timedated: extra overflow safety check when doing relative time changes

Ensure clients don't overflow usec_t when doing relative time changes.
This is mostly just paranoia and protection against accidents, after all
clients are already authenticated, and they can se the time to any
value they wish anyway, but better be safe than sorry.

https://bugs.launchpad.net/ubuntu/+source/systemd/+bug/1152187/comments/14

update TODO

timedatectl: show CanNTP field

udev: no need to output OOM, if we call log_oom() anyway

main: minor simplification

udev/collect: avoid initalizing memory twice

util: workaround two gcc warnings

gcc does not know that errno cannot be negative, and warns
about unitialized variables later on. Kill the warnings by
returning -errno only after checking that errno is positive.

journalctl: be smarter about journal error checks

There are many ways in which we can get those checks wrong, so it is
better to warn and then error out on a real access failure.

The error messages are wrapped to <80 lines, because their primary
use is to be displayed in the terminal, and it is easier to read them
this way. Reading them in the journal can be a bit trickier, but
this is a bug in logs-show.c.

build-sys: move acl searching code into libsystemd-acl

This loop over acls is a bit too much to keep inside
of another loop.

hostnamed: pretty_string_is_safe() already exists in string_has_cc(), so use that

util: be more picky when validating hostnames

No longer allow dots at the beginning or end of host names, Or double
dots.

https://bugs.launchpad.net/ubuntu/+source/systemd/+bug/1152187/comments/14

journalctl: give a nice hint about group membership based on ACLs of /var/log/journal

If we notice that we unprivileged and not in any of the groups which
have access to /var/log/journal, print a nice message about which groups
do.

This checks and prints all groups that are in the default ACL for
/var/log/journal, which is not necessarily correct for all journal
files, but pretty close.

cgroup: minor optimization

bus: implement object handler registry

mount: mount all cgroup controllers in containers, too

main: use strv_find() where we can

main: don't mount cgroup controller unless PID == 1

This completes c1dae1b3c9729fb8ab749dd4e2dad07e0fad7ed8 in a way.

Fix vacuum logic error

The vacuum code used to stop vacuuming after one deletion, even
when max_use was still exceeded.

Also make usage a uint64_t, as the code already pretends it is one.

Signed-off-by: Jan Alexander Steffens (heftig) <jan.steffens@gmail.com>

man/shutdown: /etc/nologin is called /run/nologin now

systemd-python: allow retrieval of single fields

This can give huge efficiency gains, e.g. if only MESSAGE
is required and all other fields can be ignored.

systemd-python: split out realtime and monotonic into separate functions

This matches the C API more closely, and also enables the
user to get just partial information, should she desire to
do so.

Functions names in error messages are modified to not include
the class name, because Python uses just the function name
into functions declared as METH_NOARGS, and error messages
were inconsistent.

systemd-python: implement _Reader.test_cursor

Getting the cursor is split out from .get_next() into
.get_cursor(). This mirrors the C API more closely, and
also makes things a bit faster if the cursor is not needed.

systemd-python: cleanup up usec_t handling

The behaviour wrt. seconds vs. microseconds was inconsistent.
Now _Reader always uses native units (us), while Reader always
uses seconds and accepts both floats and ints. This way the
conversion is always done in the Python layer, and the lower
level API allows access to the journal API without the potentially
lossy conversion between double and uint64_t.

systemd-python: export sd_journal_get_usage

efivars: fix return code

Was returning 1 on read error.

shutdownd: shut up bogus gcc warning

This one is fake. But let's kill it, avoiding two condition checks
in the process.

src/shutdownd/shutdownd.c: In function 'when_wall':
src/shutdownd/shutdownd.c:182:44: warning: 'sub' may be used uninitialized in this function [-Wmaybe-uninitialized]
         return elapse > sub ? elapse - sub : 1;
                                            ^

bootchart: fix two unitialized memory frees

The new gcc isn't bad!

In file included from src/bootchart/svg.c:36:0:
src/bootchart/svg.c: In function 'svg_ps_bars':
./src/shared/util.h:524:13: warning: 'enc_name' may be used uninitialized in this function [-Wmaybe-uninitialized]
         free(*(void**) p);
             ^
src/bootchart/svg.c:821:37: note: 'enc_name' was declared here
                 char _cleanup_free_*enc_name;
                                     ^
  CC     src/udev/mtd_probe/mtd_probe-probe_smartmedia.o
  XSLT     man/systemd.unit.5
In file included from src/bootchart/svg.c:36:0:
src/bootchart/svg.c: In function 'svg_pss_graph':
./src/shared/util.h:524:13: warning: 'enc_name' may be used uninitialized in this function [-Wmaybe-uninitialized]
         free(*(void**) p);
             ^
src/bootchart/svg.c:395:37: note: 'enc_name' was declared here
                 char _cleanup_free_*enc_name;
                                     ^

initctl: fix return from unitialized memory in error path

src/initctl/initctl.c: In function 'server_init':
src/initctl/initctl.c:282:13: warning: 'r' may be used uninitialized in this function [-Wmaybe-uninitialized]
         int r;
             ^

build-sys: use _FORTIFY_SOURCE with new gcc level -Og

bus: implicitly collect ucred/label information

bus: also finish connection before returning from sd_bus_get_unique_name()

bus: when parsing enforce maximum container depth

bus: fix uninitialized variable

bus: validate the hello response properly

bus: properly verify recursion depth of signatures

bus: rework synchronization logic

Instead of allowing certain actions fail during authentication and
connection setup, implicitly synchronize on the connection to be set up
completely before returning.

bus: reuse more code

bus: validate the entire header more closely

bus: properly validate object path values

bus: generate a nice error when attempting to add a NULL string

bus: implicitly handle peer commands Ping() and GetMachineId()

bus: enforce limits on all client influenced data objects

bus: implicitly set no_reply flag on outgoing messages if the serial number is not kept

If nobody keeps the serial number of an outgoing message we know that
nobody expects an answer to it, so set the no_reply flag accordingly.

udev: always set selinux label at "add" events

https://bugs.freedesktop.org/show_bug.cgi?id=62615

bus: implement full method call timeout logic

hwdb: update

MAkefile.am: whitespace cleanup

doc: disable gtk-doc test again - you are a really annoying piece of software

make  check-TESTS
make[5]: Nothing to be done for `/usr/bin/gtkdoc-check.log'.
fatal: making test-suite.log: failed to create /usr/bin/gtkdoc-check.trs
fatal: making test-suite.log: failed to create /usr/bin/gtkdoc-check.log
make[4]: *** [test-suite.log] Error 1
make[3]: *** [check-TESTS] Error 2
make[2]: *** [check-am] Error 2
make[1]: *** [check-recursive] Error 1
make: *** [check] Error 2

build-sys: include missing header in dist tarball

shared: add simple priority queue implementation

bus: compare to negative errno

activate: avoid warning from -Wshadow

src/activate/activate.c:167:51: warning: declaration shadows a variable in the global scope [-Wshadow]
static int launch(char* name, char **argv, char **environ, int fds) {
                                                  ^
/usr/include/unistd.h:546:15: note: previous declaration is here
extern char **environ;
              ^

Make two functions static

Remove some unused variables

systemd-analyze: do not format timestamp when not printing it

../src/analyze/systemd-analyze.c:530:88: warning: data argument not used by format string [-Wformat-extra-args]
  ...svg_text(false, u->ixt, y, u->time? "%s (%s)" : "%s", u->name, format_timespan(ts, sizeof(ts), u->time));
                                                     ~~~~           ^

core: remove unnecessary goto in setup_namespace

bus-message: fix typo

update TODO

bus: hook up client with socket communication

bus: introduce bus_error_is_dirty() independently of sd_bus_error_is_set()

bus: demarshal header fields properly

bus: implement demarshaller

bus: suppress reply messages to method calls with no_reply set

bus: add basic implementation of a native bus client library

stdio-bridge: modernization

util: add hexmem() and strextend() calls

macro: add CHAR_TO_STR macro to make a one character string from a char

macro: don't redefine CLAMP if it is already defined by glib or some other library

Make PrivateTmp dirs also inaccessible from the outside

Currently, PrivateTmp=yes means that the service cannot see the /tmp
shared by rest of the system and is isolated from other services using
PrivateTmp, but users can access and modify /tmp as seen by the
service.

Move the private /tmp and /var/tmp directories into a 0077-mode
directory. This way unpriviledged users on the system cannot see (or
modify) /tmp as seen by the service.

build-sys: fix typo in human-readable output

libudev: avoid potential misaligned accesses

clang reports:
  src/libudev/libudev-util.c:665:35: warning: cast from
  "const unsigned char *" to "unsigned int *" increases required alignment
  from 1 to 4 [-Wcast-align]

libude: remove special handling of "device" link, it should not be used

zsh completion: udev - remove firmware builtin

man/service: document behaviour on failure

https://bugs.freedesktop.org/show_bug.cgi?id=38355

catalog: remove broken links to wiki

https://bugs.freedesktop.org/show_bug.cgi?id=58359

journalct: beef up entry listing

The ability to dump catalog entries in full and by id is added.

systemd-python: small cleanups

- separate methods with two empty lines for clarity
- avoid malloc(0) by specyfing private data size as -1
- add method name in error messages

systemd-python: add journal.get_catalog()

This one wraps sd_journal_get_catalog_from_message_id.
Thanks to Python namespacing, we can stick to a shorter name.

systemd-python: add _Reader.get_catalog()

This one wraps sd_journaal_get_catalog.

man/catalog: fix synopsis and remind to free

systemd-python: add _Reader.closed attribute

This should make the file interface of _Reader complete.

journalctl: use _cleanup_ in one function

rules: move builtin calls before the permissions section

<heftig> kay: systemd commit 22582bb broke cups usb printing for me
<heftig> because the "lp" group isn't applied anymore
<heftig> SUBSYSTEM=="usb", ENV{DEVTYPE}=="usb_device", ENV{ID_USB_INTERFACES}=="*:0701??:*", GROUP="lp"
<heftig> moving this line to the end of 50-udev-default.rules restores correct behavior, as it's after usb_id

shell-completion/bash/journalctl: suppress stderr

keymap: Remap microphone mute and touchpad toggle for Lenovo U300s

Separate out Ideapad U300s to its own line and add Microphone mute key.

Signed-off-by: Martin Pitt <martinpitt@gnome.org>

keymaps: Use F20 for micmute keys to be friendly to X.org

The "micmute" key code is outside of X.org's allowed range [1].
gnome-settings-daemon interprets F20 as "microphone mute" these days [2], so
use this until X.org either gets fixed or obsoleted.

[1] https://bugzilla.gnome.org/show_bug.cgi?id=692071
[2] https://mail.gnome.org/archives/commits-list/2013-January/msg05822.html

keymap: Fix touchpad toggling on Lenovo IdeaPad U300s

IdeaPad U300s needs mapping 0xf1 to f21 just like Lenovo V480.

Signed-off-by: Martin Pitt <martinpitt@gnome.org>

logind: exploit previous cleanups and simplify returns

logind: Make more use of cleanup macros

Use bus_maybe_send_reply() where applicable

This is a followup to: commit 1a37b9b9043ef83e9900e460a9a1fccced3acf89

It will fix denial messages from dbus-daemon between gdm and
systemd-logind on logging into GNOME due to this.

See the previous commit for more details.

sd-journal: do not require path to be absolute

Seems natural to be able to specify relative directory,
e.g. with journalctl -D. And even if, this should be checked
in front-end code, not in the library.

journal,shared: add _cleanup_journal_close_

journal: use _cleanup_

One log_debug() moved to match order in other functions.

journal: use sd_journal_close on error in sd_journal_new

systemd-python: allow Reader to be used as a context manager

test-strv.c: test STRV_FOREACH_PAIR macro

udev: rename kernel command line option to net.ifnames=

man: udev - clarify when RUN is executed

Unlike IMPORT and PROGRAM, RUN is not executed inline, but after all the rules of the given event have been processed.

udev: builtin - use RUN rather than IMPORT for loading modules

The 'kmod' builtin, like the 'firmware' and 'uaccess' builtins, does not set
any variables, so don't use IMPORT.

Notice that this changes the behaviour slightly: the processing of subsequent
rules for the event that loads a module will no longer wait for the module
loading to finish. This is not expected to cause any problems, but we should
keep an eye on it.

udev: net-name-slot - disable by kernel command line switch

The properties will still be set in the udev database, but they will not be used
for setting the interface names. As for the other kernel commandline switches,
we allow it to be prefixed by 'rd.' to only apply in the initrd.