admin/pin: Enforce that index is a number

Validate that we're parsing a number; we want to guard
against typos.

Closes: https://github.com/ostreedev/ostree/issues/2171

Merge pull request #2173 from cgwalters/release

Release 2020.5

Post-release version bump

Release 2020.5

Mainly to get https://github.com/ostreedev/ostree/pull/2160 out.

Merge pull request #2172 from jlebon/pr/add-initrds-prep

Miscellaneous patches split out of #2155

Merge pull request #2127 from cgwalters/destructive-rs

tests/inst: Add destructive test framework

tests/inst: Add destructive test framework

This adds infrastructure to the Rust test suite for destructive
tests, and adds a new `transactionality` test which runs
rpm-ostree in a loop (along with `ostree-finalize-staged`) and
repeatedly uses either `kill -9`, `reboot` and  `reboot -ff`.

The main goal here is to flush out any "logic errors".

So far I've validated that this passes a lot of cycles
using
```
$ kola run --qemu-image=fastbuild-fedora-coreos-ostree-qemu.qcow2 ext.ostree.destructive-rs.transactionality --debug --multiply 8 --parallel 4
```
a number of times.

lib/deploy: Clarify comment re. staging API

Don't mention deprecation in the description for
`ostree_sysroot_deploy_tree` since there are legitimate use cases for it
(e.g. to create the first deployment via `ostree admin deploy`).

Instead, make the comment clearly redirect to the staging API when
booted into the sysroot.

lib/deploy: Drop unneccessary function arg

lib/cleanup: Drop unnecessary GEqualFunc cast

lib/deploy: Simplify deployment creation

Minor cleanup; we were declaring a superfluous variable.

lib/deploy: Avoid shadowing variable

There's already a `boot_relpath` variable in the outside scope.

lib/deploy: Clean up kargs override handling

Tighten up how we handle kargs here so it's more clear. When we call
`sysroot_finalize_deployment`, any karg overrides have already been set
on the bootconfig object of the deployment. So re-setting it here is
redundant and confusing.

Merge pull request #2170 from jprvita/for-upstream

dracut: Create reproducible images

dracut: Create reproducible images

Without reproducible images, a rebuild of the initrd will create a
different image file (due to things like creation time of the files in
the cpio archive) even if the actual contents in it are exactly the
same, adding an unnecessary download during updates.

Adding 'reproducible=yes' avoids this and creates the same image files
for the same content.

Merge pull request #2168 from arithx/ci_pxe_offline

ci: add pxe-offline-install testiso scenario

ci: add pxe-offline-install testiso scenario

Merge pull request #2103 from cgwalters/underlay-live

Add "transient" unlock

Add "transient" unlock

I was thinking a bit more recently about the "live" changes
stuff https://github.com/coreos/rpm-ostree/issues/639
(particularly since https://github.com/coreos/rpm-ostree/pull/2060 )
and I realized reading the last debates in that issue that
there's really a much simpler solution; do exactly the same
thing we do for `ostree admin unlock`, except mount it read-only
by default.

Then, anything that wants to modify it does the same thing
libostree does for `/sysroot` and `/boot` as of recently; create
a new mount namespace and do the modifications there.

The advantages of this are numerous.  First, we already have
all of the code, it's basically just plumbing through a new
entry in the state enumeration and passing `MS_RDONLY` into
the `mount()` system call.

"live" changes here also naturally don't persist, unlike what
we are currently doing in rpm-ostree.

Merge pull request #2166 from pwithnall/summary-sig-downloads

pull: Add summary-{,sig-}bytes options to ostree_repo_pull()

pull: Add summary-{,sig-}bytes options to ostree_repo_pull()

These allow the `summary` and `summary.sig` files to be cached at a
higher layer (for example, flatpak) between related pull operations (for
example, within a single flatpak transaction). This avoids
re-downloading `summary.sig` multiple times throughout a transaction,
which increases the transaction’s latency and introduces the possibility
for inconsistency between parts of the transaction if the server changes
its `summary` file part-way through.

In particular, this should speed up flatpak transactions on machines
with high latency network connections, where network round trips have a
high impact on the latency of an overall operation.

Signed-off-by: Philip Withnall <withnall@endlessm.com>

pull: Improve formatting of pull options in documentation

Backticks improve all things.

Signed-off-by: Philip Withnall <withnall@endlessm.com>

Merge pull request #2163 from cgwalters/fix-ci

 ci: Barf on unset umask

ci: Barf on unset umask

Since it's just not a sane thing to do and will cause various
failures in our test suite.

Merge pull request #2159 from agners/show-parent

Show commit checksum of parent, if present

Merge pull request #2160 from cgwalters/sysroot-ro

remount: Still remount /sysroot writable if not configured ro

Merge pull request #2162 from cgwalters/fix-repo-finder

tests/repo-finder: Explicitly commit empty dir

Merge pull request #2161 from cgwalters/fix-ci

ci: Fix ISO testing

ci: Fix ISO testing

Regression from
https://github.com/ostreedev/ostree/pull/2158/commits/5d7f897908dbf7f471ddfdbd6c29a84ac6bc0bda

I'm not sure how (or if) this passed before, the job logs have
been GC'd.

This is a bit confusing but basically right now ostree/rpm-ostree's
CI jobs don't use `/srv/fcos` - it might make sense to port
these to `fcosBuild` but that needs investigation.

tests/repo-finder: Explicitly commit empty dir

We were committing the whole tempdir, which seems to fail
in Travis because the GPG agent Unix domain socket ends up there too,
and ostree refuses to commit sockets.

Merge pull request #2156 from jlebon/pr/clarify-ref-rev

app: Fix various CLI metavariable names

remount: Still remount /sysroot writable if not configured ro

Regression from https://github.com/ostreedev/ostree/pull/2113/commits/35642259175973617da937f3cab6ce5f13c95077
BZ: https://bugzilla.redhat.com/show_bug.cgi?id=1862568

We still need to remount writable if it's not configured on;
because it may need OS adjustments it needs to be opt-in.

Show commit checksum of parent, if present

This is useful for ostree log on client side where often not the
full history of a branch is available. It is also helpful for
ostree show to show if a particular commit has a parent.

app: Fix various CLI metavariable names

- Use `REV` instead of `REF` in places where we meant it.
- Fix `commit --parent` actually taking a commit checksum and not a ref.
- Fix `ostree admin switch` using `REF` instead of `REFSPEC`.

Merge pull request #2157 from agners/improve-man-pages

Improve man pages

Merge pull request #2158 from bgilbert/testiso

ci: test FCOS PXE and ISO install

ci: test FCOS PXE and ISO install

Make sure we don't break the FCOS live image.  PXE is probably sufficient,
but also test the ISO image for good measure.

man: add missing options to the ostree-commit man page

Add missing parameter to the ostree-commit man page.

Signed-off-by: Stefan Agner <stefan.agner@toradex.com>

man: add glossary to main man page

Add glossary to define some commonly used literals throughout the ostree
man pages.

Signed-off-by: Stefan Agner <stefan.agner@toradex.com>

Merge pull request #2153 from cgwalters/release-2020-4

Release 2020.4

Post-release version bump

Release 2020.4

A lot of stuff here, new signing API is the biggest.  Let's
get a release out.

Merge pull request #2152 from cgwalters/pull-fdatasync

pull: Add --per-object-fsync

Merge pull request #2150 from cgwalters/pull-append-written

pull: Also append bytes written

pull: Add --per-object-fsync

This is the opposite of
https://github.com/ostreedev/ostree/issues/1184

Motivated by OpenShift seeing etcd performance issues during
OS updates: https://github.com/openshift/machine-config-operator/issues/1897

Basically, if we switch to invoking `fsync()` as we go, it makes
ostree performance worse (in my tests, 31s to write 2G versus 7s if we
delay sync) but it avoids *huge* outliers in `fsync()` time for etcd.

pull: Also append bytes written

This is very useful information that we get from the transaction
stats.  Append it to the final display if we're not inheriting
the transaction.

Merge pull request #2151 from jlebon/pr/too-parallel

ci: Constrain parallel build jobs

tests: Add needs-internet tag for webserver bits

Fixes the tests, see https://github.com/coreos/coreos-assembler/pull/1600
TODO: provide a webserver binary via virtio or so

ci: Constrain parallel build jobs

The default `_NPROCESSORS_ONLN` heuristic we have isn't cgroups aware.
So it thinks it has e.g. 40 CPUs when running in a k8s pod. This can
then blow through our allocated resource limits.

Declare some modest amount of RAM and CPU resources and override `make`
parallelism.

This matches what rpm-ostree now does in
https://github.com/coreos/rpm-ostree/pull/2155.

Merge pull request #2146 from stb-tester/owners-uncomment-wmanley

OWNERS: Uncomment @wmanley

OWNERS: Uncomment @wmanley

I've made my affiliation public now thanks to @cgwalters:

https://github.com/ostreedev/ostree/pull/1678#issuecomment-653148139

Merge pull request #2144 from cgwalters/deltas-new-style

lib/deltas: convert ostree_repo_static_delta_generate to new style

lib/deltas: convert ostree_repo_static_delta_generate to new style

The "new style" code generally avoids `goto err` because it conflicts
with `__attribute__((cleanup))`.  This fixes a compiler warning.

Signed-off-by: Frédéric Danis <frederic.danis@collabora.com>

Merge pull request #2143 from jlebon/pr/eacces-lock

lib/repo: Handle EACCES for POSIX locking

lib/repo: Handle EACCES for POSIX locking

If `glnx_make_lock_file` falls back to `flock`, on NFS this uses POSIX
locks (`F_SETLK`). As such, we need to be able to handle `EACCES` as
well as `EAGAIN` (see `fnctl(2)`).

I think this is what coreos-ostree-importer has been hitting, which runs
on RHEL7 in the Fedora infra and does locking over an NFS share where
multiple apps could concurrently pull things into the repo.

Merge pull request #2131 from cgwalters/sign-success

signapi: Change API to also return a success message

Merge pull request #2001 from agners/multi-device-tree

deploy: support devicetree directory

Merge pull request #2138 from cgwalters/use-autopkgtest-reboot

tests: Port to Debian autopkgtest reboot API

Merge pull request #2136 from cgwalters/doc-timestamp

core: Add documentation for ostree_commit_get_timestamp()

Merge pull request #2137 from cgwalters/fix-unexported-symbol

sysroot: Remove unimplemented ostree_sysroot_lock_with_mount_namespace

tests: Port to Debian autopkgtest reboot API

See https://github.com/coreos/coreos-assembler/pull/1528

I think we can drop the old cosa reboot APIs after this,
though I've already forgotten where else I might have written
tests using it.

sysroot: Remove unimplemented ostree_sysroot_lock_with_mount_namespace

This came in with 5af403be0cc64df50ad21cef05f3268ead256d6d but
was never implemented.

I noticed this now because the Rust ostree bindings generate a
wrapper for it which the linker tries to use.

core: Add documentation for ostree_commit_get_timestamp()

Working on some rpm-ostree bits and was going to pass
this to the `chrono` crate and I forgot the format, went
to look at the docs.  Oops.

Merge pull request #2133 from jlebon/pr/ci-commitmessage

ci: Import latest ci-commitmessage-submodules from rpm-ostree

Merge pull request #2135 from mwleeds/test-symbols-check-for-example

tests: Check that example symbol isn't released

tests: Check that example symbol isn't released

For the motivation for this see #2132.

Merge pull request #2132 from cgwalters/remove-unused-symbol

libostree-devel.sym: Remove nonexistent stub symbol

ci: Remove libpaprci/ directory

And move everything that was in it directly in `ci/`. There's a bunch
more cleanups here that we need to do (and more changes to upstream from
the rpm-ostree copies of this).

Merge pull request #2134 from d4s/wip/d4s/fix_abort_on_verify

Fix abort on verify

libostree-devel.sym: Remove nonexistent stub symbol

This should have been removed when we added symbols to this list.

sign/ed25519: fix return value if no correct keys in file

Fix the return value if file doesn't contains correct public key(s).

Signed-off-by: Denis Pynkin <denis.pynkin@collabora.com>

sign/ed25519: fix the abort in case of incorrect public key

We need to check the size of public key before trying to use it.

Signed-off-by: Denis Pynkin <denis.pynkin@collabora.com>

ci: Import latest ci-commitmessage-submodules from rpm-ostree

Especially for https://github.com/coreos/rpm-ostree/pull/2079.

signapi: Change API to also return a success message

This is the dual of https://github.com/ostreedev/ostree/pull/2129/commits/1f3c8c5b3de978f6e069c24938967f823cce7ee8
where we output more detail when signapi fails to validate.

Extend the API to return a string for success, which we output
to stdout.

This will help the test suite *and* end users validate that the expected
thing is happening.

In order to make this cleaner, split the "verified commit" set
in the pull code into GPG and signapi verified sets, and have
the signapi verified set contain the verification string.

We're not doing anything with the verification string in the
pull code *yet* but I plan to add something like
`ostree pull --verbose` which would finally print this.

Merge pull request #2130 from jlebon/pr/bump-libglnx

libglnx: Bump to latest

libglnx: Bump to latest

For `copy_file_range` fix:

https://gitlab.gnome.org/GNOME/libglnx/-/merge_requests/18

Update submodule: libglnx

Merge pull request #2129 from cgwalters/ed25519-errors

sign/ed25519: Output failed signatures in error message

sign/ed25519: Output failed signatures in error message

To aid debuggability, when we find a commit that isn't signed
by our expected key, output a specific error message with the
key.

(And then add code to switch to just printing the count beyond 3
 because the test suite injects 100 keys and hopefully no one
 ever actually does that)

Merge pull request #2128 from cgwalters/verify-pre-signed

tests: Add a pre-signed-pull.sh test

tests: Add a pre-signed-pull.sh test

I'm thinking about adding an implementation of ed25519 signatures
with OpenSSL (so we can ship the feature with Fedora CoreOS
without requiring an additional library) and in preparation for
that it's essential that we validate that libsodium-generated
signatures and OpenSSL-generated signatures are compatible.

I don't know if they are yet actually, but the goal of this
new test is to add a pre-generated repository with a signed
commit generated by libsodium.

This will catch if e.g. there's ever a change in libsodium,
or if existing libsodium implementation versions (e.g. the
one in Debian) might differ from what we ship here.

Merge pull request #2094 from zpiotr/patch-1

Changing link to file about contributing, in readme.

README.md: Fix link to CONTRIBUTING.md

We should link to the target and not the symlink.

Merge pull request #2121 from cgwalters/arch-key

core: Add OSTREE_COMMIT_META_KEY_ARCH

Merge pull request #2126 from agners/improve-ostree-checkout-man

Improve checkout man page

man/checkout: document missing options

Document missing options in the ostree checkout man page.

Signed-off-by: Stefan Agner <stefan.agner@toradex.com>

checkout: use FILE as option argument string for --skip-list

Align with --from-file and use 'FILE' instead of 'PATH' as option
argument string. No functional change, this is only cosmetics.

Signed-off-by: Stefan Agner <stefan.agner@toradex.com>

man/checkout: fix short name option of --user-mode

The short name option of --user-mode is -U.

Signed-off-by: Stefan Agner <stefan.agner@toradex.com>

core: Add OSTREE_COMMIT_META_KEY_ARCHITECTURE

Add a standard key for this.  We actually had a case in OpenShift
builds recently where a `ppc64le` image was pushed over an `x86_64`
one and this started failing at runtime with a not immediately
obvious error.

I'll probably end up changing rpm-ostree at least to use
the RPM architecture for this key and fail if it doesn't match
the booted value.

Possibly that should live in ostree but it would involve adding
architecture schema here, which gets into a big mess.  Let's
just standardize the key.

xref https://github.com/coreos/coreos-assembler/commit/e02ef2683d688607e7b5ad9ea6a0c00c50a682a5

Merge pull request #2123 from cgwalters/all-your-base-have-arguments

commit: Note in help that --base takes an argument

commit: Note in help that --base takes an argument

I was trying to use this in some testing work and was confused for a minute.

Merge pull request #2122 from cgwalters/testrs-webserver

tests/rust: Extract a with_webserver_in helper wrapper

tests/rust: Extract a with_webserver_in helper wrapper

It's much cleaner if the Tokio stuff stays in `test.rs`, and
easier to write tests if the function is synchronous.

Prep for further tests.

Merge pull request #2048 from cgwalters/rust-cmdspec-tests

Add new Rust-based tests

Merge pull request #2119 from cgwalters/bumpsplit-rustfmt

bupsplit: rustfmt(*)

bupsplit: rustfmt(*)

Let's use the standard rustfmt style.
Also remove unused parenthesis which rust-analyzer was complaining
about.

Also add a `.gitignore`.

Merge pull request #2118 from cgwalters/error-prefix-parsing

lib: Add error prefixing with specific object when loading

deploy: support devicetree directory

Add support for a devicetree directory at /usr/lib/modules/$kver/dtb/.
In ARM world a general purpose distribution often suppports multiple
boards with a single operating system. However, OSTree currently only
supports a single device tree, which does not allow to use the same
OSTree on different ARM machines. In this scenario typically the boot
loader selects the effective device tree.

This adds device tree directory support for the new boot artefact
location under /usr/lib/modules. If the file `devicetree` does not
exist, then the folder dtb will be checked. All devicetrees are hashed
into the deployment hash. This makes sure that even a single devicetree
change leads to a new deployment and hence can be rolled back.

The loader configuration has a new key "devicetreepath" which contains
the path where devicetrees are stored. This is also written to the
U-Boot variable "fdtdir". The boot loader is expected to use this path
to load a particular machines device tree from.

Closes: #1900
Signed-off-by: Stefan Agner <stefan.agner@toradex.com>

pull: Add error prefixing with specific object when parsing

One OpenShift user saw this from rpm-ostree:
```
client(id:cli dbus:1.583 unit:machine-config-daemon-host.service uid:0) added; new total=1
Initiated txn UpdateDeployment for client(id:cli dbus:1.583 unit:machine-config-daemon-host.service uid:0): /org/projectatomic/rpmostree1/rhcos
Txn UpdateDeployment on /org/projectatomic/rpmostree1/rhcos failed: File header size 4294967295 exceeds size 0
```

which isn't very helpful.  Let's add some error
prefixing here which would at least tell us which
object was corrupted.

Merge pull request #2117 from cgwalters/pull-signapi-default-explicit

remote-add: Default to explicit sign-verify backends

remote-add: Default to explicit sign-verify backends

In https://github.com/ostreedev/ostree/pull/2092/commits/588f42e8c64183dfa1fbaa08cc92c46b691b23c4
we added a way to add keys for sign types when doing
a `remote add`, and in https://github.com/ostreedev/ostree/pull/2105
we extended `sign-verify` to support *limiting* to an explicit
set.

This PR changes the *default* for `remote add` to combine
the two - when providing an explicit `--sign-verify=type`,
we now limit the accepted types to only those.