading of /etc/timezone dependendent of HAVE_SYSV_COMPAT

- Introduce symlink_atomic() after all, and use it

- Use relative symlink for /etc/localtime

man: remove timezone(5) and add localtime(5)

timedated: gather timezone from /etc/localtime sym target

/etc/localtime -> /usr/share/zoneinfo/...

or

/etc/localtime -> ../usr/share/zoneinfo/...

(note, ../usr is not the same if /etc is a symlink, as this isn't
using canonicalize_file_name())

keep other method for now, consider dropping later.

Supporting relative links here are problematic as timezones in
/usr/share/zoneinfo are often themselves symlinks (and symlinks to
symlinks), so this implamentation only supports absolute symlinks
"/usr/share/zoneinfo/" and relative symlinks starting with
"../usr/share/zoneinfo/"

>From TODO (kay sievers):
* kill /etc/timezone handling entirely? What does it provide?
  - /etc/localtime carries the same information already:
      $ ls -l /etc/localtime; cat /etc/timezone
      lrwxrwxrwx 1 root root 33 Jul 27 09:55 /etc/localtime -> /usr/share/zoneinfo/Europe/Berlin
      Europe/Berlin
  - systemd enforces /usr to be available at bootup, so we can
    enforce the use of the symlink

build-sys: Append -Werror when testing flags

Clang don't treat unknown warnings flags as an error, but rather as a
warning. The result is that the detection for whic CFLAGS are supported
by this compiler will not work, since the compilation will succeed.

With this patch we now successfully detect clang doesn't support
-Wlogical-op, as opposed to previous behavior:

checking if clang supports flag -Wlogical-op in envvar CFLAGS... no

We use this macro only for LDFLAGS and CFLAGS, so it's safe to stash
-Werror there.

nspawn: Fix minor typo in man page

systemctl: show unit name when a job fails

https://bugzilla.redhat.com/show_bug.cgi?id=845028
https://bugzilla.redhat.com/show_bug.cgi?id=846483

util: more modernizations

util: various additional modernizations

util: modernize a few functions with automatic cleanup variables

Just trying to get the feel for it. And it's pretty cool.

test: split of cryptsetup into its own test

systemctl: minor coding style fixes

install: append .service when enable/disable... is called

https://bugzilla.redhat.com/show_bug.cgi?id=856975

macro: introduce _cleanup_free_ macro for automatic freeing of scoped vars and make use of it

rpm: expose preset dir as rpm macro and in systemd.pc

load-fragment: Expand specifiers in conditions.

Add specifier expansion to Path and String conditions.

Specifier expansion for conditions will help create instance
and user session units by allowing us to template conditions
based on the instance or user session parameters.

An example would be a system-wide user session service file
that conditionally runs based on whether a user has the
service configured through a configuration file in ~/.config/.

daemon: Fix broken links to sd-daemon.c

man: reword logind.conf.xml a bit

docs: typo fixes in pam_systemd.xml

https://bugs.freedesktop.org/show_bug.cgi?id=54501

docs: typo fixes in logind.conf.xml and os-release.xml

https://bugs.freedesktop.org/show_bug.cgi?id=54501

man: fix typos in halt.xml and journalctl.xml

https://bugs.freedesktop.org/show_bug.cgi?id=54501