CODING_STYLE: provide better explanation why /* */ over // (#7647)

Let's provide a real reason why /* */ should be used for commenting,
rather than //, beyond mere taste.

(This ultimately simply codifies how I use // vs. /* */ comments, and I
think this is useful as an explanation and reason hence.)

final v236 update (#7649)

NEWS: update NEWS again, and prepare for a release tomorrow

meson: increase version numbers

core: Implement timeout based umount/remount limit

Remount, and subsequent umount, attempts can hang for inaccessible network
based mount points. This can leave a system in a hard hang state that
requires a hard reset in order to recover. This change moves the remount,
and umount attempts into separate child processes. The remount and umount
operations will block for up to 90 seconds (DEFAULT_TIMEOUT_USEC). Should
those waits fail, the parent will issue a SIGKILL to the child and continue
with the shutdown efforts.

In addition, instead of only reporting some additional errors on the final
attempt, failures are reported as they occur.

tree-wide: make use of new STRLEN() macro everywhere (#7639)

Let's employ coccinelle to do this for us.

Follow-up for #7625.

basic: turn off stdio locking for a couple of helper calls

These helper calls are potentially called often, and allocate FILE*
objects internally for a very short period of time, let's turn off
locking for them too.

core: add EXTEND_TIMEOUT_USEC={usec} - prevent timeouts in startup/runtime/shutdown (#7214)

With Type=notify services, EXTEND_TIMEOUT_USEC= messages will delay any startup/
runtime/shutdown timeouts.

A service that hasn't timed out, i.e, start time < TimeStartSec,
runtime < RuntimeMaxSec and stop time < TimeoutStopSec, may by sending
EXTEND_TIMEOUT_USEC=, allow the service to continue beyond the limit for
the execution phase (i.e TimeStartSec, RunTimeMaxSec and TimeoutStopSec).

EXTEND_TIMEOUT_USEC= must continue to be sent (in the same way as
WATCHDOG=1) within the time interval specified to continue to reprevent
the timeout from occuring.

Watchdog timeouts are also extended if a EXTEND_TIMEOUT_USEC is greater
than the remaining time on the watchdog counter.

Fixes #5868.

check_tree.pl: Do not allow diff to move name reverts into a mask
block.

Do not replace double dashes in XML comments, that are either the
comment start or end.

check_tree.pl: Move move upstream appends from after our mask blocks
up before found #else switches.

check_tree.pl: Added missing detection of mask else switches in prune_hunk().

Cleanup now obsolete pwx tools.

check_tree.pl: The word "systemd" is no longer changed to "elogind",
if it was found in a comment block that is added by the patch.

check_tree.pl: Fixed a bug that caused #else to not be unremoved in __GLIBC__ blocks.

check_tree.pl: Made check_musl() and check_name_reverts() safer.
Further policy.in consist of XML code, and are now handled by
(un)prepare_xml().

check_tree.pl: Fixed check_musl(), it must track mask state changes itself.

check_tree.pl: Enhance the final processing of shell and xml files
and their patches by remembering mask changes that get pruned from
the hunks.

check_tree.pl: Remove the [e]logind [m]ask [i]nfo code, this was not sufficient.

check_tree.pl: Keep track of elogind masks although the changing lines get pruned.

check_tree.pl: Fixed unprepare_xml()

migrate_tree.pl: Only write a new commits file, if the old was finished reading or none existed.

check_tree.pl : Fix transportation of elogind mask info

check_tree.pl : Do not skip mask info with useless hunks.

check_tree.pl: Remember mask starts and elses in hunks, so the
resulting patches can be reworked without ignoring changes in useless
hunks.

migrate_tree.pl : Check target first when creating new files.

check_tree.pl: Replace the source in creation patches with /dev/null.

migrate_tree.pl: Ensure that the commit file is always written on exit.

migrate_tree.pl: Add a signal handler, so the commit file is updated even on SIGINT.

migrate_tree.pl: Make the last commit csv location agnostic.

check_tree.pl migrate_tree.pl: Move necessary eop stuff into END blocks.

migrate_tree.pl: Use git rev-parse to get the shortest possible version of each refid we work with.

check_tree.pl: While unpreparing shell: comment comment lines and do
not add '# ' prefixes to mask blocks in xml patch hunks.

meson.build: Clean up, so check_tree.pl does not find a difference to upstream.

migrate_tree.pl: Call 'git am --abort' if it failed to apply.

migrate_tree.pl: Fixed Usage of Try::Tiny

migrate_tree.pl: Finished the first working version for testing.

migrate_tree.pl: Application of the reworked patches added.

migrate_tree.pl: Reworking of the formatted patches added.

check_tree.pl: Add --create to allow creation of files, and --stay to not reset the upstream tree on program end.

pwx/check_tree.pl: Switch to use Git::Wrapper for checking out the wanted refid on the upstream tree.

pwx/migrate_tree.pl: New program to consolidate the pwx git bash helpers.

musl_missing.h: add FTW_* macros missing from musl libc.

Fix double-hyphen error in man/logind.conf.xml and man/user-system-options.xml

Updated man/loginctl.xml to fit elogind a bit better.

Remove man/standard-conf.xml, as this does not apply for elogind.

Move /var/lib/systemd/linger to /var/lib/elogind/.

Reverted accidential renaming of /run/systemd to /run/elogind. Applications using elogind as a drop-in replacement expect the first.

check_tree.pl: Do not change /run/systemd

Fix 'double dash in comment' error.

check_tree.pl: Add preparation for XML files.

Update man page sources to upstream tag v236 variants.

man/sd_id128_randomize.xml: Added check_tree.pl compatible elogind masking.

man/logind.conf.xml: Added check_tree.pl compatible elogind masking.

man/loginctl.xml: Added check_tree.pl compatible elogind masking.

man/elogind.xml: Added check_tree.pl compatible elogind masking.

check_tree.pl : Enhance XML handling.

Manpages: update elogind refentry for better handling through check_tree.pl

Prepare src/libelogind/libelogind.pc.in for better handling through check_tree.pl

missing_syscall: when adding syscall replacements, use different names (#8229)

In meson.build we check that functions are available using:
    meson.get_compiler('c').has_function('foo')
which checks the following:
- if __stub_foo or __stub___foo are defined, return false
- if foo is declared (a pointer to the function can be taken), return true
- otherwise check for __builtin_memfd_create

_stub is documented by glibc as
   It defines a symbol '__stub_FUNCTION' for each function
   in the C library which is a stub, meaning it will fail
   every time called, usually setting errno to ENOSYS.

So if __stub is defined, we know we don't want to use the glibc version, but
this doesn't tell us if the name itself is defined or not. If it _is_ defined,
and we define our replacement as an inline static function, we get an error:

In file included from ../src/basic/missing.h:1358:0,
                 from ../src/basic/util.h:47,
                 from ../src/basic/calendarspec.h:29,
                 from ../src/basic/calendarspec.c:34:
../src/basic/missing_syscall.h:65:19: error: static declaration of 'memfd_create' follows non-static declaration
 static inline int memfd_create(const char *name, unsigned int flags) {
                   ^~~~~~~~~~~~
.../usr/include/bits/mman-shared.h:46:5: note: previous declaration of 'memfd_create' was here
 int memfd_create (const char *__name, unsigned int __flags) __THROW;
     ^~~~~~~~~~~~

To avoid this problem, call our inline functions different than glibc,
and use a #define to map the official name to our replacement.

Fixes #8099.

v2:
- use "missing_" as the prefix instead of "_"

v3:
- rebase and update for statx()

  Unfortunately "statx" is also present in "struct statx", so the define
  causes issues. Work around this by using a typedef.

I checked that systemd compiles with current glibc
(glibc-devel-2.26-24.fc27.x86_64) if HAVE_MEMFD_CREATE, HAVE_GETTID,
HAVE_PIVOT_ROOT, HAVE_SETNS, HAVE_RENAMEAT2, HAVE_KCMP, HAVE_KEYCTL,
HAVE_COPY_FILE_RANGE, HAVE_BPF, HAVE_STATX are forced to 0.

Setting HAVE_NAME_TO_HANDLE_AT to 0 causes an issue, but it's not because of
the define, but because of struct file_handle.

Prep v236.1: To catch up with upstream, already branch out v236-stable.

Prep v236: Adapt elogind parts in the build system to upstream changes.

check_tree.pl: Added *.sym and *.in file handling.

check_tree.pl: Do not remove empty lines prior masks/inserts. Do not rename 'systemd' in mask blocks.

check_tree.pl: chomp git rev-parse results.

Prep v236: Update root build files.

Prep v236 : Add missing SPDX-License-Identifier (9/9) tools

Prep v236 : Add missing SPDX-License-Identifier (8/9) src/test

Prep v236 : Add missing SPDX-License-Identifier (7/9) src/systemd

Prep v236 : Add missing SPDX-License-Identifier (6/9) src/shared

Prep v236 : Add missing SPDX-License-Identifier (5/9) src/login

Prep v236 : Add missing SPDX-License-Identifier (4/9) src/libelogind

Prep v236 : Add missing SPDX-License-Identifier (3/9) src/core

Prep v236 : Add missing SPDX-License-Identifier (2/9) src/basic

Prep v236 : Add missing SPDX-License-Identifier (1/9) shell-completion

Prep v236: Remove obsolete files that have slithered in.

Prep v236: Update build system and adapt to eloginds needs.

Prep v236: Apply missing upstream updates to the build system

New: pwx/update_po_files.pl : Coment out all translations to non-existent files.

 => Update po translation files

check_tree.pl: Added the possibility to (manualy) check root files and enhanced shell mask handling.

Prep v236: Update root level files

Update TODO

Make taint message structured and add catalog entry

Dec 14 14:10:54 krowka elogind[1]: System is tainted: overflowgid-not-65534
-- Subject: The system is configured in a way that might cause problems
-- Defined-By: elogind
-- Support: https://lists.freedesktop.org/mailman/listinfo/elogind-devel
--
-- The following "tags" are possible:
-- - "split-usr" — /usr is a separate file system and was not mounted when elogind
--   was booted
-- - "cgroups-missing" — the kernel was compiled without cgroup support or access
--   to expected interface files is resticted
-- - "var-run-bad" — /var/run is not a symlink to /run
-- - "overflowuid-not-65534" — the kernel user ID used for "unknown" users (with
--   NFS or user namespaces) is not 65534
-- - "overflowgid-not-65534" — the kernel group ID used for "unknown" users (with
--   NFS or user namespaces) is not 65534
-- Current system is tagged as overflowgid-not-65534.

meson: increase version numbers

core: add EXTEND_TIMEOUT_USEC={usec} - prevent timeouts in startup/runtime/shutdown (#7214)

With Type=notify services, EXTEND_TIMEOUT_USEC= messages will delay any startup/
runtime/shutdown timeouts.

A service that hasn't timed out, i.e, start time < TimeStartSec,
runtime < RuntimeMaxSec and stop time < TimeoutStopSec, may by sending
EXTEND_TIMEOUT_USEC=, allow the service to continue beyond the limit for
the execution phase (i.e TimeStartSec, RunTimeMaxSec and TimeoutStopSec).

EXTEND_TIMEOUT_USEC= must continue to be sent (in the same way as
WATCHDOG=1) within the time interval specified to continue to reprevent
the timeout from occuring.

Watchdog timeouts are also extended if a EXTEND_TIMEOUT_USEC is greater
than the remaining time on the watchdog counter.

Fixes #5868.

man: elogind.unit: move note about clearing lists (#7621)

This is mainly for drop-in files.

sysctl: disable buffer while writing to /proc

fputs() writes only first 2048 bytes and fails
to write to /proc when values are larger than that.
This patch adds a new flag to WriteStringFileFlags
that make it possible to disable the buffer under
specific cases.

tree-wide: use STRLEN() to allocate buffer of constant size

Using strlen() to declare a buffer results in a variable-length array,
even if the compiler likely optimizes it to be a compile time constant.

When building with -Wvla, certain versions of gcc complain about such
buffers. Compiling with -Wvla has the advantage of preventing variably
length array, which defeat static asserts that are implemented by
declaring an array of negative length.

basic/macros: add STRLEN() to get length of string literal as constant expression

While the compiler likely optimizes strlen(x) for string literals,
it is not a constant expression.

Hence,

  char buffer[strlen("OPTION_000") + 1];

declares a variable-length array. STRLEN() can be used instead
when a constant espression is needed.

It's not entirely identical to strlen(), as STRLEN("a\0") counts 2.
Also, it only works with string literals and the macro enforces
that the argument is a literal.

meson: link NSS modules with -z nodelete (#7607)

We might end up allocating mempools, and when we are unloaded we might
orphan them, thus leaking them. Hence, let's just stick around for good,
so the mempools remain referenced continously and for good, and thus no
memory is leaked (though the memory isn't cleaned up either).

Fixes: #7596

verbs: add a new VERB_MUSTBEROOT flag

Given that we regularly have verbs that require privileges, let's just
make this a flag of the verb.

tree-wide: drop a few == NULL and != NULL comparison

Our CODING_STYLE suggests not comparing with NULL, but relying on C's
downgrade-to-bool feature for that. Fix up some code to match these
guidelines. (This is not comprehensive, the coccinelle output for this
is unfortunately kinda borked)

virt: use XENFEAT_dom0 to detect the hardware domain (#6442, #6662) (#7581)

The detection of ConditionVirtualisation= relies on the presence of
/proc/xen/capabilities. If the file exists and contains the string
"control_d", the running system is a dom0 and VIRTUALIZATION_NONE should
be set. In case /proc/xen exists, or some sysfs files indicate "xen",
VIRTUALIZATION_XEN should be set to indicate the system is a domU.

With an (old) xenlinux based kernel, /proc/xen/capabilities is always
available and the detection described above works always. But with a
pvops based kernel, xenfs must be mounted on /proc/xen to get
"capabilities". This is done by a proc-xen.mount unit, which is part of
xen.git. Since the mounting happens "late", other units may be scheduled
before "proc-xen.mount". If these other units make use of
"ConditionVirtualisation=", the virtualization detection returns
incorect results. detect_vm() will set VIRTUALIZATION_XEN because "xen"
is found in sysfs. This value will be cached. Once xenfs is mounted, the
next process that runs detect_vm() will get VIRTUALIZATION_NONE.

This misdetection can be fixed by using
/sys/hypervisor/properties/features, which exports the value returned by
the "XENVER_get_features" hypercall. If the bit XENFEAT_dom0 is set, the
domain is the "hardware domain". It is supposed to have permissions to
access all hardware. The used sysfs file is available since v2.6.31.

The commonly used term "dom0" refers to the control domain which runs
the toolstack and has access to all hardware. But the virtualization
host may be configured such that one dedicated domain becomes the
"hardware domain", and another one the "toolstack domain".

acl: fix typo in comment (#7580)

resolved: implement D-Bus API for DNS-SD

man: missing whitespace (#7579)

virt: propagate errors in detect_vm_xen_dom0 (#7553)

Update detect_vm_xen_dom0 to propagate errors in case reading
/proc/xen/capabilites fails. This does not fix any bugs, it just makes
it consistent with other functions called by detect_vm.

meson: place elogind-sulogin-shell in build/

We do that will all executables so that it's easy to call them.

meson: warn if nobody-user and nobody-group are set to different name

It may work, but is very strange. So, let's warn about that.

v2:
Debian uses nobody and nogroup. Do not warn such case.

sysusers: use NOBODY_USER_NAME

virt: remove triple spurious newline