unit: slice dependencies should not be subject to DefaultDependencies

main: don't set no_new_privs when using SystemCallArchitectures= system-wide

After all, we want to allow userspace to get new privs...

nspawn: netns_fd can be removed now

core: rework cgroup mask propagation

Previously a cgroup setting down tree would result in cgroup membership
additions being propagated up the tree and to the siblings, however a
unit could never lose cgroup memberships again. With this change we'll
make sure that both cgroup additions and removals propagate properly.

Pass log config from systemd to systemd-shutdown

If PID 1 debug logging is enabled, it is nice to keep those settings
when switching to systemd-shutdown binary, independently of whether
this was done through /proc/cmdline options, or through runtime
manipulations.

Some modernizations

Extract looping over /proc/cmdline into a shared function

In cryptsetup-generator automatic cleanup had to be replaced
with manual cleanup, and the code gets a bit longer. But existing
code had the issue that it returned negative values from main(),
which was wrong, so should be reworked anyway.

logind: close race on session state during logins

At login there is a small race window where session_get_state() will
return SESSION_ACTIVE instead of SESSION_OPENING. This must be fixed
since during that time there are calls to session_save() to save
session states and we want to write the correct state.

When we queue the start scope and service jobs, we wait for both of them
to finish before calling and continue processing in:
"session_jobs_reply() => session_send_create_reply()"
to create the session fifo and notify clients.

However, in the match_job_removed() D-Bus signal, we may hit situations
where the scope job has successfully finished and we are still waiting
for the user service job to finish. During that time the
"session->scope_job" will be freed and set to NULL, this makes
session_get_state() return SESSION_ACTIVE before it is really active, it
should return SESSION_OPENING since we are still waiting for the service
job to finish in order to create the session fifo.

To fix this, we also check if the session fifo fd was created, if so then
the session has entered the SESSION_ACTIVE state, if not then it is still
in the SESSION_OPENING state and it is waiting for the scope and service
jobs to finish.

sd-dhcp: silently ignore malformed packets

This fixes a regression introduced in e5002702.

sd-rtnl: do not require ifindex to be set for SETLINK messages

The kernel will then look up the ifindex itself based on the name.
This should be used very carefully as it is racey.

[This was a left-over hunk from my previous nspawn patch.]

TODO: remove done item

strv_append was removed in e3e45d4f82daa5cd85ba40dde9127df900096c0c

nspawn: typo fix in help

nspawn: add new --network-bridge= switch

This adds the host side of the veth link to the given bridge.

Also refactor the creation of the veth interfaces a bit to set it up
from the host rather than the container. This simplifies the addition
to the bridge, but otherwise the behavior is unchanged.

Add white space between _XZ_FEATURE_ and _SECCOMP_FEATURE_

bus: fix match_parse for unquoted matches

core: check for return value from get_process_state

Fix for commit e10c9985bb.

README: mention libudev's requirement

sd-dhcp: network - don't hardcode ports

We want to reuse these functions for the server library too.

sd-rtnl: always include linux/rtnetlink.h

sd-dhcp: minimum options size is part of the protocol

sd-dhcp-client: explicitly handle raw and udp messages

Split the recevie_message callback into _raw and _udp parts and a generic
DHCPMessage handler.

Also always verify the xid/MAC, rather than only for udp messages.

sd-rtnl: message_open_container - don't take a 'size' argument

We can always know the size based on the type, so let's do this inside the library.

sd-rtnl: link flags - don't allow change = 0

The kernel will happily treat 0x0 as 0xffffffff, but it is for backwards
compatibility only, so let's not perpetuate this.

Fix prototype of get_process_state

util: fix mismatching function signature

man: use spaces instead of tabs

Several sections of the man pages included intermixed tabs and spaces;
this commit replaces all tabs with spaces.

man: replace STDOUT with standard output, etc.

Actually 'STDOUT' is something that doesn't appear anywhere: in the
stdlib we have 'stdin', and there's only the constant STDOUT_FILENO,
so there's no reason to use capitals. When refering to code,
STDOUT/STDOUT/STDERR are replaced with stdin/stdout/stderr, and in
other places they are replaced with normal phrases like standard
output, etc.

man: fix grammatical errors and other formatting issues

* standardize capitalization of STDIN, STDOUT, and STDERR
* reword some sentences for clarity
* reflow some very long lines to be shorter than ~80 characters
* add some missing <literal>, <constant>, <varname>, <option>, and <filename> tags

core: fix detection of dead processes

Commit 5ba6985b moves the UNIT_VTABLE(u)->sigchld_event before systemd
actually reaps the zombie. Which leads to service_load_pid_file accepting
zombie as a valid pid.

This fixes timeouts like:
[ 2746.602243] systemd[1]: chronyd.service stop-sigterm timed out. Killing.
[ 2836.852545] systemd[1]: chronyd.service still around after SIGKILL. Ignoring.
[ 2927.102187] systemd[1]: chronyd.service stop-final-sigterm timed out. Killing.
[ 3017.352560] systemd[1]: chronyd.service still around after final SIGKILL. Entering failed mode.

test: add basic seccomp tests

units: systemd-logind fails hard without dbus

That is, without --enable-kdbus and kdbus running.

With --enable-kdbus things are more complicated, because dbus might be
necessary, if kdbus is missing at runtime. If it is not necessary,
the socket will be started, which is not imporant, but not the service.

test: print the important commands to make debugging easier

test: make the image bigger

I got some errors about lack of disk space... 100MB either way
shouldn't matter.

nspawn: if we don't find bash, try sh

update TODO

nspawn: don't accept just any tree to execute

When invoked without -D in an arbitrary directory we should not try to
execute anything, make some validity checks first.

man: always place <programlisting> and </programlisting> in a line with actual sources, so that we don't get spurious newlines in the man page output

localectl: log error if bus_map_all_properties() fails

service: when we complain about a notify message we cannot map to main pid because we don't know anything about the main pid, do so at debug level

service: if we don't know the main pid of a service, we cannot accept any notification messages

build-sys: fix for "recipe for target 'dbus1-generator-install-hook' failed"

man: systemd.service(5): clarify behavior of SuccessExitStatus

The behavior of this is a little cryptic in that $MAINPID must exit as
a direct result of receiving a signal in order for a listed signal to
be considered a success condition.

shared: include root when canonicalizing conf paths

The conf_files_list family accepts an alternate root path to prefix all
directories in the list but path_strv_canonicalize_uniq doesn't use it.
This results in the suspicious behavior of resolving directory symlinks
based on the contents of / instead of the alternate root.

This adds a prefix argument to path_strv_canonicalize which will now
prepend the prefix, if given, to every path in the list. To avoid
answering what a relative path means when called with a root prefix
path_strv_canonicalize is now path_strv_canonicalize_absolute and only
considers absolute paths. Fortunately all users of already call
path_strv_canonicalize with a list of absolute paths.

logind: make sure to terminate systemd user on logouts

Currently if the user logs out, the GC may never call user_stop(),
this will not terminate the systemd user and (sd-pam) of that user.

To fix this, remove the USER_CLOSING state check that is blocking the
GC from calling user_stop(). Since if user_check_gc() returns false
this means that all the sessions of the user were removed which will
make user_get_state() return USER_CLOSING.

Conclusion: that test will never be statisfied.

So we remove the USER_CLOSING check and replace it with a check inside
user_stop() this way we know that user_stop() has already queued stop
jobs, no need to redo.

This ensures that the GC will get its two steps correctly as pointed out
by Lennart:
http://lists.freedesktop.org/archives/systemd-devel/2014-February/016825.html

Note: this also fixes another bug that prevents creating the user
private dbus socket which will break communications with the user
manager.

nspawn: make socket(AF_NETLINK, *, NETLINK_AUDIT) fail with EAFNOTSUPPORT in containers

The kernel still doesn't support audit in containers, so let's make use
of seccomp and simply turn it off entirely. We can get rid of this big
as soon as the kernel is fixed again.

nspawn: add new --network-veth switch to add a virtual ethernet link to the host

rtnl: support adding VETH_INFO_PEER containers into rtnl messages

systemctl: fix exit statuses from is-active/is-failed

This was inadvertantly disturbed in e3e0314b when glob support was
added.

everywhere: always use O_CLOEXEC where it makes sense

everywhere: make use of new0() and macro() macros, and stop using perror()

nspawn: check with udev before we take possession of an interface

nspawn: no need to subscribe to netlink messages if we just want to execute one operation

nspawn: --private-network should imply CAP_NET_ADMIN

rtnl: rename constructors from the form sd_rtnl_xxx_yyy_new() to sd_rtnl_xxx_new_yyy()

So far we followed the rule to always indicate the "flavour" of
constructors after the "_new_" or "_open_" in the function name, so
let's keep things in sync here for rtnl and do the same.

rtnl: drop "sd_" prefix from cleanup macros

The "sd_" prefix is supposed to be used on exported symbols only, and
not in the middle of names. Let's drop it from the cleanup macros hence,
to make things simpler.

The bus cleanup macros don't carry the "sd_" either, so this brings the
APIs a bit nearer.

nspawn: add new --network-interface= switch to move an existing interface into the container

nspawn: introduce --capability=all for retaining all capabilities

seccomp: fix build again if libseccomp is missing

update TODO

core: make StopWhenUnneeded work in conjunction with units that fail
during their start job

https://bugzilla.redhat.com/show_bug.cgi?id=997031

update TODO

core: add a system-wide SystemCallArchitectures= setting

This is useful to prohibit execution of non-native processes on systems,
for example 32bit binaries on 64bit systems, this lowering the attack
service on incorrect syscall and ioctl 32→64bit mappings.

networkd: correctly handle manager_free(NULL)

core: add SystemCallArchitectures= unit setting to allow disabling of non-native
architecture support for system calls

Also, turn system call filter bus properties into complex types instead
of concatenated strings.

core: fix build without libseccomp

core: rework syscall filter

- Allow configuration of an errno error to return from blacklisted
  syscalls, instead of immediately terminating a process.

- Fix parsing logic when libseccomp support is turned off

- Only keep the actual syscall set in the ExecContext, and generate the
  string version only on demand.

syscallfilter: port to libseccomp

sd-dhcp: make sure client->secs > 0

Some DHCP servers will not work correctly if secs == 0, so round up
to at least 1.

networkd: work inside containers

Udev does not run in containers, so instead of relying on it to tell us when a
network device is ready to be used by networkd, we simply assume that any
device was fully initialized before being added to the container.

update TODO (add section for things to fix before 209)

build-sys: make lxml required when generating indices

Since the manpage indices generated without lxml would be missing some
parts, it doesn't make sense to keep lxml optional anymore.

build-sys: add less-variables.xml to EXTRA_DIST

man: use xinclude to de-deduplicate common text

I only tested with python-lxml. I'm not sure if xml.etree should be
deprecated.

pager: support SYSTEMD_LESS environment variable

This allows customization of the arguments used by less. The main
motivation is that some folks might not like having --no-init on every
invocation of less.

nspawn: newer kernels (>= 3.14) allow resetting the audit loginuid, make use of this

test: fix "make check"

Let's remove the tests for cg_path_get_machine_name(), since they no
longer operate solely on the cgroup path, but actually look up data in
/run. Since we have a test for cg_pid_get_machine_name() this shouldn't
be too much of a loss.

machinectl: add new "machinectl reboot" call

logind: ignore PropertiesChanged signals for jobs

Otherwise we get a (harmless) message like:
systemd-logind[30845]: Failed to process message [type=signal sender=:1.36 path=/org/freedesktop/systemd1/job/4674 interface=org.freedesktop.DBus.Properties member=PropertiesChanged signature=sa{sv}as]: Invalid argument

logind: always kill session when termination is requested

KillUserProcesses=yes/no should be ignored when termination is
explicitly requested.

journald: log provenience of signals

units: make use of nspawn's --keep-unit switch in systemd-nspawn@.service

machined: fix enumeration of existing machines on restart

update TODO

logind: use session_get_state() to get sessions state of the user

In function user_get_state() remove the session_is_active() check, just
count on the session_get_state() function to get the correct session
state.

session_is_active() may return true before starting the session scope
and user service, this means it will return true even before the creation
of the session fifo_fd which will produce incorrect states.

So be consistent and just use session_get_state().

efi: fix Undefined reference efi_loader_get_boot_usec when EFI support is disabled

machined: optionally, allow registration of pre-existing units (scopes
or services) as machine with machined

util: modernize readlink_malloc() a bit

util: drop parse_user_at_host() since its unused now

nspawn: add --register=yes|no switch to optionally disable registration of the container with machined

sd-dhcp: split out packet handling from client

sd-bus: export sd_bus_call{,_async,_async_cancel}

The .sym file somehow lacks these declarations, so add these. You have to
run "make clean" to make sure the sym-test runs fine afterwards.

networkd: link - correctly skip state ENSLAVING when no vlans configured

This fixes a regression introduced in 672682a6b

networkd: VLAN - allow multiple vlans to be created on a link

Also limit the range of vlan ids. Other implementations and
documentation use the ranges {0,1}-{4094,4095}, but we use
the one accepted by the kernel: 0-4094.

Reported-by: Oleksii Shevchuk <alxchk@gmail.com>

pam: use correct log level

sd-rtnl: added support for a few more attributes

sd-rtnl: test - improve test of MTU a bit

We are more likely to catch errors if we don't use '0' as test value.

sd-rtnl: add test cases for link

nspawn: add new --share-system switch to run a container without PID/UTS/IPC namespacing

update TODO

nspawn,man: use a common vocabulary when referring to selinux security contexts

Let's always call the security labels the same way:

  SMACK: "Smack Label"
  SELINUX: "SELinux Security Context"

And the low-level encapsulation is called "seclabel". Now let's hope we
stick to this vocabulary in future, too, and don't mix "label"s and
"security contexts" and so on wildly.