network: make reading PrivateKeyFile= failure always fatal

This also refactor wireguard_read_key_file().

fileio: add READ_FULL_FILE_UNBASE64 flag for read_full_file_full()

fileio: read_full_file_full() also warns when file is world readable and secure flag is set

fileio: introduce warn_file_is_world_accessible()

util: introduce READ_FULL_FILE_SECURE flag for reading secure data

util: extend unbase64mem() to accept secure flag

When the flag is set, buffer is cleared on failure.

network: re-indent conf parsers in wireguard.c

nspawn: create boot_id and kmsg files for overmounting in /run, not /tmp

/tmp might not be mounted at all yet (given that we support
SYSTEMD_NSPAWN_TMPFS_TMP=0 to turn this off), and /tmp is a dir systemd
usually tries to unmount during shutdown (unlike /run), and we shouldn't
keep it busy. Hence let's just move these deleted files to /run so that
we don't keep /tmp needlessly busy.

lgtm: warn about strerror() use

meson: sort source files again

hwdb: Add accelerometer orientation quirk for the Teclast F6 Pro

test-journal: move tests to /var/tmp/ and set FS_NOCOW_FL

The journal files might not be tiny hence let's write them to /var/tmp/
instead of /tmp. Also, let's turn on NOCOW on the files, as these tests
might apparently be slow on btrfs.

Fixes: #12210

ask-passwd: slightly optimize handling arguments

It is not necessary to copy arguments for each console.

bus-util: treat org.freedesktop.DBus.Error.ServiceUnknown nicely when polkit does not exist

Fixes #12209.

Merge pull request #12208 from poettering/base-file-system-tweaks

base-filesystem: be nicer to read-only fs images

Merge pull request #12207 from poettering/portable-bus-policy-fix

portabled dbus policy fix

udevadm: drop unused option

tty-ask-pw-agent: use right array

No point in copying the array if we are not going to use the copy.

Prompted by: https://github.com/systemd/systemd/pull/12183#issuecomment-479591781

udev-util: allocate an event loop of our own for waiting

We can't use the per-thread default one here, as it might already be
running (for example, that's the case in portabled), and our event loops
are not recursive, hence running them a second time is not OK.

shared: be friendly to EROFS images

There are environments where /lib might not be necessary (think:
statically compiled portable service binary), hence don't insist on it
if the image is read-only.

shared: path_join() is your friend

shared: no need to initialize variable

portabled: fix method name

yikes.

portabled: reorder methods in vtable

Let's stick to the same order in the per-image vtable and the manager
vtable.

portabled: fix dbus policy

Let's whitelist the method calls actually defined, not some outdated old
names.

Merge pull request #12198 from keszybz/seccomp-parsing-logging

Seccomp parsing logging cleanup

Merge pull request #12205 from keszybz/update-release-docs

docs: let's not close the milestone early

docs: also document updates to stable repo

docs: let's not close the milestone early

Merge pull request #12202 from keszybz/seccomp-arm64

Fixes for S[GU]ID filter on arm64

seccomp: rework how the S[UG]ID filter is installed

If we know that a syscall is undefined on the given architecture, don't
even try to add it.

Try to install the filter even if some syscalls fail. Also use a helper
function to make the whole a bit less magic.

This allows the S[UG]ID test to pass on arm64.

test-seccomp: fix compilation on arm64

It has no open().

kernel-install: add a check that the vmlinuz arg is sane

docs: update release steps for meson

build-sys: bump package version

Merge pull request #12121 from poettering/contrib

pid1: pass unit name to seccomp parser when we have no file location

Building on previous commit, let's pass the unit name when parsing
dbus message or builtin whitelist, which is better than nothing.

seccomp_parse_syscall_filter() is not needed anymore, so it is removed,
and seccomp_parse_syscall_filter_full() is renamed to take its place.

basic/log: log any available location information in log_syntax()

We would log "(null):0: Failed to parse system call, ignoring: rseq" from
log_syntax_internal() from log_syntax() from seccomp_parse_syscall_filter_full()
from seccomp_parse_syscall_filter() from config_parse_syscall_filter(),
when generating the built-in @default whitelist. Since it was not based on the
unit file, we would not pass a file name.

So let's make sure that log_syntax() does not print "(null)" pointer (which is
iffy and ugly), and use the unit name as fallback or nothing if both are missing.
In principle, one of the two should be always available, since why use log_syntax()
otherwise, but let's make things more resilient by guarding against this case too.
log_syntax() is called from a thousand places, and often in error path, so it's
hard to verify all callers.

core: use a temporary variable for calculation of seccomp flags

I think it is easier to read this way.

test: use newer verb to set log levels

docs: fix path to unit files

core: fix build failure if seccomp is disabled

Revert "build: install /etc/systemd/{system,user}-generators"

This reverts commit 509276f2b7d44d472b66e79cbfa531c1de4c3801.

Merge pull request #12188 from poettering/coccinelle-fixlets

tree-wide: let's run coccinelle again

update NEWS

meson: bump so versions

Since we aren't quite ready for release v242 yet, let's not bump the
package version yet, but let's already bump the soversion.

NEWS: add preliminary contributor list

update .mailmap

Merge pull request #12056 from poettering/seccomp-suid-sgid

Introduce RestrictSUIDSGID= for disabling SUID/SGID file creation

update TODO

core: imply NNP and SUID/SGID restriction for DynamicUser=yes service

Let's be safe, rather than sorry. This way DynamicUser=yes services can
neither take benefit of, nor create SUID/SGID binaries.

Given that DynamicUser= is a recent addition only we should be able to
get away with turning this on, even though this is strictly speaking a
binary compatibility breakage.

units: turn on RestrictSUIDSGID= in most of our long-running daemons

man: document the new RestrictSUIDSGID= setting

analyze: check for RestrictSUIDSGID= in "systemd-analyze security"

And let's give it a heigh weight, since it pretty much can be used for
bad things only.

core: expose SUID/SGID restriction as new unit setting RestrictSUIDSGID=

test: add test case for restrict_suid_sgid()

seccomp: introduce seccomp_restrict_suid_sgid() for blocking chmod() for suid/sgid files

seccomp: add debug messages to seccomp_protect_hostname()

core: add a generic helper that forwards per-unit method calls from Manager

Quite often we have a method DoSomethingWithUnit() on the Manager object
that is the same as a function DoSomething() on a Unit object. Let's
shorten things by introducing a common function that forwards the
former to the latter, instead of writing this again and again.

Merge pull request #12013 from yuwata/fix-switchroot-11997

core: on switching root do not emit device state change based on enumeration results

udev: use strempty() where appropriate

json: use SYNTHETIC_ERRNO() where appropriate

sd-event: use DIV_ROUND_UP where appropriate

sd-device: use xsprintf() where appropriate

tree-wide: use SYNTHETIC_ERRNO() where appropriate

boot: use TAKE_PTR() where appropriate

tree-wide: use reallocarray() where appropriate

util-lib: use FLAGS_SET() where appropriate

analyze: use empty_or_root() where appropriate

Merge pull request #12185 from poettering/login-unstore-fd

logind: remove unused fds from fdstore

Merge pull request #12186 from poettering/lgtm-updates

lgtm ruleset updates

Merge pull request #12183 from poettering/askpwargv

tty-ask-password: let's copy argv[] before forking

journal: LGTM doesn't recognize suppressions in /* */

test: stop using dup() needlessly

lgtm: beef up list of dangerous/questionnable API calls not to make

logind: when we cannot attach a passed fd to a device, close it

Replaces: #8532

logind: simplify removal of device fds

let's use sd_notifyf(). Let's also stop validating the session ID here.
This is the destructor. if it contains a dash, we are already too late
here anyway.

journal-remote: use source's boot-id

systemd-journal-remote always wrote the boot-id of the device it was running on
to the header of its journal files. When the source had a different boot-id
(because it was generated on a different boot, or a different device), the
boot-ids in the file were inconsistent. The _BOOT_ID field was that of the
source, but the journal file header and each entry object header were that of
the device systemd-journal-remote ran on. This breaks journalctl --list-boots
on any of these files.

Set the boot-id in the header to be that of the source. This also fixes the
entry object headers.

ipv4ll: do not reset seed generation counter on restart

Fixes #12145.

Merge pull request #12007 from poettering/clock-change

.timer OnClockChange= and OnTimezoneChange= settings

tty-ask-password: re-break comment

tty-ask-password: simplify signal handler installation

tty-ask-password: no need to initialize something already NUL initialized to NUL

tty-ask-password: drop redundant local variable

tty-ask-password: copy argv[] before forking child

Another fix in style of bd169c2be0fbdaf6eb2ea7951e650d5e5983fbf6.

Let's also avoid strjoina() in a loop (i.e. stack allocation). While in
this specific caseone could get away with it (since we'd immediately
afterwards leave the loop) it's still ugly, and every static checker
would be totally within its rights to complain.

Also, let's simplify things by not relying on argc, since it's redundant
anyway, and it's nicer to just treat things as NULL terminated strv
array.

Fixes: #12180

update TODO

man: document the two new .timer settings

test: add tests for new .timer units

core: optionally, trigger .timer units on timezone and clock changes

Fixes: #6228

run: rename with_timer → arg_with_timer

The value is directly initialized from cmdline args, hence let's name it
so, following our usual naming style.

core: use more structured initialization

build: install /etc/systemd/{system,user}-generators

Manual page systemd.generators refers to /etc/systemd/{system,user}-generators,
but the paths do not exist, so let's install them.

Merge pull request #12030 from poettering/condition-memory

add ConditionCPUs= + ConditionMemory=

Merge pull request #12168 from poettering/man-fixes

three minor tweaks to the man pages

core: refactor transaction.c to use fewer gotos

In particular, let's not use gotos that jump up, i.e. are loops. gotos
that jump down for the purpose of clean-up are cool, but using them for
loops is evil.

No change in behaviour, just some refactoring.

NEWS: document the change to installation

Merge pull request #12160 from yuwata/wait-online-allow-configuring

wait-online: add --any option

Merge pull request #12155 from yuwata/network-fix-and-extend-foo-over-udp-support

network: fix and extend Foo over UDP

systemctl: print a more accurate error message when we can

rm-rf: refuse combining REMOVE_ONLY_DIRECTORIES and REMOVE_SUBVOLUME for now

It's not easy to implement such a combined operation race-freely since
dropping a subvolume will drop all its contents, including any
non-directories.

Hence, let's just not support this combination for now. Which isn't much
of a loss, since we never combine these flags anyway.