exec-util: use fflush_and_check() where appropriate

sulogin-shell: Use force if SYSTEMD_SULOGIN_FORCE set

When the root account is locked sulogin will either inform you of
this and not allow you in or if --force is used it will hand
you passwordless root (if using a recent enough version of util-linux).

Not being allowed a shell is ofcourse inconvenient, but at the same
time handing out passwordless root unconditionally is probably not
a good idea everywhere.

This patch thus allows to control which behaviour you want by
setting the SYSTEMD_SULOGIN_FORCE environment variable to true
or false to control the behaviour, eg. via adding this to
'systemctl edit rescue.service' (or emergency.service):

[Service]
Environment=SYSTEMD_SULOGIN_FORCE=1

Distributions who used locked root accounts and want the passwordless
behaviour could thus simply drop in the override file in
/etc/systemd/system/rescue.service.d/override.conf

Fixes: #7115
Addresses: https://bugs.debian.org/802211

udev: make sd_device_get_devname() failure non-fatal

As it is just for logging.

Follow-up for eb276e98419af59d4a587f2dd37e0b923e4c6fd2.

Merge pull request #10244 from poettering/nofile-bump

bump RLIMIT_NOFILE

meson: simplify definition of MEMORY_ACCOUNTING_DEFAULT

Let's just use the simplest form, it doesn't really matter how the define
looks after preprocessing.

meson: define @HIGH_RLIMIT_NOFILE@ and use it everywhere

main: introduce a define HIGH_RLIMIT_MEMLOCK similar to HIGH_RLIMIT_NOFILE

main: bump fs.nr_open + fs.max-file to their largest possible values

After discussions with kernel folks, a system with memcg really
shouldn't need extra hard limits on file descriptors anymore, as they
are properly accounted for by memcg anyway. Hence, let's bump these
values to their maximums.

This also adds a build time option to turn thiss off, to cover those
users who do not want to use memcg.

Merge pull request #10429 from yuwata/drop-udev-list

udev: replace udev_list by Hashmap

udev: use Hashmap for storing global properties

udev: use Hashmap for storing PROGRAM or BUILTIN

udev: use Hashmap for storing SECLABEL

Merge pull request #10419 from yuwata/fix-prioq

Fix segfault in prioq_remove() with empty Prioq object

tree-wide: use CMP() macro where applicable

Follow-up for 6dd91b368298e3b3b264a5f2cb5647b2c5cb692b.

hwdb: add Aiptek Hyperpen 12000U (#10424)

Closes #9834.

Merge pull request #10412 from poettering/sockaddr-sun-path

various fixes related to struct sockaddr_un handling

Merge pull request #10422 from poettering/network-xml-route-fix

man: systemd.network man page fix

test: add one more test for prioq_remove()

This adds a testcase for e6e637a11a6c62eff31d36f5fc4b49c2a10c7ea8.

prioq: use structrued initializer

prioq: fix index range check

prioq: add one more assertion

tree-wide: CMP()ify all the things

Let's employ coccinelle to fix everything up automatically for us.

Set theme jekyll-theme-primer

This theme uses anchorjs to provide mouse-over anchor links.

Closes: #10418

man: fix spurious uppercasing

man: an attempt to reword the [Route] Type= man page

A follow-up for #10388.

networkd: type support for "throw" in [Route] section

mkosi: make kmsg work in our mkosi builds at least

NEWS: explain the RLIMIT_NOFILE bump

rlimit-util: don't call setrlimit() needlessly if it wouldn't change anything

Just a tiny tweak to avoid generating an error if there's no need to.

core: bump RLIMIT_NOFILE soft+hard limit for systemd itself in all cases

Previously we'd do this for PID 1 only. Let's do this when running in
user mode too, because we know we can handle it.

units: bump the RLIMIT_NOFILE soft limit for all services that access the journal

This updates the unit files of all our serviecs that deal with journal
stuff to use a higher RLIMIT_NOFILE soft limit by default. The new value
is the same as used for the new HIGH_RLIMIT_NOFILE we just added.

With this we ensure all code that access the journal has higher
RLIMIT_NOFILE. The code that runs as daemon via the unit files, the code
that is run from the user's command line via C code internal to the
relevant tools. In some cases this means we'll redundantly bump the
limits as there are tools run both from the command line and as service.

core: raise the RLIMIT_NOFILE hard limit for all services by default

Following the discussions with the kernel folks, let's substantially
increase the hard limit (but not the soft limit) of RLIMIT_NOFILE to
256K for all services we start.

Note that PID 1 itself bumps the limit even further, to the max the
kernel allows. We can deal with that after all.

tree-wide: uniformly bump RLIMIT_NOFILE in all our tools that access the journal

This makes use of rlimit_nofile_bump() in all tools that access the
journal. In some cases this replaces older code to achieve this, and
others we add it in where it was missing.

core: add a new call for bumping RLIMIT_NOFILE to "high" values

Following discussions with some kernel folks at All Systems Go! it
appears that file descriptors are not really as expensive as they used
to be (both memory and performance-wise) and it should thus be OK to allow
programs (including unprivileged ones) to have more of them without ill
effects.

Unfortunately we can't just raise the RLIMIT_NOFILE soft limit
globally for all processes, as select() and friends can't handle fds
>= 1024, and thus unexpecting programs might fail if they accidently get
an fd outside of that range. We can however raise the hard limit, so
that programs that need a lot of fds can opt-in into getting fds beyond
the 1024 boundary, simply by bumping the soft limit to the now higher
hard limit.

This is useful for all our client code that accesses the journal, as the
journal merging logic might need a lot of fds. Let's add a unified
function for bumping the limit in a robust way.

def: add a "high" limit for RLIMIT_NOFILE

This simply adds a new constant we can use for bumping RLIMIT_NOFILE to
a "high" value. It default to 256K for now, which is pretty high, but
smaller than the kernel built-in limit of 1M.

Previously, some tools that needed a higher RLIMIT_NOFILE bumped it to
16K. This new define goes substantially higher than this, following the
discussion with the kernel folks.

update TODO

siphash24: add helper for calculating the hash value for a string

Let's shorten some code.

Merge pull request #10416 from poettering/udev-coverity

three simple coverity fixes

util: fix segfault in prioq_remove() with empty Prioq object

util,test: introduce cleanup function prioq_freep()

This also simplifies test-prioq.c.

test: use CMP() macro at one more place

udev: (void)ify calls to kill() where we knowingly ignore the return values

CID 1368231
CID 1368229

udev: don't use devname before we acquired it

CID 1396107

core: log about unit_watch_pid() failing

CID 1237509

Merge pull request #10327 from yuwata/test-sd-device-enumerator-subsystem

sd-device-enumerator: dedup enumerated devices and add test for subsystem filtering

Set theme jekyll-theme-cayman

catalog: fix name of variable

All the messages would (literally) say "The start-up result is RESULT."
because @RESULT@ was not defined.

Fixes https://bugzilla.redhat.com/show_bug.cgi?id=1639482
and the first part of #8005.

Fixup for 646cc98dc81c4d0edbc1b57e7bca0f474b47e270.

rules: Add ID_REVISION environment var for NVMe devices

Merge pull request #9824 from poettering/login-unit-fixes

many logind improvements

Merge pull request #10391 from poettering/systemctl-exit-code-fixes

systemctl exit code fixes

nspawn: TAKE_FD() is your friend

tree-wide: use sockaddr_un_unlink() at two more places where appropriate

udev: use safe_close() where we can

tree-wide: add a single version of "static const int one = 1"

All over the place we define local variables for the various sockopts
that take a bool-like "int" value. Sometimes they are const, sometimes
static, sometimes both, sometimes neither.

Let's clean this up, introduce a common const variable "const_int_one"
(as well as one matching "const_int_zero") and use it everywhere, all
acorss the codebase.

socket-util: tighten socket_address_verify() checks a bit

socket-util: tweak commenting in socket_address_get_path()

Let's make clear explicitly that there's always a NUL byte following the
path, and how.

socket-util: include trailing NUL byte in SOCKADDR_UN_LEN() count for fs sockets

This is what unix(7) recommends, hence do so.

sd-bus: rework how we initialize struct sockaddr_un

Let's use structured initialization, but more importantly, let's
increase salen by 1, if we reference AF_UNIX sockets in the file system,
so that they also contain the trailing NUL byte. This is what unix(7)
suggests to do, hence follow it.

sd-bus: make parsing of AF_UNIX socket addresses more strict

Insist on NUL termination, just to be safe rather than sorry. The kernel
doesn't require it, but it's really annoying if people rely on this,
hence refuse this early.

tree-wide: port various users over to sockaddr_un_set_path()

CID 1396140
CID 1396141

socket-util: add sockaddr_un_set_path() helper

Properly initializing sun_path from foreign data is not easy, given the
size constraints, and NUL confusion. Let's add a helper function for
this.

tree-wide: use structured initialization for sockaddr_un

core: be more specific in error message

strxcpyx: minor coding style updates

socket-address: document socket address parsing size restrictions in a comment

socket-util: use structured initialization

tree-wide: make use of TAKE_FD() at two more places

tree-wide: use sockaddr_un_unlink() whereever appropriate

Let's port everything over.

socket-util: add new sockaddr_un_unlink() helper

The helper is supposed to properly handle cases where .sun_path does not
contain a NUL byte, and thus copies out the path suffix a NUL as
necessary.

This also reworks the more specific socket_address_unlink() to be a
wrapper around the more generic sockaddr_un_unlink()

alloc-util: add alloca() counterparts for memdup() and memdup_suffix0()

Merge pull request #10373 from poettering/systemd-io

adopt systemd.io urls

Merge pull request #10392 from poettering/manager-no-inotify-fail

make sure /etc/localtime issues don't cause systemd to fail boot

man/systemd.nspawn: fix reference to --timezone argument (#10403)

Merge pull request #10394 from yuwata/fixes-found-by-clang

Fix warnings reported by clang

udev: use readlink_malloc() or its friend

Follow-up for a2554acec652fc65c8ed0c6c1fede9ba8c3693b1 and
70068602713e8f441c5ddc2618f007f24488e422.

Merge pull request #10381 from poettering/coverity-fixes

fixes for various recent coverity issues

test: use fabsl instead of fabs as json_variant_real() returns 'long double'

busctl: drop unused variable

core: set _unused_ attribute to 'reloading'

Follow-up for 4df7d537c8203557d330b68ba7833515ddd4e985.

core: ensure it's not fatal if we cannot watch /etc/localtime

See: #9602

core: add debug logging if we cant watch /etc/localtime itself

test: make test-sd-device stricter

sd-device: dedup enumerated devices

test: add test for subsystem filtering of sd_device_enumerator

hashmap: introduce hashmap_first_key_and_value() and friends

systemctl: clean up start_unit_one() error handling

Let's split exit code handling in two: "r" is only used for errno-style
errors, and "ret" is used for exit() codes. Then, let's use EXIT_SUCCESS
for checking whether the latter is already used.

This way it should always be clear what kind of error we are processing,
and when we propaate one into the other.

Moreover this allows us to drop "q" form all inner loops, avoiding
confusion when to use "q" and when "r" to store received errors.

Fixes: #9704

systemctl: add missing OOM check

logind: validate /run/user/1000 before we set it

Let's be safe than sorry, in particular as logind doesn't set it up
anymore, but user-runtime-dir@.service does, and logind doesn't really
track success of that.

core: fix unfortunate typo in unit_is_unneeded()

Follow-up for a3c1168ac293f16d9343d248795bb4c246aaff4a.

core: make destructive transaction error a bit more useful

update TODO

man: also use "yes"/"no" rather than "true"/"false" in man pages

We usually use yes/no in all our unit files, do the same in the man
pages.

Triggered by:

https://github.com/systemd/systemd/pull/9824#issuecomment-420729987

units: use =yes rather than =true everywhere

So far we always used "yes" instead of "true" in all our unit files,
except for one outlier. Let's do this here too. No change in behaviour
whatsoever, except that it looks prettier ;-)

logind: automatically GC lingering users for who now user@.service (nor slice, not runtime dir service) is running anymore

This heavily borrows from @intelfx' PR #5546, but watches all three
units that are associated with a user now: the slice, the user@.service
and user-runtime-dir@.service.

The logic and reasoning behind it is the same though: there's no value
in keeping lingering users around if all their three services are gone.

Replaces: #5546
Fixes: #4162

logind: improve error propagation of user_check_linger_file()

Let's make this a bit prettier, and propagate unexpected access() errors
correctly.

(The callers of this function will suppress them, but it's nicer of they
do that, rather than us doing that twice in both the callers and the
callees)

logind: add a RequiresMountsFor= dependency from the session scope unit to the home directory of the user

This is useful so that during shutdown scope units are always terminated
before the mounts necessary for the home directory.

(Ideally we'd also add a similar dependency from the user@.service
instance to the home directory, but this isn't as easy as that service
is defined statically and not dynamically, and hence not easy to modify
dynamically, in particular when it comes to deps)

logind: change user-runtime-dir to query runtime dir size from logind via the bus

I think this is a slightly cleaner approach than parsing the
configuration file at multiple places, as this way there's only a single
reload cycle for logind.conf, and that's systemd-logind.service's
runtime.

This means that logind and dbus become a requirement of
user-runtime-dir, but given that XDG_RUNTIME_DIR is not set anyway
without logind and dbus around this isn't really any limitation.

This also simplifies linking a bit as this means user-runtime-dir
doesn't have to link against any code of logind itself.

logind: optionally watch utmp for login data

This allows us to determine the TTY an ssh session is for, which is
useful to to proper idle detection for ssh sessions.

Fixes: #9622

logind: add hashtable for finding session by leader PID

This is useful later on, when we quickly want to find the session for a
leader PID.

logind: optionally, keep the user@.service instance for eached logged in user around for a while

This should speed up rapid logout/login cycles a bit.

By default this timeout is now set to 10s.

Fixes: #8410
Replaces: #4434