udev: use the systemd logging functions in udev tools

sd-bus: pass attach flags to BUS_CREATOR_INFO

kdbus learned parsing the attach flags for the KDBUS_CMD_BUS_CREATOR_INFO
ioctl. Bits not set in this mask will not be exported. Set that field to
_KDBUS_ATTACH_ALL for now.

Signed-off-by: Daniel Mack <daniel@zonque.org>

update TODO

sysuser: simplify access mode syncing by introducing helper function for it

bus-proxyd: explicitly address messages to unique and well-known name

In order to check for matching policy entries at message transfers, we
have to consider the following:

* check the currently owned names of both the sending and the receiving
peer. If the sending peer is connected via kdbus, the currently owned
names are already attached to the message. If it was originated by the
connection we're proxying for, we store the owned names in our own strv
so we can check against them.

* Walk the list of names to check which name would allow the message to
pass, and explicitly use that name as destination of the message. If the
destination is on kdbus, store both the connection's unique name and the
chosen well-known-name in the message. That way, the kernel will make sure
the supplied name is owned by the supplied unique name, at the time of
sending, and return -EREMCHG otherwise.

* Make the policy checks optional by retrieving the bus owner creds, and
when the uid matches the current user's uid and is non-null, don't check
the bus policy.

build-sys: move libsystemd-capability into libsystemd-shared

Revert "bus-proxyd: make policy checks optional"

This reverts commit 5bb24cccbce846c0d77e71b70a3be7f4b2ba6c0e.

It does not even compile (unbalanced {)

bus-proxyd: make policy checks optional

Retrieve the bus owner creds, and when the uid matches the current user's
uid and is non-null, don't check the bus policy.

bus-proxyd: move name list iteration to policy users

We need to figure out which of the possible names satisfied the policy,
so we cannot do the iteration in check_policy_item() but have to leave it
to the users.

Test cases amended accordingly.

bus-proxyd: enforce policy for method calls

bus-proxyd: enforce policy for name ownership

bus-proxyd: enforce policy for Hello messages

bus-proxyd: keep track of names acquired by legacy client

Store names successfully acquired by the legacy client into a hashmap.
We need to take these names into account when checking for send policies.

sd-bus: add sd_bus_message.verify_destination_id and .destination_ptr

kdbus learned to accept both a numerical destination ID as well as a
well-known-name. In that case, kdbus makes sure that the numerical ID is in
fact the owner of the provided name and fails otherwise.

This allows for race-free assertion of a bus name owner while sending a
message, which is a requirement for bus-proxyd.

Add two new fields to sd_bus_message, and set the numerical ID to
verify_destination_id if bus_message_setup_kmsg() is called for a
message with a well-known name.

Also, set the destination's name in the kdbus item to .destination_ptr
if it is non-NULL.

Normal users should not touch these fields, and they're not publicy
accessible.

update TODO

strv: rework strv_split_quoted() to use unquote_first_word()

This should make the unquoting scheme a bit less naive.

bus: when dumping string property values escape the chars we use as end-of-line and end-of-item marks

shared: explicitly ignore the return value of wait_for_terminate

CID#1237532
CID#1237523
CID#1237522

man: improve documentation for "indirect" unit file state a bit

Also, correct mentions of "units" instead of "unit files" in the table,
and terminate all sentences with a full stop.

shared/install: when unit contains only Also=, report 'indirect'

If a unit contains only Also=, with no Alias= or WantedBy=, it shouldn't
be reported as static. New 'indirect' status shall be introduced.

https://bugzilla.redhat.com/show_bug.cgi?id=864298

update TODO

busctl: add "tree" command to explore object trees

inhibit: allow filtering --list by mode

Usually there are a few delay inhibitors all the time (NetworkManager,
Telepathy, etc.), but I'm only interested in the block ones.

build-sys: do not use "label" functions in libsystemd-shared

build-sys: test-fdset - add libsystemd-internal

build-sys: add libcap to libsystemd-shared

man: don't refer to undocumented option '--failed'

man: don't document systemctl --failed

This effectively reverts 599b6322f19ec619ddc294d0e7880b669040cf66, which
in turn partially reverted 4dc5b821ae737914499119e29811fc3346e3d97c.

The --failed switch is not documented on purpose, since it is redundant
due to --state=failed, which it predates. Due to that it's not
documented in --help either.

We generally try to avoid redundant interfaces, but if we need to keep
them for compatibility we do so, however remove them from documentation
to ensure they are not used in future.

The man page is now changed to include a comment about the fact that
--failed is not documented on purpose. Also, explicitly mention
--state=failed as example for --state.

build-sys: do not include tests in code coverage

update .gitignore

build-sys: link to libsystemd-core only when needed

Multiple executables do not need libsystemd-core

core: remove unused macro GC_QUEUE_USEC_MAX

It is unused since cf1265e188e876dda906dca0029248a06dc80c33

build-sys: avoid duplication of macro definition

TEST_DIR is already defined in AM_CFLAGS

tests: add test-path

It tests all available directives of Path units:
- PathChanged
- PathModified
- PathExists
- PathExisysGlob
- DirectoryNotEmpty
- MakeDirectory
- DirectoryMode
- Unit

network: fix typo

IFLA_IPTUN_LINK -> VETH_INFO_PEER

man: document --failed

https://bugs.debian.org/767267

shared: add readlink_value

Reads the basename of the target of a symlink.

sysusers: be nice and print a warning if futimens() fails

CID# 1251163

utf8: when looking at the next unichar, honour the size parameter, in utf8_is_printable_newline()

log: explicitly ignore return value of parse_proc_cmdline()

CID# 1251162

core: unify how we create the notify and private dbus socket

Use the same robust logic of mkdir + unlink of any existing AF_UNIX
socket, ignoring the return value, right before bind().

update TODO

man: update bootup(7) for asynchronous timers.target

manager: cast mkdir() result to (void) to make sure coverity is quiet

Also simplify the code a bit by moving mkdir to the common path.

update TODO

util: simplify normalize_env_assignment() a bit

util: file_is_priv_sticky() is used internally in util.c only nowadays, make it static

update TODO

timer: reenable TIMER_ACTIVE timers when restarted

A timer configured with OnActiveSec will start its associated unit again
if the timer is stopped, then started. However, if the timer unit is
restarted -- with "systemctl restart", say -- this does not occur.

This commit ensures that TIMER_ACTIVE timers are re-enabled whenever the
timer is started, even if that's within a restart job.

util: rework /proc/cmdline parser to use unquote_first_word()

util: simplify proc_cmdline() to reuse get_process_cmdline()

Also, make all parsing of the kernel cmdline non-fatal.

fileio: simplify write_string_file_atomic() by reusing write_string_stream()

copy: change error code when hitting copy limit to EFBIG

After all, this is about files, not arguments, hence EFBIG is more
appropriate than E2BIG

copy: teach copy_bytes() sendfile() support, and then replace sendfile_full() by it

util: make use of isempty() where appropriate

shutdown: fix arguments to /run/initramfs/shutdown

Our initrd interface specifies that the verb is in argv[1].
This is where systemd passes it to systemd-shutdown, but getopt
permutes argv[]. This confuses dracut's shutdown script:
  Shutdown called with argument '--log-level'. Rebooting!

getopt can be convinced to not permute argv[] by having '-' as the first
character of optstring. Let's use it. This requires changing the way
non-option arguments (in our case, the verb) are processed.

This fixes a bug where the system would reboot instead of powering off.

update TODO

s/command-line/command line/g

A follow-up to:

commit 3f85ef0f05ffc51e19f86fb83a1c51e8e3cd6817
Author: Harald Hoyer <harald@redhat.com>
Date:   Thu Nov 6 15:33:48 2014 +0100

    s/commandline/command line/g

machined: reorder method calls in vtable

switch-root: explain why we don't care about base_filesystem_create() failing

shared: create files even if the SELinux policy has no context for them

The SELinux policy defines no context for some files. E.g.:
  $ matchpathcon /run/lock/subsys /dev/mqueue
  /run/lock/subsys        <<none>>
  /dev/mqueue     <<none>>

We still need to be able to create them.
In this case selabel_lookup_raw() returns ENOENT. We should then skip
setfscreatecon(), but still return success.
It was broken since c34255bdb2 ("label: unify code to make directories,
symlinks").

s/commandline/command line/g

switch_root: do not fail, if base_filesystem_create() failed

Not all switch roots are like base_filesystem_create() wants them
to look like. They might even boot, if they are RO and don't have the FS
layout. Just ignore the error and switch_root nevertheless.

base_filesystem_create() should have logged, what went wrong.

README: mention that engineering services for systemd are available from endocode

systemctl: when invokes as "reboot -f", sync()

We do this in the clean shutdown path in shutdown.c, hence we should do
is for "reboot -f", too.

hostnamed: introduce new "embedded" chassis type

We really don't want to get lost in adding fridge, car, plane, drone, or
whatever else, hence add a generic term "embedded" cover all the cases
where the computer is just part of something bigger, and not at the
focus of things.

update TODO

shared: rename condition-util.[ch] to condition.[ch]

Now that we only have one file with condition implementations around, we
can drop the -util suffix and simplify things a bit.

core: get rid of condition.c and move the remaining call into util.c

That way only one file with condition code remaining, in src/shared/,
rather than src/core/.

Next step: dropping the "-util" suffix from condition-util.[ch].

man: document that we don't document .include on purpose

<!-- xml comments are useful! -->

man: don't document ConditionNull=/AssertNull= as the are not particularly useful and simply confusing

condition: order condition types the same way in man page, enum, tables

Yes, sometimes I develop OCD.

core: introduce the concept of AssertXYZ= similar to ConditionXYZ=, but fatal for a start job if not met

condition: record test state internally and beef it up to be a full enum

condition: add more test cases

journal: adjust audit log messages a bit

condition: internalize condition test functions

Also, implement the negation check inside of condition_test() instead of
individually in each test function.

condition: unify condition logic in one file

condition: properly allow passing back errors from condition checks

units: restore job timeouts for poweroff and reboot

It seems that there actually aren't any long running tasks which are
performed at shutdown. If it turns out that there actually are, this
should be revisited.

This reverts most of commit 038193efa6.

login: rerun vconsole-setup when switching from vgacon to fbcon

The initialization performed by systemd-vconsole-setup is reset
when changing console drivers (say from vgacon to fbcon), so we
need to run it in that case.

See
http://lists.freedesktop.org/archives/systemd-devel/2014-October/023919.html
http://lists.freedesktop.org/archives/systemd-devel/2014-October/024423.html
http://lists.freedesktop.org/archives/systemd-devel/2014-November/024881.html

This commit adds a udev rule to make systemd-vconsole-setup get run when
the fbcon device becomes available.

(david: moved into new file 90-vconsole.rules instead of 71-seats.rules;
        build-failures are on me, not on Ray)

units: disable job timeouts

For boot, we might kill fsck in the middle, with likely catastrophic
consequences.

On shutdown there might be other jobs, like downloading of updates for
installation, and other custom jobs. It seems better to schedule an
individual timeout on each one separately, when it is known what
timeout is useful.

Disable the timeouts for now, until we have a clearer picture of how
we can deal with long-running jobs.

udev hwdb: Change error message regarding missing hwdb.bin back to debug.

When used in an initramfs, it's expected that the hwdb.bin file is
not present (it makes for a very large initramfs otherwise).

While it's nice to tell the user about this, as it's not strictly
speaking an error we really shouldn't be so forceful in our
reporting.

util: minor modernisations

condition: rewrite condition_test_kernel_command_line() based on unquote_first_word()

sd-pppoe: spelling

Thanks to Daniele Medri

sd-bus: by default allow all creds to be passed along

core: introduce new Delegate=yes/no property controlling creation of cgroup subhierarchies

For priviliged units this resource control property ensures that the
processes have all controllers systemd manages enabled.

For unpriviliged services (those with User= set) this ensures that
access rights to the service cgroup is granted to the user in question,
to create further subgroups. Note that this only applies to the
name=systemd hierarchy though, as access to other controllers is not
safe for unpriviliged processes.

Delegate=yes should be set for container scopes where a systemd instance
inside the container shall manage the hierarchies below its own cgroup
and have access to all controllers.

Delegate=yes should also be set for user@.service, so that systemd
--user can run, controlling its own cgroup tree.

This commit changes machined, systemd-nspawn@.service and user@.service
to set this boolean, in order to ensure that container management will
just work, and the user systemd instance can run fine.

libsystemd-network: don't use unaligned helpers in _packed_ structs

The compiler will do this for us.

shared: unaligned - use void* instead of unaligned be16_t*

sd-pppoe: whitespace

test: hashmap-plain - make coverity happy

Check return value of hashmap_ensure_allocated().

CID#1250807.

test: fileio - make coverity happy

Explicitly check the length of the read.

Fixes CID#1250803.

shared: ptyfwd - make coverity happy

Explicitly ignore return value of ioctl to set window size.

Fixes CID#1250804 and CID#1250800.

manager: Ensure user's systemd runtime directory exists.

This mirrors code in dbus.c when creating the private socket and
avoids error messages like:

systemd[1353]: bind(/run/user/603/systemd/notify) failed: No such file or directory
systemd[1353]: Failed to fully start up daemon: No such file or directory

sd-bus: sync up with new kdbus metadata attachment logic (ABI break)

The metadata logic in kdbus has seen a rework, and the only mandatory
change we have to follow for now is that attach_flags in kdbus_cmd_hello
is now split into two parts, attach_flags_send and attach_flags_recv.

udev: avoid magic constants in kernel-cmdline parsers

Lets recognize the fact that startswith() returns a pointer to the tail on
success. Use it instead of hard-coding string-lengths as magic constants.

udev: Fix parsing of udev.event-timeout kernel parameter.

buildsys: test-util needs -lm for fabs()

units: make systemd-journald.service Type=notify

It already calls sd_notify(), so it looks like an oversight.

Without it, its ordering to systemd-journal-flush.service is
non-deterministic and the SIGUSR1 from flushing may kill journald before
it has its signal handlers set up.

https://bugs.freedesktop.org/show_bug.cgi?id=85871
https://bugzilla.redhat.com/show_bug.cgi?id=1159641