Merge pull request #3527 from alexlarsson/fix-sign-bindings

Fix various things around signatures and their use in rust

rust: Regenerate and release 0.20.5

This adds the new bindings for signing and composefs use.

rust-binding: Extend bindings to support composefs and signing

This adds GLib.VariantDict, which is needed for
ostree_repo_commit_add_composefs_metadata(), and OSTree.BlobReader
which are needed for ostree_sign_read_sk().

With these we can sign ostree commits with composefs digests in them.

gir: Add (nullable) to ostree_blob_reader_read_blob return value

This adds api docs to ostree_blob_reader_read_blob() so that we
can mark the return value as nullable. This is needed, because
this function can return NULL without setting error, and this
needs to be handled in bindings (such as the rust ones).

ostree-sign.ed25519/spki: Fix double free in set_sk()

When the gvariant is G_VARIANT_TYPE_BYTESTRING we need to duplicate
the data we get from g_variant_get_fixed_array(), otherwise we will
double-free it when we later free sign->secret_key.

Merge pull request #3526 from lcook/status-index-json

status: Include deployment index in JSON output

status: Include deployment index in JSON output

Merge pull request #3523 from alexlarsson/signed-composefs-with-bootc

Support using composefs signatures also with bootc commits

Support using composefs signatures also with bootc commits

When using bootc, if you convert a signed ostree commit into an OCI
image `rpm-ostree compose container-encapsulate` you end up with a new
commit that isn't signed. However, the base commit object, and its
commitmeta are still in the image and will end up the repo, and
since https://github.com/bootc-dev/bootc/pull/1600 the base commit
id is available as the parent commit.

So, we change ostree-prepare-root to fall back to using the base
commit+commitmeta to find the expected composefs digest if the main
commit is not signed.

Note: This will only work with ostree-only commits. If you have any
layered data, then the content will change, and the composefs digest
in the base commit will not match the deployed one. This is expected
with such sealed commits though. If you want to layer, either disable
sealing, or create a new sealed ostree commit for the new image.

prepare-root: add allow_noent argument to load_variant

This is a minor preparation for a later change. Instead of
hand-rolling the G_FILE_ERROR_NOENT error check we add
a new allow_noent option.

Additionally, we move the handling of a no commitmeta being
an error to the caller of load_commit_for_deploy(), because
this check will be slightly more complex in the future.

Merge pull request #3524 from jlebon/pr/state-overlays-exp

man/ostree-state-overlay: drop experimental but link to bootc docs

man/ostree-state-overlay: drop experimental but link to bootc docs

This has baked for long enough now so drop the experimental flag. But do
explain that symlinks are preferred and link to the bootc docs.

Merge pull request #3521 from cgwalters/release

Release 2025.6

configure: post-release version bump

Release 2025.6

Merge pull request #3518 from champtar/remove-mount-cycle

Rework mounts to fix sysroot.mount umount

Revert "Add ostree-shutdown.service: hide /sysroot and make /etc read-only"

Instead of adding a shutdown service, we rework how we create the mounts.
After the 2 previous commits, sysroot.mount umount works, and
systemd-shutdown will take care of remounting etc.mount read-only and
calling sync() as needed.

This reverts commit d0c454c23637dceda6d7395dd2141b564e3efa47.

ostree-soft-reboot: fix sysroot.mount umount

The composefs at /run/nextboot uses /sysroot, so systemd fails to
umount sysroot.mount during soft-reboot.
Create a temporary bind-mount, use it to prepare /run/nextboot
and MNT_DETACH it when we are done.

ostree-prepare-root: avoid mount cycle

Moving the physical root at /sysroot, we end up
with a mount cycle between / and /sysroot, forcing us to use
MS_DETACH during shutdown (d0c454c23637dceda6d7395dd2141b564e3efa47).

We can replace ostree-shutdown.service by reworking how we mount
/sysroot, in short use MS_BIND instead of MS_MOVE.

Merge pull request #3517 from jozzsi/3495

Move dracut module from 98 ordering to the recommended 50 ordering

Move dracut module from 98 ordering to the recommended 50 ordering

In dracut release v108 or later the recommended ordering for out
out of tree modules is 50. The following is a section from dracut
documentation:

> Not using the 50-59 range for out of tree dracut modules will likely
> lead to unintended errors in the initramfs generation process as your
> dracut module will either run too early or too late in the generation process.
> You have been warned.

Fixes: https://github.com/ostreedev/ostree/issues/3495

Merge pull request #3516 from cgwalters/remount-shutdown

Add ostree-shutdown.service: hide /sysroot and make /etc read-only

Add ostree-shutdown.service: hide /sysroot and make /etc read-only

We have a lot of bind mounts; these are usually set up in the initramfs.
So far during shutdown we've let systemd just try to sort things out
via auto-generated mount units i.e. `sysroot.mount` and `etc.mount`
and so on.

systemd has some special casing for `-.mount` (i.e. `/`) and `etc.mount`
https://github.com/systemd/systemd/blob/e91bfad241799b449df73efc30d833b9c5937001/src/shared/fstab-util.c#L72

However it doesn't special case `/sysroot` - which is currently
an ostree-specific invention (when used in the real root).
We cannot actually unmount `/sysroot` while it's in use, and it
is because `/etc` is a bind mount into it. And we can't tear
down `/etc` because it's just expected that e.g. pid 1 and other
things hold open references to it - until things finally
transition into systemd-shutdown.

What we can do though is explicitly detach it during the shutdown
phase; this ensures that systemd won't try to clean it up then,
suppressing errors about its inability to do so.

While we're here, let's also remount `/etc` read-only; while
systemd itself will try to do so during systemd-shutdown.
Per comments if this service fails, it's a bug in something
else to be fixed.

Closes: https://github.com/ostreedev/ostree/issues/3513
Signed-off-by: Colin Walters <walters@verbum.org>

Merge pull request #3515 from HastD/xattrs-double-free

fix: double free in checkout_tree_at_recurse

fix: double free in checkout_tree_at_recurse

Both `xattrs` and `modified_xattrs` are declared with `g_autoptr`, but
`xattrs` is later simply assigned to be equal to `modified_xattrs`,
meaning the automatic cleanup is a double-free.

This is fixed by instead using `g_steal_pointer` to assign the old value
of `xattrs` to a temporary variable, which is used to create the new
value.

I believe this is the cause of issue #3303, and this should fix #3303.
(I can consistently reproduce the issue by attempting to deploy a
rechunked image with bootc, and with this patch, the issue no longer
occurs and the deployment succeeds.)

Signed-off-by: Daniel Hast <hast.daniel@protonmail.com>

Merge pull request #3514 from cgwalters/finalize-needs-etc

ostree-finalize-staged.service: RequiresMountsFor=/etc

ostree-finalize-staged.service: RequiresMountsFor=/etc

I've seen in some cases systemd try to unmount /etc quite early
and then fail because it's in use.

It's confusing because I don't see this in all scenarios.
But regardless, in the situations where it does occur,
this fixes it.

Signed-off-by: Colin Walters <walters@verbum.org>

Merge pull request #3512 from champtar/OSTREE_SUPPRESS_SYNCFS

libostree: remove OSTREE_SUPPRESS_SYNCFS

libostree: remove OSTREE_SUPPRESS_SYNCFS

This workaround was needed for the old valgrind version in EL 7

Merge pull request #3509 from cgwalters/sysroot-sync-repo

Deduplicate repo+sysroot syncfs logic

Merge pull request #3510 from cgwalters/release

Release 2025.5

Deduplicate repo+sysroot syncfs logic

This is a followup to https://github.com/ostreedev/ostree/pull/3504/commits/6e5a27a29d33d50a2a4380c406405435d919b6b4
which I believe is correct as is. However, we already have a file
descriptor open for the ostree repo, which *must* be on
the same filesystem as `/sysroot/ostree` (the deployment
code forces hardlinking today).

It's hence cleaner to reuse that extant fd instead of opening
a new one - we know we did writes to that fd.

But going farther here, there already is logic to use syncfs
for the repo when downloading objects (in a common case
we actually syncfs twice).

Since these are really the same operation, unify them:

- Add journaling to the repo one syncfs case
- Change the sysroot case to just call it
- Since we log consistently to the journal for all syncfs/fsfreeze
  operations now, drop the SyncStats bits which was a way
  to add info about that to a later journal message

Additionally, let's add an extra check when we're
opening the repo that it's on the same device just on general
principle.

Signed-off-by: Colin Walters <walters@verbum.org>

configure: Post-release version bump

Signed-off-by: Colin Walters <walters@verbum.org>

Release 2025.5

Signed-off-by: Colin Walters <walters@verbum.org>

Merge pull request #3507 from cgwalters/aboot-chdir

aboot: Use fd and not absolute path

Merge pull request #3508 from cgwalters/switchroot-journal

prepare-root: Log to journal, not stdout

prepare-root: Log to journal, not stdout

Since this can now be used as part of the shared library for
soft reboots, we shouldn't have a library write to stdout.
I noticed this in bootc. Use the journal instead.

Signed-off-by: Colin Walters <walters@verbum.org>

aboot: Use fd and not absolute path

Motivated by https://github.com/bootc-dev/bootc/pull/1532/commits/6d2eb2aaa92e23f434c47e3d0ebadc0307d45289

(We need to have a shared helper for this stuff at some point)

Merge pull request #3506 from cgwalters/adapt-cosa

ci: Adapt to cosa change

ci: Adapt to cosa change

It seems to have stopped building qemu by default.

Signed-off-by: Colin Walters <walters@verbum.org>

Merge pull request #3504 from champtar/syncfs-ostree

deploy: call syncfs() for /ostree instead of /

deploy: call syncfs() for /ostree instead of /

In full_system_sync we were calling syncfs(/) expecting
all the recent modification in /ostree to be synced to disk.
With / now being composefs, syncfs(/) is a noop, so call
syncfs(/ostree) as that is what we really want.

Merge pull request #3494 from alexlarsson/remove-aboot-dead-code

deploy: Remove some dead aboot code

deploy: Remove some dead aboot code

The code in get_kernel_from_tree_usrlib_modules() that checks for an
"aboot.cfg" does nothing with it (and in fact may leak the fd in case
its there). In practice, /usr/lib/modules never has an aboot.cfg, so
this is just completely dead code.

Signed-off-by: Alexander Larsson <alexl@redhat.com>

Merge pull request #3493 from alexlarsson/fix-aboot-updates

deploy: Fix path to aboot.cfg in BLS files

deploy: Fix path to aboot.cfg in BLS files

The change in https://github.com/ostreedev/ostree/pull/3413/ was meant
to change when the abootcfg option is set in the BLS file.  However,
it also changed the value of this key, using the wrong directory
(bootcsumdir instead of /usr/lib/ostree-boot).

This means that during update, aboot-update gets the wrong path to the
config and cannot correctly write the aboot partition.

Signed-off-by: Alexander Larsson <alexl@redhat.com>

Merge pull request #3487 from cgwalters/soft-reboot-boot-mnt

soft-reboot: Also handle /boot

soft-reboot: Also handle /boot

Closes: https://github.com/ostreedev/ostree/issues/3486
Signed-off-by: Colin Walters <walters@verbum.org>

switchroot: Refactor /boot mounting into helper function

So it can be shared with soft reboots.

Signed-off-by: Colin Walters <walters@verbum.org>

Merge pull request #3485 from cgwalters/test-boot-bind

tests: verify /boot mount with prepare root

tests-unit-container: Verify /boot mount point

Prep for further changes.

Signed-off-by: Colin Walters <walters@verbum.org>

justfile: Add a target to iterate on container unit tests quickly

We need to split these into two container builds probably...

tests: Fix negative check for transient etc

This test was passing for the wrong reason. Just noticed when
reviewing.

Merge pull request #3484 from cgwalters/bump-sys

Two rust patches

rust: Fix a few warnings

- Unused imports because we weren't actually exporting the structs
  from those modules
- glib prelude is empty now?
- mount namespace usage is conditional

Signed-off-by: Colin Walters <walters@verbum.org>

rust: Bump sys crate version too

Should have happened in the other PR.

Merge pull request #3479 from cgwalters/test-etc-transient

tests: Add a test case for etc.transient

Merge pull request #3482 from cgwalters/release-rust

rust: Regenerate and release 0.20.4

Merge pull request #3481 from cgwalters/release

Release 2025.4

configure: post-release version bump

Release 2025.4

rust: Regenerate and release 0.20.4

This ensures we actually pick up the changes for `Since`.

tests: Add a test case for etc.transient

This would have caught https://github.com/ostreedev/ostree/issues/3476

Merge pull request #3473 from cgwalters/root-transient-ro

Add root.transient-ro

Merge pull request #3477 from wsabransky/patch-1

ostree-prepare-root: remove duplicate transient directory

ostree-prepare-root: remove duplicate transient directory

Only create the transient etc directory once to prevent failures due to directory existence.

Merge pull request #3475 from cgwalters/fix-since-annotations

Fix since annotations && update rust bindings

rust-bindings: Regenerate with updated gir

In particular we had a conflict as the previous bindings
were generated with an old version of the C APIs.

sysroot: Fix Since: for soft reboot APIs

We should really have a CI gate for this...

Add root.transient-ro

An example use case for this is having privileged code
add dynamic new toplevel mountpoints (that don't persist across
reboots/upgrades), while still keeping the rootfs readonly
for processes by default.

Closes: https://github.com/ostreedev/ostree/issues/3471
Signed-off-by: Colin Walters <walters@verbum.org>

Merge pull request #3472 from cgwalters/root-transient-ro-prep

Prep patches for rootfs.transient-ro

prepare-root: Move root.transient parsing rootfs parsing

This deduplicates more code between main boot and soft reboot,
and is prep for supporting `rootfs.transient-ro = true`.

prepare-root: Rename `enabled` -> `composefs_enabled`

Prep for moving more functionality there, it's really about
the rootfs, not just composefs.

Signed-off-by: Colin Walters <walters@verbum.org>

prepare-root: Rename rootfs variables

Prep for moving more functionality there, it's really about
the rootfs, not just composefs.

Signed-off-by: Colin Walters <walters@verbum.org>

prepare-root: Rename rootfs loading functions

Prep for moving more functionality there, it's really about
the rootfs, not just composefs.

Merge pull request #3470 from cgwalters/build-dist-test-scripts

build-sys: Always EXTRA_DIST test scripts

build-sys: Always EXTRA_DIST test scripts

Fixes the case of doing `make dist` without some
build features enabled.

Closes: https://github.com/ostreedev/ostree/issues/3469
Signed-off-by: Colin Walters <walters@verbum.org>

Merge pull request #3455 from jmarrero/bindings

rust: Add v2025_3 feature and bump versions

Merge pull request #3468 from jmarrero/release-20253

Release 2025.3

configure: post-release version bump

Release 2025.3

Merge pull request #3310 from igoropaniuk/boot_count

sysroot: Support boot counting for boot entries

sysroot: Support boot counting for boot entries

Add support for boot counting for bootloader entries [1].
The boot counting data is stored in the name of the boot loader entry.
A boot loader entry file name may contain a plus (+) followed by a number.
This may optionally be followed by a minus (-) followed by a second number.
The dot (.) and file name suffix (conf or efi) must immediately follow.

The feature is enabled via sysroot configuration:
[sysroot]
boot-counting-tries=3

Testing:
$ ostree admin deploy 91fc19319be9e79d07159303dff125f40f10e5c25614630dcbed23d95e36f907
Copying /etc changes: 2 modified, 3 removed, 4 added
bootfs is sufficient for calculated new size: 0 bytes
Transaction complete; bootconfig swap: yes; bootversion: boot.0.1, deployment count change: 1

$ ls /boot/loader/entries
ostree-1.conf  ostree-2+3.conf

[1] https://uapi-group.org/specifications/specs/boot_loader_specification/#boot-counting
Signed-off-by: Igor Opaniuk <igor.opaniuk@foundries.io>
Signed-off-by: Colin Walters <walters@verbum.org>

Merge pull request #3467 from cgwalters/config-set-validate

repo: Add new API to write config with reload+validation

Merge pull request #3465 from cgwalters/soft-reboot-kargs-check

Soft reboot kargs check

repo: Add new API to write config with reload+validation

The `ostree config set` CLI should really disallow
writing invalid values. To implement that, add a new
API that also *reloads* to the new config, and
rolls back on failure.

Closes: https://github.com/ostreedev/ostree/issues/1827
Signed-off-by: Colin Walters <walters@verbum.org>

soft-reboot: Check for kernel argument changes

This closes a drift gap possibility.

Signed-off-by: Colin Walters <walters@verbum.org>

Merge pull request #3463 from cgwalters/ci-bootc-c10s

ci: Expand bootc testing to cover c10s

rust-bindings: update for soft-reboot

rust: Add v2025_3 feature and bump versions

tests: Verify soft reboot with changed kernel state

Merge pull request #3464 from cgwalters/man-drop-authorgroup

docs: Remove <authorgroup>

docs: Remove <authorgroup>

We've just been copy pasting this; for some commands it's
true, but others have been written by other people. Most of
the commands just call into the library code which is written
by various people.

Because it isn't really accurate, just drop it.

Signed-off-by: Colin Walters <walters@verbum.org>

Merge pull request #3460 from cgwalters/soft-reboot-followups3

soft-reboot: Many changes

soft-reboot: Many changes

- Add --reboot and --reset arguments
- Don't compile on centos stream 9 (missing `open_tree` glibc wrapper)
  as the functionality isn't supported by systemd there; that said
  we should also do dynamic detection
- Fix /sysroot writability
- If we target as soft reboot a deployment
  *other* than the staged one, automatically clear the staged
  deployment as otherwise the semantics are too confusing.
- Rename the APIs so they all say `soft_reboot` and not `next_root`

Signed-off-by: Colin Walters <walters@verbum.org>

ci: Expand bootc testing to cover c10s

Because it's an active development target.

Signed-off-by: Colin Walters <walters@verbum.org>

Merge pull request #3461 from cgwalters/sysroot-deploy-cleanup

deploy: Don't create deployment object before deploying

deploy: Don't create deployment object before deploying

Just pass the bits of the new deployment we want down into the
checkout function. This lets us reuse the common helper
to init a deployment which now always captures the device/inode.

Followup from previous commit.

Signed-off-by: Colin Walters <walters@verbum.org>

Merge pull request #3456 from cgwalters/soft-reboot-followups2

sysroot: Remove now-spurious assertion change from soft reboot changes

Merge pull request #3459 from cgwalters/deployments-cache-devino

sysroot: Cache deployment device/inode