logind: add a RequiresMountsFor= dependency from the session scope unit to the home directory of the user

This is useful so that during shutdown scope units are always terminated
before the mounts necessary for the home directory.

(Ideally we'd also add a similar dependency from the user@.service
instance to the home directory, but this isn't as easy as that service
is defined statically and not dynamically, and hence not easy to modify
dynamically, in particular when it comes to deps)

logind: change user-runtime-dir to query runtime dir size from logind via the bus

I think this is a slightly cleaner approach than parsing the
configuration file at multiple places, as this way there's only a single
reload cycle for logind.conf, and that's systemd-logind.service's
runtime.

This means that logind and dbus become a requirement of
user-runtime-dir, but given that XDG_RUNTIME_DIR is not set anyway
without logind and dbus around this isn't really any limitation.

This also simplifies linking a bit as this means user-runtime-dir
doesn't have to link against any code of logind itself.

logind: optionally watch utmp for login data

This allows us to determine the TTY an ssh session is for, which is
useful to to proper idle detection for ssh sessions.

Fixes: #9622

logind: add hashtable for finding session by leader PID

This is useful later on, when we quickly want to find the session for a
leader PID.

logind: optionally, keep the user@.service instance for eached logged in user around for a while

This should speed up rapid logout/login cycles a bit.

By default this timeout is now set to 10s.

Fixes: #8410
Replaces: #4434

logind: minor session time handling tweaks

logind: rework how we manage the slice and user-runtime-dir@.service unit for each user

Instead of managing it explicitly, let's simplify things and rely on
regular Wants=/Requires= dependencies to pull in these units from
user@.service and the session scope, and StopWhenUneeded= to stop these
auxiliary units again. This way, they can be pulled in easily by
unrelated units too.

This simplifies things quite a bit: for each session we now only need to
manage the session scope, and for each user the user@.service, the other
units are not something we need to manage anymore.

This patch also makes sure that if user@.service of a user is masked we
will continue to work, and user-runtime-dir@.service will still be
correctly pulled in, as it is now a dependency of the scope unit.

Fixes: #9461
Replaces: #5546

logind: don't clobber bus error structure if we don't fail

logind: propagate session stop errors

Let's propagate errors from stopping sessions via seat_stop(). This is
similar to how we propagate such errors in user_stop() for all sessions
associated with a user.

Note that we propagate these errors, but we don't abort the function.

logind: introduce little helper that checks whether a session is ready

logind: use TAKE_PTR() where we can

logind: prefer strjoin() over asprintf()

logind: don't rely on downgrade-to-bool

logind: voidify a few calls

logind: make better use of logging functions

logind: never elect a session that is stopping as display

logind: make unit/job active checking more debuggable

Let's log the error messages if we get any at debug level.

man: add missing space

sd-bus: add new API call sd_bus_error_move()

This new call move an sd_bus_error into another one.

logind: fix bad error propagation

logind: correct bad clean-up path

logind: save/restore User object's "stopping" field during restarts

Whether we are stopping or not is highly relevant, hence don't forget it
across restarts.

logind: improve logging in manager_connect_console()

let's make sure we log about every failure

Also, complain about systems where /dev/tty0 exists but
/sys/class/tty/tty0/active does not. Such systems (usually container
environments) are pretty broken as they mount something that is not a VC
to /dev/tty0 and they really shouldn't.

Systems should either have a VC or not, but not badly fake one by
mounting things wildly.

This just adds a warning message, as before we'll simply turn off VC
handling in this case.

logind: initialize Manager object with structure initialization too

units: improve Description= string a bit

Let's not use the word "wrapper", as it's not clear what that is, and in
some way any unit file is a "wrapper"... let's simply say that it's
about the runtime directory.

units: set StopWhenUnneeded= for the user slice units too

We'd like them to go away, just like the user-runtime-dir@.service when
they aren't needed anymore.

logind: turn of stdio locking when writing session files too

This just copies what we already do for user and seat files to session
files.

logind: fix serialization/deserialization of user's "display session"

Previously this was serialized as part of the user object. This didn't
work however, as we load users first, and sessions seconds and hence
referencing a session from the user load logic cannot work.

Fix this by storing an IS_DISPLAY property along with each session, and
make the session with this set display session when it is loaded.

logind: rework Seat/Session/User object allocation and freeing a bit

Let's update things a bit to follow current practices:

- User structure initialization rather than zero-initialized allocation

- Always propagate proper errors from allocation functions

- Use _cleanup_ for freeing objects when allocation fails half-way

- Make destructors return NULL

Revert "alloc-util: return NULL if 0-sized allocation is requested"

This reverts commit c05107767b589e9aac9711eb385738887f86eb77.

man: systemctl: clarify that --lines=0 is allowed (#10375)

The term “positive” is often read to exclude 0 (though “strictly
positive” is sometimes used to clarify this), so let’s explicitly state
that --lines=0 is legal and completely disables journal output.

Motivated by an answer on StackExchange [1].

[1]: https://unix.stackexchange.com/a/475068/44049

Merge pull request #10371 from poettering/sd-event-man-fix

trivial sd-event man page fixes

networkd: fix attribute length for wireguard (#10380)

This is actually a u16, not a u32, so the kernel complains:

kernel: netlink: 'systemd-network': attribute type 5 has an invalid length

This is due to:

if (nla_attr_len[pt->type] && attrlen != nla_attr_len[pt->type]) {
        pr_warn_ratelimited("netlink: '%s': attribute type %d has an invalid length.\n",
                            current->comm, type);
}

Presumably this has been working fine in functionality on little-endian
systems, but nobody bothered to try on big-endian systems.

Signed-off-by: Jason A. Donenfeld <Jason@zx2c4.com>

shared: add %g, %G specifiers for group / gid (#10368)

Merge pull request #10366 from poettering/in-set-fixes

IN_SET() compile time check fixes

Merge pull request #10356 from dtardon/covscan

assorted coverity/clang fixes

Merge pull request #10379 from jwrdegoede/hwdb-updates

Hwdb updates

hwdb: Add mapping for unknown keycodes on Microsofy Reclusa keyboard

Add mapping for unknown keycodes on Microsoft Reclusa keyboard.

hwdb: Add accelerometer orientation quirk for the Onda V80 Plus tablet

Add accelerometer orientation quirk for the Onda V80 Plus tablet.

hwdb: Add accelerometer orientation quirk for the Acer One 10 aka S1003

Add accelerometer orientation quirk for the Acer One 10 2-in-1 also known
as the Acer S1003.

efivars: check path_len before using it as loop boundary

journal-file: avoid calling ftruncate with invalid fd

This can happen if journal_file_close is called from the failure
handling code of journal_file_open before f->fd was established.

firewall-util: add an assert that we're not overwriting a buffer

... like commit f28501279d2c28fdbb31d8273b723e9bf71d3b98 does for
out_interface.

login: avoid leak of name returned by uid_to_name()

alloc-util: return NULL if 0-sized allocation is requested

That would almost certainly be an error (e.g., an overflow in computing
_need_), so it's better to fail.

do not try to allocate 0 bytes

Set theme jekyll-theme-minimal

Set theme jekyll-theme-dinky

Create CNAME

man: fix <manvolnum> of epoll_ctl(2)

be consistent about sun_path length

Most places use the whole buffer for name, without leaving extra space
for the trailing NUL.

dissect-image: use right comparison function

fstype can be NULL here.

console: avoid promotion to signed int

coverity message:
sign_extension: Suspicious implicit sign extension: "keydata.Key.ScanCode" with type "UINT16" (16 bits, unsigned) is promoted in "keydata.Key.ScanCode << 16" to type "int" (32 bits, signed), then sign-extended to type "unsigned long" (64 bits, unsigned).  If "keydata.Key.ScanCode << 16" is greater than 0x7FFFFFFF, the upper bits of the result will all be 1.

Merge pull request #10176 from yuwata/udev-cleanup-7

udev: replace udev_device by sd_device

sd-event: slightly extend explanatory comment

man: add missing references to sd_event_add_inotify()

These man pages list references to the various sd_event_add_xyz() calls
at the bottom, but sd_event_add_inotify() was never added there.

Moreover, some list references to sd_event_add_post() and
sd_event_add_exit() even though these have shared man pages with
sd_event_add_defer(), and given that the "SEE ALSO" section should
probably reference pages instead of functions let's drop this.

Then, let's always specify the sd_event_add_xyz() calls in the same
order.

Finally, in the sd_event_new(3) text explaining the basic logic,
actually mention sd_event_add_post() and sd_event_add_exit() as well, as
in that case we actually want to list functions, not man pages.

update TODO

Merge pull request #10369 from yuwata/test-mempool

meson,test: mempool related fixes and add tests for 'thread safety'

Merge pull request #10201 from yuwata/fix-10196

sd-netlink: add destroy_callback to sd_netlink_call_async() and fix memleaks in networkd

test: sort included headers

meson: fix '-Dstatic-libsystemd=true' or '-Dstatic-libudev=true'

Follow-up for a5d8835c78112206bbf0812dd4cb471f803bfe88.

test: add test for 'thread safety' of libudev

This adds a test for 715a970548d03fed18dc66c411c8b42ff21029cf.

meson: do not use mempool from libudev.so

Follow-up for a5d8835c78112206bbf0812dd4cb471f803bfe88.

test: add test for 'thread safety' of sd-device

This adds a test for a5d8835c78112206bbf0812dd4cb471f803bfe88.

sd-device: drop unnecessary header

test: add tests for $SYSTEMD_MEMPOOL=

This adds tests for b4f607433cac749b617e15b3d5d122322ed2bc71 and
205c085bc36c2c61a09dc40621d8561b135d9b57 (#9792).

Add LOGO to os-release

tests: fix fallthrough condition for supplementary groups

core: fix member access within null pointer

config_parse_tasks_max() is also used for parsing system.conf or
user.conf. In that case, userdata is NULL.

Fixes #10362.

macro: rework IN_SET a bit

This makes use of assert_cc() to guard against missing CASE macros,
instead of a manual implementation that might result in a static
variable to be allocated.

More importantly though this changes the base type for the array used to
determine the number of arguments for the compile time check from "int"
to "long double". This is done in order to avoid warnings from "ubsan"
that possibly large constants are assigned to small types. "long double"
hopefully isn't vulnerable to that.

Fixes: #10332

macro: drop -Wdeclaration-after-statement exclusion magic, we dropped that warning anyway from our build

journalctl: port JSON output mode to new JSON API

Also, while we are at it, beef it up, by adding json-seq support (i.e.
https://tools.ietf.org/html/rfc7464). This is particularly useful in
conjunction with jq's --seq switch.

Merge pull request #10353 from keszybz/more-manager-reloading

More manager reloading cleanups

Revert "meson: use c_args in generator scripts (#10289)"

This reverts commit 56f56d5ad856d9bd1070693490b210e0a0ccde92.

This broke the compilation for coverity under travis. Our build script does
something like this:

$ CFLAGS='-D_Float128=long\ double -D_Float64=double -D_Float64x=long\ double -D_Float32=float -D_Float32x=double' meson cov-build -Dman=false
$ ninja -C build
...
[pid 27096] execve("/usr/bin/cc", ["/usr/bin/cc", "-D_Float128=long", "double", "-D_Float64=double", "-D_Float64x=long", "double", "-D_Float32=float", "-D_Float32x=double", "-E", "-dM", "-include", "linux/capability.h", "-include", "config.h", "-include", "../src/basic/missing.h", "-"], 0x55ab75ea4e80 /* 91 vars */) = 0
cc: error: double: No such file or directory
cc: error: double: No such file or directory
[pid 27096] +++ exited with 1 +++

I'm sure this could be fixed somehow, but since the original motivation for
56f56d5ad856d9bd1070693490b210e0a0ccde92 wasn't very strong, let's just revert
it as this seems to be the simplest solution.

manager: simplify error handling in manager_deserialize()

If a memory error occurred, we would still go through the path which sets the
error on ferror(). It is unlikely that ferror() returns true, but it's seems
cleaner to just propagate the error we already have.

The handling of fgets() returning NULL is also simplified: according to the man
page, it returns NULL only on EOF or error. So if feof() returns true, I don't
think we should call ferror() again.

While at it, let's set errno to 0 and check that it is set before returning it
as an error. The man pages for fgets() and feof() do not say anything about
setting errno.

manager: also use the reloading "cleanup" function in manager_startup

Here the behaviour is nominally changed, because we will decrease the
counter on error. But the only caller quits the program if error occurs,
so this makes no practical difference.

manager: use the _cleanup_ mechanism to do n_reloading counter handling

No functional change.

manager: replace fake block with a strjoina

The block was created to avoid declaring variables in the middle of the block.
We could now do that, but it's easier to just use strjoina here.

busctl: add a --json= output mode

A new switch "-j" or "--json=" is added which transforms dbus
marshalling into json. This is extremely useful in combination with
tools such as "jq" to process bus calls further.

Merge pull request #10334 from keszybz/nomempool

Use mempool only in progs linked to libsystemd-shared.so

Merge pull request #10358 from yuwata/fix-10333

resolve: fix member access within null pointer

resolve: fix member access within null pointer

Fixes #10333.

resolve: use structured initializers

meson: use vars we already have defined in status

mempool: only enable mempool use when linked to libsystemd-shared.so

Mempool use is enabled or disabled based on the mempool_use_allowed symbol that
is linked in.

Should fix assert crashes in external programs caused by #9792.
Replaces #10286.

v2:
- use two different source files instead of a gcc constructor

Move use_pool() to mempool.c and rename to mempool_enabled()

The only user is in hashmap.c, but it's a mempool thing.

meson: update bug reference

https://github.com/mesonbuild/meson/issues/1644 was resolved in 0.42:
https://github.com/mesonbuild/meson/pull/2191/commits/be4428005dff8b17af5696c8f05567de9af1a8c5,
but still no-go.

meson: remove old comment

The linked page is gone, and I can't quite remember what the
warning was about. Something about recursive copying... Everything
seems to work.

meson: drop workaround

It was added way back, and seems to work fine now without it.

tests: pass halt_on_error=1 to UBSan

By default, UBSan neither crashes nor exits with a non-zero exit code
when undefined behavior has been detected. This is problematic because
it makes it much harder to catch issues like https://github.com/systemd/systemd/issues/10346,
 https://github.com/systemd/systemd/issues/10347, and https://github.com/systemd/systemd/issues/10333.
In fact, those issue were found just because I decided to grep
the test log, which isn't something that I normally do :-)

As it turns out, the only way to make UBSan signal that something is wrong that works more or less
reliably everywhere is to pass halt_on_error=1 (though, it's probably worth noting that it's currently
not set for PID1 in order not to trigger kernel panics).

See https://reviews.llvm.org/D35085#804183 and https://chromium.googlesource.com/chromium/src/testing/libfuzzer/+/HEAD/reference.md

udev-builtin: move definitions related to builtin commands to udev-builtin.h

udev-ctrl: move prototypes of udev_ctrl_*() to udev-ctrl.h

udev-node: replace udev_device by sd_device and modernize code a bit

udev-watch: replace udev_device by sd_device and modernize code a bit

udev: drop unused function udev_build_argv()

man: clarify behaviour of RandomizedDelaySec=

Merge pull request #10316 from poettering/json-api

just the json stuff from #9762

Merge pull request #10351 from keszybz/meson-cpp-fixups

Meson c++-related fixups

Merge pull request #10343 from poettering/manager-state-fix

various fixes for PID1's Manager object

Merge pull request #10349 from poettering/bus-creds-shift-overflow

sd-bus creds bitshift overflow fix