journal: be fine with opening rotated/corrupted journal files

journal: set secure deletion flags for FSS file

journal: after verification output validated time range

journal: reword verification messages a bit

journal: ensure that entries and tags are properly ordered

journal: show new header fields in header dump

journal: don't write tag objects if nothing has been written since the last time

man: add man pages for new FSS stuff

journal: rework terminology

Let's clean up our terminology a bit. New terminology:

FSS = Forward Secure Sealing
FSPRG = Forward Secure Pseudo-Random Generator

FSS is the combination of FSPRG and a HMAC.

Sealing = process of adding authentication tags to the journal.
Verification = process of checking authentication tags to the journal.

Sealing Key = The key used for adding authentication tags to the journal.
Verification Key = The key used for checking authentication tags of the journal.
Key pair = The pair of Sealing Key and Verification Key

Internally, the Sealing Key is the combination of the FSPRG State plus
change interval/start time.

Internally, the Verification Key is the combination of the FSPRG Seed
plus change interval/start time.

journal: add FSPRG journal authentication

journal: fix tag sequence number verification

journalctl: immeidately terminate on invalid seed

journal: parse fsprg seed

journal: count number of entry arrays in header

keymap: fix map name reference

journal: rename 'mmap' to 'mmap_cache' to appease gcc

warning: declaration of 'mmap' shadows a global declaration [-Wshadow]

journal: fix variable initialization

journal: fix unitialized var

journal: journal-send.h doesn't actually exist

journal: verify structural consistency

journal: add color to verification progress bar

journal: verify compressed objects

journalctl: add --verify-seed= switch to specify seed value

journal: verify hashes only during actual verification, not all the time

journal: split up journal-file.c

journal: add superficial structure verifier

journal: implement basic journal file verification logic

conf-parser: make parsing exit status lists non-fatal

journal: implement generic sharable mmap caching logic

instead of having one simple per-file cache implement an more
comprehensive one that works for multiple files and can actually
maintain multiple maps per file and per object type.

keymap: Add Sony VGN

https://launchpad.net/bugs/939868

conf-parser: simplify a few things by using set_ensure_allocated() rather than set_new()

man: extend documentation for RestartPreventExitStatus= and SuccessExitStatus= a bit

service: add options RestartPreventExitStatus and SuccessExitStatus

In some cases, like wrong configuration, restarting after error
does not help, so administrator can specify statuses by RestartPreventExitStatus
which will not cause restart of a service.

Sometimes you have non-standart exit status, so this can be specified
by SuccessfulExitStatus.

journal: include tag object header in hmac

journal: add all objects we add to HMAC

journald: initial version of FSPRG hookup

This adds forward-secure authentication of journal files. This patch
includes key generation as well as tagging of journal files,
Verification of journal files will be added in a later patch.

umount: MS_MGC_VAL is so 90s

update TODO

nspawn,namespaces: make sure we recursively bind mount things in

We want to make sure that everything from the host is also visible in
the sandbox.

machine-id: properly mount transient machine ID read-only

nspawn: unset a few unnecessary params to mount()

update TODO

namespace: rework namespace support

- don't use pivot_root() anymore, just reuse root hierarchy
- first create all mounts, then mark them read-only so that we get the
  right behaviour when people want writable mounts inside of
  read-only mounts
- don't pass invalid combinations of MS_ constants to the kernel

nspawn: inherit mounts from real root, don't propagate mounts to real root

switch-root: remount to MS_PRIVATE

The kernel does not allow switching roots if things are mounted
MS_SHARED. As a work-around, remount things MS_PRIVATE before switching
roots.

This should be fixed in the kernel for good.

https://bugzilla.redhat.com/show_bug.cgi?id=847418

udev: export udev_device_new_from_device_id()

systemctl: fix issue with systemctl daemon-reexec

shared/utf8: mark char* as const

Avoids compiler warning:

  src/shared/utf8.c: In function 'ascii_filter':
  src/shared/utf8.c:278:16: warning: assignment discards 'const' qualifier
      from pointer target type [enabled by default]

shutdown: recursively mark root as private before pivot

Because root is now recursively marked as shared on bootup, we need to
recursively mark root as private. This prevents a pivot_root failure on
shutdown:

  Cannot finalize remaining file systems and devices, giving up.
  pivot failed: Invalid argument

id128: don't use C99 bool in public headers

journald: never read the same kernel msg twice, and generate message when we lose one

update TODO

man: document kernel journal fields

journalctl: support device node matches as shortcut

journald: properly unescape messages from /dev/kmsg

journald: also parse kernel key/value fields and store them prefixed with _KERNEL_ as journal fields

journald: basic support for /dev/kmsg parsing

man: clarify the order of seats in sd_get_seats() is undefined

update mailmap

build-sys: use more generic regular expression to generate syscall-list.txt correctly

Currently MIPS and ARM define syscall numbers for multiple ABI in one
<asm/unistd.h>. The #define statments for each syscall are formated as:

 #define __NR_scname (BASE_OFFSET + sc_number)

Thus we need a more generic regular expression to match these in awk.

update TODO

fix a couple of issues found with llvm-analyze

build-sys: prepare release 188

update TODO

build-sys: add CFLAGS to CPP calls

It changes the defines WORDSIZE and __I386, CFLAGS=-m32.

build-sys: really override CFLAGS for gtk-doc

In 29a00c41 an override was added, but commandline variables have
higher precedence than Makefile variables, so the override was not
effective for commandline variables.

While at it, duplicate for libudev.

update TODO

update TODO

Merge remote-tracking branch 'simonpe/cleanup'

update TODO

udev: fix typo in copyright

gudev: docs - work around the broken gtk-doc mess

gtk-doc add CFLAGS/LDFLAGS multiple times to the gcc command line,
which breaks options that must be listed only once.

For now, clear CFLAGS/LDFLAGS for the intermediate documentation
binary.

systemd: introduced new timeout types

Makes possible to specify separate timeout for start and stop of
the service.

[ Improved the manpage. Coding style fix. -- michich ]

logind: use bus_method_call_with_reply() where posible

update-utmp: use bus_method_call_with_reply() where posible

udev: re-initialize builtins in the daemon process, not in the worker

udev: initialize rules dir timestamps when reading rules

On Wed, Aug 8, 2012 at 11:48 AM, Michael Schroeder <mls@suse.de> wrote:
> if rules are installed in the first 3 seconds after the udev start,
> the stamps will all be zero, so the [first] call to check_rules_timestamp()
> will just copy the current mtime [and not cause a rules re-load].

loginctl: use bus_method_call_with_reply() where posible

autogen.sh: disable _FORTIFY_SOURCE, we want -O0, which is incompatible

build-sys: link internal selinux lib to systemd-remount-fs

build-sys: pass param to stack protector

build-sys: drop obsolete gcc switch

build-sys: typo fix

TODO: misleading socket warning

build-sys: enable a couple of security features

Most distributions enable these downstream anyway, but it probably makes
sense to enable them unconditionally upstream too.

move bus_method_call_with_reply() to dbus-common

systemctl: use bus_method_call_with_reply() where posible

use the method introduced by the previous commit

systemctl: add bus_method_call_with_reply

this method combines the folowing dbus calls and there error handling:
 dbus_message_new_method_call()
 dbus_message_append_args()
 dbus_connection_send_with_reply_and_block()

units: remove prefdm

It's time to get rid of prefdm. Distributions which still want to use
this should maintain this downstream, but it's probably better to just
provide proper units for the various display managers, like Fedora is
doing this, for example:

https://fedoraproject.org/wiki/Features/DisplayManagerRework

update TODO

journalctl: include corrupted files in output

If a journal file was rotated away because it was corrupted or dirty we
should still show its contents via "journalctl".

mount-setup: change system mount propagation to shared by default

In order to make containers work nicely out of the box it is highly
desirable to have the mount propagation mode for the root fs is set as
"shared" by default so that containers receive system mounts by default.
(See mount --make-shared for more information).

As it is unlikely that the kernel will change the default to "shared"
for this, do this early at boot-up from PID 1. Setups which prefer the
default of "private" should undo this change via invoking "mount
--make-private /" or a similar command after boot.

In the long run /etc/fstab should take the propagation mode as a mount
option like any other, so that this may be used to change the default
mode. However, if fstab is not around or doesn't list / we still should
default to shared as propagation mode, hence this change now.

sysctl: apply configuration at once

https://bugzilla.redhat.com/show_bug.cgi?id=767795

[ Simplified by iterating the config files in the backwards order -
  no need for hashmap_update(). Other minor cleanups. -- michich ]

main: fix typo

continue work with error messages, log_oom()

Adds messages for formally silent errors: new "Failed on cmdline argument %s: %s".

Removes some specific error messages for -ENOMEM in mount-setup.c. A few specific
ones have been left in other binaries.

update TODO

shutdown: allow to specify broadcast message when cancelling shutdown

makes shutdown behaviour more compatible

TODO: /etc/timezone

update TODO

cryptsetup: add keyfile-size= support

This is useful e.g. if the keyfile is a raw device, where only parts of it
should be read. It is typically used whenever the keyfile-offset= option is
specified.

Tested-by: Erik Westrup <erik.westrup@gmail.com>