systemd e problemas OpenVPN após um upgrade do Ubuntu

Navegue suas respostas
3

Após atualizar uma VM do Ubuntu Server 14.04 LTS para o 16.04 LTS OpenVPN parou de funcionar e eu gostaria de receber ajuda para entender o porquê.

Usando o status systemctl, pude ver que o OpenVPN não pôde criar o arquivo PID em / run / openvpn ou os arquivos de log em / var / log / openvpn devido a "permissão negada".

Se eu usar exatamente o mesmo comando para iniciar manualmente o OpenVPN como root, tudo funcionará bem e, se eu alterar as permissões das pastas para o 777, também funcionará bem.

/ run / openvpn é de propriedade de root: root e originalmente tinha 755 como permissões.

/ var / log / openvpn é de propriedade de openvpn: root e originalmente tinha 775 como permissões.

Se eu iniciar o OpenVPN com o 777 como permissões, posso ver os seguintes arquivos: 

/run/openvpn/server.pid root:root 644

/var/log/openvpn/openvpn.log. root:root 600
/var/log/openvpn/openvpn-status.log root:root 600

Então, o OpenVPN parece estar rodando como root, então por que estou recebendo permissão negada com 755 como permissões de pasta quando eu uso systemd? A mesma linha de comando executada a partir do bash como root funciona como esperado.

/ lib / systemd /.../ openvpn @ .serviço: 

[Unit]
Description=OpenVPN connection to %i
PartOf=openvpn.service
ReloadPropagatedFrom=openvpn.service
Before=systemd-user-sessions.service
Documentation=man:openvpn(8)
Documentation=https://community.openvpn.net/openvpn/wiki/Openvpn23ManPage
Documentation=https://community.openvpn.net/openvpn/wiki/HOWTO

[Service]
PrivateTmp=true
KillMode=mixed
Type=forking
ExecStart=/usr/sbin/openvpn --daemon ovpn-%i --status /run/openvpn/%i.status 10 --cd /etc/openvpn --script-security 2 --config /etc/openvpn/%i.conf --writepid /run/openvpn/%i.pid
PIDFile=/run/openvpn/%i.pid
ExecReload=/bin/kill -HUP $MAINPID
WorkingDirectory=/etc/openvpn
ProtectSystem=yes
CapabilityBoundingSet=CAP_IPC_LOCK CAP_NET_ADMIN CAP_NET_BIND_SERVICE CAP_NET_RAW CAP_SETGID CAP_SETUID CAP_SYS_CHROOT CAP_DAC_READ_SEARCH CAP_AUDIT_WRITE
LimitNPROC=10
DeviceAllow=/dev/null rw
DeviceAllow=/dev/net/tun rw

[Install]
WantedBy=multi-user.target
    
por Krister Renaud 12.08.2016 / 14:40

0 respostas

Tags

Execute o script Upstart após a execução de um serviço especificado Apparmor: reclama a capacidade de ativação do modo dac_override?