systemd: problema de permissão com mkdir & ExecStartPre

Question

systemd: problema de permissão com mkdir & ExecStartPre

#1 resposta do (47 votos)
#2 resposta do (25 votos)

27

Eu tenho um problema com esse arquivo de serviço systemd (encurtado):

[Unit]
Description=control FOO daemon
After=syslog.target network.target

[Service]
Type=forking
User=FOOd
Group=FOO
ExecStartPre=/bin/mkdir -p /var/run/FOOd/
ExecStartPre=/bin/chown -R FOOd:FOO /var/run/FOOd/
ExecStart=/usr/local/bin/FOOd -P /var/run/FOOd/FOOd.pid
PIDFile=/var/run/FOOd/FOOd.pid

[Install]
WantedBy=multi-user.target

Deixe FOOd ser o nome de usuário e FOO o nome do grupo, que já existe para o daemon /usr/local/bin/FOOd .

Eu preciso criar o diretório /var/run/FOOd/ antes de iniciar o processo daemon /usr/local/bin/FOOd via # systemctl start FOOd.service . Isso falha, porque o mkdir não pode criar o diretório devido a permissões:

...
Jun 03 16:18:49 PC0515546 mkdir[2469]: /bin/mkdir: cannot create directory /var/run/FOOd/: permission denied
Jun 03 16:18:49 PC0515546 systemd[1]: FOOd.service: control  process exited, code=exited status=1
...

Por que o mkdir falha no ExecStartPre e como posso corrigi-lo? (E não, eu não posso usar o sudo para o mkdir ...)

permissions systemd

por Matt 04.06.2015 / 10:48

2 respostas

Tags permissions systemd

Diferença entre help, info e man command Por que os soquetes TCP / IP são considerados “arquivos abertos”?

score 47 · Answer 1

Você precisa adicionar

PermissionsStartOnly=true

para [Service] . Seu usuário FOOd não está autorizado a criar um diretório em /var/run . Para citar a página man:

Takes a boolean argument. If true, the permission-related execution options, as configured with User= and similar options (see systemd.exec(5) for more information), are only applied to the process started with ExecStart=, and not to the various other ExecStartPre=, ExecStartPost=, ExecReload=, ExecStop=, and ExecStopPost= commands. If false, the setting is applied to all configured commands the same way. Defaults to false.

score 25 · Answer 2

Esta não é uma resposta que explique ou corrija o problema de permissão, mas acho que você deve usar apenas a opção systemds RuntimeDirectory. Citando a página de manual :

RuntimeDirectory=, RuntimeDirectoryMode=
       Takes a list of directory names. If set, one or more directories by
       the specified names will be created below /run (for system
       services) or below $XDG_RUNTIME_DIR (for user services) when the
       unit is started, and removed when the unit is stopped. The
       directories will have the access mode specified in
       RuntimeDirectoryMode=, and will be owned by the user and group
       specified in User= and Group=. Use this to manage one or more
       runtime directories of the unit and bind their lifetime to the
       daemon runtime. The specified directory names must be relative, and
       may not include a "/", i.e. must refer to simple directories to
       create or remove. This is particularly useful for unprivileged
       daemons that cannot create runtime directories in /run due to lack
       of privileges, and to make sure the runtime directory is cleaned up
       automatically after use. For runtime directories that require more
       complex or different configuration or lifetime guarantees, please
       consider using tmpfiles.d(5).

Então, tudo o que você precisa fazer é alterar seu arquivo de serviço para:

[Unit]
Description=control FOO daemon
After=syslog.target network.target

[Service]
Type=forking
User=FOOd
Group=FOO
RuntimeDirectory=FOOd
RuntimeDirectoryMode=$some-mode
ExecStart=/usr/local/bin/FOOd -P /run/FOOd/FOOd.pid
PIDFile=/run/FOOd/FOOd.pid

[Install]
WantedBy=multi-user.target