README & docs: Remove "RHIVOS" acronym

Remove the unofficial acronym RHIVOS from both the README and docs
files. The acronym is associated with Red Hat In-Vehicle Operating
System but isn't officially recognized.

Co-Authored-By: Felicia Kleinfelt <fkleinfe@redhat.com>
Signed-off-by: Eric Curtin <ecurtin@redhat.com>

Merge pull request #3220 from jlebon/pr/on-failure-isolate

ostree-prepare-root.service: add OnFailureJobMode=isolate

ostree-prepare-root.service: add OnFailureJobMode=isolate

This is stronger than the default (`replace`) because it tells systemd
to *stop everything* and go to `emergency.target`. In other codebases,
this has definitely helped me with the problem of "systemd keeps going
even after a failure".

Likely addresses #3219.

See also e.g. https://github.com/coreos/ignition-dracut/commit/3d2e165f97f30c1e62577357f27f32e60e6add18.

Merge pull request #3218 from cgwalters/policy-allow-none

sepolicy: Add missing `(nullable)`

Merge pull request #3216 from cgwalters/mirrorlist-retries

curl: Also map HTTP errors for retries

sepolicy: Add missing `(nullable)`

This can return NULL if there's no real policy.

Now obviously we need to update the Rust bindings too but...
I am having trouble doing that, we're pretty out of date with
upstream.

curl: Also map HTTP errors for retries

When we added the retry logic, the intention here was definitely
to do it not just for network errors but also e.g. HTTP 500s and
the like.

xref https://pagure.io/releng/issue/11439
where we rather painfully debugged that this was missing.

Merge pull request #3215 from cgwalters/release

Release 2024.5

configure: post-release version bump

Release 2024.5

Merge pull request #3214 from cgwalters/checkout-overwrite-force

checkout: Always replace existing content with overlay mode

checkout: Always replace existing content in overlay mode

The combination of the "honor whiteout" and "union" flags
are intended to basically be "merge trees like overlayfs does".
But we were missing this case in order to support e.g. replacing
a symlink with a directory.

Merge pull request #3213 from rborn-tx/fix-early-prune

deploy: Ensure boot directory is open before accessing it

This fixes a bug in the (early) deployment pruning function which before
tried to access the boot directory without opening it first.

Signed-off-by: Rogerio Guerra Borin <rogerio.borin@toradex.com>

Merge pull request #3208 from HuijingHei/split-whitespace

kargs: parse spaces in kargs input and keep quotes

kargs: parse spaces in kargs input and keep quotes

According to Jonathan's suggestion, should fix the code from
ostree repo.

With this patch:
- kargs input like "init_on_alloc=1 init_on_free=1", will be
parsed as 2 seperated args `init_on_alloc=1` and `init_on_free=1`,
instead of whole;
- According to https://www.kernel.org/doc/html/v4.14/admin-guide/kernel-parameters.html,
need to keep spaces in double-quotes, like `param="spaces in here"`
will be parsed as whole instead of 3.

Fixes https://github.com/coreos/rpm-ostree/issues/4821

Merge pull request #3206 from cgwalters/enable-new-naming

sysroot: Turn on bootloader-naming-2 by default

sysroot: Turn on bootloader-naming-2 by default

I think it's about time we flipped this on by default;
like the bootprefix I was a bit too chicken.  We still have
a `bootloader-naming-1` that can be flipped on in case of
some regression.

Closes: https://github.com/ostreedev/ostree/issues/2961

Merge pull request #3205 from cgwalters/fix-grub-probing

bootloader/grub2: Don't do anything if we have static configs

bootloader/grub2: Don't do anything if we have static configs

This builds on top of https://github.com/coreos/bootupd/pull/609/commits/fa9924e4fe403c3751392c041cd98614a2cc3611
(But in a very hacky way because we don't currently link to a JSON library)

Basically, bootupd supports injecting static configs, and this
is the currently least hacky way for us to detect this and understand
that we shouldn't try to run `grub2-mkconfig`.

A further patch I'd like to do here is also change the probing
logic to gracefully no-op if `grub2-mkconfig` doesn't exist,
but that has a bit more risk and involvement.

Merge pull request #3204 from cgwalters/quiet-config-load

otcore: Drop config load print

Merge pull request #3203 from dbnicholson/version-sigpipe

main: Ignore SIGPIPE when printing version

otcore: Drop config load print

Now that we're using `otcore_load_config` from the deploy
path we end up printing to stdout even for API callers (e.g.
our own CLI tools, and rpm-ostree/bootc/etc) which is wrong.

We don't need this print, so just drop it.

main: Ignore SIGPIPE when printing version

In order to do a runtime feature check, `ostree --version` can be piped
to `grep` or similar. However, if the read end of the pipe doesn't read
all of the output, `ostree` will receive `SIGPIPE` when trying to write
output. Ignore it so that `ostree` still exits successfully in that
case.

Merge pull request #3196 from cgwalters/fix-sepolicy-public

sepolicy: Fix publicity mismatch for ostree_sepolicy_host_enabled

Merge pull request #3199 from travier/docs-fix

docs: Move SPDX identifiers under first title

docs: Cleanup title for historical OSTree README

docs: Move SPDX identifiers under first title

Having a comment right before the first title apparently confuses
Jekyll.

Fixes: https://github.com/ostreedev/ostree/pull/3185

Merge pull request #3197 from cgwalters/release

Release 2024.4

sepolicy: Fix publicity mismatch for ostree_sepolicy_host_enabled

As this is only used by internal code, just drop the `_OSTREE_PUBLIC`
marker for now.  If we have a reason to export it we can do that
later.

Closes: https://github.com/ostreedev/ostree/issues/3182

Post-release version bump

Release 2024.4

Merge pull request #3195 from ericcurtin/pr3192_comments

sysroot: Reword comment and use gboolean over bool, error handling

Be more explicit in the comment, and use gboolean over bool. Less header
inclusions when we use gboolean. Although bool is used in some places.
Write a separate _ostree_sysroot_parse_bootlink_aboot function for
aboot. Make is_aboot optional. Handle invalid androidboot karg and no
ostree and androidboot kargs differently.

Co-authored-by: Jonathan Lebon <jonathan@jlebon.com>
Signed-off-by: Eric Curtin <ecurtin@redhat.com>

Merge pull request #3192 from ericcurtin/ostree-impl-system-generator-aboot

generator: Fixes for Android Boot environment

Merge pull request #3194 from alexlarsson/composefs-no-hotfix

prepare-root: Disallow hotfixes if using signed composefs images

Merge pull request #3185 from travier/main-docs-spdx-fixes

Docs fixes & SPDX identifiers uniformisation

prepare-root: Disallow hotfixes if using signed composefs images

As mentioned in https://github.com/ostreedev/ostree/issues/3187, we
can't allow a hotfix overlay of /usr when using signed composefs
images as that would allow an attacker to persist something used
across boots.

generator: Fixes for Android Boot environment

In Android Boot environment we do not parse ostree= karg to determine
what directory to boot into, alternatively we do this based on the
androidboot.slot_suffix= karg. But we do set ostree=true karg to denote
that we are indeed booting an ostree environment (required for some
systemd unit files). This change accounts for this approach in the
systemd generator. In this case androidboot.slot_suffix= points you to
/ostree/root.[a|b] and then that points you to the directory to boot
into in /ostree/deploy... Here is what a cmdline may look like in this
type of environment:

androidboot.slot_suffix=_a androidboot.bootdevice=*.ufshc root=PARTLABEL=system_a root=UUID=76a22bf4-f153-4541-b6c7-0332c0dfaeac rw ostree=true loglevel=4 acpi=off console=ttyAMA0 systemd.show_status=auto libahci.ignore_sss=1 slub_debug=FPZ fsck.mode=skip rcupdate.rcu_normal_after_boot=0 rcupdate.rcu_expedited=1

Signed-off-by: Eric Curtin <ecurtin@redhat.com>

Merge pull request #3186 from rborn-tx/amend-ms-shared-comment

ostree-prepare-root: Amend comment about shared mounts

Merge pull request #3189 from alexlarsson/composefs-config-with-no-key

deploy: Don't fail if loading composefs configuration fails due to mi…

deploy: Don't fail if loading composefs configuration fails due to missing keys

When we load the configuration during deploy we don't need to actually
use the keys, so avoid loading them. This fixes an issue we had where
this broke the initial deploy becasue of a failure to load the key. In
our case it fails because the code looks for the config file in the
deploy dir, but then for the binding key in the real root.

However, even if it were to look for the key in the deploy dir I don't
think it necessarily has to be in the rootfs, it could be only in the
initrd.

This fixes https://github.com/ostreedev/ostree/issues/3188

Merge pull request #3184 from smcv/issue3183

ostree-prepare-root: Amend comment about shared mounts

Signed-off-by: Rogerio Guerra Borin <rogerio.borin@toradex.com>

README & docs: Sync README and docs index page

docs: Misc whitespace fixes

docs: Consistently use SPDX identifiers

Standardize on a single SPDX identifier in a comment at the top.

test-admin-deploy-var: Don't rely on OSTREE_FEATURES

This is set during build-time testing, but unset during "as-installed"
tests.

Resolves: https://github.com/ostreedev/ostree/issues/3183
Signed-off-by: Simon McVittie <smcv@debian.org>

tests: Use skip_without_ostree_feature to detect libarchive, composefs

This avoids false negatives from `ostree --version | grep -q ...`
exiting with failure under `set -o pipefail` because `grep -q` can exit
as soon as it sees the desired string, leaving `ostree --version` to be
terminated by `SIGPIPE` next time it writes to stdout.

Signed-off-by: Simon McVittie <smcv@collabora.com>

tests: Generalize has_gpgme, has_sign_ed25519 into has_ostree_feature

Signed-off-by: Simon McVittie <smcv@collabora.com>

Merge pull request #3176 from travier/docs-dependabot-update

workflow/docs: Update to actions/checkout@v4 & dependabot: Update github-actions weekly

Merge pull request #3181 from ericcurtin/mention-rhivos

README: Add Red Hat In-Vehicle Operating System

README: Add Red Hat In-Vehicle Operating System

RHIVOS is a derivative of CentOS Automotive Stream Distribution that
uses OSTree, it's closest Fedora derivative is Fedora IoT although it
was created as it's own distribution.

Signed-off-by: Eric Curtin <ecurtin@redhat.com>

Merge pull request #3180 from teythoon/justus/long-key-ids

tests: Use long key IDs, I found another one

Merge pull request #3179 from ericcurtin/additional-docs-dependancy

docs: Add webrick dependancy for building site locally

tests: Use long key IDs

Short key IDs are not secure, and may be rejected by OpenPGP
implementations.  See https://evil32.com/

Signed-off-by: Justus Winter <justus@sequoia-pgp.org>

Merge pull request #3178 from teythoon/justus/long-key-ids

tests: Use long key IDs

docs: Add webrick dependancy for building site locally

This mimics the GitHub Pages environment so that you can build and serve
the site locally for testing. It requires webrick these days.

Signed-off-by: Eric Curtin <ecurtin@redhat.com>

tests: Use long key IDs

Short key IDs are not secure, and may be rejected by OpenPGP
implementations.  See https://evil32.com/

Signed-off-by: Justus Winter <justus@sequoia-pgp.org>

dependabot: Update github-actions weekly

workflow/docs: Update to actions/checkout@v4

Merge pull request #3175 from cgwalters/rofiles-fuse-statx

rofiles-fuse: Check fsverity flag for copyup

rofiles-fuse: Remove unused parameter

The logic simplified, so we don't need it anymore.

rofiles-fuse: Check fsverity flag for copyup

We need to do a copyup if fsverity is enabled.
Sadly to do this we can't just use ostree_break_hardlink
as is.

rofiles-fuse: Port to statx

This allows us to query fsverity efficiently.

Merge pull request #3172 from cgwalters/release

Release 2024.3

Post-release version bump

Release 2024.3

Merge pull request #3173 from cgwalters/transient-root-really-transient

prepare-root: Switch to a tmpfs for transient root

prepare-root: Switch to a tmpfs for transient root

We're debating this over in https://github.com/CentOS/centos-bootc-dev/pull/27
and I have come to the conclusion that having changes to `/`
persist across reboot by default was a bad idea.

- It conflicts with any kind of secure boot scenario
- Having things only go away on upgrades is in some ways even *more* surprising
- The term `transient` implies this

There may be a use case in the future for having something like `root.transient = persistent`,
but this is just a better default.

Signed-off-by: Colin Walters <walters@verbum.org>

Merge pull request #3171 from ericcurtin/docs-alternate-rollbacks

docs/atomic-rollbacks: Add a section on rollbacks

docs/atomic-rollbacks: Add a section on rollbacks

Describing how different types of rollbacks work.

Signed-off-by: Eric Curtin <ecurtin@redhat.com>

Merge pull request #3170 from cgwalters/prepare-root-fix

 prepare-root: Unify root.transient with composefs

Merge pull request #3168 from cgwalters/drop-tmpfiles-var

Drop tmpfiles var

prepare-root: Unify root.transient with composefs

First, I was totally wrong and composefs handles being passed
an upperdir itself, we don't need to stack overlayfs.

Next, there's really no reason to support `root.transient`
*without* a backing composefs.  The legacy ostree bind mount
and readonly `/usr` is just that - legacy.

Finally, we actually *must* do this to enable both composefs
and transient root, because the prepare-root flow assumes
that it just needs to `MS_MOVE` a *single* mount for the root,
not a stack.

prepare-root: Add missing newline

This is ugly in the output.

Merge pull request #3169 from rborn-tx/support-older-linux-headers

Expose MOUNT_ATTR_IDMAP detection result to C code

docs/var: Update for latest

This reorients things here around the latest `VOLUME /var` approach.

ostree-tmpfiles.conf: Drop `var` entry

We are backing away from this semantic, and moving towards
`/var` only being initialized at initial provisioning.

configure: Expose MOUNT_ATTR_IDMAP detection result to C code

This is to allow compiling composefs on machines having somewhat old
Linux kernel headers.

Signed-off-by: Rogerio Guerra Borin <rogerio.borin@toradex.com>

Merge pull request #3167 from smcv/ostree-repo-config-typo

ostree.repo-config(5): Fix a typo

ostree.repo-config(5): Fix a typo

Signed-off-by: Simon McVittie <smcv@collabora.com>

Merge pull request #3166 from cgwalters/var-again

sysroot: Rework /var handling to act like Docker `VOLUME /var`

sysroot: Rework /var handling to act like Docker `VOLUME /var`

We've long struggled with semantics for `/var`.  Our stance of
"/var should start out empty and be managed by the OS" is a strict
one, that pushes things closer to the original systemd upstream
ideal of the "OS state is in /usr".

However...well, a few things.  First, we had some legacy bits
here which were always populating the deployment `/var`.  I don't
think we need that if systemd is in use, so detect if the tree
has `usr/lib/tmpfiles.d`, and don't create that stuff at
`ostree admin stateroot-init` time if so.

Building on that then, we have the stateroot `var` starting out
actually empty.

When we do a deployment, if the stateroot `var` is empty,
make a copy (reflink if possible of course) of the commit's `/var`
into it.

This matches the semantics that Docker created with volumes,
and this is sufficiently simple and easy to explain that I think
it's closer to the right thing to do.

Crucially...it's just really handy to have some pre-existing
directories in `/var` in container images, because Docker (and podman/kube/etc)
don't run systemd and hence don't run `tmpfiles.d` on startup.

I really hit on the fact that we need `/var/tmp` in our container
images by default for example.

So there's still some overlap here with e.g. `/usr/lib/tmpfiles.d/var.conf`
as shipped by systemd, but that's fine - they don't actually conflict
per se.

Merge pull request #3165 from cgwalters/drop-ex-integrity

deploy: Honor prepare-root.conf at deploy time for composefs

deploy: Honor prepare-root.conf at deploy time

I want to try to get away from the "repository global" configuration
in the repo config.

A major problem is that there's not an obvious way to configure
it as part of an ostree commit/container build - it needs
to be managed "out of band".

With this change, we parse the `usr/lib/ostree/prepare-root.conf`
in the deployment root, and if composefs is enabled there,
then we honor it.

We do still honor `ex-integrity.composefs` but that I think
we can schedule to remove.

switchroot: Move a define into library too

prepare-root: Fix crash if no keys were found

Handle a NULL pointer.

lib: Move parsing of composefs config into otcore

So it can be shared with the deployment path.  Prep for dropping
`ex-integrity.composefs`.

Merge pull request #3151 from mvo5/selinux-labels-on-non-selinux-hosts

libostree: write selinux xattr when on non-selinux systems

Merge pull request #3160 from cgwalters/release

Release

configure: post-release version bump

Release 2024.2

Merge pull request #3164 from cgwalters/prepare-root-device-inode

Track deployment root/inode from prepare root

Track deployment root/inode from prepare root

When we added composefs, it broke the logic for detecting the booted
deployment which was previously a direct (device, inode) comparison.
So the code there started looking at `etc`.  However, that in
turns breaks with `etc.transient = true` enabled.

Fix all of this by tracking the real deployment directory's
(device,inode) that we found in `ostree-prepare-root`, and inject
it into the extensible metadata we have in `/run/ostree-booted`
which is designed exactly to pass state between the initramfs
and the real root.

Signed-off-by: Colin Walters <walters@verbum.org>

ci: Use `BOOTC_SKIP_SELINUX_HOST_CHECK`, test labeling of /etc

As we work to change ostree to set up the labels
for things even in a selinux-host-disabled case, let's test
it here.

libostree: write selinux xattr when on non-selinux systems

Currently when writing data for selinux systems on a non-selinux
system there will be no labels. This is because
`ostree_sepolicy_setfscreatecon()` just returns TRUE on non-selinux
systems and xattr writing for `security.seliux` is filtered out.

This patches uses the suggestion of Colin Walters (thanks!) from
https://github.com/ostreedev/ostree/issues/2804 and detects if
the host has selinux enabled and if not just skips filtering the
xattrs for selinux.

Merge pull request #3159 from cgwalters/revert-bootprefix

Revert "Enable `sysroot.bootprefix` by default"

Revert "Enable `sysroot.bootprefix` by default"

This reverts commit 8627c8afa15fa0b2dc2dc261a217dd043a991a7d.

See discussion in https://github.com/ostreedev/ostree/pull/3156 ;
we think this breaks s390x in some cases at least, and that warrants
further investigation.

Merge pull request #3156 from cgwalters/enable-bootprefix-default

Enable `sysroot.bootprefix` by default