README: update minimal Go version

version: use embedded build info

This changes the Git version to the revision hash instead of a possible
tag. But this is not relevant for now.

Support setting uid/gid in permissions.yaml

Fix tests on FreeBSD and OpenBSD

Broken in 5141405 (Update dependencies, static checkers and Go to 1.24,
2025-10-17) which switched from manually creating the directory to using
t.TempDir().

Remove permission checks on local files and remove `safcm fixperms`

The intended use case was to "protect" users against unexpected behavior
when migrating from a legacy system configuration management. This no
longer applies.

In addition, needing to run fixperms is generally annoying and makes the
tests more complex and fragile.

`safcm fixperms` is kept as command not to break existing workflows. It
has no effect now.

Use 4 spaces per tab for Go files

Update dependencies, static checkers and Go to 1.24

config: tests: explicitly test permissions without leading zero

Update copyright years

Use SPDX license identifiers

Update copyright years

ci: run govulncheck

ci: update static checkers

remote: add and improve comments

README: add missing highlight

go fmt

remote: support creating files with missing parents in dry-run

The actual run worked fine but the dry-run failed because the parent
directory does not exist at that point.

Update copyright years

ci: use fixed versions for staticcheck and golangci-lint

The latest version of golangci-lint only supports Go 1.19 which is not
available yet on all CI targets.

Makes the CI deterministic and prevents failures if the checks change.

sync: never remove packages during installation on Debian

Guard against package conflicts to remove packages. The user must first
remove the conflicting package to prevent accidental removals.

tests: use consistent order of safcm.File struct members

Update copyright years

ci/run: run golangci-lint

Currently golangci-lint doesn't call all staticcheck linters:
https://github.com/golangci/golangci-lint/issues/357

Remove superfluous struct names

Found by golangci-lint's gofmt linter

go fmt

ci/run: use `go install` to install staticcheck

Go 1.18+ will not install software with `go get` anymore.

ci: fix Gitlab-CI build with recent Sid versions

The package golang-1.16 is no longer available. Sid now uses
golang-1.17, making the old workaround unnecessary.

Update golang.org/x/sys and remove OpenBSD workarounds

The latest version of golang.org/x/sys contains AT_REMOVEDIR also on
OpenBSD.

remote: retain setgid/sticky when temporarily chmodding directories

remote: permit syncing relative paths with leading dot

These are normally not used by safcm but the remote should still support
them.

remote: go fmt and rewrap comment

remote: remove SyncPath()

Not removed in 2804606 (remote: guard against symlinks in earlier path
components, 2021-06-01) to make the diff more readable.

remote: rename files_windows.go to files_compat_windows.go

remote: guard against symlinks in earlier path components

This was only an issue when syncing files to directories where other
users have write access to the parent directory. For example when
copying files to /home/user/.ssh/authorized_keys the user could replace
.ssh with a symlink which permitted overwriting authorized_keys anywhere
on the system.

Fix possible attacks by using *at syscalls and disallowing symlinks in
all path components except for the last of synced paths. Syncing
symlinks is obviously still permitted.

safcm: add commit date to version output

.builds: openbsd/latest updated to 6.9, remove manual Go download

remote: use defer to replace multiple dh.Close()

remote: remove double Close() on error in WriteTemp()

remote: treat paths as slash separated in triggerPaths()

Remotes are only supported on UNIX systems which use slashes as path
separators so this had no direct effect. Change it to make the code more
obvious.

This was forgotten in afb7e8e (safcm: use only slash separated paths for
the configuration, 2021-05-13).

safcm: move logEvent() to frontend package

frontend: add Loop.HostSyncMsg()

frontend: add Loop.HostInfoMsg()

safcm: move sync.sendRecv to frontend package

safcm: move sync_changes.go and term.go to frontend package

safcm: add ParseLogLevel()

go fmt

Move synchronization loop into new package frontend

This is in preparation for other programs (besides cmd/safcm) using the
safcm library. To reduce code duplication useful functions will be
provided by the frontend package. Its use is optional. All core
functionality is provided by the regular safcm packages.

The logging setup was slightly modified. Log messages are now no longer
filtered by Sync.log() but by the new log function Loop.LogEventFunc (or
its implementation logEvent()). This is also the reason why one test was
removed from sync_sync_test.go which is no longer relevant.

Move implementation of cmd/safcm-remote/ to remote/

This permits users of the safcm library to easily "implement"
`safcm-remote` simply by calling safcm/remote.Main(). They cannot use
the existing cmd/safcm-remote/ because the source tree is not directly
available when importing the library.

Move embedded remote helpers to cmd/safcm/

To permit using safcm as an actual library the helpers must be passed to
rpc.DialSSH() and not directly embedded.

safcm: don't hang on error before a connection is established

rpc: use SSHConfig struct as argument to DialSSH()

In preparation to add more arguments to DialSSH().

config: config.yaml: add global "ssh_user" option

This option is used as default value when the host option "ssh_user" is
empty. Like the host option it defaults to an empty value which tells
`ssh` to use the current user.

ci: build for Windows

Only added to Gitlab-CI because we just want to test if building works
in general.

safcm: add experimental support to sync from Windows hosts

This is _very_ experimental. The testsuite doesn't yet run on Windows
and only a few manual tests were run. Basically this is only present
because it was used to verify our changes to always use slash-separated
paths in the configuration on a real system. It seemed a waste to just
throw it away.

To build the binary for windows use (empty GOFLAGS to disable -race):

    make GOOS=windows GOFLAGS=

safcm: use only slash separated paths for the configuration

This change is in preparation to support running synchronizations from
Windows systems. However, Windows remotes won't be supported in the
foreseeable future.

safcm: simplify Sync.logf to take the log message as string

logf() is not directly called by regular code which makes the format
string less useful.

Also rename it to log().

Consistently use %v when (s)printing errors

Most of the code already used %v.

sync: go fmt

sync: shorten log messages by removing "info/sync remote:" prefix

The prefix provides little value as it already obvious what's happening
on the remote side and in which phase (info/sync). Keeping the log
messages shorter helps the user to focus on the important parts of the
message.

sync: simplify LogFunc to take the log message as string

LogFunc is not directly called by regular code which makes the format
string less useful.

sync: replace log.Logger interface with struct

PrefixLogger is the only implementation of Logger. Simply remove the
interface and rename PrefixLogger to Logger.

Makefile: add lint target to run shellcheck

sync: remove "detected" log message in packages/services

Don't waste one full log message to show the detected system. Instead,
append it to an existing log message.

Reorder log call in syncPackagesDebian() so the log message comes before
calling debianInstalledPackages(). This way errors from this function
show clearly where they originate.

remote: tests: hide testRunner functions in test output

This is not perfect because they are called from files like
cmd/safcm-remote/sync/commands.go which is not very helpful to figure
out which test case failed. However, it's better than showing
cmd/safcm-remote/sync/sync_test.go which was the previous behavior.

tests: improve another comment

changes: add "(hidden)" to commands with no output and quiet mode

This should make it more obvious why these commands are not shown.

safcm: tests: remove empty line

rpc: remove empty line

config: disallow negative permissions

rpc: replace append to sshOpts with assignment in DialSSH()

sshOpts is empty by default and assigned only once. Don't suggest that
this line is supposed to add to an existing value.

safcm: shorten error message on file conflict

It's obvious that the message talks about "files" because the path is
given immediately afterwards.

safcm: use better variable name in hostsToSync()

Having nameMatched and hostMatched is confusing. Follow the comment and
use hostAdded which describes the meaning more clearly.

safcm: don't color output if stderr is redirected

All log messages are printed to stderr. It's confusing to still get
colored output when redirecting stderr to a file; only redirecting
stdout as well fixed this.

changes: change dry-run messages to use "will"

Don't suggest that the change already took place. "dry-run" is still
printed to make it clear why no changes were made.

changes: tests: remove output for dry-run commands

Commands during a dry-run have no output. Don't use incorrect test
input.

config: tests: fix typo in group name

config: return map from TransitivelyDetectedGroups()

This is less clean than the original slice of strings. However, it
removes unnecessary code as the caller requires a map instead of a
slice.

config: use more explicit variable name in ResolveHostGroups()

config: rewrap line in ResolveHostGroups()

config: tests: replace FullPermToFileMode() with fs constants

FullPermToFileMode() is necessary in a few places but the tests should
use the common way in Go to set permissions. This is less confusing for
the reader.

sync: remove duplicate code in triggerPaths()

sync: include size in binary "diff"

sync: tests: use variable to reduce line wrapping

sync: tests: use "..." instead of `...` for regular strings

sync: tests: use strict perm for os.WriteFile() in CreateFile()

This parameter is modified by the umask. The proper permissions are set
by os.Chmod() afterwards. Don't confuse the reader by using a value
which is not relevant.

sync: tests: wrap overlong line

sync: tests: use CreateDirectoryExists()

sync: tests: check return value of setDefaults()

sync: tests: properly scope err variable

sync: tests: go fmt

sync: tests: rename triggers to expTriggers

safcm: tests: test detected groups with leading/trailing space

safcm: go fmt

safcm: strip invalid characters from detected os/arch groups

Handle them like any other detected group because the remote can send
invalid values. The current code can handle arbitrary group names just
fine but it's better to treat all untrusted input the same.

Improve and add comments

ci: suppress shellcheck warnings

$flags can contain multiple flags and we must expand them here.

README: mention root/wheel on BSD systems

README: fix typo

tests: run commands without side effects in end-to-end tests

README: multiple improvements