update TODO

man: minor corrections on how the overall system states are actually defined

mac: add mac_ prefix to distinguish origin security apis

update TODO

swap: drop noauto/nofail bools from Swap structure

We nowadays always set them to "false" anyway, hence let's get rid of
them entirely.

swap: replace Discard= setting by a more generic Options= setting

For now, it's systemd itself that parses the options string, but as soon
as util-linux' swapon can take the option string directly with -o we
should pass it on unmodified.

udev hwdb: Support shipping pre-compiled database in system images

In some cases it is preferable to ship system images with a pre-generated
binary hwdb database, to avoid having to build it at runtime, avoid shipping
the source hwdb files, or avoid storing large binary files in /etc.

So if hwdb.bin does not exist in /etc/udev/, fall back to looking for it in
UDEVLIBEXECDIR. This keeps the possibility to add files to /etc/udev/hwdb.d/
and re-generating the database which trumps the one in /usr/lib.

Add a new --usr flag to "udevadm hwdb --update" which puts the database
into UDEVLIBEXECDIR.

Adjust systemd-udev-hwdb-update.service to not generate the file in /etc if we
already have it in /usr.

update TODO

man: document that $XDG_SESSION_DESKTOP only takes a single item, not a list, unlike $XDG_CURRENT_DESKTOP

sd-login: let's not needlessly yell at users

While GNOME/KDE are generally capitalized, systemd tools generally are
not, hence let's not start doing so in the XDG_CURRENT_SESSION
environment variable.

manager: print warning on console before reboot

It will be printed even if a prompt is blocking other messages.

manager: convert ephemeral to enum

In preparation for subsequent changes.

man: add table of manager states

shell-completion: systemctl set-default,get-default,is-system-running

rpm: add user macros

manager: do not print anything while passwords are being queried

https://bugs.freedesktop.org/show_bug.cgi?id=73942

cdrom_id: do not attempt to read past end of buffer

CID #1238437

selinux: make sure we do not try to print missing fields

UID or GID of 0 is valid, so we cannot use that to distinguish whether
calls to sd_bus_creds_get_* succeeded, and the return value from the
function is the only way to know about missing fields. Print "n/a" if
the fields are missing.

CID #1238779

login: remove multi-seat-x

update TODO

Update NEWS

units: define appropriate job timeout actions when boot or shutdown timeouts are hit

Using the new JobTimeoutAction= setting make sure we power off the
machine after basic.target is queued for longer than 15min but not
executed. Similar, if poweroff.target is queued for longer than 30min
but does not complete, forcibly turn off the system. Similar, if
reboot.target is queued for longer than 30min but does not complete,
forcibly reboot the system.

job: optionally, when a job timeout is hit, also execute a failure action

core: remove system start timeout logic again

The system start timeout as previously implemented would get confused by
long-running services that are included in the initial system startup
transaction for example by being cron-job-like long-running services
triggered immediately at boot. Such long-running jobs would be subject
to the default 15min timeout, esily triggering it.

Hence, remove this again. In a subsequent commit, introduce per-target
job timeouts instead, that allow us to control these timeouts more
finegrained.

update TODO

journald: be nice to coverity, add an extra assert

coverity otherwise assumes that the chain object might be NULL.

CODING_STYLE: don't clobber arguments on failure

calendarspec: parse 'quarterly' and 'semi-annually' as shortcuts

networkd: network - if no prefixlength is given, try to deduce one from the address class

In case of a class E or F address, ignore the address.

shared: in-addr-utils - add default_subnet_mask and default_prefixlen methods

These use the (deprecated) IPv4 address classes to deduce the corresponding subnet masks. This is useful when addresses
without subnet masks and prefix lengths are given.

Make use of these new functions from sd-dhcp-lease.

man: tmpfiles.d - recommend using b! and c!

We should avoid creating static device nodes at runtime.

units: tmpfiles-setup-dev - allow unsafe file creation to happen in /dev at boot

This will allow us to mark static device nodes with '!' to indicate that they should only be created at early boot.

sd-bus: sync kdbus.h (ABI break)

Some comment fixes and header cleanups in kdbus.h, and the task capability
meta information has been factored out to its own struct.

man: document what "minutely" now means

calendar: new case 'minutely'

update TODO

update NEWS

sd-bus: explicitly cast asprintf() return value away we are not interested in

Let's give coverity a hint what's going on here.

Revert "sd-bus: check return value of asprintf()"

This reverts commit b1543c4c93855b61b40118e9f14a0423dac2e078.

We check b->address anyway, no need to check the return value,
especially given that the other #ifdef branch don't get the same
treatment.

shutdown: do final unmounting only if not running inside the container

If we run in the container then we run in a mount namespace. If namespace dies
then kernel should do unmounting for us, hence we skip unmounting in containers.

Also, it may be the case that we no longer have capability to do umount,
because we are running in the unprivileged container.

See: http://lists.freedesktop.org/archives/systemd-devel/2014-October/023536.html

man: fix typos in description of SELinuxContextFromNet=

networkd: don't stop the dhcp server when link goes down

util: fix copy-paste error and actually set the new hostname

Reported-by: sztanpet on irc

util: introduce sethostname_idempotent

Function queries system hostname and applies changes only when necessary. Also,
migrate all client of sethostname to sethostname_idempotent while at it.

journald: fix flushing

Commit 74055aa762 'journalctl: add new --flush command and make use of
it in systemd-journal-flush.service' broke flushing because journald
checks for the /run/systemd/journal/flushed file before opening the
permanent journal. When the creation of this file was postponed,
flushing stoppage ensued.

systemctl: do not ignore errors in symlink removal

On an ro fs, systemctl disable ... would fail silently.

Rearrange Unit to make pahole happy

After all we have lots of those.

calendarspec: fix typo in "annually"

https://bugs.freedesktop.org/show_bug.cgi?id=85447

journalctl: correct help text for --until

http://bugs.debian.org/766598

bus-proxy: it's OK if getpeercred doesn't work

We should use the data if we can (if stdin/stdout is an AF_UNIX socket),
but still work if we can't (if stdin/stdout are pipes, like in the SSH
case).

This effectively reverts 55534fb5e4742b0db9ae5e1e0202c53804147697

sd-bus: if we don't manage to properly allocate the error message for an sd_bus_error, just go on

sd_bus_error_setfv() must initialize the sd_bus_error value to some
sensible value and then return a good errno code matching that. If it
cannot work at all it should set the error statically to the OOM error.
But if it can work half-way (i.e. initialize the name, but not the
message) it should do so and still return the correct errno number for
it.

This effectively reverts 8bf13eb1e02b9977ae1cd331ae5dc7305a305a09

time: don't do comparison twice

time: minor simplification

time: earlier exit from format_timestamp_relative() on special times

time: also support 'infinity' syntax in parse_nsec()

Let's make parse_usec() and parse_nsec() work similar

update TODO

NEWS: more preparations for 217

delta: use wait_for_terminate_and_warn() to generate warnin when diff fails

calendar: make freeing a calendar spec object deal fine with NULL

In order to make object destruction easier (in particular in combination
with _cleanup_) we usually make destructors deal with NULL objects as
NOPs. Change the calendar spec destructor to follow the same scheme.

timesyncd: the IP_TOS sockopt is really just an optimization, we shouldn't fail if we can't set it

This partially undos 2f905e821e0342c36f5a5d3a51d53aabccc800bd

update TODO

journalctl: Unify boot id lookup into common function get_boots

udev: do NOT re-label smack

If selinux is disabled and smack is only enabled, smack label is
relable-ed by label_fix. To avoid, make only be labeled for selinux.

manager: Linux on hppa has fewer rtsigs, hence avoid using the higher ones there

https://bugs.freedesktop.org/show_bug.cgi?id=84931

man: remove another gendered pronoun

journald: removed gendered pronouns in comment

man: fix minor typo

man: add a link to the XDG basedir spec from the pam_sytemd man page

man: avoid gendered singular pronouns

Using "their" as pronoun in these places is confusing since it is more
associated with plural rather than singular, and the sentence already
contains a plural. The word "her/his" apparently offends some people,
hence let's avoid the problem altogether and just name the noun again.

man: minor addition to coredumpctl example

cryptsetup: Fix timeout on dm device.

Fix a bug in systemd-cryptsetup-generator which caused the drop-in
setting the job timeout for the dm device unit to be written with a
name different than the unit name.

https://bugs.freedesktop.org/show_bug.cgi?id=84409

shutdown: pass own argv to /run/initramfs/shutdown

Since commit b1e90ec515408aec2702522f6f68c4920b56375b systemd passes
its log settings to systemd-shutdown via command line parameters.
However, systemd-shutdown doesn't pass these parameters to
/run/initramfs/shutdown, causing it to fall back to the default log
settings.

This fixes the following bugs about the shutdown not being quiet
despite "quiet" being in the kernel parameters:

https://bugs.freedesktop.org/show_bug.cgi?id=79582
https://bugs.freedesktop.org/show_bug.cgi?id=57216

selinux: fix handling of relative paths when setting up create label

man: in pam_systemd, it must be "his" (or "her"), not their

socket: properly label socket symlinks

socket: fix error comparison

label: move is_dir() to util.c

label: unify code to make directories, symlinks

label: don't try to create labelled directories more than once

selinux: clean up selinux label function naming

selinux: simplify and unify logging

Normally we shouldn#t log from "library" functions, but SELinux is
weird, hence upgrade security messages uniformly to LOG_ERR when in
enforcing mode.

selinux: rework label query APIs

APIs that query and return something cannot silently fail, they must
either return something useful, or an error. Fix that.

Also, properly rollback socket unit fd creation when something goes
wrong with the security framework.

smack: we don't need the special labels exported, hence don't

selinux: drop 3 unused function prototypes

smack: rework SMACK label fixing code to follow more closely the semantics of the matching selinux code

smack: never follow symlinks when relabelling

previously mac_smack_apply(path, NULL) would operate on the symlink
itself while mac_smack_apply(path, "foo") would follow the symlink.
Let's clean this up an always operate on the symlink, which appears to
be the safer option.

smack: rework smack APIs a bit

a) always return negative errno error codes
b) always become a noop if smack is off
c) always take a NULL label as a request to remove it

mac: rename all calls that apply a label mac_{selinux|smack}_apply_xyz(), and all that reset it to defaults mac_{selinux|smack}_fix()

Let's clean up the naming schemes a bit and use the same one for SMACK
and for SELINUX.

selinux: make use of cleanup gcc magic

TODO

man: pam_systemd: some typos fixed, some info added

Just some minor nits that I stumbled over when reading the man page.

unit: adjust for the possibility of set_move() failing

hashmap: allow hashmap_move() to fail

It cannot fail in the current hashmap implementation, but it may fail in
alternative implementations (unless a sufficiently large reservation has
been placed beforehand).

unit: place reservations before merging other's dependencies

With the hashmap implementation that uses chaining the reservations
merely ensure that the merging won't result in long bucket chains.

With a future alternative implementation it will additionally reserve
memory to make sure the merging won't fail.

install, cgtop: adjust hashmap_move_one() callers for -ENOMEM possibility

That hashmap_move_one() currently cannot fail with -ENOMEM is an
implementation detail, which is not possible to guarantee in general.
Hashmap implementations based on anything else than chaining of
individual entries may have to allocate.

hashmap_move_one will not fail with -ENOMEM if a proper reservation has
been made beforehand. Use reservations in install.c.

In cgtop.c simply propagate the error instead of asserting.

test: add test for hashmap_reserve()

hashmap: introduce hashmap_reserve()

With the current hashmap implementation that uses chaining, placing a
reservation can serve two purposes:
 - To optimize putting of entries if the number of entries to put is
   known. The reservation allocates buckets, so later resizing can be
   avoided.
 - To avoid having very long bucket chains after using
   hashmap_move(_one).

In an alternative hashmap implementation it will serve an additional
purpose:
 - To guarantee a subsequent hashmap_move(_one) will not fail with
   -ENOMEM (this never happens in the current implementation).

hashmap: return more information from resize_buckets()

Return 0 if no resize was needed, 1 if successfully resized and
negative on error.

shared: split mempool implementation from hashmaps

resolve: make DnsScope::conflict_queue an OrderedHashmap

on_conflict_dispatch() uses hashmap_steal_first() and then does
something non-trivial with it. It may care about the order.