network: mark container/VM/namespace networks as not required for online + disable...
[systemd.io.git] / TODO
blob9702eb9ea49d006033c118423c10b0ef134d0124
1 Bugfixes:
3 * Many manager configuration settings that are only applicable to user
4   manager or system manager can be always set. It would be better to reject
5   them when parsing config.
7 * Jun 01 09:43:02 krowka systemd[1]: Unit user@1000.service has alias user@.service.
8   Jun 01 09:43:02 krowka systemd[1]: Unit user@6.service has alias user@.service.
9   Jun 01 09:43:02 krowka systemd[1]: Unit user-runtime-dir@6.service has alias user-runtime-dir@.service.
11 External:
13 * Fedora: add an rpmlint check that verifies that all unit files in the RPM are listed in %systemd_post macros.
15 * dbus:
16    - natively watch for dbus-*.service symlinks (PENDING)
17    - teach dbus to activate all services it finds in /etc/systemd/services/org-*.service
19 * fedora: suggest auto-restart on failure, but not on success and not on coredump. also, ask people to think about changing the start limit logic. Also point people to RestartPreventExitStatus=, SuccessExitStatus=
21 * neither pkexec nor sudo initialize environ[] from the PAM environment?
23 * fedora: update policy to declare access mode and ownership of unit files to root:root 0644, and add an rpmlint check for it
25 * register catalog database signature as file magic
27 * zsh shell completion:
28   - <command> <verb> -<TAB> should complete options, but currently does not
29   - systemctl add-wants,add-requires
30   - systemctl reboot --boot-loader-entry=
32 * systemctl status should know about 'systemd-analyze calendar ... --iterations='
33 * If timer has just OnInactiveSec=..., it should fire after a specified time
34   after being started.
36 * write blog stories about:
37   - hwdb: what belongs into it, lsusb
38   - enabling dbus services
39   - how to make changes to sysctl and sysfs attributes
40   - remote access
41   - how to pass throw-away units to systemd, or dynamically change properties of existing units
42   - auto-restart
43   - how to develop against journal browsing APIs
44   - the journal HTTP iface
45   - non-cgroup resource management
46   - dynamic resource management with cgroups
47   - refreshed, longer missions statement
48   - calendar time events
49   - init=/bin/sh vs. "emergency" mode, vs. "rescue" mode, vs. "multi-user" mode, vs. "graphical" mode, and the debug shell
50   - how to create your own target
51   - instantiated apache, dovecot and so on
52   - hooking a script into various stages of shutdown/early boot
54 Regularly:
56 * look for close() vs. close_nointr() vs. close_nointr_nofail()
58 * check for strerror(r) instead of strerror(-r)
60 * pahole
62 * set_put(), hashmap_put() return values check. i.e. == 0 does not free()!
64 * use secure_getenv() instead of getenv() where appropriate
66 * link up selected blog stories from man pages and unit files Documentation= fields
68 Janitorial Clean-ups:
70 * rework mount.c and swap.c to follow proper state enumeration/deserialization
71   semantics, like we do for device.c now
73 * get rid of prefix_roota() and similar, only use chase() and related
74   calls instead.
76 * get rid of basename() and replace by path_extract_filename()
78 * Replace our fstype_is_network() with a call to libmount's mnt_fstype_is_netfs()?
79   Having two lists is not nice, but maybe it's now worth making a dependency on
80   libmount for something so trivial.
82 * drop set_free_free() and switch things over from string_hash_ops to
83   string_hash_ops_free everywhere, so that destruction is implicit rather than
84   explicit. Similar, for other special hashmap/set/ordered_hashmap destructors.
86 * generators sometimes apply C escaping and sometimes specifier escaping to
87   paths and similar strings they write out. Sometimes both. We should clean
88   this up, and should probably always apply both, i.e. introduce
89   unit_file_escape() or so, which applies both.
91 * xopenat() should pin the parent dir of the inode it creates before doing its
92   thing, so that it can create, open, label somewhat atomically.
94 * use CHASE_MUST_BE_DIRECTORY and CHASE_MUST_BE_REGULAR at more places (the
95   majority of places that currently employ chase() probably should use this)
97 Deprecations and removals:
99 * Remove any support for booting without /usr pre-mounted in the initrd entirely.
100   Update INITRD_INTERFACE.md accordingly.
102 * remove cgroups v1 support EOY 2023. As per
103   https://lists.freedesktop.org/archives/systemd-devel/2022-July/048120.html
104   and then rework cgroupsv2 support around fds, i.e. keep one fd per active
105   unit around, and always operate on that, instead of cgroup fs paths.
107 * drop support for getrandom()-less kernels. (GRND_INSECURE means once kernel
108   5.6 becomes our baseline). See
109   https://github.com/systemd/systemd/pull/24101#issuecomment-1193966468 for
110   details. Maybe before that: at taint-flags/warn about kernels that lack
111   getrandom()/environments where it is blocked.
113 * drop support for LOOP_CONFIGURE-less loopback block devices, once kernel
114   baseline is 5.8.
116 * drop fd_is_mount_point() fallback mess once we can rely on
117   STATX_ATTR_MOUNT_ROOT to exist i.e. kernel baseline 5.8
119 * Remove /dev/mem ACPI FPDT parsing when /sys/firmware/acpi/fpdt is ubiquitous.
120   That requires distros to enable CONFIG_ACPI_FPDT, and have kernels v5.12 for
121   x86 and v6.2 for arm.
123 * Once baseline is 4.13, remove support for INTERFACE_OLD= checks in "udevadm
124   trigger"'s waiting logic, since we can then rely on uuid-tagged uevents
126 Features:
128 * storagetm: maybe also serve the specified disk via HTTP? we have glue for
129   microhttpd anyway already. Idea would also be serve currently booted UKI as
130   separate HTTP resource, so that EFI http boot on another system could
131   directly boot from our system, with full access to the hdd.
133 * support boot-into-tarball in systemd-import-generator: optionally bind mount
134   downloaded image to /sysroot/
136 * support specifying download hash sum in systemd-import-generator expression
137   to pin image/tarball.
139 * support boot into nvme-over-tcp: add generator that allows specifying nvme
140   devices on kernel cmdline + credentials. Also maybe add interactive mode
141   (where the user is prompted for nvme info), in order to boot from other
142   system's HDD.
144 * ptyfwd: use osc context information in vmspawn/nspawn/… to optionally only
145   listen to ^]]] key when no further vmspawn/nspawn context is allocated
147 * ptyfwd: usec osc context information to propagate status messages from
148   vmspawn/nspawn to service manager's "status" string, reporting what is
149   currently in the fg
151 * nspawn/vmspawn: define hotkey that one can hit on the primary interface to
152   ask for a friendly, acpi style shutdown.
154 * for better compat with major clouds: implement simple PTP device support in
155   timesyncd
157 * for better compat with major clouds: recognize clouds via hwdb on DMI device,
158   and add udev properties to it that help with handling IMDS, i.e. entrypoint
159   URL, which fields to find ip hostname, ssh key, …
161 * for better compat with major clouds: introduce imds mini client service that
162   sets up primary netif in a private netns (ipvlan?) to query imds without
163   affecting rest of the host. pick up literal credentials from there plus the
164   fields the hwdb reports for the other fields and turn them into credentials.
165   then write generator that used detected virtualization info and plugs this
166   service into the early boot, waiting for the DMI and network device to show
167   up.
169 * Add UKI profile conditioning so that profles are only available if secure
170   boot is turned off, or only on. similar, add conditions on TPM availability,
171   network boot, and other conditions.
173 * fix bug around run0 background color on ls in fresh terminal
175 * Reset TPM2 DA bit on each successful boot
177 * systemd-repart: add --installer or so, that will intractively ask for a
178   target disk, maybe ask for confirmation, and install something on disk. Then,
179   hook that into installer.target or so, so that it can be used to
180   install/replicate installs
182 * systemd-cryptenroll: add --firstboot or so, that will interactively ask user
183   whether recovery key shall be enrolled and do so
185 * sd-boot: when looking for a BLS type #1 resource and it cannot be found in
186   the ESP check if ESP is backed by ramdisk/http and then request it from same
187   http base. Then: make mkosi build a 2nd esp maybe called the "netesp" that
188   contains bls type #1 entries pointing to the UKIs which would then be
189   requested via http this way. also set an efi var indicating that this
190   happened, so that initrd can recognize this and take into consdiration when
191   looking for root fs
193 * bootctl: add tool for registering BootXXX entry that boots from some http
194   server of your choice
196 * maybe introduce container-shell@.service or so, to match
197   container-getty.service but skips authentication, so you get a shell prompt
198   directly. Usecase: wsl-like stuff (they have something pretty much like
199   that). Question: how to pick user for this. Instance parameter? somehow from
200   credential (would probably require some binary that converts credential to
201   User= parameter?
203 * sd-varlink should probably enforce a limit on queued outgoing replies
205 * systemd-firstboot: optionally install an ssh key for root for offline use.
207 * add a small tool that reads user records/group records from a credential, and
208   then places them in the userdb drop-in dirs (either /run/ or /var/). While
209   doing so it processes them:
210   - split privileged part from unprivileged part (the way userdb dropins want
211     it
212   - write out membership files based on the listed group memberships
213   - maybe: also allocate a UID if none is included.
215 * the ordering cycle log messages in transaction_verify_order_one() should
216   really be recognizable via a message id and come with an explanatory catalog
217   message
219 * introduce new ANSI sequence for communicating log level and structured error
220   metadata to terminals.
222 * in pid1: include ExecStart= cmdlines (and other Exec*= cmdlines) in polkit
223   request, so that policies can match against command lines.
225 * account number of units currently in activating/active/deactivating state in
226   each slice, and expose this as a property of the slice, given this is a key
227   metric of the resource management entity that a slice is. (maybe add a 2nd
228   metric for units assigned to the slice, that also includes those with pending
229   jobs)
231 * maybe allow putting a "soft" limit on the number concurrently active units in
232   a slice, as per the previous item. When the limit is reached delay further
233   activations until number is below the threshold again, leaving the unit in
234   the job queue. Thus, multiple resource intensive tasks can be scheduled as
235   units in the same slice and they will be executed with an upper limit on
236   concurrently running tasks.
238 * importd: introduce a per-user instance, that downloads into per-user DDI dirs
240 * sysupdated: similar
242 * portabled: similar
244 * machined: implement a per-user instance, that manages per-user DDI dirs for
245   images. systemd-nspawn/systemd-vmspawn should probably register with both the
246   system and the user scoped machined instance. The former to get the machine
247   name registered as hostname, and the latter so that the image stuff is nicely
248   per-user managed.
250 * resolved: make resolved process DNR DHCP info
252 * Teach systemd-ssh-generator to generated an /run/issue.d/ drop-in telling
253   users how to connect to the system via the AF_VSOCK, as per:
254   https://github.com/systemd/systemd/issues/35071#issuecomment-2462803142
256 * maybe introduce an OSC sequence that signals when we ask for a password, so
257   that terminal emulators can maybe connect a password manager or so, and
258   highlight things specially.
260 * start using STATX_SUBVOL in btrfs_is_subvol(). Also, make use of it
261   generically, so that image discovery recognizes bcachefs subvols too.
263 * "systemd-export tar" should reuse the libarchive export code from systemd-dissect
264   --archive.
266 * "systemd-import tar" should be moved to libarchive
268 * foreign uid:
269   - add support to export-fs, import-fs, import-tar, export-tar
270   - add tool for deleting foreign UID held container images
271   - systemd-dissect should learn mappings, too, when doing mtree and such
273 * format-table: introduce new cell type for strings with ansi sequences in
274   them. display them in regular output mode (via strip_tab_ansi()), but
275   suppress them in json mode.
277 * machined: when registering a machine, also take a relative cgroup path,
278   relative to the machine's unit. This is useful when registering unpriv
279   machines, as they might sit down the cgroup tree, below a cgroup delegation
280   boundary. Then, install an inotify watch on that cgroup to track when the
281   machine's local cgroup goes down.
283 * resolved: report ttl in resolution replies if we know it. This data is useful
284   for tools such as wireguard which want to periodically re-resolve DNS names,
285   and might want to use the TTL has hint for that.
287 * journald: beef up ClientContext logic to store pidfd_id of peer, to validate
288   we really use the right cache entry
290 * journald: log client's pidfd id as a new automatic field _PIDFDID= or so.
292 * journald: split up ClientContext cache in two: one cache keyed by pid/pidfdid
293   with process information, and another one keyed by cgroup path/cgroupid with
294   cgroup information. This way if a service consisting of many logging
295   processes can take benefit of the cgroup caching.
297 * system lsmbpf policy that prohibits creating files owned by "nobody"
298   system-wide
300 * system lsmpbf policy that prohibits creating or opening device nodes outside
301   of devtmpfs/tmpfs, except if they are the pseudo-devices /dev/null,
302   /dev/zero, /dev/urandom and so on.
304 * system lsmbpf policy that enforces that block device backed mounts may only
305   be established on top of dm-crypt or dm-verity devices, or an allowlist of
306   file systems (which should probably include vfat, for compat with the ESP)
308 * $LISTEN_PID, $SYSTEMD_EXECPID env vars that the service manager sets should
309   be augmented with $LISTEN_PIDFDID, and $SYSTEMD_EXECPIDFD (and similar for
310   other env vars we might send).
312 * port copy.c over to use LabelOps for all labelling.
314 * port remaining getmntent() users over to libmount. There are subtle
315   differences in the parsers (see #25371 for example), and it hence makes sense
316   if we stick to one set of parsers on this, not mix both.
318 * get rid of compat with libidn.so.11 (retain only for libidn.so.12)
320 * get rid of compat with libbpf.so.0 (retainly only for libbpf.so.1)
322 * define a generic "report" varlink interface, which services can implement to
323   provide health/statistics data about themselves. then define a dir somewhere
324   in /run/ where components can bind such sockets. Then make journald, logind,
325   and pid1 itself implement this and expose various stats on things there. Then
326   issue parallel calls to these interfaces from the systemd-report tool,
327   combine into one json document, and include measurement logs and tpm
328   quote. tpm quote should protect the json doc via the nonce field
329   studd. Allow shipping this off elsewhere for analyze.
331 * The bind(AF_UNSPEC) construct (for resetting sockets to their initial state)
332   should be blocked in many cases because it punches holes in many sandboxes.
334 * find a nice way to opt-in into auto-masking SIGCHLD on first
335   sd_event_add_child(), and then get rid of many more explicit sigprocmask()
336   calls.
338 * introduce new structure Tpm2CombinedPolicy, that combines the various TPm2
339   policy bits into one structure, i.e. public key info, pcr masks, pcrlock
340   stuff, pin and so on. Then pass that around in tpm2_seal() and tpm2_unseal().
342 * look at nsresourced, mountfsd, homed, importd, and try to come up with a way
343   how the forked off worker processes can be moved into transient services with
344   sandboxing, without breaking notify socket stuff and so on.
346 * replace all \x1b, \x1B, \033 C string escape sequences in our codebase with a
347   more readable \e. It's a GNU extension, but a ton more readable than the
348   others, and most importantly it doesn't result in confusing errors if you
349   suffix the escape sequence with one more decimal digit, because compilers
350   think you might actually specify a value outside the 8bit range with that.
352 * confext/sysext: instead of mounting the overlayfs directly on /etc/ + /usr/,
353   insert an intermediary bind mount on itself there. This has the benefit that
354   services where mount propagation from the root fs is off, an still have
355   confext/sysext propagated in.
357 * generic interface for varlink for setting log level and stuff that all our daemons can implement
359 * maybe teach repart.d/ dropins a new setting MakeMountNodes= or so, which is
360   just like MakeDirectories=, but uses an access mode of 0000 and sets the +i
361   chattr bit. This is useful as protection against early uses of /var/ or /tmp/
362   before their contents is mounted.
364 * go through all uses of table_new() in our codebase, and make sure we support
365   all three of:
366   1. --no-legend properly
367   2. --json= properly
368   3. --no-pager properly
370 * go through all --help texts in our codebases, and make sure:
371   1. the one sentence description of the tool is highlighted via ANSI how we
372      usually do it
373   2. If more than one or two commands are supported (as opposed to switches),
374      separate commands + switches from each other, using underlined --help sections.
375   3. If there are many switches, consider adding additional --help sections.
377 * go through our codebase, and convert "vertical tables" (i.e. things such as
378   "systemctl status") to use table_new_vertical() for output
380 * pcrlock: add support for multi-profile UKIs
382 * initrd: when transitioning from initrd to host, validate that
383   /lib/modules/`uname -r` exists, refuse otherwise
385 * signed bpf loading: to address need for signature verification for bpf
386   programs when they are loaded, and given the bpf folks don't think this is
387   realistic in kernel space, maybe add small daemon that facilitates this
388   loading on request of clients, validates signatures and then loads the
389   programs. This daemon should be the only daemon with privs to do load BPF on
390   the system. It might be a good idea to run this daemon already in the initrd,
391   and leave it around during the initrd transition, to continue serve requests.
392   Should then live in its own fs namespace that inherits from the initrd's
393   fs tree, not from the host, to isolate it properly. Should set
394   PR_SET_DUMPABLE so that it cannot be ptraced from the host. Should have
395   CAP_SYS_BPF as only service around.
397 * add a mechanism we can drop capabilities from pid1 *before* transitioning
398   from initrd to host. i.e. before we transition into the slightly lower trust
399   domain that is the host systems we might want to get rid of some caps.
400   Example: CAP_SYS_BPF in the signed bpf loading logic above. (We already have
401   CapabilityBoundingSet= in system.conf, but that is enforced when pid 1
402   initializes, rather then when it transitions to the next.)
404 * maybe add a new standard slice where process that are started in the initrd
405   and stick around for the whole system runtime (i.e. root fs storage daemons,
406   the bpf loader daemon discussed above, and such) are placed. maybe
407   protected.slice or so? Then write docs that suggest that services like this
408   set Slice=protected.sice, RefuseManualStart=yes, RefuseManualStop=yes and a
409   couple of other things.
411 * rough proposed implementation design for remote attestation infra: add a tool
412   that generates a quote of local PCRs and NvPCRs, along with synchronous log
413   snapshot. use "audit session" logic for that, so that we get read-outs and
414   signature in one step. Then turn this into a JSON object. Use the "TCG TSS 2.0
415   JSON Data Types and Policy Language" format to encode the signature. And CEL
416   for the measurement log.
418 * creds: add a new cred format that reused the JSON structures we use in the
419   LUKS header, so that we get the various newer policies for free.
421 * systemd-analyze: port "pcrs" verb to talk directly to TPM device, instead of
422   using sysfs interface (well, or maybe not, as that would require privileges?)
424 * pcrextend/tpm2-util: add a concept of "rotation" to event log. i.e. allow
425   trailing parts of the logs if time or disk space limit is hit. Protect the
426   boot-time measurements however (i.e. up to some point where things are
427   settled), since we need those for pcrlock measurements and similar. When
428   deleting entries for rotation, place an event that declares how many items
429   have been dropped, and what the hash before and after that.
431 * measure information about all DDIs as we activate them to an NvPCR. We
432   probably should measure the dm-verity root hash from the kernel side, but
433   DDI meta info from userspace.
435 * use name_to_handle_at() with AT_HANDLE_FID instead of .st_ino (inode
436   number) for identifying inodes, for example in copy.c when finding hard
437   links, or loop-util.c for tracking backing files, and other places.
439 * cryptenroll/cryptsetup/homed: add unlock mechanism that combines tpm2 and
440   fido2, as well as tpm2 + ssh-agent, inspired by ChromeOS' logic: encrypt the
441   volume key with the TPM, with a policy that insists that a nonce is signed by
442   the fido2 device's key or ssh-agent key. Thus, add unlock/login time the TPM
443   generates a nonce, which is sent as a challenge to the fido2/ssh-agent, which
444   returns a signature which is handed to the tpm, which then reveals the volume
445   key to the PC.
447 * cryptenroll/cryptsetup/homed: similar to this, implement TOTP backed by TPM.
449 * expose the handoff timestamp fully via the D-Bus properties that contain
450   ExecStatus information
452 * properly serialize the ExecStatus data from all ExecCommand objects
453   associated with services, sockets, mounts and swaps. Currently, the data is
454   flushed out on reload, which is quite a limitation.
456 * Clean up "reboot argument" handling, i.e. set it through some IPC service
457   instead of directly via /run/, so that it can be sensible set remotely.
459 * systemd-tpm2-support: add a some logic that detects if system is in DA
460   lockout mode, and queries the user for TPM recovery PIN then.
462 * systemd-repart should probably enable btrfs' "temp_fsid" feature for all file
463   systems it creates, as we have no interest in RAID for repart, and it should
464   make sure that we can mount them trivially everywhere.
466 * systemd-nspawn should get the same SSH key support that vmspawn now has.
468 * move documentation about our common env vars (SYSTEMD_LOG_LEVEL,
469   SYSTEMD_PAGER, …) into a man page of its own, and just link it from our
470   various man pages that so far embed the whole list again and again, in an
471   attempt to reduce clutter and noise a bid.
473 * vmspawn switch default swtpm PCR bank to SHA384-only (away from SHA256), at
474   least on 64bit archs, simply because SHA384 is typically double the hashing
475   speed than SHA256 on 64bit archs (since based on 64bit words unlike SHA256
476   which uses 32bit words).
478 * In vmspawn/nspawn/machined wait for X_SYSTEMD_UNIT_ACTIVE=ssh-active.target
479   and X_SYSTEMD_SIGNALS_LEVEL=2 as indication whether/when SSH and the POSIX
480   signals are available. Similar for D-Bus (but just use sockets.target for
481   that). Report as property for the machine.
483 * teach nspawn/machined a new bus call/verb that gets you a
484   shell in containers that have no sensible pid1, via joining the container,
485   and invoking a shell directly. Then provide another new bus call/vern that is
486   somewhat automatic: if we detect that pid1 is running and fully booted up we
487   provide a proper login shell, otherwise just a joined shell. Then expose that
488   as primary way into the container.
490 * make vmspawn/nspawn/importd/machined a bit more usable in a WSL-like
491   fashion. i.e. teach unpriv systemd-vmspawn/systemd-nspawn a reasonable
492   --bind-user= behaviour that mounts the calling user through into the
493   machine. Then, ship importd with a small database of well known distro images
494   along with their pinned signature keys. Then add some minimal glue that binds
495   this together: downloads a suitable image if not done so yet, starts it in
496   the bg via vmspawn/nspawn if not done so yet and then requests a shell inside
497   it for the invoking user.
499 * add a new specifier to unit files that figures out the DDI the unit file is
500   from, tracing through overlayfs, DM, loopback block device.
502 * importd/importctl
503   - port tar handling to libarchive
504   - complete varlink interface
505   - download images into .v/ dirs
507 * in os-release define a field that can be initialized at build time from
508   SOURCE_DATE_EPOCH (maybe even under that name?). Would then be used to
509   initialize the timestamp logic of ConditionNeedsUpdate=.
511 * nspawn/vmspawn/pid1: add ability to easily insert fully booted VMs/FOSC into
512   shell pipelines, i.e. add easy to use switch that turns off console status
513   output, and generates the right credentials for systemd-run-generator so that
514   a program is invoked, and its output captured, with correct EOF handling and
515   exit code propagation
517 * new systemd-analyze "join" verb or so, for debugging services. Would be
518   nsenter on steroids, i.e invoke a shell or command line in an environment as
519   close as we can make it for the MainPID of a service. Should be built around
520   pidfd, so that we can reasonably robustly do this. Would only cover the
521   execution environment like namespaces, but not the privilege settings.
523 * Introduce a CGroupRef structure, inspired by PidRef. Should contain cgroup
524   path, cgroup id, and cgroup fd. Use it to continuously pin all v2 cgroups via
525   a cgroup_ref field in the CGroupRuntime structure. Eventually switch things
526   over to do all cgroupfs access only via that structure's fd.
528 * Get rid of the symlinks in /run/systemd/units/* and exclusively use cgroupfs
529   xattrs to convey info about invocation ids, logging settings and so on.
530   support for cgroupfs xattrs in the "trusted." namespace was added in linux
531   3.7, i.e. which we don't pretend to support anymore.
533 * rewrite bpf-devices in libbpf/C code, rather than home-grown BPF assembly, to
534   match bpf-restrict-fs, bpf-restrict-ifaces, bpf-socket-bind
536 * ditto: rewrite bpf-firewall in libbpf/C code
538 * credentials: if we ever acquire a secure way to derive cgroup id of socket
539   peers (i.e. SO_PEERCGROUPID), then extend the "scoped" credential logic to
540   allow cgroup-scoped (i.e. app or service scoped) credentials. Then, as next
541   step use this to implement per-app/per-service encrypted directories, where
542   we set up fscrypt on the StateDirectory= with a randomized key which is
543   stored as xattr on the directory, encrypted as a credential.
545 * credentials: optionally include a per-user secret in scoped user-credential
546   encryption keys. should come from homed in some way, derived from the luks
547   volume key or fscrypt directory key.
549 * credentials: add a flag to the scoped credentials that if set require PK
550   reauthentication when unlocking a secret.
552 * extend the smbios11 logic for passing credentials so that instead of passing
553   the credential data literally it can also just reference an AF_VSOCK CID/port
554   to read them from. This way the data doesn't remain in the SMBIOS blob during
555   runtime, but only in the credentials fs.
557 * machined: optionally track nspawn unix-export/ runtime for each machined, and
558   then update systemd-ssh-proxy so that it can connect to that.
560 * add a new ExecStart= flag that inserts the configured user's shell as first
561   word in the command line. (maybe use character '.'). Usecase: tool such as
562   run0 can use that to spawn the target user's default shell.
564 * introduce mntid_t, and make it 64bit, as apparently the kernel switched to
565   64bit mount ids
567 * mountfsd/nsresourced
568   - userdb: maybe allow callers to map one uid to their own uid
569   - bpflsm: allow writes if resulting UID on disk would be userns' owner UID
570   - make encrypted DDIs work (password…)
571   - add API for creating a new file system from scratch (together with some
572     dm-integrity/HMAC key). Should probably work using systemd-repart (access
573     via varlink).
574   - add api to make an existing file "trusted" via dm-integry/HMAC key
575   - port: portabled
576   - port: tmpfiles, sysusers and similar
577   - lets see if we can make runtime bind mounts into unpriv nspawn work
579 * add a kernel cmdline switch (and cred?) for marking a system to be
580   "headless", in which case we never open /dev/console for reading, only for
581   writing. This would then mean: systemd-firstboot would process creds but not
582   ask interactively, getty would not be started and so on.
584 * cryptsetup: new crypttab option to auto-grow a luks device to its backing
585   partition size. new crypttab option to reencrypt a luks device with a new
586   volume key.
588 * we probably should have some infrastructure to acquire sysexts with
589   drivers/firmware for local hardware automatically. Idea: reuse the modalias
590   logic of the kernel for this: make the main OS image install a hwdb file
591   that matches against local modalias strings, and adds properties to relevant
592   devices listing names of sysexts needed to support the hw. Then provide some
593   tool that goes through all devices and tries to acquire/download the
594   specified images.
596 * repart + cryptsetup: support file systems that are encrypted and use verity
597   on top. Usecase: confexts that shall be signed by the admin but also be
598   confidential. Then, add a new --make-ddi=confext-encrypted for this.
600 * tmpfiles: add new line type for moving files from some source dir to some
601   target dir. then use that to move sysexts/confexts and stuff from initrd
602   tmpfs to /run/, so that host can pick things up.
604 * tiny varlink service that takes a fd passed in and serves it via http. Then
605   make use of that in networkd, and expose some EFI binary of choice for
606   DHCP/HTTP base EFI boot.
608 * bootctl: add reboot-to-disk which takes a block device name, and
609   automatically sets things up so that system reboots into that device next.
611 * maybe: in PID1, when we detect we run in an initrd, make superblock read-only
612   early on, but provide opt-out via kernel cmdline.
614 * systemd-pcrextend:
615   - support measuring to nvindex with PCR update semantics ("fake PCRs")
616   - add api for "allocating" such an nvindex
617   - once we have that start measuring every sysext we apply, every confext,
618     every RootImage= we apply, every nspawn and so on. All in separate fake
619     PCRs.
621 * vmspawn:
622   - run in scope unit when invoked from command line, and machined registration is off
623   - sd_notify support
624   - --ephemeral support
625   - --read-only support
626   - automatically suspend/resume the VM if the host suspends. Use logind
627     suspend inhibitor to implement this. request clean suspend by generating
628     suspend key presses.
629   - support for "real" networking via "-n" and --network-bridge=
630   - translate SIGTERM to clean ACPI shutdown event
632 * systemd-pcrmachine should probably also measure the SMBIOS system UUID.
634 * sd-boot: allow synthesizing additional type1 entries via SMBIOS vendor strings
636 * storagetm:
637   - add USB mass storage device logic, so that all local disks are also exposed
638     as mass storage devices on systems that have a USB controller that can
639     operate in device mode
640   - add NVMe authentication
642 * add support for activating nvme-oF devices at boot automatically via kernel
643   cmdline, and maybe even support a syntax such as
644   root=nvme:<trtype>:<traddr>:<trsvcid>:<nqn>:<partition> to boot directly from
645   nvme-oF
647 * pcrlock:
648   - add kernel-install plugin that automatically creates UKI .pcrlock file when
649     UKI is installed, and removes it when it is removed again
650   - automatically install PE measurement of sd-boot on "bootctl install"
651   - pre-calc sysext + kernel cmdline measurements
652   - pre-calc cryptsetup root key measurement
653   - maybe make systemd-repart generate .pcrlock for old and new GPT header in
654     /run?
655   - Add support for more than 8 branches per PCR OR
656   - add "systemd-pcrlock lock-kernel-current" or so which synthesizes .pcrlock
657     policy from currently booted kernel/event log, to close gap for first boot
658     for pre-built images
660 * in sd-boot and sd-stub measure the SMBIOS vendor strings to some PCR (at
661   least some subset of them that look like systemd stuff), because apparently
662   some firmware does not, but systemd honours it. avoid duplicate measurement
663   by sd-boot and sd-stub by adding LoaderFeatures/StubFeatures flag for this,
664   so that sd-stub can avoid it if sd-boot already did it.
666 * cryptsetup: a mechanism that allows signing a volume key with some key that
667   has to be present in the kernel keyring, or similar, to ensure that confext
668   DDIs can be encrypted against the local SRK but signed with the admin's key
669   and thus can authenticated locally before they are decrypted.
671 * image policy should be extended to allow dictating *how* a disk is unlocked,
672   i.e. root=encrypted-tpm2+encrypted-fido2 would mean "root fs must be
673   encrypted and unlocked via fido2 or tpm2, but not otherwise"
675 * systemd-repart: add support for formatting dm-crypt + dm-integrity file
676   systems.
678 * homed: use systemd-storagetm to expose home dirs via nvme-tcp. Then,
679   teach homed/pam_systemd_homed with a user name such as
680   lennart%nvme_tcp_192.168.100.77_8787 to log in from any linux host with the
681   same home dir. Similar maybe for nbd, iscsi? this should then first ask for
682   the local root pw, to authenticate that logging in like this is ok, and would
683   then be followed by another password prompt asking for the user's own
684   password. Also, do something similar for CIFS: if you log in via
685   lennart%cifs-someserver_someshare, then set up the homed dir for it
686   automatically. The PAM module should update the user name used for login to
687   the short version once it set up the user. Some care should be taken, so that
688   the long version can be still be resolved via NSS afterwards, to deal with
689   PAM clients that do not support PAM sessions where PAM_USER changes half-way.
691 * redefine /var/lib/extensions/ as the dir one can place all three of sysext,
692   confext as well is multi-modal DDIs that qualify as both. Then introduce
693   /var/lib/sysexts/ which can be used to place only DDIs that shall be used as
694   sysext
696 * Varlinkification of the following command line tools, to open them up to
697   other programs via IPC:
698   - bootctl
699   - journalctl (allowing journal read access via IPC)
700   - coredumpcl
701   - systemd-bless-boot
702   - systemd-measure
703   - systemd-cryptenroll (to allow UIs to enroll FIDO2 keys and such)
704   - systemd-dissect
705   - systemd-sysupdate
706   - systemd-analyze
707   - kernel-install
708   - systemd-mount (with PK so that desktop environments could use it to mount disks)
710 * enumerate virtiofs devices during boot-up in a generator, and synthesize
711   mounts for rootfs, /usr/, /home/, /srv/ and some others from it, depending on
712   the "tag". (waits for: https://gitlab.com/virtio-fs/virtiofsd/-/issues/128)
714 * automatically mount one virtiofs during early boot phase to /run/host/,
715   similar to how we do that for nspawn, based on some clear tag.
717 * add some service that makes an atomic snapshot of PCR state and event log up
718   to that point available, possibly even with quote by the TPM.
720 * encode type1 entries in some UKI section to add additional entries to the
721   menu.
723 * Add ACL-based access management to .socket units. i.e. add AllowPeerUser= +
724   AllowPeerGroup= that installs additional user/group ACL entries on AF_UNIX
725   sockets.
727 * systemd-tpm2-setup should probably have a factory reset logic, i.e. when some
728   kernel command line option is set we reset the TPM (equivalent of tpm2_clear
729   -c owner? or rather echo 5 >/sys/class/tpm/tpm0/ppi/request?).
731 * systemd-tpm2-setup should support a mode where we refuse booting if the SRK
732   changed. (Must be opt-in, to not break systems which are supposed to be
733   migratable between PCs)
735 * when systemd-sysext learns mutable /usr/ (and systemd-confext mutable /etc/)
736   then allow them to store the result in a .v/ versioned subdir, for some basic
737   snapshot logic
739 * add a new PE binary section ".mokkeys" or so which sd-stub will insert into
740   Mok keyring, by overriding/extending whatever shim sets in the EFI
741   var. Benefit: we can extend the kernel module keyring at ukify time,
742   i.e. without recompiling the kernel, taking an upstream OS' kernel and adding
743   a local key to it.
745 * PidRef conversion work:
746   - cg_pid_get_xyz()
747   - pid_from_same_root_fs()
748   - get_ctty_devnr()
749   - actually wait for POLLIN on pidref's pidfd in service logic
750   - openpt_allocate_in_namespace()
751   - unit_attach_pid_to_cgroup_via_bus()
752   - cg_attach() – requires new kernel feature
753   - journald's process cache
755 * ddi must be listed as block device fstype
757 * measure some string via pcrphase whenever we end up booting into emergency
758   mode.
760 * similar, measure some string via pcrphase whenever we resume from hibernate
762 * homed: add a basic form of secrets management to homed, that stores
763   secrets in $HOME somewhere, is protected by the accounts own authentication
764   mechanisms. Should implement something PKCS#11-like that can be used to
765   implement emulated FIDO2 in unpriv userspace on top (which should happen
766   outside of homed), emulated PKCS11, and libsecrets support. Operate with a
767   2nd key derived from volume key of the user, with which to wrap all
768   keys. maintain keys in kernel keyring if possible.
770 * use sd-event ratelimit feature optionally for journal stream clients that log
771   too much
773 * systemd-mount should only consider modern file systems when mounting, similar
774   to systemd-dissect
776 * add another PE section ".fname" or so that encodes the intended filename for
777   PE file, and validate that when loading add-ons and similar before using
778   it. This is particularly relevant when we load multiple add-ons and want to
779   sort them to apply them in a define order. The order should not be under
780   control of the attacker.
782 * also include packaging metadata (á la
783   https://systemd.io/PACKAGE_METADATA_FOR_EXECUTABLE_FILES/) in our UEFI PE
784   binaries, using the same JSON format.
786 * make "bootctl install" + "bootctl update" useful for installing shim too. For
787   that introduce new dir /usr/lib/systemd/efi/extra/ which we copy mostly 1:1
788   into the ESP at install time. Then make the logic smart enough so that we
789   don't overwrite bootx64.efi with our own if the extra tree already contains
790   one. Also, follow symlinks when copying, so that shim rpm can symlink their
791   stuff into our dir (which is safe since the target ESP is generally VFAT and
792   thus does not have symlinks anyway). Later, teach the update logic to look at
793   the ELF package metadata (which we also should include in all PE files, see
794   above) for version info in all *.EFI files, and use it to only update if
795   newer.
797 * in sd-stub: optionally add support for a new PE section .keyring or so that
798   contains additional certificates to include in the Mok keyring, extending
799   what shim might have placed there. why? let's say I use "ukify" to build +
800   sign my own fedora-based UKIs, and only enroll my personal lennart key via
801   shim.  Then, I want to include the fedora keyring in it, so that kmods work.
802   But I might not want to enroll the fedora key in shim, because this would
803   also mean that the key would be in effect whenever I boot an archlinux UKI
804   built the same way, signed with the same lennart key.
806 * resolved: take possession of some IPv6 ULA address (let's say
807   fd00:5353:5353:5353:5353:5353:5353:5353), and listen on port 53 on it for the
808   local stubs, so that we can make the stub available via ipv6 too.
810 * Maybe add SwitchRootEx() as new bus call that takes env vars to set for new
811   PID 1 as argument. When adding SwitchRootEx() we should maybe also add a
812   flags param that allows disabling and enabling whether serialization is
813   requested during switch root.
815 * introduce a .acpitable section for early ACPI table override
817 * add proper .osrel matching for PE addons. i.e. refuse applying an addon
818   intended for a different OS. Take inspiration from how confext/sysext are
819   matched against OS.
821 * figure out what to do about credentials sealed to PCRs in kexec + soft-reboot
822   scenarios. Maybe insist sealing is done additionally against some keypair in
823   the TPM to which access is updated on each boot, for the next, or so?
825 * logind: when logging in, always take an fd to the home dir, to keep the dir
826   busy, so that autofs release can never happen. (this is generally a good
827   idea, and specifically works around the fact the autofs ignores busy by mount
828   namespaces)
830 * mount most file systems with a restrictive uidmap. e.g. mount /usr/ with a
831   uidmap that blocks out anything outside 0…1000 (i.e. system users) and similar.
833 * mount the root fs with MS_NOSUID by default, and then mount /usr/ without
834   both so that suid executables can only be placed there. Do this already in
835   the initrd. If /usr/ is not split out create a bind mount automatically.
837 * fix our various hwdb lookup keys to end with ":" again. The original idea was
838   that hwdb patterns can match arbitrary fields with expressions like
839   "*:foobar:*", to wildcard match both the start and the end of the string.
840   This only works safely for later extensions of the string if the strings
841   always end in a colon. This requires updating our udev rules, as well as
842   checking if the various hwdb files are fine with that.
844 * mount /tmp/ and /var/tmp with a uidmap applied that blocks out "nobody" user
845   among other things such as dynamic uid ranges for containers and so on. That
846   way no one can create files there with these uids and we enforce they are only
847   used transiently, never persistently.
849 * rework loopback support in fstab: when "loop" option is used, then
850   instantiate a new systemd-loop@.service for the source path, set the
851   lo_file_name field for it to something recognizable derived from the fstab
852   line, and then generate a mount unit for it using a udev generated symlink
853   based on lo_file_name.
855 * teach systemd-nspawn the boot assessment logic: hook up vpick's try counters
856   with success notifications from nspawn payloads. When this is enabled,
857   automatically support reverting back to older OS version images if newer ones
858   fail to boot.
860 * implement new "systemd-fsrebind" tool that works like gpt-auto-generator but
861   looks at a root dir and then applies vpick on various dirs/images to pick a
862   root tree, a /usr/ tree, a /home/, a /srv/, a /var/ tree and so on. Dirs
863   could also be btrfs subvols (combine with btrfs auto-snapshort approach for
864   creating versions like these automatically).
866 * remove tomoyo support, it's obsolete and unmaintained apparently
868 * In .socket units, add ConnectStream=, ConnectDatagram=,
869   ConnectSequentialPacket= that create a socket, and then *connect to* rather than
870   listen on some socket. Then, add a new setting WriteData= that takes some
871   base64 data that systemd will write into the socket early on. This can then
872   be used to create connections to arbitrary services and issue requests into
873   them, as long as the data is static. This can then be combined with the
874   aforementioned journald subscription varlink service, to enable
875   activation-by-message id and similar.
877 * .service with invalid Sockets= starts successfully.
879 * landlock: lock down RuntimeDirectory= via landlock, so that services lose
880   ability to write anywhere else below /run/. Similar for
881   StateDirectory=. Benefit would be clear delegation via unit files: services
882   get the directories they get, and nothing else even if they wanted to.
884 * landlock: for unprivileged systemd (i.e. systemd --user), use landlock to
885   implement ProtectSystem=, ProtectHome= and so on. Landlock does not require
886   privs, and we can implement pretty similar behaviour. Also, maybe add a mode
887   where ProtectSystem= combined with an explicit PrivateMounts=no could request
888   similar behaviour for system services, too.
890 * Add systemd-mount@.service which is instantiated for a block device and
891   invokes systemd-mount and exits. This is then useful to use in
892   ENV{SYSTEMD_WANTS} in udev rules, and a bit prettier than using RUN+=
894 * udevd: extend memory pressure logic: also kill any idle worker processes
896 * udevadm: to make symlink querying with udevadm nicer:
897   - do not enable the pager for queries like 'udevadm info -q symlink -r'
898   - add mode with newlines instead of spaces (for grep)?
900 * SIGRTMIN+18 and memory pressure handling should still be added to: hostnamed,
901   localed, oomd, timedated.
903 * repart/gpt-auto/DDIs: maybe introduce a concept of "extension" partitions,
904   that have a new type uuid and can "extend" earlier partitions, to work around
905   the fact that systemd-repart can only grow the last partition defined. During
906   activation we'd simply set up a dm-linear mapping to merge them again. A
907   partition that is to be extended would just set a bit in the partition flags
908   field to indicate that there's another extension partition to look for. The
909   identifying UUID of the extension partition would be hashed in counter mode
910   from the uuid of the original partition it extends. Inspiration for this is
911   the "dynamic partitions" concept of new Android. This would be a minimalistic
912   concept of a volume manager, with the extents it manages being exposes as GPT
913   partitions. I a partition is extended multiple times they should probably
914   grow exponentially in size to ensure O(log(n)) time for finding them on
915   access.
917 * Make nspawn to a frontend for systemd-executor, so that we have to ways into
918   the executor: via unit files/dbus/varlink through PID1 and via cmdline/OCI
919   through nspawn.
921 * sd-stub: detect if we are running with uefi console output on serial, and if so
922   automatically add console= to kernel cmdline matching the same port.
924 * add a utility that can be used with the kernel's
925   CONFIG_STATIC_USERMODEHELPER_PATH and then handles them within pid1 so that
926   security, resource management and cgroup settings can be enforced properly
927   for all umh processes.
929 * homed: when resizing an fs don't sync identity beforehand there might simply
930   not be enough disk space for that. try to be defensive and sync only after
931   resize.
933 * homed: if for some reason the partition ended up being much smaller than
934   whole disk, recover from that, and grow it again.
936 * timesyncd: when saving/restoring clock try to take boot time into account.
937   Specifically, along with the saved clock, store the current boot ID. When
938   starting, check if the boot id matches. If so, don't do anything (we are on
939   the same boot and clock just kept running anyway). If not, then read
940   CLOCK_BOOTTIME (which started at boot), and add it to the saved clock
941   timestamp, to compensate for the time we spent booting. If EFI timestamps are
942   available, also include that in the calculation. With this we'll then only
943   miss the time spent during shutdown after timesync stopped and before the
944   system actually reset.
946 * systemd-stub: maybe store a "boot counter" in the ESP, and pass it down to
947   userspace to allow ordering boots (for example in journalctl). The counter
948   would be monotonically increased on every boot.
950 * pam_systemd_home: add module parameter to control whether to only accept
951   only password or only pcks11/fido2 auth, and then use this to hook nicely
952   into two of the three PAM stacks gdm provides.
953   See discussion at https://github.com/authselect/authselect/pull/311
955 * sd-boot: make boot loader spec type #1 accept http urls in "linux"
956   lines. Then, do the uefi http dance to download kernels and boot them. This
957   is then useful for network boot, by embedding a cpio with type #1 snippets
958   in sd-boot, which reference remote kernels.
960 * maybe prohibit setuid() to the nobody user, to lock things down, via seccomp.
961   the nobody is not a user any code should run under, ever, as that user would
962   possibly get a lot of access to resources it really shouldn't be getting
963   access to due to the userns + nfs semantics of the user. Alternatively: use
964   the seccomp log action, and allow it.
966 * sd-boot: add a new PE section .bls or so that carries a cpio with additional
967   boot loader entries (both type1 and type2). Then when initializing, find this
968   section, iterate through it and populate menu with it. cpio is simple enough
969   to make a parser for this reasonably robust. use same path structures as in
970   the ESP. Similar add one for signature key drop-ins.
972 * sd-boot: also allow passing in the cpio as in the previous item via SMBIOS
974 * add a new EFI tool "sd-fetch" or so. It looks in a PE section ".url" for an
975   URL, then downloads the file from it using UEFI HTTP APIs, and executes it.
976   Use case: provide a minimal ESP with sd-boot and a couple of these sd-fetch
977   binaries in place of UKIs, and download them on-the-fly.
979 * maybe: systemd-loop-generator that sets up loopback devices if requested via kernel
980   cmdline. use case: include encrypted/verity root fs in UKI.
982 * systemd-gpt-auto-generator: add kernel cmdline option to override block
983   device to dissect. also support dissecting a regular file. useccase: include
984   encrypted/verity root fs in UKI.
986 * sd-stub: add ".bootcfg" section for kernel bootconfig data (as per
987   https://docs.kernel.org/admin-guide/bootconfig.html)
989 * tpm2: add (optional) support for generating a local signing key from PCR 15
990   state. use private key part to sign PCR 7+14 policies. stash signatures for
991   expected PCR7+14 policies in EFI var. use public key part in disk encryption.
992   generate new sigs whenever db/dbx/mok/mokx gets updated. that way we can
993   securely bind against SecureBoot/shim state, without having to renroll
994   everything on each update (but we still have to generate one sig on each
995   update, but that should be robust/idempotent). needs rollback protection, as
996   usual.
998 * Lennart: big blog story about DDIs
1000 * Lennart: big blog story about building initrds
1002 * Lennart: big blog story about "why systemd-boot"
1004 * bpf: see if we can use BPF to solve the syslog message cgroup source problem:
1005   one idea would be to patch source sockaddr of all AF_UNIX/SOCK_DGRAM to
1006   implicitly contain the source cgroup id. Another idea would be to patch
1007   sendto()/connect()/sendmsg() sockaddr on-the-fly to use a different target
1008   sockaddr.
1010 * bpf: see if we can address opportunistic inode sharing of immutable fs images
1011   with BPF. i.e. if bpf gives us power to hook into openat() and return a
1012   different inode than is requested for which we however it has same contents
1013   then we can use that to implement opportunistic inode sharing among DDIs:
1014   make all DDIs ship xattr on all reg files with a SHA256 hash. Then, also
1015   dictate that DDIs should come with a top-level subdir where all reg files are
1016   linked into by their SHA256 sum. Then, whenever an inode is opened with the
1017   xattr set, check bpf table to find dirs with hashes for other prior DDIs and
1018   try to use inode from there.
1020 * extend the verity signature partition to permit multiple signatures for the
1021   same root hash, so that people can sign a single image with multiple keys.
1023 * consider adding a new partition type, just for /opt/ for usage in system
1024   extensions
1026 * gpt-auto-discovery: also use the pkcs7 signature stuff, and pass signature to
1027   kernel. So far we only did this for the various --image= switches, but not
1028   for the root fs or /usr/.
1030 * dissection policy should enforce that unlocking can only take place by
1031   certain means, i.e. only via pw, only via tpm2, or only via fido, or a
1032   combination thereof.
1034 * make the systemd-repart "seed" value provisionable via credentials, so that
1035   confidential computing environments can set it and deterministically
1036   enforce the uuids for partitions created, so that they can calculate PCR 15
1037   ahead of time.
1039 * systemd-repart: also derive the volume key from the seed value, for the
1040   aforementioned purpose.
1042 * in the initrd: derive the default machine ID to pass to the host PID 1 via
1043   $machine_id from the same seed credential.
1045 * Add systemd-sysupdate-initrd.service or so that runs systemd-sysupdate in the
1046   initrd to bootstrap the initrd to populate the initial partitions. Some things
1047   to figure out:
1048   - Should it run on firstboot or on every boot?
1049   - If run on every boot, should it use the sysupdate config from the host on
1050     subsequent boots?
1052 * To mimic the new tpm2-measure-pcr= crypttab option add the same to veritytab
1053   (measuring the root hash) and integritytab (measuring the HMAC key if one is
1054   used)
1056 * We should start measuring all services, containers, and system extensions we
1057   activate. probably into PCR 13. i.e. add --tpm2-measure-pcr= or so to
1058   systemd-nspawn, and MeasurePCR= to unit files. Should contain a measurement
1059   of the activated configuration and the image that is being activated (in case
1060   verity is used, hash of the root hash).
1062 * bootspec: permit graceful "update" from type #2 to type #1. If both a type #1
1063   and a type #2 entry exist under otherwise the exact same name, then use the
1064   type #1 entry, and ignore the type #2 entry. This way, people can "upgrade"
1065   from the UKI with all parameters baked in to a Type #1 .conf file with manual
1066   parametrization, if needed. This matches our usual rule that admin config
1067   should win over vendor defaults.
1069 * write a "search path" spec, that documents the prefixes to search in
1070   (i.e. the usual /etc/, /run/, /usr/lib/ dance, potentially /usr/etc/), how to
1071   sort found entries, how masking works and overriding.
1073 * automatic boot assessment: add one more default success check that just waits
1074   for a bit after boot, and blesses the boot if the system stayed up that long.
1076 * systemd-repart: add support for generating ISO9660 images
1078 * systemd-repart: in addition to the existing "factory reset" mode (which
1079   simply empties existing partitions marked for that). add a mode where
1080   partitions marked for it are entirely removed. Use case: remove secondary OS
1081   copy, and redundant partitions entirely, and recreate them anew.
1083 * systemd-boot: maybe add support for collapsing menu entries of the same OS
1084   into one item that can be opened (like in a "tree view" UI element) or
1085   collapsed. If only a single OS is installed, disable this mode, but if
1086   multiple OSes are installed might make sense to default to it, so that user
1087   is not immediately bombarded with a multitude of Linux kernel versions but
1088   only one for each OS.
1090 * systemd-repart: if the GPT *disk* UUID (i.e. the one global for the entire
1091   disk) is set to all FFFFF then use this as trigger for factory reset, in
1092   addition to the existing mechanisms via EFI variables and kernel command
1093   line. Benefit: works also on non-EFI systems, and can be requested on one
1094   boot, for the next.
1096 * systemd-sysupdate: make transport pluggable, so people can plug casync or
1097   similar behind it, instead of http.
1099 * systemd-tmpfiles: add concept for conditionalizing lines on factory reset
1100   boot, or on first boot.
1102 * we probably needs .pcrpkeyrd or so as additional PE section in UKIs,
1103   which contains a separate public key for PCR values that only apply in the
1104   initrd, i.e. in the boot phase "enter-initrd". Then, consumers in userspace
1105   can easily bind resources to just the initrd. Similar, maybe one more for
1106   "enter-initrd:leave-initrd" for resources that shall be accessible only
1107   before unprivileged user code is allowed. (we only need this for .pcrpkey,
1108   not for .pcrsig, since the latter is a list of signatures anyway). With that,
1109   when you enroll a LUKS volume or similar, pick either the .pcrkey (for
1110   coverage through all phases of the boot, but excluding shutdown), the
1111   .pcrpkeyrd (for coverage in the initrd only) and .pcrpkeybt (for coverage
1112   until users are allowed to log in).
1114 * Once the root fs LUKS volume key is measured into PCR 15, default to binding
1115   credentials to PCR 15 in "systemd-creds"
1117 * add support for asymmetric LUKS2 TPM based encryption. i.e. allow preparing
1118   an encrypted image on some host given a public key belonging to a specific
1119   other host, so that only hosts possessing the private key in the TPM2 chip
1120   can decrypt the volume key and activate the volume. Use case: systemd-confext
1121   for a central orchestrator to generate confext images securely that can only
1122   be activated on one specific host (which can be used for installing a bunch
1123   of creds in /etc/credstore/ for example). Extending on this: allow binding
1124   LUKS2 TPM based encryption also to the TPM2 internal clock. Net result:
1125   prepare a confext image that can only be activated on a specific host that
1126   runs a specific software in a specific time window. confext would be
1127   automatically invalidated outside of it.
1129 * maybe add a "systemd-report" tool, that generates a TPM2-backed "report" of
1130   current system state, i.e. a combination of PCR information, local system
1131   time and TPM clock, running services, recent high-priority log
1132   messages/coredumps, system load/PSI, signed by the local TPM chip, to form an
1133   enhanced remote attestation quote. Use case: a simple orchestrator could use
1134   this: have the report tool upload these reports every 3min somewhere. Then
1135   have the orchestrator collect these reports centrally over a 3min time
1136   window, and use them to determine what which node should now start/stop what,
1137   and generate a small confext for each node, that uses Uphold= to pin services
1138   on each node.  The confext would be encrypted using the asymmetric encryption
1139   proposed above, so that it can only be activated on the specific host, if the
1140   software is in a good state, and within a specific time frame. Then run a
1141   loop on each node that sends report to orchestrator and then sysupdate to
1142   update confext.  Orchestrator would be stateless, i.e. operate on desired
1143   config and collected reports in the last 3min time window only, and thus can
1144   be trivially scaled up since all instances of the orchestrator should come to
1145   the same conclusions given the same inputs of reports/desired workload info.
1146   Could also be used to deliver Wireguard secrets and thus to clients, thus
1147   permitting zero-trust networking: secrets are rolled over via confext updates,
1148   and via the time window TPM logic invalidated if node doesn't keep itself
1149   updated, or becomes corrupted in some way.
1151 * in the initrd, once the rootfs encryption key has been measured to PCR 15,
1152   derive default machine ID to use from it, and pass it to host PID 1.
1154 * sd-boot: for each installed OS, grey out older entries (i.e. all but the
1155   newest), to indicate they are obsolete
1157 * automatically propagate LUKS password credential into cryptsetup from host
1158   (i.e. SMBIOS type #11, …), so that one can unlock LUKS via VM hypervisor
1159   supplied password.
1161 * add ability to path_is_valid() to classify paths that refer to a dir from
1162   those which may refer to anything, and use that in various places to filter
1163   early. i.e. stuff ending in "/", "/." and "/.." definitely refers to a
1164   directory, and paths ending that way can be refused early in many contexts.
1166 * systemd-measure: add --pcrpkey-auto as an alternative to --pcrpkey=, where it
1167   would just use the same public key specified with --public-key= (or the one
1168   automatically derived from --private-key=).
1170 * Add "purpose" flag to partition flags in discoverable partition spec that
1171   indicate if partition is intended for sysext, for portable service, for
1172   booting and so on. Then, when dissecting DDI allow specifying a purpose to
1173   use as additional search condition. Use case: images that combined a sysext
1174   partition with a portable service partition in one.
1176 * On boot, auto-generate an asymmetric key pair from the TPM,
1177   and use it for validating DDIs and credentials. Maybe upload it to the kernel
1178   keyring, so that the kernel does this validation for us for verity and kernel
1179   modules
1181 * lock down acceptable encrypted credentials at boot, via simple allowlist,
1182   maybe on kernel command line:
1183   systemd.import_encrypted_creds=foobar.waldo,tmpfiles.extra to protect locked
1184   down kernels from credentials generated on the host with a weak kernel
1186 * Merge systemd-creds options --uid= (which accepts user names) and --user.
1188 * Add support for extra verity configuration options to systemd-repart (FEC,
1189   hash type, etc)
1191 * chase(): take inspiration from path_extract_filename() and return
1192   O_DIRECTORY if input path contains trailing slash.
1194 * chase(): refuse resolution if trailing slash is specified on input,
1195   but final node is not a directory
1197 * document in boot loader spec that symlinks in XBOOTLDR/ESP are not OK even if
1198   non-VFAT fs is used.
1200 * measure credentials picked up from SMBIOS to some suitable PCR
1202 * measure GPT and LUKS headers somewhere when we use them (i.e. in
1203   systemd-gpt-auto-generator/systemd-repart and in systemd-cryptsetup?)
1205 * pick up creds from EFI vars
1207 * Add and pickup tpm2 metadata for creds structure.
1209 * sd-boot: we probably should include all BootXY EFI variable defined boot
1210   entries in our menu, and then suppress ourselves. Benefit: instant
1211   compatibility with all other OSes which register things there, in particular
1212   on other disks. Always boot into them via NextBoot EFI variable, to not
1213   affect PCR values.
1215 * systemd-measure tool:
1216   - pre-calculate PCR 12 (command line) + PCR 13 (sysext) the same way we can precalculate PCR 11
1218 * in sd-boot: load EFI drivers from a new PE section. That way, one can have a
1219   "supercharged" sd-boot binary, that could carry ext4 drivers built-in.
1221 * sd-device: add an API for acquiring list of child devices, given a device
1222   objects (i.e. all child dirents that dirs or symlinks to dirs)
1224 * sd-device: maybe pin the sysfs dir with an fd, during the entire runtime of
1225   an sd_device, then always work based on that.
1227 * maybe add new flags to gpt partition tables for rootfs and usrfs indicating
1228   purpose, i.e. whether something is supposed to be bootable in a VM, on
1229   baremetal, on an nspawn-style container, if it is a portable service image,
1230   or a sysext for initrd, for host os, or for portable container. Then hook
1231   portabled/… up to udev to watch block devices coming up with the flags set, and
1232   use it.
1234 * sd-boot should look for information what to boot in SMBIOS, too, so that VM
1235   managers can tell sd-boot what to boot into and suchlike
1237 * add "systemd-sysext identify" verb, that you can point on any file in /usr/
1238   and that determines from which overlayfs layer it originates, which image, and with
1239   what it was signed.
1241 * systemd-creds: extend encryption logic to support asymmetric
1242   encryption/authentication. Idea: add new verb "systemd-creds public-key"
1243   which generates a priv/pub key pair on the TPM2 and stores the priv key
1244   locally in /var. It then outputs a certificate for the pub part to stdout.
1245   This can then be copied/taken elsewhere, and can be used for encrypting creds
1246   that only the host on its specific hw can decrypt. Then, support a drop-in
1247   dir with certificates that can be used to authenticate credentials. Flow of
1248   operations is then this: build image with owner certificate, then after
1249   boot up issue "systemd-creds public-key" to acquire pubkey of the machine.
1250   Then, when passing data to the machine, sign with privkey belonging to one of
1251   the dropped in certs and encrypted with machine pubkey, and pass to machine.
1252   Machine is then able to authenticate you, and confidentiality is guaranteed.
1254 * building on top of the above, the pub/priv key pair generated on the TPM2
1255   should probably also one you can use to get a remote attestation quote.
1257 * Process credentials in:
1258   • crypttab-generator: allow defining additional crypttab-like volumes via
1259     credentials (similar: verity-generator, integrity-generator). Use
1260     fstab-generator logic as inspiration.
1261   • run-generator: allow defining additional commands to run via a credential
1262   • resolved: allow defining additional /etc/hosts entries via a credential (it
1263     might make sense to then synthesize a new combined /etc/hosts file in /run
1264     and bind mount it on /etc/hosts for other clients that want to read it.
1265   • repart: allow defining additional partitions via credential
1266   • timesyncd: pick NTP server info from credential
1267   • portabled: read a credential "portable.extra" or so, that takes a list of
1268     file system paths to enable on start.
1269   • make systemd-fstab-generator look for a system credential encoding root= or
1270     usr=
1271   • in gpt-auto-generator: check partition uuids against such uuids supplied via
1272     sd-stub credentials. That way, we can support parallel OS installations with
1273     pre-built kernels.
1275 * define a JSON format for units, separating out unit definitions from unit
1276   runtime state. Then, expose it:
1278   1. Add Describe() method to Unit D-Bus object that returns a JSON object
1279      about the unit.
1280   2. Expose this natively via Varlink, in similar style
1281   3. Use it when invoking binaries (i.e. make PID 1 fork off systemd-executor
1282      binary which reads the JSON definition and runs it), to address the cow
1283      trap issue and the fact that NSS is actually forbidden in
1284      forked-but-not-exec'ed children
1285   4. Add varlink API to run transient units based on provided JSON definitions
1287 * Add SUPPORT_END_URL= field to os-release with more *actionable* information
1288   what to do if support ended
1290 * pam_systemd: on interactive logins, maybe show SUPPORT_END information at
1291   login time, à la motd
1293 * sd-boot: instead of unconditionally deriving the ESP to search boot loader
1294   spec entries in from the paths of sd-boot binary, let's optionally allow it
1295   to be configured on sd-boot cmdline + efi var. Use case: embed sd-boot in the
1296   UEFI firmware (for example, ovmf supports that via qemu cmdline option), and
1297   use it to load stuff from the ESP.
1299 * mount /var/ from initrd, so that we can apply sysext and stuff before the
1300   initrd transition. Specifically:
1301   1. There should be a var= kernel cmdline option, matching root= and usr=
1302   2. systemd-gpt-auto-generator should auto-mount /var if it finds it on disk
1303   3. mount.x-initrd mount option in fstab should be implied for /var
1305 * make persistent restarts easier by adding a new setting OpenPersistentFile=
1306   or so, which allows opening one or more files that is "persistent" across
1307   service restarts, hot reboot, cold reboots (depending on configuration): the
1308   files are created empty on first invocation, and on subsequent invocations
1309   the files are reboot. The files would be backed by tmpfs, pmem or /var
1310   depending on desired level of persistency.
1312 * sd-event: add ability to "chain" event sources. Specifically, add a call
1313   sd_event_source_chain(x, y), which will automatically enable event source y
1314   in oneshot mode once x is triggered. Use case: in src/core/mount.c implement
1315   the /proc/self/mountinfo rescan on SIGCHLD with this: whenever a SIGCHLD is
1316   seen, trigger the rescan defer event source automatically, and allow it to be
1317   dispatched *before* the SIGCHLD is handled (based on priorities). Benefit:
1318   dispatch order is strictly controlled by priorities again. (next step: chain
1319   event sources to the ratelimit being over)
1321 * if we fork of a service with StandardOutput=journal, and it forks off a
1322   subprocess that quickly dies, we might not be able to identify the cgroup it
1323   comes from, but we can still derive that from the stdin socket its output
1324   came from. We apparently don't do that right now.
1326 * add ability to set hostname with suffix derived from machine id at boot
1328 * add PR_SET_DUMPABLE service setting
1330 * homed/userdb: maybe define a "companion" dir for home directories where apps
1331   can safely put privileged stuff in. Would not be writable by the user, but
1332   still conceptually belong to the user. Would be included in user's quota if
1333   possible, even if files are not owned by UID of user. Use case: container
1334   images that owned by arbitrary UIDs, and are owned/managed by the users, but
1335   are not directly belonging to the user's UID. Goal: we shouldn't place more
1336   privileged dirs inside of unprivileged dirs, and thus containers really
1337   should not be placed inside of traditional UNIX home dirs (which are owned by
1338   users themselves) but somewhere else, that is separate, but still close
1339   by. Inform user code about path to this companion dir via env var, so that
1340   container managers find it. the ~/.identity file is also a candidate for a
1341   file to move there, since it is managed by privileged code (i.e. homed) and
1342   not unprivileged code.
1344 * maybe add support for binding and connecting AF_UNIX sockets in the file
1345   system outside of the 108ch limit. When connecting, open O_PATH fd to socket
1346   inode first, then connect to /proc/self/fd/XYZ. When binding, create symlink
1347   to target dir in /tmp, and bind through it.
1349 * add a proper concept of a "developer" mode, i.e. where cryptographic
1350   protections of the root OS are weakened after interactive confirmation, to
1351   allow hackers to allow their own stuff. idea: allow entering developer mode
1352   only via explicit choice in boot menu: i.e. add explicit boot menu item for
1353   it. When developer mode is entered, generate a key pair in the TPM2, and add
1354   the public part of it automatically to keychain of valid code signature keys
1355   on subsequent boots. Then provide a tool to sign code with the key in the
1356   TPM2. Ensure that boot menu item is the only way to enter developer mode, by
1357   binding it to locality/PCRs so that keys cannot be generated otherwise.
1359 * services: add support for cryptographically unlocking per-service directories
1360   via TPM2. Specifically, for StateDirectory= (and related dirs) use fscrypt to
1361   set up the directory so that it can only be accessed if host and app are in
1362   order.
1364 * update HACKING.md to suggest developing systemd with the ideas from:
1365   https://0pointer.net/blog/testing-my-system-code-in-usr-without-modifying-usr.html
1366   https://0pointer.net/blog/running-an-container-off-the-host-usr.html
1368 * sd-event: compat wd reuse in inotify code: keep a set of removed watch
1369   descriptors, and clear this set piecemeal when we see the IN_IGNORED event
1370   for it, or when read() returns EAGAIN or on IN_Q_OVERFLOW. Then, whenever we
1371   see an inotify wd event check against this set, and if it is contained ignore
1372   the event. (to be fully correct this would have to count the occurrences, in
1373   case the same wd is reused multiple times before we start processing
1374   IN_IGNORED again)
1376 * for vendor-built signed initrds:
1377   - kernel-install should be able to install encrypted creds automatically for
1378     machine id, root pw, rootfs uuid, resume partition uuid, and place next to
1379     EFI kernel, for sd-stub to pick them up. These creds should be locked to
1380     the TPM, and bind to the right PCR the kernel is measured to.
1381   - kernel-install should be able to pick up initrd sysexts automatically and
1382     place them next to EFI kernel, for sd-stub to pick them up.
1383   - systemd-fstab-generator should look for rootfs device to mount in creds
1384   - systemd-resume-generator should look for resume partition uuid in creds
1385   - sd-stub: automatically pick up microcode from ESP (/loader/microcode/*)
1386     and synthesize initrd from it, and measure it. Signing is not necessary, as
1387     microcode does that on its own. Pass as first initrd to kernel.
1389 * Maybe extend the service protocol to support handling of some specific SIGRT
1390   signal for setting service log level, that carries the level via the
1391   sigqueue() data parameter. Enable this via unit file setting.
1393 * sd_notify/vsock: maybe support binding to AF_VSOCK in Type=notify services,
1394   then passing $NOTIFY_SOCKET and $NOTIFY_GUESTCID with PID1's cid (typically
1395   fixed to "2", i.e. the official host cid) and the expected guest cid, for the
1396   two sides of the channel. The latter env var could then be used in an
1397   appropriate qemu cmdline. That way qemu payloads could talk sd_notify()
1398   directly to host service manager.
1400 * sd-device should return the devnum type (i.e. 'b' or 'c') via some API for an
1401   sd_device object, so that data passed into sd_device_new_from_devnum() can
1402   also be queried.
1404 * sd-event: optionally, if per-event source rate limit is hit, downgrade
1405   priority, but leave enabled, and once ratelimit window is over, upgrade
1406   priority again. That way we can combat event source starvation without
1407   stopping processing events from one source entirely.
1409 * sd-event: similar to existing inotify support add fanotify support (given
1410   that apparently new features in this area are only going to be added to the
1411   latter).
1413 * sd-event: add 1st class event source for clock changes
1415 * sd-event: add 1st class event source for timezone changes
1417 * support uefi/http boots with sd-boot: instead of looking for dropin files in
1418   /loader/entries/ dir, look for a file /loader/entries/SHA256SUMS and use that
1419   as directory manifest. The file would be a standard directory listing as
1420   generated by GNU sha256sums.
1422 * sd-boot: maybe add support for embedding the various auxiliary resources we
1423   look for right in the sd-boot binary. i.e. take inspiration from sd-stub
1424   logic: allow combining sd-boot via ukify with kernels to enumerate, .conf
1425   files, drivers, keys to enroll and so on. Then, add whatever we find that way
1426   to the menu. Use case: allow building a single PE image you can boot into via
1427   UEFI HTTP boot.
1429 * maybe add a new UEFI stub binary "sd-http". It works similar to sd-stub, but
1430   all it does is download a file from a http server, and execute it, after
1431   optionally checking its hash sum. idea would be: combine this "sd-http" stub
1432   binary with some minimal info about a URL + hash sum, plus .osrel data, and
1433   drop it into the unified kernel dir in the ESP. And bam you have something
1434   that is tiny, feels a lot like a unified kernel, but all it does is chainload
1435   the real kernel. benefit: downloading these stubs would be tiny and quick,
1436   hence cheap for enumeration.
1438 * sysext: measure all activated sysext into a TPM PCR
1440 * systemd-dissect: show available versions inside of a disk image, i.e. if
1441   multiple versions are around of the same resource, show which ones. (in other
1442   words: show partition labels).
1444 * systemd-dissect: add --cat switch for dumping files such as /etc/os-release
1446 * per-service sandboxing option: ProtectIds=. If used, will overmount
1447   /etc/machine-id and /proc/sys/kernel/random/boot_id with synthetic files, to
1448   make it harder for the service to identify the host. Depending on the user
1449   setting it should be fully randomized at invocation time, or a hash of the
1450   real thing, keyed by the unit name or so. Of course, there are other ways to
1451   get these IDs (e.g. journal) or similar ids (e.g. MAC addresses, DMI ids, CPU
1452   ids), so this knob would only be useful in combination with other lockdown
1453   options. Particularly useful for portable services, and anything else that
1454   uses RootDirectory= or RootImage=. (Might also over-mount
1455   /sys/class/dmi/id/*{uuid,serial} with /dev/null).
1457 * doc: prep a document explaining resolved's internal objects, i.e. Query
1458   vs. Question vs. Transaction vs. Stream and so on.
1460 * doc: prep a document explaining PID 1's internal logic, i.e. transactions,
1461   jobs, units
1463 * automatically ignore threaded cgroups in cg_xyz().
1465 * add linker script that implicitly adds symbol for build ID and new coredump
1466   json package metadata, and use that when logging
1468 * Enable RestrictFileSystems= for all our long-running services (similar:
1469   RestrictNetworkInterfaces=)
1471 * Add systemd-analyze security checks for RestrictFileSystems= and
1472   RestrictNetworkInterfaces=
1474 * cryptsetup/homed: implement TOTP authentication backed by TPM2 and its
1475   internal clock.
1477 * man: rework os-release(5), and clearly separate our extension-release.d/ and
1478   initrd-release parts, i.e. list explicitly which fields are about what.
1480 * sysext: before applying a sysext, do a superficial validation run so that
1481   things are not rearranged to wildy. I.e. protect against accidental fuckups,
1482   such as masking out /usr/lib/ or so. We should probably refuse if existing
1483   inodes are replaced by other types of inodes or so.
1485 * userdb: when synthesizing NSS records, pick "best" password from defined
1486   passwords, not just the first. i.e. if there are multiple defined, prefer
1487   unlocked over locked and prefer non-empty over empty.
1489 * homed: if the homed shell fallback thing has access to an SSH agent, try to
1490   use it to unlock home dir (if ssh-agent forwarding is enabled). We
1491   could implement SSH unlocking of a homedir with that: when enrolling a new
1492   ssh pubkey in a user record we'd ask the ssh-agent to sign some random value
1493   with the privkey, then use that as luks key to unlock the home dir. Will not
1494   work for ECDSA keys since their signatures contain a random component, but
1495   will work for RSA and Ed25519 keys.
1497 * add tiny service that decrypts encrypted user records passed via initrd
1498   credential logic and drops them into /run where nss-systemd can pick them up,
1499   similar to /run/host/userdb/. Use case: drop a root user JSON record there,
1500   and use it in the initrd to log in as root with locally selected password,
1501   for debugging purposes. Other use case: boot into qemu with regular user
1502   mounted from host. maybe put this in systemd-user-sessions.service?
1504 * drop dependency on libcap, replace by direct syscalls based on
1505   CapabilityQuintet we already have. (This likely allows us to drop libcap
1506   dep in the base OS image)
1508 * userdbd: implement an additional varlink service socket that provides the
1509   host user db in restricted form, then allow this to be bind mounted into
1510   sandboxed environments that want the host database in minimal form. All
1511   records would be stripped of all meta info, except the basic UID/name
1512   info. Then use this in portabled environments that do not use PrivateUsers=1.
1514 * portabled: when extracting unit files and copying to system.attached, if a
1515   .p7s is available in the image, use it to protect the system.attached copy
1516   with fs-verity, so that it cannot be tampered with
1518 * /etc/veritytab: allow that the roothash column can be specified as fs path
1519   including a path to an AF_UNIX path, similar to how we do things with the
1520   keys of /etc/crypttab. That way people can store/provide the roothash
1521   externally and provide to us on demand only.
1523 * we probably should extend the root verity hash of the root fs into some PCR
1524   on boot. (i.e. maybe add a veritytab option tpm2-measure=12 or so to measure
1525   it into PCR 12); Similar: we probably should extend the LUKS volume key of
1526   the root fs into some PCR on boot. (i.e. maybe add a crypttab option
1527   tpm2-measure=15 or so to measure it into PCR 15); once both are in place
1528   update gpt-auto-discovery to generate these by default for the partitions it
1529   discovers. Static vendor stuff should probably end up in PCR 12 (i.e. the
1530   verity hash), with local keys in PCR 15 (i.e. the encryption volume
1531   key). That way, we nicely distinguish resources supplied by the OS vendor
1532   (i.e. sysext, root verity) from those inherently local (i.e. encryption key),
1533   which is useful if they shall be signed separately.
1535 * in uefi stub: query firmware regarding which PCR banks are being used, store
1536   that in EFI var. then use this when enrolling TPM2 in cryptsetup to verify
1537   that the selected PCRs actually are used by firmware.
1539 * rework recursive read-only remount to use new mount API
1541 * when mounting disk images: if IMAGE_ID/IMAGE_VERSION is set in os-release
1542   data in the image, make sure the image filename actually matches this, so
1543   that images cannot be misused.
1545 * New udev block device symlink names:
1546   /dev/disk/by-parttypelabel/<pttype>-<ptlabel>. Use case: if pt label is used
1547   as partition image version string, this is a safe way to reference a specific
1548   version of a specific partition type, in particular where related partitions
1549   are processed (e.g. verity + rootfs both named "LennartOS_0.7").
1551 * sysupdate:
1552   - add fuzzing to the pattern parser
1553   - support casync as download mechanism
1554   - "systemd-sysupdate update --all" support, that iterates through all components
1555     defined on the host, plus all images installed into /var/lib/machines/,
1556     /var/lib/portable/ and so on.
1557   - Allow invocation with a single transfer definition, i.e. with
1558     --definitions= pointing to a file rather than a dir.
1559   - add ability to disable implicit decompression of downloaded artifacts,
1560     i.e. a Compress=no option in the transfer definitions
1562 * in sd-id128: also parse UUIDs in RFC4122 URN syntax (i.e. chop off urn:uuid: prefix)
1564 * systemd-sysext: optionally, run it in initrd already, before transitioning
1565   into host, to open up possibility for services shipped like that.
1567 * introduce /dev/disk/root/* symlinks that allow referencing partitions on the
1568   disk the rootfs is on in a reasonably secure way. (or maybe: add
1569   /dev/gpt-auto-{home,srv,boot,…} similar in style to /dev/gpt-auto-root as we
1570   already have it.
1572 * whenever we receive fds via SCM_RIGHTS make sure none got dropped due to the
1573   reception limit the kernel silently enforces.
1575 * Add service unit setting ConnectStream= which takes IP addresses and connects to them.
1577 * Similar, Load= which takes literal data in text or base64 format, and puts it
1578   into a memfd, and passes that. This enables some fun stuff, such as embedding
1579   bash scripts in unit files, by combining Load= with ExecStart=/bin/bash
1580   /proc/self/fd/3
1582 * add a ConnectSocket= setting to service unit files, that may reference a
1583   socket unit, and which will connect to the socket defined therein, and pass
1584   the resulting fd to the service program via socket activation proto.
1586 * Add a concept of ListenStream=anonymous to socket units: listen on a socket
1587   that is deleted in the fs. Use case would be with ConnectSocket= above.
1589 * importd: support image signature verification with PKCS#7 + OpenBSD signify
1590   logic, as alternative to crummy gpg
1592 * add "systemd-analyze debug" + AttachDebugger= in unit files: The former
1593   specifies a command to execute; the latter specifies that an already running
1594   "systemd-analyze debug" instance shall be contacted and execution paused
1595   until it gives an OK. That way, tools like gdb or strace can be safely be
1596   invoked on processes forked off PID 1.
1598 * expose MS_NOSYMFOLLOW in various places
1600 * credentials system:
1601   - acquire from EFI variable?
1602   - acquire via ask-password?
1603   - acquire creds via keyring?
1604   - pass creds via keyring?
1605   - pass creds via memfd?
1606   - acquire + decrypt creds from pkcs11?
1607   - make macsec code in networkd read key via creds logic (copy logic from
1608     wireguard)
1609   - make gatewayd/remote read key via creds logic
1610   - add sd_notify() command for flushing out creds not needed anymore
1612 * TPM2: auto-reenroll in cryptsetup, as fallback for hosed firmware upgrades
1613   and such
1615 * introduce a new group to own TPM devices
1617 * cryptsetup: add option for automatically removing empty password slot on boot
1619 * cryptsetup: optionally, when run during boot-up and password is never
1620   entered, and we are on battery power (or so), power off machine again
1622 * cryptsetup: when waiting for FIDO2/PKCS#11 token, tell plymouth that, and
1623   allow plymouth to abort the waiting and enter pw instead
1625 * make cryptsetup lower --iter-time
1627 * cryptsetup: allow encoding key directly in /etc/crypttab, maybe with a
1628   "base64:" prefix. Useful in particular for pkcs11 mode.
1630 * cryptsetup: reimplement the mkswap/mke2fs in cryptsetup-generator to use
1631   systemd-makefs.service instead.
1633 * cryptsetup:
1634   - cryptsetup-generator: allow specification of passwords in crypttab itself
1635   - support rd.luks.allow-discards= kernel cmdline params in cryptsetup generator
1637 * systemd-analyze netif that explains predictable interface (or networkctl)
1639 * systemd-analyze inspect-elf should show other notes too, at least build-id.
1641 * Figure out naming of verbs in systemd-analyze: we have (singular) capability,
1642   exit-status, but (plural) filesystems, architectures.
1644 * Add service setting to run a service within the specified VRF. i.e. do the
1645   equivalent of "ip vrf exec".
1647 * special case some calls of chase() to use openat2() internally, so
1648   that the kernel does what we otherwise do.
1650 * add a new flag to chase() that stops chasing once the first missing
1651   component is found and then allows the caller to create the rest.
1653 * make use of new glibc 2.32 APIs sigabbrev_np().
1655 * if /usr/bin/swapoff fails due to OOM, log a friendly explanatory message about it
1657 * pid1: also remove PID files of a service when the service starts, not just
1658   when it exits
1660 * make us use dynamically fewer deps for containers in general purpose distros:
1661   o turn into dlopen() deps:
1662     - libblkid (only in RootImage= handling in PID 1, but not elsewhere)
1663     - libpam (only when called from PID 1)
1665 * seccomp: maybe use seccomp_merge() to merge our filters per-arch if we can.
1666   Apparently kernel performance is much better with fewer larger seccomp
1667   filters than with more smaller seccomp filters.
1669 * systemd-path: Add "private" runtime/state/cache dir enum, mapping to
1670   $RUNTIME_DIRECTORY, $STATE_DIRECTORY and such
1672 * seccomp: by default mask x32 ABI system wide on x86-64. it's on its way out
1674 * seccomp: don't install filters for ABIs that are masked anyway for the
1675   specific service
1677 * busctl: maybe expose a verb "ping" for pinging a dbus service to see if it
1678   exists and responds.
1680 * socket units: allow creating a udev monitor socket with ListenDevices= or so,
1681   with matches, then activate app through that passing socket over
1683 * unify on openssl:
1684   - kill gnutls support in resolved
1685   - figure out what to do about libmicrohttpd, which has a hard dependency on
1686     gnutls
1687   - port fsprg over to a dlopen lib, then switch it to openssl
1689 * add growvol and makevol options for /etc/crypttab, similar to
1690   x-systemd.growfs and x-systemd-makefs.
1692 * userdb: allow uid/gid range checks
1694 * userdb: allow existence checks
1696 * pid1: activation by journal search expression
1698 * when switching root from initrd to host, set the machine_id env var so that
1699   if the host has no machine ID set yet we continue to use the random one the
1700   initrd had set.
1702 * sd-event: add native support for P_ALL waitid() watching, then move PID 1 to
1703   it for reaping assigned but unknown children. This needs to some special care
1704   to operate somewhat sensibly in light of priorities: P_ALL will return
1705   arbitrary processes, regardless of the priority we want to watch them with,
1706   hence on each event loop iteration check all processes which we shall watch
1707   with higher prio explicitly, and then watch the entire rest with P_ALL.
1709 * tweak sd-event's child watching: keep a prioq of children to watch and use
1710   waitid() only on the children with the highest priority until one is waitable
1711   and ignore all lower-prio ones from that point on
1713 * maybe introduce xattrs that can be set on the root dir of the root fs
1714   partition that declare the volatility mode to use the image in. Previously I
1715   thought marking this via GPT partition flags but that's not ideal since
1716   that's outside of the LUKS encryption/verity verification, and we probably
1717   shouldn't operate in a volatile mode unless we got told so from a trusted
1718   source.
1720 * coredump: maybe when coredumping read a new xattr from /proc/$PID/exe that
1721   may be used to mark a whole binary as non-coredumpable. Would fix:
1722   https://bugs.freedesktop.org/show_bug.cgi?id=69447
1724 * teach parse_timestamp() timezones like the calendar spec already knows it
1726 * We should probably replace /etc/rc.d/README with a symlink to doc
1727   content. After all it is constant vendor data.
1729 * maybe add kernel cmdline params: to force random seed crediting
1731 * let's not GC a unit while its ratelimits are still pending
1733 * when killing due to service watchdog timeout maybe detect whether target
1734   process is under ptracing and then log loudly and continue instead.
1736 * make rfkill uaccess controllable by default, i.e. steal rule from
1737   gnome-bluetooth and friends
1739 * make MAINPID= message reception checks even stricter: if service uses User=,
1740   then check sending UID and ignore message if it doesn't match the user or
1741   root.
1743 * maybe trigger a uevent "change" on a device if "systemctl reload xyz.device"
1744   is issued.
1746 * when importing an fs tree with machined, optionally apply userns-rec-chown
1748 * when importing an fs tree with machined, complain if image is not an OS
1750 * Maybe introduce a helper safe_exec() or so, which is to execve() which
1751   safe_fork() is to fork(). And then make revert the RLIMIT_NOFILE soft limit
1752   to 1K implicitly, unless explicitly opted-out.
1754 * rework seccomp/nnp logic that even if User= is used in combination with
1755   a seccomp option we don't have to set NNP. For that, change uid first whil
1756   keeping CAP_SYS_ADMIN, then apply seccomp, the drop cap.
1758 * when no locale is configured, default to UEFI's PlatformLang variable
1760 * add a new syscall group "@esoteric" for more esoteric stuff such as bpf() and
1761   usefaultd() and make systemd-analyze check for it.
1763 * paranoia: whenever we process passwords, call mlock() on the memory
1764   first. i.e. look for all places we use free_and_erasep() and
1765   augment them with mlock(). Also use MADV_DONTDUMP.
1766   Alternatively (preferably?) use memfd_secret().
1768 * Move RestrictAddressFamily= to the new cgroup create socket
1770 * optionally: turn on cgroup delegation for per-session scope units
1772 * sd-boot: optionally, show boot menu when previous default boot item has
1773   non-zero "tries done" count
1775 * augment CODE_FILE=, CODE_LINE= with something like CODE_BASE= or so which
1776   contains some identifier for the project, which allows us to include
1777   clickable links to source files generating these log messages. The identifier
1778   could be some abberviated URL prefix or so (taking inspiration from Go
1779   imports). For example, for systemd we could use
1780   CODE_BASE=github.com/systemd/systemd/blob/98b0b1123cc or so which is
1781   sufficient to build a link by prefixing "http://" and suffixing the
1782   CODE_FILE.
1784 * Augment MESSAGE_ID with MESSAGE_BASE, in a similar fashion so that we can
1785   make clickable links from log messages carrying a MESSAGE_ID, that lead to
1786   some explanatory text online.
1788 * maybe extend .path units to expose fanotify() per-mount change events
1790 * hibernate/s2h: if swap is on weird storage and refuse if so
1792 * cgroups: use inotify to get notified when somebody else modifies cgroups
1793   owned by us, then log a friendly warning.
1795 * beef up log.c with support for stripping ANSI sequences from strings, so that
1796   it is OK to include them in log strings. This would be particularly useful so
1797   that our log messages could contain clickable links for example for unit
1798   files and suchlike we operate on.
1800 * add support for "portablectl attach http://foobar.com/waaa.raw (i.e. importd integration)
1802 * sync dynamic uids/gids between host+portable srvice (i.e. if DynamicUser=1 is set for a service, make sure that the
1803   selected user is resolvable in the service even if it ships its own /etc/passwd)
1805 * Fix DECIMAL_STR_MAX or DECIMAL_STR_WIDTH. One includes a trailing NUL, the
1806   other doesn't. What a disaster. Probably to exclude it.
1808 * Check that users of inotify's IN_DELETE_SELF flag are using it properly, as
1809   usually IN_ATTRIB is the right way to watch deleted files, as the former only
1810   fires when a file is actually removed from disk, i.e. the link count drops to
1811   zero and is not open anymore, while the latter happens when a file is
1812   unlinked from any dir.
1814 * systemctl, machinectl, loginctl: port "status" commands over to
1815   format-table.c's vertical output logic.
1817 * pid1: lock image configured with RootDirectory=/RootImage= using the usual nspawn semantics while the unit is up
1819 * add --vacuum-xyz options to coredumpctl, matching those journalctl already has.
1821 * add CopyFile= or so as unit file setting that may be used to copy files or
1822   directory trees from the host to the services RootImage= and RootDirectory=
1823   environment. Which we can use for /etc/machine-id and in particular
1824   /etc/resolv.conf. Should be smart and do something useful on read-only
1825   images, for example fall back to read-only bind mounting the file instead.
1827 * bypass SIGTERM state in unit files if KillSignal is SIGKILL
1829 * add proper dbus APIs for the various sd_notify() commands, such as MAINPID=1
1830   and so on, which would mean we could report errors and such.
1832 * introduce DefaultSlice= or so in system.conf that allows changing where we
1833   place our units by default, i.e. change system.slice to something
1834   else. Similar, ManagerSlice= should exist so that PID1's own scope unit could
1835   be moved somewhere else too. Finally machined and logind should get similar
1836   options so that it is possible to move user session scopes and machines to a
1837   different slice too by default. Use case: people who want to put resources on
1838   the entire system, with the exception of one specific service. See:
1839   https://lists.freedesktop.org/archives/systemd-devel/2018-February/040369.html
1841 * calenderspec: add support for week numbers and day numbers within a
1842   year. This would allow us to define "bi-weekly" triggers safely.
1844 * sd-bus: add vtable flag, that may be used to request client creds implicitly
1845   and asynchronously before dispatching the operation
1847 * sd-bus: parse addresses given in sd_bus_set_addresses immediately and not
1848   only when used. Add unit tests.
1850 * make use of ethtool veth peer info in machined, for automatically finding out
1851   host-side interface pointing to the container.
1853 * add some special mode to LogsDirectory=/StateDirectory=… that allows
1854   declaring these directories without necessarily pulling in deps for them, or
1855   creating them when starting up. That way, we could declare that
1856   systemd-journald writes to /var/log/journal, which could be useful when we
1857   doing disk usage calculations and so on.
1859 * deprecate RootDirectoryStartOnly= in favour of a new ExecStart= prefix char
1861 * support projid-based quota in machinectl for containers
1863 * add a way to lock down cgroup migration: a boolean, which when set for a unit
1864   makes sure the processes in it can never migrate out of it
1866 * blog about fd store and restartable services
1868 * document Environment=SYSTEMD_LOG_LEVEL=debug drop-in in debugging document
1870 * rework ExecOutput and ExecInput enums so that EXEC_OUTPUT_NULL loses its
1871   magic meaning and is no longer upgraded to something else if set explicitly.
1873 * in the long run: permit a system with /etc/machine-id linked to /dev/null, to
1874   make it lose its identity, i.e. be anonymous. For this we'd have to patch
1875   through the whole tree to make all code deal with the case where no machine
1876   ID is available.
1878 * optionally, collect cgroup resource data, and store it in per-unit RRD files,
1879   suitable for processing with rrdtool. Add bus API to access this data, and
1880   possibly implement a CPULoad property based on it.
1882 * beef up pam_systemd to take unit file settings such as cgroups properties as
1883   parameters
1885 * maybe hook up xfs/ext4 quotactl() with services? i.e. automatically manage
1886   the quota of the user indicated in User= via unit file settings, like the
1887   other resource management concepts. Would mix nicely with DynamicUser=1. Or
1888   alternatively, do this with projids, so that we can also cover services
1889   running as root. Quota should probably cover all the special dirs such as
1890   StateDirectory=, LogsDirectory=, CacheDirectory=, as well as RootDirectory= if it
1891   is set, plus the whole disk space any image configured with RootImage=.
1893 * In DynamicUser= mode: before selecting a UID, use disk quota APIs on relevant
1894   disks to see if the UID is already in use.
1896 * Add AddUser= setting to unit files, similar to DynamicUser=1 which however
1897   creates a static, persistent user rather than a dynamic, transient user. We
1898   can leverage code from sysusers.d for this.
1900 * add some optional flag to ReadWritePaths= and friends, that has the effect
1901   that we create the dir in question when the service is started. Example:
1903   ReadWritePaths=:/var/lib/foobar
1905 * Add ExecMonitor= setting. May be used multiple times. Forks off a process in
1906   the service cgroup, which is supposed to monitor the service, and when it
1907   exits the service is considered failed by its monitor.
1909 * track the per-service PAM process properly (i.e. as an additional control
1910   process), so that it may be queried on the bus and everything.
1912 * add a new "debug" job mode, that is propagated to unit_start() and for
1913   services results in two things: we raise SIGSTOP right before invoking
1914   execve() and turn off watchdog support. Then, use that to implement
1915   "systemd-gdb" for attaching to the start-up of any system service in its
1916   natural habitat.
1918 * gpt-auto logic: support encrypted swap, add kernel cmdline option to force
1919   it, and honour a gpt bit about it, plus maybe a configuration file
1921 * add a percentage syntax for TimeoutStopSec=, e.g. TimeoutStopSec=150%, and
1922   then use that for the setting used in user@.service. It should be understood
1923   relative to the configured default value.
1925 * enable LockMLOCK to take a percentage value relative to physical memory
1927 * Permit masking specific netlink APIs with RestrictAddressFamily=
1929 * define gpt header bits to select volatility mode
1931 * ProtectClock= (drops CAP_SYS_TIMES, adds seecomp filters for settimeofday, adjtimex), sets DeviceAllow o /dev/rtc
1933 * ProtectTracing= (drops CAP_SYS_PTRACE, blocks ptrace syscall, makes /sys/kernel/tracing go away)
1935 * ProtectMount= (drop mount/umount/pivot_root from seccomp, disallow fuse via DeviceAllow, imply Mountflags=slave)
1937 * ProtectKeyRing= to take keyring calls away
1939 * RemoveKeyRing= to remove all keyring entries of the specified user
1941 * ProtectReboot= that masks reboot() and kexec_load() syscalls, prohibits kill
1942   on PID 1 with the relevant signals, and makes relevant files in /sys and
1943   /proc (such as the sysrq stuff) unavailable
1945 * Support ReadWritePaths/ReadOnlyPaths/InaccessiblePaths in systemd --user instances
1946   via the new unprivileged Landlock LSM (https://landlock.io)
1948 * make sure the ratelimit object can deal with USEC_INFINITY as way to turn off things
1950 * in nss-systemd, if we run inside of RootDirectory= with PrivateUsers= set,
1951   find a way to map the User=/Group= of the service to the right name. This way
1952   a user/group for a service only has to exist on the host for the right
1953   mapping to work.
1955 * add bus API for creating unit files in /etc, reusing the code for transient units
1957 * add bus API to remove unit files from /etc
1959 * add bus API to retrieve current unit file contents (i.e. implement "systemctl cat" on the bus only)
1961 * rework fopen_temporary() to make use of open_tmpfile_linkable() (problem: the
1962   kernel doesn't support linkat() that replaces existing files, currently)
1964 * transient units: don't bother with actually setting unit properties, we
1965   reload the unit file anyway
1967 * optionally, also require WATCHDOG=1 notifications during service start-up and shutdown
1969 * cache sd_event_now() result from before the first iteration...
1971 * PID1: find a way how we can reload unit file configuration for
1972   specific units only, without reloading the whole of systemd
1974 * add an explicit parser for LimitRTPRIO= that verifies
1975   the specified range and generates sane error messages for incorrect
1976   specifications.
1978 * when we detect that there are waiting jobs but no running jobs, do something
1980 * PID 1 should send out sd_notify("WATCHDOG=1") messages (for usage in the --user mode, and when run via nspawn)
1982 * there's probably something wrong with having user mounts below /sys,
1983   as we have for debugfs. for example, src/core/mount.c handles mounts
1984   prefixed with /sys generally special.
1985   https://lists.freedesktop.org/archives/systemd-devel/2015-June/032962.html
1987 * fstab-generator: default to tmpfs-as-root if only usr= is specified on the kernel cmdline
1989 * docs: bring https://systemd.io/MY_SERVICE_CANT_GET_REALTIME up to date
1991 * add a job mode that will fail if a transaction would mean stopping
1992   running units. Use this in timedated to manage the NTP service
1993   state.
1994   https://lists.freedesktop.org/archives/systemd-devel/2015-April/030229.html
1996 * The udev blkid built-in should expose a property that reflects
1997   whether media was sensed in USB CF/SD card readers. This should then
1998   be used to control SYSTEMD_READY=1/0 so that USB card readers aren't
1999   picked up by systemd unless they contain a medium. This would mirror
2000   the behaviour we already have for CD drives.
2002 * hostnamectl: show root image uuid
2004 * Find a solution for SMACK capabilities stuff:
2005   https://lists.freedesktop.org/archives/systemd-devel/2014-December/026188.html
2007 * synchronize console access with BSD locks:
2008   https://lists.freedesktop.org/archives/systemd-devel/2014-October/024582.html
2010 * as soon as we have sender timestamps, revisit coalescing multiple parallel daemon reloads:
2011   https://lists.freedesktop.org/archives/systemd-devel/2014-December/025862.html
2013 * figure out when we can use the coarse timers
2015 * maybe allow timer units with an empty Units= setting, so that they
2016   can be used for resuming the system but nothing else.
2018 * what to do about udev db binary stability for apps? (raw access is not an option)
2020 * exponential backoff in timesyncd when we cannot reach a server
2022 * timesyncd: add ugly bus calls to set NTP servers per-interface, for usage by NM
2024 * add systemd.abort_on_kill or some other such flag to send SIGABRT instead of SIGKILL
2025   (throughout the codebase, not only PID1)
2027 * drop nss-myhostname in favour of nss-resolve?
2029 * resolved:
2030   - mDNS/DNS-SD
2031         - service registration
2032         - service/domain/types browsing
2033         - avahi compat
2034   - DNS-SD service registration from socket units
2035   - resolved should optionally register additional per-interface LLMNR
2036     names, so that for the container case we can establish the same name
2037     (maybe "host") for referencing the server, everywhere.
2038   - allow clients to request DNSSEC for a single lookup even if DNSSEC is off (?)
2039   - hook up resolved with machined-based address resolution
2041 * refcounting in sd-resolve is borked
2043 * add new gpt type for btrfs volumes
2045 * generator that automatically discovers btrfs subvolumes, identifies their purpose based on some xattr on them.
2047 * a way for container managers to turn off getty starting via $container_headless= or so...
2049 * figure out a nice way how we can let the admin know what child/sibling unit causes cgroup membership for a specific unit
2051 * For timer units: add some mechanisms so that timer units that trigger immediately on boot do not have the services
2052   they run added to the initial transaction and thus confuse Type=idle.
2054 * add bus api to query unit file's X fields.
2056 * gpt-auto-generator:
2057   - Define new partition type for encrypted swap? Support probed LUKS for encrypted swap?
2058   - Make /home automount rather than mount?
2060 * add generator that pulls in systemd-network from containers when
2061   CAP_NET_ADMIN is set, more than the loopback device is defined, even
2062   when it is otherwise off
2064 * MessageQueueMessageSize= (and suchlike) should use parse_iec_size().
2066 * implement Distribute= in socket units to allow running multiple
2067   service instances processing the listening socket, and open this up
2068   for ReusePort=
2070 * cgroups:
2071   - implement per-slice CPUFairScheduling=1 switch
2072   - introduce high-level settings for RT budget, swappiness
2073   - how to reset dynamically changed unit cgroup attributes sanely?
2074   - when reloading configuration, apply new cgroup configuration
2075   - when recursively showing the cgroup hierarchy, optionally also show
2076     the hierarchies of child processes
2077   - add settings for cgroup.max.descendants and cgroup.max.depth,
2078     maybe use them for user@.service
2080 * transient units:
2081   - add field to transient units that indicate whether systemd or somebody else saves/restores its settings, for integration with libvirt
2083 * libsystemd-journal, libsystemd-login, libudev: add calls to easily attach these objects to sd-event event loops
2085 * be more careful what we export on the bus as (usec_t) 0 and (usec_t) -1
2087 * rfkill,backlight: we probably should run the load tools inside of the udev rules so that the state is properly initialized by the time other software sees it
2089 * If we try to find a unit via a dangling symlink, generate a clean
2090   error. Currently, we just ignore it and read the unit from the search
2091   path anyway.
2093 * refuse boot if /usr/lib/os-release is missing or /etc/machine-id cannot be set up
2095 * man: the documentation of Restart= currently is very misleading and suggests the tools from ExecStartPre= might get restarted.
2097 * There's currently no way to cancel fsck (used to be possible via C-c or c on the console)
2099 * add option to sockets to avoid activation. Instead just drop packets/connections, see http://cyberelk.net/tim/2012/02/15/portreserve-systemd-solution/
2101 * make sure systemd-ask-password-wall does not shutdown systemd-ask-password-console too early
2103 * verify that the AF_UNIX sockets of a service in the fs still exist
2104   when we start a service in order to avoid confusion when a user
2105   assumes starting a service is enough to make it accessible
2107 * Make it possible to set the keymap independently from the font on
2108   the kernel cmdline. Right now setting one resets also the other.
2110 * and a dbus call to generate target from current state
2112 * investigate whether the gnome pty helper should be moved into systemd, to provide cgroup support.
2114 * dot output for --test showing the 'initial transaction'
2116 * be able to specify a forced restart of service A where service B depends on, in case B
2117   needs to be auto-respawned?
2119 * pid1:
2120   - When logging about multiple units (stopping BoundTo units, conflicts, etc.),
2121     log both units as UNIT=, so that journalctl -u triggers on both.
2122   - generate better errors when people try to set transient properties
2123     that are not supported...
2124     https://lists.freedesktop.org/archives/systemd-devel/2015-February/028076.html
2125   - recreate systemd's D-Bus private socket file on SIGUSR2
2126   - when we automatically restart a service, ensure we restart its rdeps, too.
2127   - hide PAM options in fragment parser when compile time disabled
2128   - Support --test based on current system state
2129   - If we show an error about a unit (such as not showing up) and it has no Description string, then show a description string generated form the reverse of unit_name_mangle().
2130   - after deserializing sockets in socket.c we should reapply sockopts and things
2131   - drop PID 1 reloading, only do reexecing (difficult: Reload()
2132     currently is properly synchronous, Reexec() is weird, because we
2133     cannot delay the response properly until we are back, so instead of
2134     being properly synchronous we just keep open the fd and close it
2135     when done. That means clients do not get a successful method reply,
2136     but much rather a disconnect on success.
2137   - when breaking cycles drop sysv services first, then services from /run, then from /etc, then from /usr
2138   - when a bus name of a service disappears from the bus make sure to queue further activation requests
2139   - maybe introduce CoreScheduling=yes/no to optionally set a PR_SCHED_CORE cookie, so that all
2140     processes in a service's cgroup share the same cookie and are guaranteed not to share SMT cores
2141     with other units https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/tree/Documentation/admin-guide/hw-vuln/core-scheduling.rst
2142   - ExtensionImages= deduplication for services is currently only applied to disk images without GPT envelope.
2143     This should be extended to work with proper DDIs too, as well as directory confext/sysext. Moreover,
2144     system-wide confext/sysext should support this too.
2145   - Pin the mount namespace via FD by sending it back from sd-exec to the manager, and use it
2146     for live mounting, instead of doing it via PID
2148 * unit files:
2149   - allow port=0 in .socket units
2150   - maybe introduce ExecRestartPre=
2151   - implement Register= switch in .socket units to enable registration
2152     in Avahi, RPC and other socket registration services.
2153   - allow Type=simple with PIDFile=
2154     https://bugzilla.redhat.com/show_bug.cgi?id=723942
2155   - allow writing multiple conditions in unit files on one line
2156   - introduce Type=pid-file
2157   - add a concept of RemainAfterExit= to scope units
2158   - Allow multiple ExecStart= for all Type= settings, so that we can cover rescue.service nicely
2159   - add verification of [Install] section to systemd-analyze verify
2161 * timer units:
2162   - timer units should get the ability to trigger when DST changes
2163   - Modulate timer frequency based on battery state
2165 * add libsystemd-password or so to query passwords during boot using the password agent logic
2167 * clean up date formatting and parsing so that all absolute/relative timestamps we format can also be parsed
2169 * on shutdown: move utmp, wall, audit logic all into PID 1 (or logind?), get rid of systemd-update-utmp-runlevel
2171 * make repeated alt-ctrl-del presses printing a dump
2173 * currently x-systemd.timeout is lost in the initrd, since crypttab is copied into dracut, but fstab is not
2175 * add a pam module that on password changes updates any LUKS slot where the password matches
2177 * test/:
2178   - add unit tests for config_parse_device_allow()
2180 * seems that when we follow symlinks to units we prefer the symlink
2181   destination path over /etc and /usr. We should not do that. Instead
2182   /etc should always override /run+/usr and also any symlink
2183   destination.
2185 * when isolating, try to figure out a way how we implicitly can order
2186   all units we stop before the isolating unit...
2188 * teach ConditionKernelCommandLine= globs or regexes (in order to match foobar={no,0,off})
2190 * Add ConditionDirectoryNotEmpty= handle non-absoute paths as a search path or add
2191   ConditionConfigSearchPathNotEmpty= or different syntax? See the discussion starting at
2192   https://github.com/systemd/systemd/pull/15109#issuecomment-607740136.
2194 * BootLoaderSpec: Define a way how an installer can figure out whether a BLS
2195   compliant boot loader is installed.
2197 * think about requeuing jobs when daemon-reload is issued? use case:
2198   the initrd issues a reload after fstab from the host is accessible
2199   and we might want to requeue the mounts local-fs acquired through
2200   that automatically.
2202 * systemd-inhibit: make taking delay locks useful: support sending SIGINT or SIGTERM on PrepareForSleep()
2204 * remove any syslog support from log.c — we probably cannot do this before split-off udev is gone for good
2206 * shutdown logging: store to EFI var, and store to USB stick?
2208 * merge unit_kill_common() and unit_kill_context()
2210 * add a dependency on standard-conf.xml and other included files to man pages
2212 * MountFlags=shared acts as MountFlags=slave right now.
2214 * properly handle loop back mounts via fstab, especially regards to fsck/passno
2216 * initialize the hostname from the fs label of /, if /etc/hostname does not exist?
2218 * sd-bus:
2219   - EBADSLT handling
2220   - GetAllProperties() on a non-existing object does not result in a failure currently
2221   - port to sd-resolve for connecting to TCP dbus servers
2222   - see if we can introduce a new sd_bus_get_owner_machine_id() call to retrieve the machine ID of the machine of the bus itself
2223   - see if we can drop more message validation on the sending side
2224   - add API to clone sd_bus_message objects
2225   - longer term: priority inheritance
2226   - dbus spec updates:
2227        - NameLost/NameAcquired obsolete
2228        - path escaping
2229   - update systemd.special(7) to mention that dbus.socket is only about the compatibility socket now
2231 * sd-event
2232   - allow multiple signal handlers per signal?
2233   - document chaining of signal handler for SIGCHLD and child handlers
2234   - define more intervals where we will shift wakeup intervals around in, 1h, 6h, 24h, ...
2235   - maybe support iouring as backend, so that we allow hooking read and write
2236     operations instead of IO ready events into event loops. See considerations
2237     here:
2238     http://blog.vmsplice.net/2020/07/rethinking-event-loop-integration-for.html
2240 * dbus: when a unit failed to load (i.e. is in UNIT_ERROR state), we
2241   should be able to safely try another attempt when the bus call LoadUnit() is invoked.
2243 * document org.freedesktop.MemoryAllocation1
2245 * maybe do not install getty@tty1.service symlink in /etc but in /usr?
2247 * print a nicer explanation if people use variable/specifier expansion in ExecStart= for the first word
2249 * mount: turn dependency information from /proc/self/mountinfo into dependency information between systemd units.
2251 * EFI:
2252   - honor language efi variables for default language selection (if there are any?)
2253   - honor timezone efi variables for default timezone selection (if there are any?)
2254 * bootctl
2255   - recognize the case when not booted on EFI
2257 * bootctl:
2258   - show whether UEFI audit mode is available
2259   - teach it to prepare an ESP wholesale, i.e. with mkfs.vfat invocation
2260   - teach it to copy in unified kernel images and maybe type #1 boot loader spec entries from host
2262 * logind:
2263   - logind: optionally, ignore idle-hint logic for autosuspend, block suspend as long as a session is around
2264   - logind: wakelock/opportunistic suspend support
2265   - Add pretty name for seats in logind
2266   - logind: allow showing logout dialog from system?
2267   - add Suspend() bus calls which take timestamps to fix double suspend issues when somebody hits suspend and closes laptop quickly.
2268   - if pam_systemd is invoked by su from a process that is outside of a
2269     any session we should probably just become a NOP, since that's
2270     usually not a real user session but just some system code that just
2271     needs setuid().
2272   - logind: make the Suspend()/Hibernate() bus calls wait for the for
2273     the job to be completed. before returning, so that clients can wait
2274     for "systemctl suspend" to finish to know when the suspending is
2275     complete.
2276   - logind: when the power button is pressed short, just popup a
2277     logout dialog. If it is pressed for 1s, do the usual
2278     shutdown. Inspiration are Macs here.
2279   - expose "Locked" property on logind session objects
2280   - maybe allow configuration of the StopTimeout for session scopes
2281   - rename session scope so that it includes the UID. THat way
2282     the session scope can be arranged freely in slices and we don't have
2283     make assumptions about their slice anymore.
2284   - follow PropertiesChanged state more closely, to deal with quick logouts and
2285     relogins
2286   - (optionally?) spawn seat-manager@$SEAT.service whenever a seat shows up that as CanGraphical set
2288 * move multiseat vid/pid matches from logind udev rule to hwdb
2290 * delay activation of logind until somebody logs in, or when /dev/tty0 pulls it
2291   in or lingering is on (so that containers don't bother with it until PAM is used). also exit-on-idle
2293 * journal:
2294   - consider introducing implicit _TTY= + _PPID= + _EUID= + _EGID= + _FSUID= + _FSGID= fields
2295   - journald: also get thread ID from client, plus thread name
2296   - journal: when waiting for journal additions in the client always sleep at least 1s or so, in order to minimize wakeups
2297   - add API to close/reopen/get fd for journal client fd in libsystemd-journal.
2298   - fall back to /dev/log based logging in libsystemd-journal, if we cannot log natively?
2299   - declare the local journal protocol stable in the wiki interface chart
2300   - sd-journal: speed up sd_journal_get_data() with transparent hash table in bg
2301   - journald: when dropping msgs due to ratelimit make sure to write
2302     "dropped %u messages" not only when we are about to print the next
2303     message that works, but already after a short timeout
2304   - check if we can make journalctl by default use --follow mode inside of less if called without args?
2305   - maybe add API to send pairs of iovecs via sd_journal_send
2306   - journal: add a setgid "systemd-journal" utility to invoke from libsystemd-journal, which passes fds via STDOUT and does PK access
2307   - journalctl: support negative filtering, i.e. FOOBAR!="waldo",
2308     and !FOOBAR for events without FOOBAR.
2309   - journal: store timestamp of journal_file_set_offline() in the header,
2310     so it is possible to display when the file was last synced.
2311   - journal-send.c, log.c: when the log socket is clogged, and we drop, count this and write a message about this when it gets unclogged again.
2312   - journal: find a way to allow dropping history early, based on priority, other rules
2313   - journal: When used on NFS, check payload hashes
2314   - journald: add kernel cmdline option to disable ratelimiting for debug purposes
2315   - refuse taking lower-case variable names in sd_journal_send() and friends.
2316   - journald: we currently rotate only after MaxUse+MaxFilesize has been reached.
2317   - journal: deal nicely with byte-by-byte copied files, especially regards header
2318   - journal: sanely deal with entries which are larger than the individual file size, but where the components would fit
2319   - Replace utmp, wtmp, btmp, and lastlog completely with journal
2320   - journalctl: instead --after-cursor= maybe have a --cursor=XYZ+1 syntax?
2321   - when a kernel driver logs in a tight loop, we should ratelimit that too.
2322   - journald: optionally, log debug messages to /run but everything else to /var
2323   - journald: when we drop syslog messages because the syslog socket is
2324     full, make sure to write how many messages are lost as first thing
2325     to syslog when it works again.
2326   - journald: allow per-priority and per-service retention times when rotating/vacuuming
2327   - journald: make use of uid-range.h to manage uid ranges to split
2328     journals in.
2329   - journalctl: add the ability to look for the most recent process of a binary.
2330                 journalctl /usr/bin/X11 --invocation=-1
2331   - systemctl: change 'status' to show logs for the last invocation, not a fixed
2332     number of lines
2333   - systemctl: expand --wait to show logs for the invocation with a new switch
2334   - improve journalctl performance by loading journal files
2335     lazily. Encode just enough information in the file name, so that we
2336     do not have to open it to know that it is not interesting for us, for
2337     the most common operations.
2338   - man: document that corrupted journal files is nothing to act on
2339   - rework journald sigbus stuff to use mutex
2340   - Set RLIMIT_NPROC for systemd-journal-xyz, and all other of our
2341     services that run under their own user ids, and use User= (but only
2342     in a world where userns is ubiquitous since otherwise we cannot
2343     invoke those daemons on the host AND in a container anymore). Also,
2344     if LimitNPROC= is used without User= we should warn and refuse
2345     operation.
2346   - journalctl --verify: don't show files that are currently being
2347     written to as FAIL, but instead show that they are being written to.
2348   - add journalctl -H that talks via ssh to a remote peer and passes through
2349     binary logs data
2350   - add a version of --merge which also merges /var/log/journal/remote
2351   - journalctl: -m should access container journals directly by enumerating
2352     them via machined, and also watch containers coming and going.
2353     Benefit: nspawn --ephemeral would start working nicely with the journal.
2354   - assign MESSAGE_ID to log messages about failed services
2355   - check if loop in decompress_blob_xz() is necessary
2357 * journald: support RFC3164 fully for the incoming syslog transport, see
2358   https://github.com/systemd/systemd/issues/19251#issuecomment-816601955
2360 * Hook up journald's FSS logic with TPM2: seal the verification disk by
2361   time-based policy, so that the verification key can remain on host and ve
2362   validated via TPM.
2364 * rework journalctl -M to be based on a machined method that generates a mount
2365   fd of the relevant journal dirs in the container with uidmapping applied to
2366   allow the host to read it, while making everything read-only.
2368 * journald: add varlink service that allows subscribing to certain log events,
2369   for example matching by message ID, or log level returns a list of journal
2370   cursors as they happen.
2372 * journald: also collect CLOCK_BOOTTIME timestamps per log entry. Then, derive
2373   "corrected" CLOCK_REALTIME information on display from that and the timestamp
2374   info of the newest entry of the specific boot (as identified by the boot
2375   ID). This way, if a system comes up without a valid clock but acquires a
2376   better clock later, we can "fix" older entry timestamps on display, by
2377   calculating backwards. We cannot use CLOCK_MONOTONIC for this, since it does
2378   not account for suspend phases. This would then also enable us to correct the
2379   kmsg timestamping we consume (where we erroneously assume the clock was in
2380   CLOCK_MONOTONIC, but it actually is CLOCK_BOOTTIME as per kernel).
2382 * in journald, write out a recognizable log record whenever the system clock is
2383   changed ("stepped"), and in timesyncd whenever we acquire an NTP fix
2384   ("slewing"). Then, in journalctl for each boot time we come across, find
2385   these records, and use the structured info they include to display
2386   "corrected" wallclock time, as calculated from the monotonic timestamp in the
2387   log record, adjusted by the delta declared in the structured log record.
2389 * in journald: whenever we start a new journal file because the boot ID
2390   changed, let's generate a recognizable log record containing info about old
2391   and new ID. Then, when displaying log stream in journalctl look for these
2392   records, to be able to order them.
2394 * journald: generate recognizable log events whenever we shutdown journald
2395   cleanly, and when we migrate run → var. This way tools can verify that a
2396   previous boot terminated cleanly, because either of these two messages must
2397   be safely written to disk, then.
2399 * hook up journald with TPMs? measure new journal records to the TPM in regular
2400   intervals, validate the journal against current TPM state with that. (taking
2401   inspiration from IMA log)
2403 * sd-journal puts a limit on parallel journal files to view at once. journald
2404   should probably honour that same limit (JOURNAL_FILES_MAX) when vacuuming to
2405   ensure we never generate more files than we can actually view.
2407 * bsod: maybe use graphical mode. Use DRM APIs directly, see
2408   https://github.com/dvdhrm/docs/blob/master/drm-howto/modeset.c for an example
2409   for doing that.
2411 * maybe implicitly attach monotonic+realtime timestamps to outgoing messages in
2412   log.c and sd-journal-send
2414 * journalctl/timesyncd: whenever timesyncd acquires a synchronization from NTP,
2415   create a structured log entry that contains boot ID, monotonic clock and
2416   realtime clock (I mean, this requires no special work, as these three fields
2417   are implicit). Then in journalctl when attempting to display the realtime
2418   timestamp of a log entry, first search for the closest later log entry
2419   of this kinda that has a matching boot id, and convert the monotonic clock
2420   timestamp of the entry to the realtime clock using this info. This way we can
2421   retroactively correct the wallclock timestamps, in particular for systems
2422   without RTC, i.e. where initially wallclock timestamps carry rubbish, until
2423   an NTP sync is acquired.
2425 * introduce per-unit (i.e. per-slice, per-service) journal log size limits.
2427 * journald: do journal file writing out-of-process, with one writer process per
2428   client UID, so that synthetic hash table collisions can slow down a specific
2429   user's journal stream down but not the others.
2431 * tweak journald context caching. In addition to caching per-process attributes
2432   keyed by PID, cache per-cgroup attributes (i.e. the various xattrs we read)
2433   keyed by cgroup path, and guarded by ctime changes. This should provide us
2434   with a nice speed-up on services that have many processes running in the same
2435   cgroup.
2437 * maybe add call sd_journal_set_block_timeout() or so to set SO_SNDTIMEO for
2438   the sd-journal logging socket, and, if the timeout is set to 0, sets
2439   O_NONBLOCK on it. That way people can control if and when to block for
2440   logging.
2442 * journalctl: make sure -f ends when the container indicated by -M terminates
2444 * journald: sigbus API via a signal-handler safe function that people may call
2445   from the SIGBUS handler
2447 * add a test if all entries in the catalog are properly formatted.
2448     (Adding dashes in a catalog entry currently results in the catalog entry
2449      being silently skipped. journalctl --update-catalog must warn about this,
2450      and we should also have a unit test to check that all our message are OK.)
2452 * build short web pages out of each catalog entry, build them along with man
2453   pages, and include hyperlinks to them in the journal output
2455 * homed:
2456   - when user tries to log into record signed by unrecognized key, automatically add key to our chain after polkit auth
2457   - rollback when resize fails mid-operation
2458   - GNOME's side for forget key on suspend (requires rework so that lock screen runs outside of uid)
2459   - update LUKS password on login if we find there's a password that unlocks the JSON record but not the LUKS device.
2460   - create on activate?
2461   - properties: icon url?, administrator bool (which translates to 'wheel' membership)?, address?, telephone?, vcard?, samba stuff?, parental controls?
2462   - communicate clearly when usb stick is safe to remove. probably involves
2463     beefing up logind to make pam session close hook synchronous and wait until
2464     systemd --user is shut down.
2465   - logind: maybe keep a "busy fd" as long as there's a non-released session around or the user@.service
2466   - maybe make automatic, read-only, time-based reflink-copies of LUKS disk
2467     images (and btrfs snapshots of subvolumes) (think: time machine)
2468   - distinguish destroy / remove (i.e. currently we can unregister a user, unregister+remove their home directory, but not just remove their home directory)
2469   - fingerprint authentication, pattern authentication, …
2470   - make sure "classic" user records can also be managed by homed
2471   - make size of $XDG_RUNTIME_DIR configurable in user record
2472   - move acct mgmt stuff from pam_systemd_home to pam_systemd?
2473   - when "homectl --pkcs11-token-uri=" is used, synthesize ssh-authorized-keys records for all keys we have private keys on the stick for
2474   - make slice for users configurable (requires logind rework)
2475   - logind: populate auto-login list bus property from PKCS#11 token
2476   - when determining state of a LUKS home directory, check DM suspended sysfs file
2477   - when homed is in use, maybe start the user session manager in a mount namespace with MS_SLAVE,
2478     so that mounts propagate down but not up - eg, user A setting up a backup volume
2479     doesn't mean user B sees it
2480   - use credentials logic/TPM2 logic to store homed signing key
2481   - permit multiple user record signing keys to be used locally, and pick
2482     the right one for signing records automatically depending on a pre-existing
2483     signature
2484   - add a way to "adopt" a home directory, i.e. strip foreign signatures
2485     and insert a local signature instead.
2486   - as an extension to the directory+subvolume backend: if located on
2487     especially marked fs, then sync down password into LUKS header of that fs,
2488     and always verify passwords against it too. Bootstrapping is a problem
2489     though: if no one is logged in (or no other user even exists yet), how do you
2490     unlock the volume in order to create the first user and add the first pw.
2491   - support new FS_IOC_ADD_ENCRYPTION_KEY ioctl for setting up fscrypt
2492   - maybe pre-create ~/.cache as subvol so that it can have separate quota
2493     easily?
2494   - store PKCS#11 + FIDO2 token info in LUKS2 header, compatible with
2495     systemd-cryptsetup, so that it can unlock homed volumes
2496   - maybe make all *.home files owned by `systemd-home` user or so, so that we
2497     can easily set overall quota for all users
2498   - on login, if we can't fallocate initially, but rebalance is on, then allow
2499     login in discard mode, then immediately rebalance, then turn off discard
2500   - add "homectl unbind" command to remove local user record of an inactive
2501     home dir
2503 * add a new switch --auto-definitions=yes/no or so to systemd-repart. If
2504   specified, synthesize a definition automatically if we can: enlarge last
2505   partition on disk, but only if it is marked for growing and not read-only.
2507 * systemd-repart: read LUKS encryption key from $CREDENTIALS_DIRECTORY
2509 * systemd-repart: add a switch to factory reset the partition table without
2510   immediately applying the new configuration again. i.e. --factory-reset=leave
2511   or so. (this is useful to factory reset an image, then putting it into
2512   another machine, ensuring that luks key is generated on new machine, not old)
2514 * systemd-repart: support setting up dm-integrity with HMAC
2516 * systemd-repart: maybe remove half-initialized image on failure. It fails
2517   if the output file exists, so a repeated invocation will usually fail if
2518   something goes wrong on the way.
2520 * systemd-repart: by default generate minimized partition tables (i.e. tables
2521   that only cover the space actually used, excluding any free space at the
2522   end), in order to maximize dd'ability. Requires libfdisk work, see
2523   https://github.com/karelzak/util-linux/issues/907
2525 * systemd-repart: MBR partition table support. Care needs to be taken regarding
2526   Type=, so that partition definitions can sanely apply to both the GPT and the
2527   MBR case. Idea: accept syntax "Type=gpt:home mbr:0x83" for setting the types
2528   for the two partition types explicitly. And provide an internal mapping so
2529   that "Type=linux-generic" maps to the right types for both partition tables
2530   automatically.
2532 * systemd-repart: allow sizing partitions as factor of available RAM, so that
2533   we can reasonably size swap partitions for hibernation.
2535 * systemd-repart: allow boolean option that ensures that if existing partition
2536   doesn't exist within the configured size bounds the whole command fails. This
2537   is useful to implement ESP vs. XBOOTLDR schemes in installers: have one set
2538   of repart files for the case where ESP is large enough and one where it isn't
2539   and XBOOTLDR is added in instead.  Then apply the former first, and if it
2540   fails to apply use the latter.
2542 * systemd-repart: add per-partition option to never reuse existing partition
2543   and always create anew even if matching partition already exists.
2545 * systemd-repart: add per-partition option to fail if partition already exist,
2546   i.e. is not added new. Similar, add option to fail if partition does not exist yet.
2548 * systemd-repart: allow disabling growing of specific partitions, or making
2549   them (think ESP: we don't ever want to grow it, since we cannot resize vfat)
2550   Also add option to disable operation via kernel command line.
2552 * systemd-repart: make it a static checker during early boot for existence and
2553   absence of other partitions for trusted boot environments
2555 * systemd-repart: add support for SD_GPT_FLAG_GROWFS also on real systems, i.e.
2556   generate some unit to actually enlarge the fs after growing the partition
2557   during boot.
2559 * systemd-repart: do not print "Successfully resized …" when no change was done.
2561 * document:
2562   - document that deps in [Unit] sections ignore Alias= fields in
2563     [Install] units of other units, unless those units are disabled
2564   - man: clarify that time-sync.target is not only sysv compat but also useful otherwise. Same for similar targets
2565   - document that service reload may be implemented as service reexec
2566   - add a man page containing packaging guidelines and recommending usage of things like Documentation=, PrivateTmp=, PrivateNetwork= and ReadOnlyDirectories=/etc /usr.
2567   - document systemd-journal-flush.service properly
2568   - documentation: recommend to connect the timer units of a service to the service via Also= in [Install]
2569   - man: document the very specific env the shutdown drop-in tools live in
2570   - man: add more examples to man pages,
2571   -      in particular an example how to do the equivalent of switching runlevels
2572   - man: maybe sort directives in man pages, and take sections from --help and apply them to man too
2573   - document root=gpt-auto properly
2575 * systemctl:
2576   - add systemctl switch to dump transaction without executing it
2577   - Add a verbose mode to "systemctl start" and friends that explains what is being done or not done
2578   - print nice message from systemctl --failed if there are no entries shown, and hook that into ExecStartPre of rescue.service/emergency.service
2579   - add new command to systemctl: "systemctl system-reexec" which reexecs as many daemons as virtually possible
2580   - systemctl enable: fail if target to alias into does not exist? maybe show how many units are enabled afterwards?
2581   - systemctl: "Journal has been rotated since unit was started." message is misleading
2583 * introduce an option (or replacement) for "systemctl show" that outputs all
2584   properties as JSON, similar to busctl's new JSON output. In contrast to that
2585   it should skip the variant type string though.
2587 * Add a "systemctl list-units --by-slice" mode or so, which rearranges the
2588   output of "systemctl list-units" slightly by showing the tree structure of
2589   the slices, and the units attached to them.
2591 * add "systemctl wait" or so, which does what "systemd-run --wait" does, but
2592   for all units. It should be both a way to pin units into memory as well as a
2593   wait to retrieve their exit data.
2595 * show whether a service has out-of-date configuration in "systemctl status" by
2596   using mtime data of ConfigurationDirectory=.
2598 * "systemctl preset-all" should probably order the unit files it
2599   operates on lexicographically before starting to work, in order to
2600   ensure deterministic behaviour if two unit files conflict (like DMs
2601   do, for example)
2603 * add "systemctl start -v foobar.service" that shows logs of a service
2604   while the start command runs. This is non-trivial to do without
2605   races though, since we should flush out all journal messages before
2606   returning from the "systemctl stop".
2608 * systemctl: if some operation fails, show log output?
2610 * Add a new verb "systemctl top"
2612 * unit install:
2613   - "systemctl mask" should find all names by which a unit is accessible
2614     (i.e. by scanning for symlinks to it) and link them all to /dev/null
2616 * nspawn:
2617   - emulate /dev/kmsg using CUSE and turn off the syslog syscall
2618     with seccomp. That should provide us with a useful log buffer that
2619     systemd can log to during early boot, and disconnect container logs
2620     from the kernel's logs.
2621   - as soon as networkd has a bus interface, hook up --network-interface=,
2622     --network-bridge= with networkd, to trigger netdev creation should an
2623     interface be missing
2624   - a nice way to boot up without machine id set, so that it is set at boot
2625     automatically for supporting --ephemeral. Maybe hash the host machine id
2626     together with the machine name to generate the machine id for the container
2627   - fix logic always print a final newline on output.
2628     https://github.com/systemd/systemd/pull/272#issuecomment-113153176
2629   - should optionally support receiving WATCHDOG=1 messages from its payload
2630     PID 1...
2631   - optionally automatically add FORWARD rules to iptables whenever nspawn is
2632     running, remove them when shut down.
2633   - add support for sysext extensions, too. i.e. a new --extension= switch that
2634     takes one or more arguments, and applies the extensions already during
2635     startup.
2636   - when main nspawn supervisor process gets suspended due to SIGSTOP/SIGTTOU
2637     or so, freeze the payload too.
2638   - support time namespaces
2639   - on cgroupsv1 issue cgroup empty handler process based on host events, so
2640     that we make cgroup agent logic safe
2641   - add API to invoke binary in container, then use that as fallback in
2642     "machinectl shell"
2643   - make nspawn suitable for shell pipelines: instead of triggering a hangup
2644     when input is finished, send ^D, which synthesizes an EOF. Then wait for
2645     hangup or ^D before passing on the EOF.
2646   - greater control over selinux label?
2647   - support that /proc, /sys/, /dev are pre-mounted
2648   - maybe allow TPM passthrough, backed by swtpm, and measure --image= hash
2649     into its PCR 11, so that nspawn instances can be TPM enabled, and partake
2650     in measurements/remote attestation and such. swtpm would run outside of
2651     control of container, and ideally would itself bind its encryption keys to
2652     host TPM.
2653   - make boot assessment do something sensible in a container. i.e send an
2654     sd_notify() from payload to container manager once boot-up is completed
2655     successfully, and use that in nspawn for dealing with boot counting,
2656     implemented in the partition table labels and directory names.
2657   - optionally set up nftables/iptables routes that forward UDP/TCP traffic on
2658     port 53 to resolved stub 127.0.0.54
2659   - maybe optionally insert .nspawn file as GPT partition into images, so that
2660     such container images are entirely stand-alone and can be updated as one.
2661   - The subreaper logic we currently have seems overly complex. We should
2662     investigate whether creating the inner child with CLONE_PARENT isn't better.
2663   - Reduce the number of sockets that are currently in use and just rely on one
2664     or two sockets.
2665   - Support running nspawn as an unprivileged user.
2667 * machined:
2668   - add an API so that libvirt-lxc can inform us about network interfaces being
2669     removed or added to an existing machine
2670   - "machinectl migrate" or similar to copy a container from or to a
2671     difference host, via ssh
2672   - introduce systemd-nspawn-ephemeral@.service, and hook it into
2673     "machinectl start" with a new --ephemeral switch
2674   - "machinectl status" should also show internal logs of the container in
2675     question
2676   - "machinectl history"
2677   - "machinectl diff"
2678   - "machinectl commit" that takes a writable snapshot of a tree, invokes a
2679     shell in it, and marks it read-only after use
2681 * udev:
2682   - move to LGPL
2683   - kill scsi_id
2684   - add trigger --subsystem-match=usb/usb_device device
2685   - reimport udev db after MOVE events for devices without dev_t
2686   - re-enable ProtectClock= once only cgroupsv2 is supported.
2687     See f562abe2963bad241d34e0b308e48cf114672c84.
2689 * coredump:
2690   - save coredump in Windows/Mozilla minidump format
2691   - when truncating coredumps, also log the full size that the process had, and make a metadata field so we can report truncated coredumps
2692   - add examples for other distros in PACKAGE_METADATA_FOR_EXECUTABLE_FILES
2694 * support crash reporting operation modes (https://live.gnome.org/GnomeOS/Design/Whiteboards/ProblemReporting)
2696 * tmpfiles:
2697   - allow time-based cleanup in r and R too
2698   - instead of ignoring unknown fields, reject them.
2699   - creating new directories/subvolumes/fifos/device nodes
2700     should not follow symlinks. None of the other adjustment or creation
2701     calls follow symlinks.
2702   - teach tmpfiles.d q/Q logic something sensible in the context of XFS/ext4
2703     project quota
2704   - teach tmpfiles.d m/M to move / atomic move + symlink old -> new
2705   - add new line type for setting btrfs subvolume attributes (i.e. rw/ro)
2706   - tmpfiles: add new line type for setting fcaps
2707   - add -n as shortcut for --dry-run in tmpfiles & sysusers & possibly other places
2709 * udev-link-config:
2710    - Make sure ID_PATH is always exported and complete for
2711      network devices where possible, so we can safely rely
2712      on Path= matching
2714 * sd-rtnl:
2715    - add support for more attribute types
2716    - inbuilt piping support (essentially degenerate async)? see loopback-setup.c and other places
2718 * networkd:
2719    - add more keys to [Route] and [Address] sections
2720    - add support for more DHCPv4 options (and, longer term, other kinds of dynamic config)
2721    - add reduced [Link] support to .network files
2722    - properly handle routerless dhcp leases
2723    - work with non-Ethernet devices
2724    - dhcp: do we allow configuring dhcp routes on interfaces that are not the one we got the dhcp info from?
2725    - the DHCP lease data (such as NTP/DNS) is still made available when
2726      a carrier is lost on a link. It should be removed instantly.
2727    - expose in the API the following bits:
2728          - option 15, domain name
2729          - option 12, hostname and/or option 81, fqdn
2730          - option 123, 144, geolocation
2731          - option 252, configure http proxy (PAC/wpad)
2732    - provide a way to define a per-network interface default metric value
2733      for all routes to it. possibly a second default for DHCP routes.
2734    - allow Name= to be specified repeatedly in the [Match] section. Maybe also
2735      support Name=foo*|bar*|baz ?
2736    - whenever uplink info changes, make DHCP server send out FORCERENEW
2738 * in networkd, when matching device types, fix up DEVTYPE rubbish the kernel passes to us
2740 * Figure out how to do unittests of networkd's state serialization
2742 * dhcp:
2743    - figure out how much we can increase Maximum Message Size
2745 * dhcp6:
2746    - add functions to set previously stored IPv6 addresses on startup and get
2747      them at shutdown; store them in client->ia_na
2748    - write more test cases
2749    - implement reconfigure support, see 5.3., 15.11. and 22.20.
2750    - implement support for temporary addresses (IA_TA)
2751    - implement dhcpv6 authentication
2752    - investigate the usefulness of Confirm messages; i.e. are there any
2753      situations where the link changes without any loss in carrier detection
2754      or interface down
2755    - some servers don't do rapid commit without a filled in IA_NA, verify
2756      this behavior
2757    - RouteTable= ?
2759 * shared/wall: Once more programs are taught to prefer sd-login over utmp,
2760   switch the default wall implementation to wall_logind
2761   (https://github.com/systemd/systemd/pull/29051#issuecomment-1704917074)