tests: Link test-gpg-verify-result with gpgme

This test uses gpgme directly to verify the signatures, so it needs to
find the gpgme headers and link with gpgme to ensure the linker can
resolve the symbols.

Fix tests on 32 bit systems

Use guint64 when the 't' format is used for GVariant

gpg: Gracefully handle no trusted.gpg.d directory

This is a deprecated fallback method anyway.  We prefer
remote-specific keyrings now.

https://bugzilla.gnome.org/750049

Release 2015.7

tests/remote-gpg-import: Only commit workdir

Just noticed this while debugging something else.  We don't want to
commit the whole test dir, just the workdir.

Trying to commit the repo itself is potentially subject to race
conditions at least.

tests: Run all tests through a randomized readdir()

Having undefined (but in practice rarely changing) ordering for
`readdir()` ended up screwing us over for bootloader config
generation; see https://bugzilla.redhat.com/show_bug.cgi?id=1226520

Let's make things significantly more likely to fail more quickly in
the future if similar bugs are introduced.  We accomplish this by
introducing a little `LD_PRELOAD` library that randomizes the results
of `readdir()`.

Revert "tests: Run all tests through a randomized readdir()"

Unintentionally pushed.

This reverts commit ce49264157f9005e664557613cbbf67f54174682.

tests: Add a test-pull-summary-sigs

This is intended to cover non-mirroring usage of GPG + summary +
deltas.

repo: Don't crash when creating a summary if we have --empty deltas

tests: Add a commented out test for mirroring with deltas

pull: Validate delta checksums more strongly

We need to check that it's 'ay'.  Also reuse the existing validation
function to check it's 32 bytes rather than potentially crashing with
assertion.

Just noticed this during a code review.

pull: Ensure console state for multiple GPG verification messages

If there are multiple signatures to verify, we would attempt to
display them multiple times, but we can only call
`gs_console_end_status_line()` if the console has been enabled.

Ensure we turn back on the console after printing our status.  This
will result in extra newlines, but fixing that cleanly would require a
saner GSConsole API.

tests: Run all tests through a randomized readdir()

Having undefined ordering (but in practice rarely changing)
ordering for `readdir()` ended up screwing us over with respect
to bootloader config file read ordering.

Let's make things significantly more likely to fail more quickly in
the future if similar bugs are introduced.  We accomplish this by
introducing a little `LD_PRELOAD` library that randomizes the results
of `readdir()`.

tests: Add a crosscheck for syslinux bootloader config generation

And actually wire this one up in admin-test.sh.

tests: Add a test script to cross-check loader config vs GRUB2

One can run this on a machine to validate things.  I'd like to
get this plugged into the actual OSTree tests as soon as we can
figure out how to sanely run grub2-generate as non-root in
our test suite.

Alternatively, this script can easily be run on a real install.

sysroot: Sort returned boot loader configs

I haven't done a full dig through the history, but it seems quite
possible right now we've been relying on inode enumeration
order for generating bootloader configuration.

Most of the time, newer inodes (i.e. later written files) will win.
But that's obviously not reliable.

Fix this by sorting the returned configuration internally.

Fix annotations on ostree_repo_remote_gpg_import().

ostree-repo: document OSTREE_REPO_COMMIT_MODIFIER_FLAGS_GENERATE_SIZES

Signed-off-by: Giuseppe Scrivano <gscrivan@redhat.com>

admin: Ensure instutil commands and usage help don't grab lock

When I was introducing the `_UNLOCKED` flag, I only audited
subcommands of `ostree admin`, but I missed that `ostree admin
instutil` also used the option parsing.  Those are only used by
Anaconda today so we can ignore them for locking purposes.

Also, the usage help generation was grabbing the lock unnecessarily.

repo: Prevent GPG keys from being imported to keybox format

If a remote keyring does not already exist, create an empty pubring.gpg
file in the temporary directory prior to importing keys.  This prevents
gpg2 from creating a pubring.kbx file in the new keybox format [1].  We
want to stay with the older keyring format since its performances issues
are not relevant here.

[1] https://gnupg.org/faq/whats-new-in-2.1.html#keybox

repo: Bump mtime any time we write a ref

External daemons like rpm-ostree want push notification any time a
change is made by an external entity.  inotify provides notification,
but a problem is there's no easy way to monitor all of the refs.

In the past, there has been discussion of opt-in recursive timestamps:
https://lkml.org/lkml/2013/4/5/307

But in today's world, let's just bump the mtime on the repo itself, as
a central inotify point.

Closes: https://github.com/GNOME/ostree/pull/111

ostree-repo: replace more gs_unref_(variant|bytes) with g_autoptr

Signed-off-by: Giuseppe Scrivano <gscrivan@redhat.com>

test-basic: Always chown back before doing assertion

Sometimes I rerun the tests for debugging in the same directory, and
having it be not writable breaks `rm * -rf`.

tests: Fix writable repo test

When I removed the `transaction` symlink, that made this test start
failing.  Fix it by doing `chmod` on `repo/objects`, which is what the
core `ostree_repo_is_writable()` looks at.

admin: Use locking for most sysroot commands

The previous commit introduced locking for `ostree admin deploy`, but
we do expect people to possibly accidentally do e.g.
`ostree admin upgrade` concurrently.

Using consistent locking in the admin commands will help rpm-ostree.

Closes: https://github.com/GNOME/ostree/pull/110

tests: Add test-remote-gpg-import.sh

ostree: Add --gpg-import to the "remote add" command

Convenience option imports GPG keys for a newly-created remote.

ostree: Add a "remote gpg-import" command

Imports GPG keys into a remote-specific keyring.

repo: Add remote's keyring during GPG verification

This is pretty fugly but it at least avoids new public API.

repo: Add ostree_repo_remote_gpg_import()

Imports one or more GPG keys from a source stream or from the user's
personal keyring into a remote-specific keyring.  The keys to import
can optionally be restricted by a list of key IDs.

The imported keys are used to conduct GPG verification when pulling
from the given remote.

repo: Delete a remote's keyring when deleting a remote

repo: Stash keyring name in OstreeRemote

maint.mk: Remove GNU releases specific bits

Signed-off-by: Giuseppe Scrivano <gscrivan@redhat.com>

syntax-check: add syntactic rule to prohibit gs_strfreev

and fix an instance.

Signed-off-by: Giuseppe Scrivano <gscrivan@redhat.com>

syntax-check: add syntactic rule to prohibit gs_unref_*

Signed-off-by: Giuseppe Scrivano <gscrivan@redhat.com>

tests: add new test for pull --disable-static-deltas

Signed-off-by: Giuseppe Scrivano <gscrivan@redhat.com>

doc: add missing options block for pull

Signed-off-by: Giuseppe Scrivano <gscrivan@redhat.com>

pull: add new switch option --disable-static-deltas

Signed-off-by: Giuseppe Scrivano <gscrivan@redhat.com>

ostree-repo-pull: add option to disable static-deltas

Signed-off-by: Giuseppe Scrivano <gscrivan@redhat.com>

sysroot: Add a try_lock() API

The blocking locking API wasn't sufficient for use in the rpm-ostree
daemon; it really wants to know if the lock is held, then continue to
do other things (like service DBus requests), and get notification
when the lock is available.

We also add an async variant that can be called if the lock is not
available.

Implement a higher level "loop until lock is available" method in the
`ostree admin` commandline.

repo: Simplify sign_data() a little

Use ot_gpgme_data_output() to wrapper a GOutputStream.

gpg: Add custom data buffers to wrapper GIO streams

ot_gpgme_data_input() and ot_gpgme_data_output(), shamelessly ripped
off from seahorse_gpgme_data_input() and seahorse_gpgme_data_output().

gpg: Fix ot_gpgme_error_to_gio_error()

Need to extract the error code from a gpgme_error_t, can't just compare
it directly.

ot-fs-utils: remove empty line at EOF

Signed-off-by: Giuseppe Scrivano <gscrivan@redhat.com>

summary: delete summary.sig on an update

Signed-off-by: Giuseppe Scrivano <gscrivan@redhat.com>

tests: add a test for signed summary file

Signed-off-by: Giuseppe Scrivano <gscrivan@redhat.com>

pull: verify signature for the summary file

Signed-off-by: Giuseppe Scrivano <gscrivan@redhat.com>

summary: add new command line arguments to sign the summary file

Signed-off-by: Giuseppe Scrivano <gscrivan@redhat.com>

ostree-repo: add new API to sign the summary file

Signed-off-by: Giuseppe Scrivano <gscrivan@redhat.com>

pull: get rid of detached metadata for deltas

Once the summary file will be signed, we can validate the superblock
from there.

Signed-off-by: Giuseppe Scrivano <gscrivan@redhat.com>

pull: check that the superblock checksum is the same as in the summary

Signed-off-by: Giuseppe Scrivano <gscrivan@redhat.com>

core: store information about delta files checksums

Signed-off-by: Giuseppe Scrivano <gscrivan@redhat.com>

core: new function _ostree_parse_delta_name

Signed-off-by: Giuseppe Scrivano <gscrivan@redhat.com>

summary: list the available static deltas

Write the information in the additional_metadata element for backward
compatibility.

Signed-off-by: Giuseppe Scrivano <gscrivan@redhat.com>

trivial-httpd: add option to specify the port

I use the trivial httpd server locally. Each time I restart the
server, I end up modifying manually the config file for other repos so
to point to the correct port. In this way I can just re-use the same
port.

Signed-off-by: Giuseppe Scrivano <gscrivan@redhat.com>

trivial-httpd: fix indentation

Signed-off-by: Giuseppe Scrivano <gscrivan@redhat.com>

Remove unnecessary #include "libgsystem.h"

Use g_auto(GStrv) instead of gs_strfreev

Use g_autoptr(GVariantBuilder) instead of gs_unref_variant_builder

Use g_autoptr(GKeyFile) instead of gs_unref_keyfile

Use g_autoptr(GVariant) instead of gs_unref_variant

Use g_autoptr(GPtrArray) instead of gs_unref_ptrarray

Use g_autoptr(GHashTable) instead of gs_unref_hashtable

Use g_autoptr(GBytes) instead of gs_unref_bytes

Use g_autoptr(GChecksum) instead of gs_free_checksum

Use glnx_unref_object instead of gs_unref_object

For non-GIO object types, at least until autocleanup support for GObject
based types becomes more widespread.

Use g_autoptr() for GIO object types

GLib 2.44 supplies all the necessary autocleanup macros for GIO types,
and libglnx backports the relevant macros for ostree.

Use g_autofree instead of gs_free

Juggling libglnx.h includes

gpg: Add ostree_gpg_verify_result_describe_variant()

Needed for printing signature details in places where
OstreeGpgVerifyResult cannot go.

repo: Stop creating "transaction" symlink

This originally was a way that we detected the case where a pull was
interrupted.  Later, we added `.commitpartial` files which also cover
this case.

See also https://github.com/GNOME/ostree/pull/85

We still want to honor their existence (and unlink them) in case an
old version of ostree was in use, but I believe it's safe to stop
creating them now.

The only case where this would break is if you have a version of
ostree that predates commitpartial in your rollback history, but such
old versions are no longer in use by operating systems I support at
least.

Closes: https://github.com/GNOME/ostree/pull/100

libglnx: Pick up bugfix and backports

Need more autocleanup backports for GIO types.

Teach fsck about partial commits

An OSTree user noticed that `ostree fsck` would produce `missing
object` errors in the case of interrupted pulls.

It's possible to do e.g. `ostree pull --subpath=/usr/share/rpm ...`,
which gets you just that portion of the commit.  The use case for this
was being able to see what changes would appear in an update before
actually downloading all of it.

(I think this would be better covered by static deltas, but those
 aren't final yet, and `--subpath` predates it)

Further, `.commitpartial` is used as a successor to the `transaction`
symlink for more precise knowledge in the case where a pull was
interrupted that we needed to resume scanning.

So it makes sense for `ostree fsck` to be aware of it.

core: Cleanup commitpartial file with fd-relative lookups

First, this is just a general continuation of the `GFile -> openat`
transition.

Second, it's preparatory work for fsck to gain awareness of partial
commits.

doc: remove unknown parameter from inline documentation

Signed-off-by: Giuseppe Scrivano <gscrivan@redhat.com>

repo: Fix an obvious typo

libglnx: fix reference to commit

Signed-off-by: Giuseppe Scrivano <gscrivan@redhat.com>

sysroot: Add an API to lock

If a system administrator happens to type `ostree admin upgrade`
multiple times, currently that will lead to a potentially corrupted
system.

I originally attempted to do locking *internally* in `libostree`, but
that didn't work out because currently a number of the commands
perform multi-step operations that all need to be serialized.  All of
the current code in `ostree admin deploy` is an example.

Therefore, allow callers to perform locking, as most of the higher
level logic is presently implemented there.

At some point, we can revisit having internal locking, but it will be
difficult.  A more likely approach would be similar to Java's approach
with concurrency on iterators - a "fail fast" method.

Fix build when using GLib < 2.44

pull: the commit size in the summary is not for the detached metadata

Use the size specified in the summary file only for the not detached
metadata.

Signed-off-by: Giuseppe Scrivano <gscrivan@redhat.com>

gpg: Fix _ostree_gpg_verifier_add_keyring()

The function never fails, but its API makes it look like it can.

Fortunately it's private, so just fix it.

ostree: Split up "remote" subcommands

To make room for "remote gpg-import", which will be non-trivial.
ot-builtin-remote.c was already a little too crowded anyway.

Also while we're at it, port this bit of code away from libgsystem.

repo: Initialize GPGME in instance init()

Initially I had this in class_init() but there it would get invoked
during introspection scanning.

libotutil: Add ot_gpgme_ctx_tmp_home_dir()

Currently used for signature verification, will also be used for
importing GPG keys.

libotutil: Establish a place for GPG utilities

Add ot-gpg-utils.[ch] and move _ostree_gpg_error_to_gio_error() here.

show: add option --gpg-homedir

Signed-off-by: Giuseppe Scrivano <gscrivan@redhat.com>

gpg: do not use secring.gpg

It contains the secret keyring

Signed-off-by: Giuseppe Scrivano <gscrivan@redhat.com>

g_output_stream_splice: check correctly the error code

While at it, change the style of other two occurrences.

Signed-off-by: Giuseppe Scrivano <gscrivan@redhat.com>

test-auto-summary.sh properly quote arguments to assert_streq

Signed-off-by: Giuseppe Scrivano <gscrivan@redhat.com>

pull: Always request detached metadata for commits

Always request detached metadata for commit objects, even if we already
have the commit object.  This ensures we fetch any post facto detached
metadata updates such as new GPG signatures.

https://bugzilla.gnome.org/748220

reset: update help output

The inline help for 'ostree reset' now correctly shows that it
requires a REF and a COMMIT as arguments.

README.md: fix typo

Signed-off-by: Giuseppe Scrivano <gscrivan@redhat.com>

deploy: Drop a fsync, use fd-relative APIs

Now that we can rely on `syncfs()`, drop another fsync in the deploy
path.  While we're here, convert it to fd-relative.

deploy: Drop fsync of modified config files

These fsyncs were added for what turned out to be a fairly bogus
reason; I was hitting read errors from extlinux after upgrades and out
of conservatisim tried adding fsync calls, but the *actual* problem
was that extlinux didn't support 64 bit ext4.  Now that at least for
Project Atomic hosts we're just targeting grub2, we can drop these
fsync calls and rely on `syncfs()` being both faster and catching any
errors.

deploy: Use syncfs() in addition to sync()

For some sort of crazy reason, the `sync()` system call doesn't
actually return an error code, even though from what I can tell in the
kernel it wouldn't be terribly hard to add.

Regardless though, it is better for userspace apps to use `syncfs()`
to avoid flushing filesystems unrelated to what they want to sync.  In
the case of OSTree, this does matter - for example you might have a
network mount point backing your database, and we don't want to block
upgrades on syncing it.

This change is safe because we're doing syncfs in *addition* to the
previous global `sync()` (a revision from an earlier patch).

Now because OSTree only touches the `/` mount point which covers the
repository, the deployment roots (including their copy of `/etc`), as
well as `/boot`, we should at some point later be able to drop the
`sync()` call.  Note that on initial system installs we do relabel
`/var` but that shouldn't happen at ostree time - any new directories
are taken care of via `systemd-tmpfiles` on boot.

status: Don't crash if we deployed a local refspec

In the case we built a local tree, we'd pass `NULL` as a remote down
to the GPG checking code.  Noticed this in the test suite.

sysroot: Close sysroot fd in finalize

Just noticed this while I was going to add another one there.

libglnx: Update from master

No real changes, but I'd like to use some of the new APIs later.

Release 2015.6

sysroot: Add ostree_sysroot_get_fd()

This way external programs like rpm-ostree can do fd-relative
operations on the deployment directories, like inspecting the RPM
database.

Closes: https://github.com/GNOME/ostree/pull/91