TODO: update

Update user session unit template.

While most folks will be using the derivative from user-session-units,
I'm updating this one to reflect some of the fixes and things to note
about user sessions:

- cgroup should be set with "%u" - username instead of %I
- set dbus path with %U explicitly too
- hint to folks that wish to use MEM_CG features in user sessions
- allow unit to be enabled for instances with systemctl enable

conf-parser: when we parse a string list, always fill in something

Some code really wants to know whether there was a string list parsed,
so don't take the shortcut here, and always allocate a string list, even
if it is an empty one.

https://bugs.freedesktop.org/show_bug.cgi?id=62558

journal: don't access j->files after use

https://bugs.freedesktop.org/show_bug.cgi?id=62605

udevadm: place const in the right place

Otherwise clang at least thinks that both consts apply to char.

bus: don't free an unallocated var

Also remove unused variable.

bus: move attribute to end of structure, so it is not ignored

src/libsystemd-bus/bus-message.h:41:1: warning: attribute 'packed' is ignored, place it after
      "struct" to apply attribute to type declaration [-Wignored-attributes]

update TODO

update TODO

unit: never retroactively start requisites

Requesites are not supposed to be auto-started afterall, they are just
checks, so don't try to be smarter here than appropriate.

Based on a patch from Michal Schmidt.

Revert "units: ignore systemd-sysctl on shutdown"

This reverts commit faeffa73a81ab5b59acfadeb571431fb0e42af70.

There isn't really much point in dropping the Conflicts= since shutting
down this service is basically free as it doesn't have anything running.

Also, the patch was incomplete, because shutdown.target was still listed
in Before=.

add --with-telinit=PATH configure option

Distributions that never shipped upstart do not have
"telinit" in /lib/upstart/..

Defaults to /lib/upstart/telinit so there is no change
for systems existing installs.

journalctl: various fixes to the access check logic

- Reword messages a bit

- Correct check whether EACCES is in the set of errors

- Don't complain if no journal files are found

- allocate Set object for errors lazily since in the best case we don't
  need it at all.

- don't consider it an error if /run/log/journal doesn't exist (because
  that's the usual case actually, if storage is enabled)

dbus: Do send out "replies" to signals

Some parts of systemd (at least the DBus activation codepath) "reply"
to signals, which of course have the no-reply flag set.  We will be
defensive here and still send out a reply if we're passed a signal.

Regression introduced by: c6a818c82035da91e

Reported-by: Mantas Mikulėnas <grawity@gmail.com>
Tested-by: Mantas Mikulėnas <grawity@gmail.com>

update TODO

exec: Assigning the empty string to CapabilityBoundSet= should drop all caps

Previously, it would set all caps, but it should drop them all, anything
else makes little sense.

Also, document that this works as it does, and what to do in order to
assign all caps to the bounding set.

https://bugzilla.redhat.com/show_bug.cgi?id=914705

Drop trailing whitespace

timedated: extra overflow safety check when doing relative time changes

Ensure clients don't overflow usec_t when doing relative time changes.
This is mostly just paranoia and protection against accidents, after all
clients are already authenticated, and they can se the time to any
value they wish anyway, but better be safe than sorry.

https://bugs.launchpad.net/ubuntu/+source/systemd/+bug/1152187/comments/14

update TODO

timedatectl: show CanNTP field

udev: no need to output OOM, if we call log_oom() anyway

main: minor simplification

udev/collect: avoid initalizing memory twice

util: workaround two gcc warnings

gcc does not know that errno cannot be negative, and warns
about unitialized variables later on. Kill the warnings by
returning -errno only after checking that errno is positive.

journalctl: be smarter about journal error checks

There are many ways in which we can get those checks wrong, so it is
better to warn and then error out on a real access failure.

The error messages are wrapped to <80 lines, because their primary
use is to be displayed in the terminal, and it is easier to read them
this way. Reading them in the journal can be a bit trickier, but
this is a bug in logs-show.c.

build-sys: move acl searching code into libsystemd-acl

This loop over acls is a bit too much to keep inside
of another loop.

hostnamed: pretty_string_is_safe() already exists in string_has_cc(), so use that

util: be more picky when validating hostnames

No longer allow dots at the beginning or end of host names, Or double
dots.

https://bugs.launchpad.net/ubuntu/+source/systemd/+bug/1152187/comments/14

journalctl: give a nice hint about group membership based on ACLs of /var/log/journal

If we notice that we unprivileged and not in any of the groups which
have access to /var/log/journal, print a nice message about which groups
do.

This checks and prints all groups that are in the default ACL for
/var/log/journal, which is not necessarily correct for all journal
files, but pretty close.

cgroup: minor optimization

bus: implement object handler registry

mount: mount all cgroup controllers in containers, too

main: use strv_find() where we can

main: don't mount cgroup controller unless PID == 1

This completes c1dae1b3c9729fb8ab749dd4e2dad07e0fad7ed8 in a way.

Fix vacuum logic error

The vacuum code used to stop vacuuming after one deletion, even
when max_use was still exceeded.

Also make usage a uint64_t, as the code already pretends it is one.

Signed-off-by: Jan Alexander Steffens (heftig) <jan.steffens@gmail.com>

man/shutdown: /etc/nologin is called /run/nologin now

systemd-python: allow retrieval of single fields

This can give huge efficiency gains, e.g. if only MESSAGE
is required and all other fields can be ignored.

systemd-python: split out realtime and monotonic into separate functions

This matches the C API more closely, and also enables the
user to get just partial information, should she desire to
do so.

Functions names in error messages are modified to not include
the class name, because Python uses just the function name
into functions declared as METH_NOARGS, and error messages
were inconsistent.

systemd-python: implement _Reader.test_cursor

Getting the cursor is split out from .get_next() into
.get_cursor(). This mirrors the C API more closely, and
also makes things a bit faster if the cursor is not needed.

systemd-python: cleanup up usec_t handling

The behaviour wrt. seconds vs. microseconds was inconsistent.
Now _Reader always uses native units (us), while Reader always
uses seconds and accepts both floats and ints. This way the
conversion is always done in the Python layer, and the lower
level API allows access to the journal API without the potentially
lossy conversion between double and uint64_t.

systemd-python: export sd_journal_get_usage

efivars: fix return code

Was returning 1 on read error.

shutdownd: shut up bogus gcc warning

This one is fake. But let's kill it, avoiding two condition checks
in the process.

src/shutdownd/shutdownd.c: In function 'when_wall':
src/shutdownd/shutdownd.c:182:44: warning: 'sub' may be used uninitialized in this function [-Wmaybe-uninitialized]
         return elapse > sub ? elapse - sub : 1;
                                            ^

bootchart: fix two unitialized memory frees

The new gcc isn't bad!

In file included from src/bootchart/svg.c:36:0:
src/bootchart/svg.c: In function 'svg_ps_bars':
./src/shared/util.h:524:13: warning: 'enc_name' may be used uninitialized in this function [-Wmaybe-uninitialized]
         free(*(void**) p);
             ^
src/bootchart/svg.c:821:37: note: 'enc_name' was declared here
                 char _cleanup_free_*enc_name;
                                     ^
  CC     src/udev/mtd_probe/mtd_probe-probe_smartmedia.o
  XSLT     man/systemd.unit.5
In file included from src/bootchart/svg.c:36:0:
src/bootchart/svg.c: In function 'svg_pss_graph':
./src/shared/util.h:524:13: warning: 'enc_name' may be used uninitialized in this function [-Wmaybe-uninitialized]
         free(*(void**) p);
             ^
src/bootchart/svg.c:395:37: note: 'enc_name' was declared here
                 char _cleanup_free_*enc_name;
                                     ^

initctl: fix return from unitialized memory in error path

src/initctl/initctl.c: In function 'server_init':
src/initctl/initctl.c:282:13: warning: 'r' may be used uninitialized in this function [-Wmaybe-uninitialized]
         int r;
             ^

build-sys: use _FORTIFY_SOURCE with new gcc level -Og

bus: implicitly collect ucred/label information

bus: also finish connection before returning from sd_bus_get_unique_name()

bus: when parsing enforce maximum container depth

bus: fix uninitialized variable

bus: validate the hello response properly

bus: properly verify recursion depth of signatures

bus: rework synchronization logic

Instead of allowing certain actions fail during authentication and
connection setup, implicitly synchronize on the connection to be set up
completely before returning.

bus: reuse more code

bus: validate the entire header more closely

bus: properly validate object path values

bus: generate a nice error when attempting to add a NULL string

bus: implicitly handle peer commands Ping() and GetMachineId()

bus: enforce limits on all client influenced data objects

bus: implicitly set no_reply flag on outgoing messages if the serial number is not kept

If nobody keeps the serial number of an outgoing message we know that
nobody expects an answer to it, so set the no_reply flag accordingly.

udev: always set selinux label at "add" events

https://bugs.freedesktop.org/show_bug.cgi?id=62615

bus: implement full method call timeout logic

hwdb: update

MAkefile.am: whitespace cleanup

doc: disable gtk-doc test again - you are a really annoying piece of software

make  check-TESTS
make[5]: Nothing to be done for `/usr/bin/gtkdoc-check.log'.
fatal: making test-suite.log: failed to create /usr/bin/gtkdoc-check.trs
fatal: making test-suite.log: failed to create /usr/bin/gtkdoc-check.log
make[4]: *** [test-suite.log] Error 1
make[3]: *** [check-TESTS] Error 2
make[2]: *** [check-am] Error 2
make[1]: *** [check-recursive] Error 1
make: *** [check] Error 2

build-sys: include missing header in dist tarball

shared: add simple priority queue implementation

bus: compare to negative errno

activate: avoid warning from -Wshadow

src/activate/activate.c:167:51: warning: declaration shadows a variable in the global scope [-Wshadow]
static int launch(char* name, char **argv, char **environ, int fds) {
                                                  ^
/usr/include/unistd.h:546:15: note: previous declaration is here
extern char **environ;
              ^

Make two functions static

Remove some unused variables

systemd-analyze: do not format timestamp when not printing it

../src/analyze/systemd-analyze.c:530:88: warning: data argument not used by format string [-Wformat-extra-args]
  ...svg_text(false, u->ixt, y, u->time? "%s (%s)" : "%s", u->name, format_timespan(ts, sizeof(ts), u->time));
                                                     ~~~~           ^

core: remove unnecessary goto in setup_namespace

bus-message: fix typo

update TODO

bus: hook up client with socket communication

bus: introduce bus_error_is_dirty() independently of sd_bus_error_is_set()

bus: demarshal header fields properly

bus: implement demarshaller

bus: suppress reply messages to method calls with no_reply set

bus: add basic implementation of a native bus client library

stdio-bridge: modernization

util: add hexmem() and strextend() calls

macro: add CHAR_TO_STR macro to make a one character string from a char

macro: don't redefine CLAMP if it is already defined by glib or some other library

Make PrivateTmp dirs also inaccessible from the outside

Currently, PrivateTmp=yes means that the service cannot see the /tmp
shared by rest of the system and is isolated from other services using
PrivateTmp, but users can access and modify /tmp as seen by the
service.

Move the private /tmp and /var/tmp directories into a 0077-mode
directory. This way unpriviledged users on the system cannot see (or
modify) /tmp as seen by the service.

build-sys: fix typo in human-readable output

libudev: avoid potential misaligned accesses

clang reports:
  src/libudev/libudev-util.c:665:35: warning: cast from
  "const unsigned char *" to "unsigned int *" increases required alignment
  from 1 to 4 [-Wcast-align]

libude: remove special handling of "device" link, it should not be used

zsh completion: udev - remove firmware builtin

man/service: document behaviour on failure

https://bugs.freedesktop.org/show_bug.cgi?id=38355

catalog: remove broken links to wiki

https://bugs.freedesktop.org/show_bug.cgi?id=58359

journalct: beef up entry listing

The ability to dump catalog entries in full and by id is added.

systemd-python: small cleanups

- separate methods with two empty lines for clarity
- avoid malloc(0) by specyfing private data size as -1
- add method name in error messages

systemd-python: add journal.get_catalog()

This one wraps sd_journal_get_catalog_from_message_id.
Thanks to Python namespacing, we can stick to a shorter name.

systemd-python: add _Reader.get_catalog()

This one wraps sd_journaal_get_catalog.

man/catalog: fix synopsis and remind to free

systemd-python: add _Reader.closed attribute

This should make the file interface of _Reader complete.

journalctl: use _cleanup_ in one function

rules: move builtin calls before the permissions section

<heftig> kay: systemd commit 22582bb broke cups usb printing for me
<heftig> because the "lp" group isn't applied anymore
<heftig> SUBSYSTEM=="usb", ENV{DEVTYPE}=="usb_device", ENV{ID_USB_INTERFACES}=="*:0701??:*", GROUP="lp"
<heftig> moving this line to the end of 50-udev-default.rules restores correct behavior, as it's after usb_id