seccomp: let's update @file-system a bit

Let's add fremovexattr which was the only xattr syscall so far missing
from the group, even though lremovexattr and friends where included.

Add inotify_init, which is an older (but still supported) version of
inotify_init1.

Add oldfstat, oldlstat, oldstat which are old versions of the stat
syscalls on some archs.

Add utime, which is an older more limited version of utimes and
utimensat.

Enclose the "statx" entry in some ifdeffery to ensure libseccomp
actually knows the syscall. If libseccomp doesn't know it, then we'd get
EINVAL rather than EDOM (which is what is returned if a syscall is known
but not available on the local system) when resolving the syscall name
and we really don't want that, as we use the EDOM vs. EINVAL check for
determining whether a syscall makes sense at all.

Also, order things alphabetically.

seccomp: let's update base-io a bit

Let's add _llseek which is the syscall name on some archs that on others
is simply lseek (due to 64bit vs 32bit off_t confusion). Also, let's
sort things alphabetically.

seccomp: update "@default" seccomp group a bit

Let's add more of the most basic operations to "@default" as absolute
baseline needed by glibc and such to operate. Specifically:

futex, get_robust_list, get_thread_area, membarrier, set_robust_list,
set_thread_area, set_tid_address are all required to properly implement
mutexes and other thread synchronization logic. Given that a ton of
datastructures are protected by mutexes (such as stdio and such), let's
just whitelist this by default, so that things can just work.

restart_syscall is used to implement EAGAIN SA_RESTART stuff in some
archs, and synthesized by the kernel without any explicit user logic,
hence let's make this work out of the box.

rules: ubi mtd - add link to named partitions (#6750)

[zjs:
- rebase onto recent master
- drop signed-off-by]

Merge pull request #6428 from boucman/device_reload

device : reload when udev generates a "changed" event

TODO: Drop even more redundant and implemented items

TODO: remove some items that are implemented now or otherwise obsolete

nss: use secure_getenv for behaviour-modifying booleans (#6817)

Follow up for fe102d6ab15731a199a7ea9f38c4f68d8959f86c.

nss-systemd,sysusers: make sure sysusers doesn't get confused by nss-systemd (#6812)

In nss-systemd we synthesize user entries for "nobody" and "root", as
fallback if we boot up with an entirely empty /etc. This is supposed to
be a fallback only though, and it's intended that both users exists
regularly in /etc/passwd + /etc/group. Before this patch
systemd-sysusers would never create the entries however as it notices
the synthetic entries. Let's add a way how systemd-sysusers can tell
nss-systemd not to synthesize the entries for itself.

Fixes: #6808

basic: ensure O_TMPFILE is always defined (#6816)

Merge pull request #6807 from poettering/service-result

man: complete and rework $SERVICE_RESULT documentation

Merge pull request #6810 from poettering/test-mode-segfault

don't crash in pager code when "systemd --test" is invoked

man: rework grammatical form of sentences in a table in systemd.exec(5)

"Currently, the following values are defined: xxx: in case <condition>" is
awkward because "xxx" is always defined unconditionally. It is _used_ in case
<condition> is true. Correct this and a bunch of other places where the
sentence structure makes it unclear what is the subject of the sentence.

Merge pull request #6775 from poettering/run-pipe2

run: add new --pipe option for "systemd-run"

Merge pull request #6805 from poettering/exec-dir

exec-util,conf-files: skip non-executable files in execute_directories()

man: fix repeated use of "use" in a sentence

sd-bus: extend D-Bus authentication timeout considerably (#6813)

As it turns out the authentication phase times out too often than is
good, mostly due to PRNG pools not being populated during boot. Hence,
let's increase the authentication timeout from 25s to 90s, to cover for
that.

(Note that we leave the D-Bus method call timeout at 25s, matching the
reference implementation's value. And if the auth phase managed to
complete then the pools should be populated enough and mehtod calls
shouldn't take needlessly long anymore).

Fixes: #6418

Merge pull request #6811 from fbuihuu/dont-detach-root-DM-dev

Dont try to detach DM dev hosting "/" even when it uses BTRFS

Merge pull request #6798 from poettering/nspawn-seccomp

nspawn seccomp improvements

shutdown: don't be fooled when detaching DM devices with BTRFS

Otherwise we would try to detach the DM device hosting the rootfs with BTRFS
which is doomed to fail.

util: make get_block_device() available

conf-files: log when we skip a drop-in configuration file

exec-util,conf-files: skip non-executable files in execute_directories()

Fixes: #6787

pager: let's create pager fds with O_CLOEXEC first

We make copies (without O_CLOEXEC) of the fds anyway before using them,
hence let's be safe and create them with O_CLOEXEC first, so that we
don't run into issues should pager_open() be called in a threaded
environment where another thread fork()s at the wrong time and ends up
with fds not marked O_CLOEXEC.

main: skip many initialization steps when running in --test mode

Most importantly, don't collect open socket activation fds when in
--test mode. This specifically created a problem because we invoke
pager_open() beforehand (which these days makes copies of the original
stdout/stderr in order to be able to restore them when the pager goes
away) and we might mistakenly the fd copies it creates as socket
activation fds.

Fixes: #6383

shutdown: fix incorrect fscanf() result check (#6806)

A correction for 090e3c9796ef6468d4f396610804d62f6ffd797f.

Fixes: #6796

hwdb: add Lenovo Yoga 510-14IKB sensor mount quirk (#6799)

tmpfiles.d/journal-nocow: fix typo (#6804)

man: complete and rework $SERVICE_RESULT documentation

This reworks the paragraph describing $SERVICE_RESULT into a table, and
adds two missing entries: "success" and "start-limit-hit".

These two entries are then also added to the table explaining the
$EXIT_CODE + $EXIT_STATUS variables.

Fixes: #6597

run: add new --pipe option for including "systemd-run" commands in shell pipelines

In this mode, we'll directly connect stdin/stdout/stderr of the invoked
service with whatever systemd-run itself is invoked on. This allows
inclusion of "systemd-run" commands in shell pipelines, as unlike
"--pty" this means EOF of stdin/stdout/stderr are propagated
independently.

If --pty and --pipe are combined systemd-run will automatically pick the
right choice for the context it is invoked in, i.e. --pty when invoked
on a TTY, and --pipe otherwise.

Merge pull request #6802 from systemd-mailing-devs/20170911184738.GA11495@dtor-ws

rules: load drivers only on "add" events

nspawn: implement configurable syscall whitelisting/blacklisting

Now that we have ported nspawn's seccomp code to the generic code in
seccomp-util, let's extend it to support whitelisting and blacklisting
of specific additional syscalls.

This uses similar syntax as PID1's support for system call filtering,
but in contrast to that always implements a blacklist (and not a
whitelist), as we prepopulate the filter with a blacklist, and the
unit's system call filter logic does not come with anything
prepopulated.

(Later on we might actually want to invert the logic here, and
whitelist rather than blacklist things, but at this point let's not do
that. In case we switch this over later, the syscall add/remove logic of
this commit should be compatible conceptually.)

Fixes: #5163

Replaces: #5944

rules: load drivers only on "add" events

Previously we were loading kernel modules on all device events save
for "remove". With the introduction of KOBJ_BIND/KOBJ_UNBIND this causes
issues, as driver modules that have devices bound to their drivers get
immediately reloaded, and it appears to the user that module unloading
does not work.

Let's change the rules to only load modules on "add" events instead.

nspawn: replace homegrown seccomp filter table largely with references to the existing syscall groups

Let's shorten the table, now that we are hooked up to the syscall group
system.

nspawn: part over seccomp code to use seccomp_add_syscall_filter_item()

Let's unify a bit of the code here.

seccomp: split out inner loop code of seccomp_add_syscall_filter_set()

Let's add a new helper function seccomp_add_syscall_filter_item() that
contains the inner loop code of seccomp_add_syscall_filter_set(). This
helper function we can then export and make use of elsewhere.

seccomp: drop default_action parameter from seccomp_add_syscall_filter_set()

The function doesn't actually use the parameter, hence let's drop it.

units: remove unnecessary Requires= and After= in system.slice (#6794)

hwdb: Add ACCEL_MOUNT_MATRIX for the Lamina T-1016B.NORD 2-in-1 tablet (#6430)

accelerator mount matrix for Asus TP300LD (#6789)

device : reload when udev generates a "changed" event

unit : allow any unit which propagates reloads to be reloaded

systemctl: don't do ANSI underlining on TERM=linux (#6778)

The linux console apparently can't do underlining, hence let's not do it
on the console.

Also see: #6601

Merge pull request #6780 from poettering/agent-message

Three minor fixes.

libudev: add missing errno initialization/error propagation (#6781)

In libudev (which es much older code than the rest of systemd), we
propagate errors in functions not returning an int, via (positive) errno
(i.e. libc-style), and as negative Exyz values in those returning an int
(much preferred, i.e. Linux kernel style). Let's fix up a few place,
where this was incorrectly done, or not done at all.

Fixes: #6613

man: update reference to definition of StartLimitAction (#6786)

The values for StartLimitAction are defined in `man systemd.unit`.
Don't send people to `man systemd.service` just to find they need to look
back in `man systemd.unit` again :).

kmod-setup: define has_virtio_rng() only in a case when HAVE_KMOD is enabled (#6784)

in other way we will get a warning message:

../src/core/kmod-setup.c:83:13: warning: ‘has_virtio_rng’ defined but
not used [-Wunused-function]

  static bool has_virtio_rng(void) {
             ^~~~~~~~~~~~~~

sulogin-shell: switch from shell implementation to a C implementation (#6698)

efivars: don't crash when somebody wants to remove an efi variable

This corrects b3c908b4a230c5cca0dcdd7e94d02ec54a298abf by allowing a
NULL value again for variable deletion.

Fixes: #6753

man: only document "systemd-mount --umount", never "--unmount"

Internally, we accept either, but let's stick to one of the spellings
for all docs.

Fixes: #6757

core: downgrade log message about inability to propagate cgroup release message

If dbus is already down during shutdown, we can't propagate the cgroup
release message anymore, but that's expected and nothing to warn about.
Hence let's downgrade the message from LOG_WARN to LOG_DEBUG.

Fixes: #6777

util-lib: wrap personality() to fix up broken glibc error handling (#6766)

glibc appears to propagate different errors in different ways, let's fix
this up, so that our own code doesn't get confused by this.

See #6752 + #6737 for details.

Fixes: #6755

manager: when reexecuting try to connect to bus only when dbus.service is around (#6773)

Trying to connect otherwise is pointless, because if socket isn't around
we won't connect. However, when dbus.socket is present we attempt to
connect. That attempt can't succeed because we are then supposed
to activate dbus.service as a response to connection from
us. This results in deadlock.

Fixes #6303

journalctl: honor --quiet when vacuuming (#6771)

'journalctl --vacuum-*' does not suppress output message with --quiet.

Let journal_directory_vacuum honors --quiet to fix the problem.

BugLink: https://bugs.launchpad.net/bugs/1692188

Allow configuration of a bridge netdev's group_fwd_mask. (#6759)

Merge pull request #6770 from lucaswerkmeister/analyze-get-log

analyze: add get-log-level, get-log-target verbs

Merge pull request #6768 from fsateler/umount-message

Some better messages for systemd-mount --umount

analyze: add get-log-level, get-log-target verbs

They’re counterparts to the existing set-log-level and set-log-target
verbs, simply printing the current value to stdout. This makes it
slightly easier to temporarily change the log level and/or target and
then restore the old value(s).

shell-completion: add systemd-analyze set-log-target

The `systemd-analyze set-log-target` command was added in v227 (commit
2ca2a91cf1), but was missing from the shell completion specifications.

mount: always show the user-provided argument when umount can't be done

Otherwise it can be confusing if the path is not the same

mount: Add message when the target path does not exist

Fixes: #6760

Merge pull request #6616 from pfl/rdnss

networkd: RDNSS option for systemd-networkd prefix delegation

hwdb: Add Cube i7 Stylus sensor rotation matrix (#6722)

Merge pull request #6436 from juga0/features/rfc7844

Features/rfc7844

man: fix systemd-analyze plot commands (#6761)

assemble multidevice btrfs volumes without external tools (#6607)

assemble multidevice btrfs volumes without external tools

This self-contained approach introduce very little overhead, unless
someone has a large number of devices composing many btrfs volumes,
in which case btrfs device scan would be faster. Still, having robust
implementation is a nice to have alternative for btrfs-progs.

man: Document prefix delegation in systemd.network

Add prefix delegation documentation covering IPv6PrefixDelegation=
setting in the Network section as well as all the parameters and
the IPv6PrefixDelegation and IPv6Prefix sections implemented so
far, including DNS= and DNSLifetimeSec= settings.

test-ndisc-ra: Update test with RDNSS option

networkd-radv: Set RDNSS information on Router Advertisement enabling

sd-radv: Add Router Advertisement DNS information

Add Router Advertisement Recursive DNS Server information as specified
in RFC 8106.

networkd: Parse DNS IPv6 information for Router Advertisement

Parse DNS IPv6 addresses and DNS server lifetime from .network files
so that they can be included in Router Advertisement RDNSS options.

RDNSS address and lifetime information is added to the
[IPv6PrefixDelegation] section according to the following syntax:

DNS=2001:db8::a:b 2001:db8::c:d
DNSLifetimeSec=1042

networkd: test DHCP client when Anonymize is true.

networkd: RFC7844, disable INIT-REBOOT state when

Anonymize is true.

networkd: RFC7844, do not set any other option

when Anonymize is enabled.

Use the Client variable to know whether it is enabled.

networkd: do not send more PRL options when Anonymize is true.

* check that Client has reserved memory for PRL
* do not send duplicated ROUTES option when Anonymize is true

networkd: set PRL default options depending on Anonymize.

Add also Client variable to know when Anonymize is true.

networkd: add PRL options to send when Anonymize is true

networkd: RFC7844, add network variable and function

to initialize Network variables when Anonymize is true.

* do not send hostname
* client identifier set to MAC
* do not send vendor class identifier
* do not send other PRL options

networkd: RFC7844, add configuration variable

to enable Anonymity Profiles and document it.

hwdb: Add mice (#6641)

* Dell MS111-T
* Dell MS116t
* Microsoft Comfort Mouse 4500

networkd: Allow configure a specific link even if it has no carrier. (#6740)

This work allows to configure a specific link even if it has no carrier.

Closes #6645.

Update version including Chuwi Hi13 (#6744)

networkd: send dhcp timezone option when UseTimezone is true (#6725)

test-dns-domain: allow old and new libidn2 behaviour (#6749)

The behaviour changed to allow underscores. For now, lets just
accept both return values.

Fixes #6573.

tests: check the return value of personality when errno is not set (#6752)

The `personality` wrapper might not set errno, so in that case the return value
should be checked instead.

For details, see
https://sourceware.org/git/?p=glibc.git;a=commitdiff;h=e0043e17dfc52fe1702746543127cb4a87232bcd.

Closes #6737.

Merge pull request #6748 from msekletar/console-container-getty-pre-after

units: order container and console getty units after getty-pre.target

Merge pull request #6747 from keszybz/cryptsetup-netdev

netdev option for crypttab

systemctl: make sure we properly turn off color at the end of each line of "list-unit-files" (#6688)

Let's simplify the code a bit, and make sure we always turn off color
and underlining again on each line, if we used it.

Fixes: #6684

units: order container and console getty units after getty-pre.target

networkd: send dhcp option NTP when UseNTP is true (#6726)

Mention mount.usr* in kernel-command-line man page (#6743)

cryptsetup-generator: use remote-cryptsetup.target when _netdev is present

This allows such devices to depend on the network. Their startup will
be delayed similarly to network mount units.

Fixes #4642.

units: add remote-cryptsetup.target and remote-cryptsetup-pre.target

The pair is similar to remote-fs.target and remote-fs-pre.target. Any
cryptsetup devices which require network shall be ordered after
remote-cryptsetup-pre.target and before remote-cryptsetup.target.

man: add an explicit description of _netdev to systemd.mount(5)

It was mentioned in passing, but having it in the list of options is also
nice.

man: order fields alphabetically in crypttab(5)

They already were mostly ordered alphabetically, but some disorder
snuck in.

Also, fix formatting. Some options were described using "--" prefixes, which
looks like the text was just copied from crypttab(8).

units: order cryptsetup-pre.target before cryptsetup.target

Normally this happens automatically, but if it happened that both targets were
pulled in, even though there were no cryptsetup units, they could be started
in reverse order, which would be somewhat confusing. Add an explicit ordering
to avoid this potential issue.

Add Razer Blade Stealth 2016 to hwdb (#6730)

Merge pull request #6741 from keszybz/template-loading-fix

Fix for mask/unmask operations on templates and multiple units

Merge pull request #5815 from benzea/master

rfkill: Delay writes until exit (#5768)

build-sys: make nonnull warning non-fatal (#6742)

Seems to be some kind of confusion in gcc. Insteading of playing whack-a-mole and
adding work-arounds in code, let's adjust the compilation options instead.

Fixes #6119, replaces #6657.