Build-depend on dh-sequence-gir instead of using --with

Update Lintian overrides for ostree-boot

d/ostree-boot.lintian-overrides: Stop overriding package-supports-alternative-init-but-no-init.d-script

Update changelog

Update upstream source from tag 'upstream/2024.2'

Update to upstream version '2024.2'
with Debian dir a5ebaca5312ccfdd636dc41588606fbe0771f380

New upstream version 2024.2

Update changelog

Release 2024.2

Merge pull request #3164 from cgwalters/prepare-root-device-inode

Track deployment root/inode from prepare root

Track deployment root/inode from prepare root

When we added composefs, it broke the logic for detecting the booted
deployment which was previously a direct (device, inode) comparison.
So the code there started looking at `etc`.  However, that in
turns breaks with `etc.transient = true` enabled.

Fix all of this by tracking the real deployment directory's
(device,inode) that we found in `ostree-prepare-root`, and inject
it into the extensible metadata we have in `/run/ostree-booted`
which is designed exactly to pass state between the initramfs
and the real root.

Signed-off-by: Colin Walters <walters@verbum.org>

Merge pull request #3159 from cgwalters/revert-bootprefix

Revert "Enable `sysroot.bootprefix` by default"

Revert "Enable `sysroot.bootprefix` by default"

This reverts commit 8627c8afa15fa0b2dc2dc261a217dd043a991a7d.

See discussion in https://github.com/ostreedev/ostree/pull/3156 ;
we think this breaks s390x in some cases at least, and that warrants
further investigation.

Merge pull request #3156 from cgwalters/enable-bootprefix-default

Enable `sysroot.bootprefix` by default

Enable `sysroot.bootprefix` by default

I've been testing this in various places and not seen any fallout,
so let's finally enable this by default and have the situation where
`/boot` is on the root `/` filesystem work out of the box.

Merge pull request #3158 from jlebon/pr/main

admin/state-overlay: Require root and don't lock sysroot

generator: Restore graceful exit behaviour if `ostree` karg missing

In CoreOS live environments, we do have `/run/ostree` but no `ostree=`
karg; we hackily fool `ostree-prepare-root.service` by bind-mounting
over `/proc/cmdline` so it does the right thing. Presumably, we should
clean this up eventually, but even so we don't want to require PXE users
to add an `ostree=` arg, so we need to tolerate this.

So this assertion would fail there. Restore the behaviour prior to
b9ce0e89 and re-add a more contemporary comment.

Fixes b9ce0e89 ("generator: Exit if there's no `/run/ostree`").

Merge pull request #3157 from cgwalters/syslinux-bootprefix-fix

syslinux: Avoid double `/boot` if bootprefix is enabled

admin/state-overlay: Require root and don't lock sysroot

Not required for anything in particular, but it's good to use the right
flags here anyway.

syslinux: Avoid double `/boot` if bootprefix is enabled

This backend always explicitly emitted a `/boot` - but if
the global `sysroot.bootprefix` is enabled, then we can rely
on the outer code doing it.

Luckily this was caught by the unit tests here failing when
enabling `sysroot.bootprefix` by default.

Merge pull request #3150 from travier/grub2-15_ostree-atomic-desktops

grub2-15_ostree: Graceful exit if /etc/default/grub doesn't exist

Merge pull request #3152 from cgwalters/ci-bootc

ci: Add a bootc/c9s workflow

ci: Add a bootc/c9s workflow

This obsoletes the "just build" on c9s flow, and actually runs
though a bootc install, which exercises more of things.

grub2-15_ostree: Fix whitespace

grub2-15_ostree: Graceful exit if /etc/default/grub doesn't exist

With the new bootupd installation path in Anaconda, the
`/etc/default/grub` config file is not written anymore as we are only
using BLS configs with new enough bootloaders.

We thus don't need to generate (duplicated) legacy boot entries.

We still need to keep this logic in place in Atomic Desktops
(Silverblue, etc.) until we've actually landed bootupd there and forced
a bootloader update for everybody.

See: https://github.com/fedora-silverblue/issue-tracker/issues/530
See: https://github.com/fedora-silverblue/issue-tracker/issues/120
See: https://fedoraproject.org/wiki/Changes/FedoraSilverblueBootupd

Merge pull request #3149 from alexlarsson/new-composefs-format

composefs: Bump composefs max version to 1

composefs: Bump composefs max version to 1

This generates the new format for whiteout markers which was added in
6.8 (and which will be backported to 6.7). Without this whiteouts
will not work anymore.

This is a slight format change, but will only affect ostree commits
that already were broken (i.e that had whiteouts), and since the
composefs code is still marked experimental I think it is fine to
do this without introducing another format version on the ostree
side.

Signed-off-by: Alexander Larsson <alexl@redhat.com>

Update submodule: composefs

This updates composefs to 1.0.3 which has support for the
new overlay nesting format.

Merge pull request #3146 from ericcurtin/ot-admin-builtin-pin-booted-pending-rollback

admin/pin: Add commands to pin booted, pending and rollbacks deployments

admin/pin: Add commands to pin booted, pending and rollback deployments

Add new commands to pin the current, staged and previous deployment for
use in automation and scripting. Right now, it's difficult to pin the
current deployment without needing to look into the output of some other
tooling (like rpm-ostree) to get the index of each deployment. This
index also is not consistent - the current deployment could be 0 when
you first boot the system then 1 shortly after. This change makes it
easy to pin the current or future deployment.

Co-authored-by: Robert Sturla <robertsturla@outlook.com>
Signed-off-by: Eric Curtin <ecurtin@redhat.com>

Merge pull request #3147 from cgwalters/generator-check-run-ostree

generator: Exit if there's no `/run/ostree`

generator: Exit if there's no `/run/ostree`

Currently if run in a container image under systemd, we will
incorrectly synthesize a `var.mount` unit even if `ostree-prepare-root`
hasn't run.

The comment here said why we didn't do that before, but that's
for the really legacy embedded-only "ostree-prepare-root-static"
path, and even then I'm pretty sure it was wrong because
the generator here only runs in the *real* root, and we should
have `/run/ostree` at that point.

Merge pull request #3145 from smcv/composefs-xattr

tests: Skip composefs test if /var/tmp does not support user xattrs

Re-enable composefs, this time with a proposed patch to avoid test failures

We can't run its unit tests on a Debian 12 kernel with /var/tmp on tmpfs,
but they do pass on a sid kernel or if /var/tmp is disk-backed.

tests: Skip composefs test if /var/tmp does not support user xattrs

Otherwise, this test fails on Debian 12 (Linux 6.1) kernels if /var/tmp
is a tmpfs. Some autobuilders put the entire build chroot on a tmpfs,
to speed up builds.

Signed-off-by: Simon McVittie <smcv@debian.org>

Release to unstable

Package ostree-state-overlay@.service in ostree-boot

New upstream release

Update upstream source from tag 'upstream/2024.1'

Update to upstream version '2024.1'
with Debian dir f3fbf483a817eb018d71a499e456aef86b3be134

New upstream version 2024.1

Merge pull request #3143 from yummypeng/main

deploy: Ignore sockets, fifos in /etc/<subdir> during merge

deploy: Ignore sockets, fifos in /etc/<subdir> during merge

It's a followup of commit e6a560b40797324aa8b90e7100c6d50bff91f14d.
We should also ignore sockets and fifos in the subdir of /etc.

Signed-off-by: Yuanhong Peng <yummypeng@linux.alibaba.com>

Merge pull request #3141 from cgwalters/release

Release 2024.1

configure: post-release version bump

Release 2024.1

Merge pull request #3135 from ericcurtin/aboot-documentation

doc: Add section about ostree and aboot

Merge pull request #3120 from jlebon/pr/state-overlays

Add concept of state overlays

build(deps): bump libglnx from `aff1eea` to `b415d046`

Bumps libglnx from `aff1eea` to `b415d046`.

For https://gitlab.gnome.org/GNOME/libglnx/-/merge_requests/52.

Update submodule: libglnx

Add concept of state overlays

In the OSTree model, executables go in `/usr`, state in `/var` and
configuration in `/etc`. Software that lives in `/opt` however messes
this up because it often mixes code *and* state, making it harder to
manage.

More generally, it's sometimes useful to have the OSTree commit contain
code under a certain path, but still allow that path to be writable by
software and the sysadmin at runtime (`/usr/local` is another instance).

Add the concept of state overlays. A state overlay is an overlayfs
mount whose upper directory, which contains unmanaged state, is carried
forward on top of a lower directory, containing OSTree-managed files.

In the example of `/usr/local`, OSTree commits can ship content there,
all while allowing users to e.g. add scripts in `/usr/local/bin` when
booted into that commit.

Some reconciliation logic is executed whenever the base is updated so
that newer files in the base are never shadowed by a copied up version
in the upper directory. This matches RPM semantics when upgrading
packages whose files may have been modified.

For ease of integration, this is exposed as a systemd template unit which
any downstream distro/user can enable. The instance name is the mountpath
in escaped systemd path notation (e.g.
`ostree-state-overlay@usr-local.service`).

See discussions in https://github.com/ostreedev/ostree/issues/3113 for
more details.

Merge pull request #3136 from ericcurtin/pr-3134-feedback

status: Rename query-booted to is-default

This is a tool to check if we are booted as default or not, just a
rename before it becomes widely used. We also shortened the '-h' output
for this.

Signed-off-by: Eric Curtin <ecurtin@redhat.com>

Merge pull request #3134 from ericcurtin/query-boot-real

status: Introduce tool to quickly check if we are booted as default

Merge pull request #3133 from cgwalters/boot-complete-rollback

systemd/ostree-boot-complete: Start earlier

status: Fix --skip-signatures description

It was a copy-paste of another description, rather than it's own.

Signed-off-by: Eric Curtin <ecurtin@redhat.com>

man: Add ostree admin status man page CLI options.

Document the various CLI options.

Signed-off-by: Eric Curtin <ecurtin@redhat.com>

status: Introduce tool to quickly check if we are booted as default

Generally in ostree based systems you would expect to boot into
deployment 0, in rollback conditions triggered by greenboot-related
rollbacks this might not be the case. This is a tool to detect this.

Signed-off-by: Eric Curtin <ecurtin@redhat.com>

doc: Add section about ostree and aboot

Android Bootloader is a standard of how Android devices should implement
their bootloaders, we also use it in CentOS Automotive Stream
Distribution for some ARM boards. Here is some documentation on how
ostree works with this.

Signed-off-by: Eric Curtin <ecurtin@redhat.com>

Merge pull request #3132 from ericcurtin/query-boot

status: Fix build without GPGME

systemd/ostree-boot-complete: Start earlier

Prep for changing this service to perform state computations
such as "is this boot the default, or did we get rolled back"
that can be used by higher level tools.

systemd/ostree-boot-complete: Add `ConditionKernelCommandLine=ostree`

In practice we don't enable this unit except via our generator,
but let's do this on general principle.

status: Fix build without GPGME

If OSTREE_DISABLE_GPGME is not built in set remote to NULL.

The ostree_repo_signature_verify_commit_data path is irrelevant in the
no gpg case anyway. Having this set as NULL ensures an error gets
thrown early.

Signed-off-by: Eric Curtin <ecurtin@redhat.com>

Merge pull request #3131 from cgwalters/status-use-remote

status: Pass correct remote name when verifying

Merge pull request #3130 from jlebon/pr/autoprune-aarch64-dtb

lib/deploy: Round to block size in early prune space check

status: Add an option to skip signature verification

Since it's really expensive in some cases.

status: Pass correct remote name when verifying

The default `ostree admin status` tries to do signature
verification, but doesn't error out if that fails.

However, an extremely longstanding bug here is that we passed
the "osname" aka stateroot instead of the remote name.  This
happens to work for e.g. Fedora Silverblue today, where they
are the same.  It doesn't work on FCOS (remote = fedora, stateroot = fedora-coreos).

lib/deploy: Add safety margin in early prune space check

There are a few things the estimator doesn't account for, e.g. writing
the new BLS entries. Rather than trying to perfect it (since I think we
should change approach entirely -- see previous commit message), just
add a 1M margin to the space check.

lib/deploy: Round to block size in early prune space check

When we estimate how much space a new bootcsum dir will use, we
weren't accounting for the space overhead from files not using the
last filesystem block completely. This doesn't matter much if counting
a few files, but e.g. on FCOS aarch64, we include lots of small
devicetree blobs in the bootfs. That loss can add up to enough for the
`fallocate()` check to pass but copying still hitting `ENOSPC` later on.

I think a better fix here is to change approach entirely and instead
refactor `install_deployment_kernel()` so that we can call just the
copying bits of it as part of the early prune logic. We'll get a more
accurate assessment and it's not lost work since we won't need to
recopy later on. Also this would not require having to keep in sync the
estimator and the install bits.

That said, this is blocking FCOS releases, so I went with a more tactical
fix for now.

Fixes: https://github.com/coreos/fedora-coreos-tracker/issues/1637

Merge pull request #3129 from cgwalters/fix-unlock-composefs-compat

prepare-root: Fix composefs + ostree admin unlock --hotfix compat

Merge pull request #3128 from cgwalters/hotfix-composefs

switchroot: use shared constant for unlock --hotfix

switchroot: use shared constant for unlock --hotfix

So it's easier to link the two bits of code.

prepare-root: Fix composefs + ostree admin unlock --hotfix compat

There's a test case for `ostree admin unlock --hotfix` that
runs in FCOS, not here; it breaks when enabling composefs.

The reason is because the composefs is mounted readonly, and
we tried to remount it writable.  Instead of trying to remount
the rootfs writable at this point forcibly, honor the
*real* sysroot readonly state flag from the underlying FS before
we mounted the composefs.

Note that in FCOS derivatives we always have the root mounted
writable via `rw` on the kernel cmdline and this is the default
general expectation now with ostree usage.

Merge pull request #3127 from cgwalters/composefs-doc-toplevel-chattr

docs/composefs: Add note about toplevel dirs

Merge pull request #3119 from cgwalters/zipl-fix-nul-term

zipl: A few fixes

docs/composefs: Add note about toplevel dirs

Just thinking about trying to land this, I think some people
may hit this one.

d/rules: Fix autoreconf during nodoc builds by providing a stub gtkdocize

Release to unstable

d/control, d/rules: Enable cross-compilation

When cross-compiling, this requires a version of gobject-introspection
that is currently only available in experimental. When not
cross-compiling, the version in testing is sufficient.

Merge pull request #3125 from ericcurtin/explicit-sysroot-rw-ro-log

switchroot: Be explicit about what could cause /sysroot to be ro

switchroot: Be explicit about what could cause /sysroot to be ro

If you don't have rw in the kernel cmdline or have ro in it, often you
hit this issue. This is just to be really explicit about that in the
error messages so people can check.

Signed-off-by: Eric Curtin <ecurtin@redhat.com>

Merge pull request #3124 from cgwalters/rust-features

rust: Add missing feature versions

Merge pull request #3123 from cgwalters/deploy-log-space

deploy: Log calculated needed space

deploy: Log calculated needed space

To aid debugging issues like https://github.com/coreos/fedora-coreos-tracker/issues/1637

If we're hitting this path where we think we have enough space,
let's log what we calculated here to aid in diagnosing why we
may later fail with ENOSPC.

rust: Add missing feature versions

- We missed 2022_2, which specifically includes
  https://docs.rs/ostree/latest/ostree/static.PATH_BOOTED.html
  and I was really confused why that was missing
- Add more recent upstream versions too

Merge pull request #3121 from fwilhe/patch-1

Link to gardenlinux/ostree-image-builder in README

Link to gardenlinux/ostree-image-builder in README

This repo is the outcome of a PoC on how an existing
debian-based distro could be adapted to be used with OSTree.

Merge pull request #3116 from jmarrero/bootloader-doc

doc: Add section about ostree and bootloaders

zipl: Convert to a data input stream

This high level reader API avoids all the bugs that were
found in previous patches.

zipl: NUL terminate buffer we're searching

Found by a static analyzer.

zipl: Fix error handling for read

The return value is not errno.

zipl: Use O_CLOEXEC

On general principle.

doc: Add section about ostree and bootloaders

Merge pull request #3117 from cgwalters/doc-root-transient

Doc root transient

docs: Add `var.md`

This one overlaps a bit with some other sections...the docs
need a bigger rework, but this is better than we had before.

man: Document `root.transient`

This one warrants some explanation.

Merge pull request #3114 from cgwalters/root-ovl

prepare-root: Add support for root.transient

Release to unstable

Update changelog

d/p/bootloader-zipl-No-op-if-run-as-non-root.patch: Drop patch, applied upstream

d/libostree-1-1.symbols: Update

New upstream release

Update upstream source from tag 'upstream/2023.8'

Update to upstream version '2023.8'
with Debian dir d00b8908db1e3bfc0d025e9ae84885daed42ed22