bus-proxy: don't print error-messages if we check multiple dests

If we test the policy against multiple destination names, we really should
not print warnings if one of the names results in DENY. Instead, pass the
whole array of names to the policy and let it deal with it.

bus-proxy: implement org.freedesktop.DBus.ReloadConfig()

Make sure to reload our xml policy configuration if requested via the bus.

bus-proxy: fix indentation

Fix whitespace indentation.

bus-proxy: drop privileges if run as root

We cannot use "User=" in unit-files if we want to retain privileges. So
make bus-proxy.c explicitly drop privileges. However, only do that if
we're root, as there is no need to drop it on the user-bus.

bus-proxy: share policy between threads

This implements a shared policy cache with read-write locks. We no longer
parse the XML policy in each thread.

This will allow us to easily implement ReloadConfig().

build: move stdio-bridge into $PATH

Make sure stdio-bridge can be found in $PATH. Otherwise, "xyzctl -H"
fails.

hwdb: restore comments about MSI devices

Some time ago 95-keymap.rules was replaced by
60-keyboard.hwdb. Original comments for MSI laptops (that were in
95-keymap.rules) were removed, but I think they are important for
understanding what's going on.

https://bugs.freedesktop.org/show_bug.cgi?id=88412

bus-proxy: set custom thread names

Set thread-names to "p$PIDu$UID" and suffix with '*' if truncated. This
helps debugging bus-proxy issues if we want to figure out which
connections are currently open.

bus-proxy: turn into multi-threaded daemon

Instead of using Accept=true and running one proxy for each connection, we
now run one proxy-daemon with a thread per connection. This will enable us
to share resources like policies in the future.

missing: add macros for OFD locks

remove unneeded libgen.h includes

Grammar changes to catalog

random-seed: avoid errors when we cannot write random-seed file

When we call 'systemd-random-seed load' with a read-only /var/lib/systemd,
the cleanup code (which rewrites the random-seed file) will fail and exit.

Arguably, if the filesystem is read-only and the random-seed file exists
then this will be possibly be quite bad for entroy on subsequent reboots
but it should still not make the unit fail.

bus-proxy: bring back systemd-stdio-bridge

Now that we want to make bus-proxy multi-threaded, we have to bring back
the systemd-stdio-bridge for our TCP use-cases.

bus-proxy: extract proxy into Proxy object

Move all the proxy code into a "struct Proxy" object that can be used
from multiple binaries.

We now dropped SMACK as we have to refactor it to work properly. We can
introduce it later on.

bus-proxy: refactor bus-creation

Move local and destination bus creation into a helper function. This
further reduces the line count of main().

update TODO

import: support importing qcow2 images

With this change the import tool will now unpack qcow2 images into
normal raw disk images, suitable for usage with nspawn.

This allows has the benefit of also allowing importing Ubuntu Cloud
images for usage with nspawn.

import: support downloading .xz compressed images

That way we can download fedora cloud raw images as-is and decompress
them on-the-fly.

build-sys: add libsystemd-fw where needed

build-sys: add missing HAVE_LIBIPTC

hwbd: add click angle for the Logitech M325

This device has 18 stops per rotation == 20 degree angle. Advertised as
"Micro-precise scrolling"

os-release: Add PRIVACY_POLICY_URL

LLDP: Support locally assigned port subtype

The Zyxel switch sends port subtype as Locally assigned (7).
Add LLDP_PORT_SUBTYPE_LOCALLY_ASSIGNED as supported type

reported by Mantas Mikulėnas <grawity@gmail.com>

TODO: update

udev: merge evdev_id into input_id

There is no reason to keep both separated. We want to avoid API specific
tools and instead keep generic terms like 'input'.

udev: fix NULL-ptr deref

Make sure we properly validate the return value of
udev_device_get_sysattr_value(). It might be NULL for several reasons.

bus-proxyd: move synthesize_name_acquired()

Move synthesize_name_acquired() to synthesize.c.

bus-proxy: factor out code for driver handling and message synthesis

Move synthesize_*() into synthesize.c and bus_proxy_process_driver() into
driver.c for better code separation.

nspawn: fix log typos

hwdb: add MOUSE_WHEEL_CLICK_ANGLE as property

Most mice have a wheel click angle of 15 degrees, i.e. 24 clicks per full
wheel rotation. Some mice, like the Logitech M325 have a larger angle. To
allow userspace to make use of that knowledge, add a property to the hwdb.

This allows for better predictive scrolling. e.g. a mouse that has a smaller
click angle will scroll faster, with this value you can accommodate this
where needed. Likewise, using "half turn of the wheel" or "full turn of the
wheel" as a UI element becomes possible.

This addition is mainly driven by libinput 0.8, having the angle enables
libinput to provide an API that distinguishes between a physical distance
(like touchpad scrolling does) and discrete steps (wheel clicks).
Callers can choose what they prefer based on the device.

update TODO

nspawn,machined: change default container image location from /var/lib/container to /var/lib/machines

Given that this is also the place to store raw disk images which are
very much bootable with qemu/kvm it sounds like a misnomer to call the
directory "container". Hence, let's change this sooner rather than
later, and use the generic name, in particular since we otherwise try to
use the generic "machine" preferably over the more specific "container"
or "vm".

import: rename "gpt" disk image type to "raw"

After all, nspawn can now dissect MBR partition levels, too, hence
".gpt" appears a misnomer. Moreover, the the .raw suffix for these files
is already pretty popular (the Fedora disk images use it for example),
hence sounds like an OK scheme to adopt.

fix zsh completion typo

json-see => json-sse

test-path: do not skip tests if we are not root

We can properly run the tests without being root

test-exec: do not skip all the tests

Only 5 tests cannot be executed if we are not root, so just skip them
but not the whole set.

spawn: downgrade loopback detach errors to debug

Sometimes udev or some other background daemon might keep the loopback
devices busy while we already want to detach them. Downgrade the warning
about it.

Given that we use autodetach downgrading these messages should be with
little risk.

nspawn: add support for limited dissecting of MBR disk images with nspawn

With this change nspawn's -i switch now can now make sense of MBR disk
images too - however only if there's only a single, bootable partition
of type 0x83 on the image. For all other cases we cannot really make
sense from the partition table alone.

The big benefit of this change is that upstream Fedora Cloud Images can
now be booted unmodified with systemd-nspawn:

 # wget http://download.fedoraproject.org/pub/fedora/linux/releases/21/Cloud/Images/x86_64/Fedora-Cloud-Base-20141203-21.x86_64.raw.xz
 # unxz Fedora-Cloud-Base-20141203-21.x86_64.raw.xz
 # systemd-nspawn -i Fedora-Cloud-Base-20141203-21.x86_64.raw -b

Next stop: teach the import logic to automatically download these
images, uncompress and verify them.

nspawn: pass the container's init PID out via sd_notify()

This is useful for nspawn managers that want to learn when nspawn is
finished with initialiuzation, as well what the PID of the init system
in the container is.

update TODO

nspawn: fix an incorrect assert comparison

loginctl: fix misuse compound literals

The lifetime of compound literals is bound to the local scope, we hence
cannot refernce them outside of it.

sd-bus: tell Coverity that it's OK not to care for return values in some cases

nspawn: add file system locks for controlling access to container images

This adds three kinds of file system locks for container images:

a) a file system lock next to the actual image, in a .lck file in the
   same directory the image is located. This lock has the benefit of
   usually being located on the same NFS share as the image itself, and
   thus allows locking container images across NFS shares.

b) a file system lock in /run, named after st_dev and st_ino of the
   root of the image. This lock has the advantage that it is unique even
   if the same image is bind mounted to two different places at the same
   time, as the ino/dev stays constant for them.

c) a file system lock that is only taken when a new disk image is about
   to be created, that ensures that checking whether the name is already
   used across the search path, and actually placing the image is not
   interrupted by other code taking the name.

a + b are read-write locks. When a container is booted in read-only mode
a read lock is taken, otherwise a write lock.

Lock b is always taken after a, to avoid ABBA problems.

Lock c is mostly relevant when renaming or cloning images.

sysv-generator: always use fstatat() if we can

sysv-generator: fix memory leak on failure

This fixes a memory leak introduced by
1ed0c19f81fd13cdf283c6def0168ce122a853a9

machinectl: fix minor memory leak

pty: minor modernization

We initialize structs during declartion if possible

machined: use the FS_IMMUTABLE_FL file flag, if available, to implement a "read-only" concept for raw disk images, too

util: the chattr flags field is actually unsigned, judging by kernel sources

Unlike some client code suggests...

ptyfw: add missing error check

nspawn: remove the right propagation directory

test: hashmap_put behaviour for equal keys

Check string ops hashmap_put() for keys with a different pointer but the same
value.

man: remove "nofail" from systemd.swap(5)

As suggested by Marcos Felipe Rasia de Mello <marcosfrm@gmail.com>.

machinectl: use GNU basename, not the XPG version

refcnt: refcnt is unsigned, fix comparisons

This does not make a difference, but the code was confusing.

nspawn: --help typo fix

update TODO

networkd: propagate IPFoward= per-interface setting also to /proc/sys/net/ipv4/ip_forward

We need to turn on /proc/sys/net/ipv4/ip_forward before the
per-interface forwarding setting is useful, hence let's propagate the
per-interface setting once to the system-wide setting.

Due to the unclear ownership rules of that flag, and the fact that
turning it on also has effects on other sysctl flags we try to minimize
changes to the flag, and only turn it on once. There's no logic to
turning it off again, but this should be fairly unproblematic as the
per-interface setting defaults to off anyway.

udev: make use of new one_zero() helper where appropriate

networkd: make IP forwarding for IPv4 and IPv6 individually configurable

network: IPMasquerade= implies IPForward=, hence remove it

networkd: rename misnamed boolean

networkd: introduce an AddressFamilyBoolean enum type

This introduces am AddressFamilyBoolean type that works more or less
like a booleaan, but can optionally turn on/off things for ipv4 and ipv6
independently. THis also ports the DHCP field over to it.

journald: allow zero length datagrams again

This undoes a small part of 13790add4bf648fed816361794d8277a75253410
which was erroneously added, given that zero length datagrams are OK,
and hence zero length reads on a SOCK_DGRAM be no means mean EOF.

nspawn: add "-n" shortcut for "--network-veth"

Now that networkd's IP masquerading support means that running
containers with "--network-veth" will provide network access out of the
box for the container, let's add a shortcut "-n" for it, to make it
easily accessible.

doc: add cross-references between systemd.{link, netdev, network}

doc: network - add comment about default prefix size

Should hopefully make it clear that this is not some magic value, just the default we picked.

Suggested by Jan Engelhardt.

fw-util: fix errno typo for !HAVE_LIBIPTC

TODO: DHCPv6 Information Request has been implemented

update TODO

machined: refuse certain operation on non-container machines, since they cannot work elsewhere

import: make sure we don't mangle file ownerships with the local passwd database when untarring

nspawn: add new option "--port=" for exposing container ports on the local host

This exposes an IP port on the container as local port using DNAT.

networkd: add minimal IP forwarding and masquerading support to .network files

This adds two new settings to networkd's .network files:
IPForwarding=yes and IPMasquerade=yes. The former controls the
"forwarding" sysctl setting of the interface, thus controlling whether
IP forwarding shall be enabled on the specific interface. The latter
controls whether a firewall rule shall be installed that exposes traffic
coming from the interface as coming from the local host to all other
interfaces.

This also enables both options by default for container network
interfaces, thus making "systemd-nspawn --network-veth" have network
connectivity out of the box.

shared: add minimal firewall manipulation helpers for establishing NAT rules, using libiptc

core: Fix EACCES check for OOM adjustments

Commit 3bd5c3 added a check for EACCES, but missed the minus sign.

Remove some fixed items from TODO

zsh-completion: add missing completions for systemd-tmpfiles

zsh-completion: add missing completions for systemd-run

zsh-completion: add missing completions for systemd-analyze

zsh-completion: add missing -M completion for timedatectl

zsh-completion: add missing completions for coredumpctl

TODO: update

udev: link_config - modernize a bit and fix leakes

Not all of the link_config struct was getting freed.

network-intenal: user _cleanup_ macro in parse_ifname

core/mount: remove "fail" again

deb6120920 'man: there's actually no "fail" fstab option, but only
"nofail" removed it from our documentation, which I missed.
fstab(5) only mentions "auto", "noauto", and "nofail". Stick to
those three.

sd-bus: sync kdbus.h (API break)

Just a simple variable rename, and a dropped flag that sd-bus didn't make
use of.

core/mount: use isempty() to check for empty strings

strempty() will return an empty string in case the input parameter is
a NULL pointer. The correct test to check for an empty string is
isempty(), so use that instead.

This fixes a regression from commit 17a1c59 ("core/mount: filter out
noauto,auto,nofail,fail options").

udev: Add builtin/rule to export evdev information as udev properties

This rule is only run on tablet/touchscreen devices, and extracts their size
in millimeters, as it can be found out through their struct input_absinfo.

The first usecase is exporting device size from tablets/touchscreens. This
may be useful to separate policy and application at the time of mapping
these devices to the available outputs in windowing environments that don't
offer that information as readily (eg. Wayland). This way the compositor can
stay deterministic, and the mix-and-match heuristics are performed outside.

Conceivably, size/resolution information can be changed through EVIOCSABS
anywhere else, but we're only interested in values prior to any calibration,
this rule is thus only run on "add", and no tracking of changes is performed.
This should only remain a problem if calibration were automatically applied
by an earlier udev rule (read: don't).

  v2: Folded rationale into commit log, made a builtin, set properties
      on device nodes themselves
  v3: Use inline function instead of macro for mm. size calculation,
      use DECIMAL_STR_MAX, other code style issues
  v4: Made rule more selective
  v5: Minor style issues, renamed to a more generic builtin, refined
      rule further.

catalog: add pt_BR translation

https://bugs.freedesktop.org/show_bug.cgi?id=88271

po: add Brazilian Portuguese translation

https://bugs.freedesktop.org/show_bug.cgi?id=88271

fstab-util: fix priority parsing and add test

shared/util: respect buffer boundary on incomplete escape sequences

cunescape_length_with_prefix() is called with the length as an
argument, so it cannot rely on the buffer being NUL terminated.
Move the length check before accessing the memory.

When an incomplete escape sequence was given at the end of the
buffer, c_l_w_p() would read past the end of the buffer. Fix this
and add a test.

core/load-fragment: avoid allocating 0 bytes when given an invalid command

With a command line like "@/something" we would allocate an array with
0 elements. Avoid that, and add a test too.

test-unit-file: don't access out-of-bounds memory

Fixes an error introduced by me when the test was added.

core/mount: filter out noauto,auto,nofail,fail options

We passed the full option string from fstab to /bin/mount. It would in
turn pass the full option string to its helper, if it needed to invoke
one. Some helpers would ignore things like "nofail", but others would
be confused. We could try to get all helpers to ignore those
"meta-options", but it seems better to simply filter them out.

In our model, /bin/mount simply has no business in knowing whether the
mount was configured as fail or nofail, auto or noauto, in the
fstab. If systemd tells invokes a command to mount something, and it
fails, it should always return an error. It seems cleaner to filter
out the option, since then there's no doubt how the command should
behave.

https://bugzilla.redhat.com/show_bug.cgi?id=1177823

Support negated fstab options

We would ignore options like "fail" and "auto", and for any option
which takes a value the first assignment would win. Repeated and
options equivalent to the default are rarely used, but they have been
documented forever, and people might use them. Especially on the
kernel command line it is easier to append a repeated or negated
option at the end.

cryptsetup-generator: remove duplicated function