jekyll에 대한 내 자신의 서비스를 만들었고 서비스를 시작할 때 ctrl+ 프로세스를 강제 실행하기 때문에 백그라운드 프로세스로 실행되지 않는 것 같습니다 c. –watch 때문에 전경에 그대로 있습니다. 주변을 돌아 다니면서 백그라운드에서 실행되도록하는 방법을 잘 모르겠습니다. 이견있는 사람?
# /etc/systemd/system/jekyll-blog.service
[Unit]
Description=Start blog jekyll
[Service]
Type=forking
WorkingDirectory=/home/blog
ExecStart=/usr/local/bin/jekyll build --watch --incremental -s /home/blog -d /var/www/html/blog &
ExecReload=/bin/kill -HUP $MAINPID
KillMode=process
Restart=on-failure
User=root
Group=root
[Install]
WantedBy=multi-user.target
답변
Systemd는 다양한 서비스 유형을 구체적으로 다음 중 하나에서 처리 할 수 있습니다.
simple-자체 실행 백그라운드가 아니며 쉘에 계속 붙어있는 장기 실행 프로세스.forking-일반적인 데몬을 실행하여 프로세스를 실행하는 프로세스에서 분리하여 효과적으로 백그라운드 화합니다.oneshot-단기 프로세스가 종료 될 것으로 예상됩니다.dbus-단순하지만 프로세스 시작 완료 알림이 dbus를 통해 전송됩니다.notify-단순하지만 프로세스 시작 완료 알림이 inotify를 통해 전송됩니다.idle-단순하지만 작업이 디스패치 된 후 바이너리가 시작됩니다.
귀하의 경우 Type=forkingsystemd가 프로세스 자체를 포크하고 상위 프로세스가 종료되기를 기다리고 있음을 선택했습니다. 이는 프로세스가 성공적으로 시작되었음을 나타냅니다. 그러나 프로세스 가이 작업을 수행하지 않습니다-포 그라운드에 남아 있으므로 systemctl start프로세스가 충돌 할 때까지 무기한 중단됩니다.
대신 Type=simple기본값 인을 원하므로 선을 완전히 제거하여 동일한 효과를 얻을 수 있습니다. 이 모드에서 systemd는 프로세스가 시작될 때까지 기다리지 않으며 (이 상황이 언제 발생했는지 알 수 없으므로) 즉시 실행 및 종속 서비스를 계속합니다. 귀하의 경우에는 아무것도 없으므로 이것이 중요하지 않습니다.
보안에 관한 작은 참고 사항 :
서비스를 루트로 실행하고 있으며 권한이없는 사용자로 서비스를 실행하는 것보다 덜 안전하므로 권장하지 않습니다. 그 이유 는 jekyll에 명령 실행 (허용되는 코드를 통해)을 실행할 수있는 취약점이있는 경우 시스템을 완전히 소유하기 위해 다른 작업을 수행 할 필요가 없기 때문입니다. 반면, 권한이없는 사용자로 실행되는 경우 공격자는 해당 사용자만큼 많은 피해를 입을 수 있으며 이제 시스템을 완전히 소유하려면 루트 권한을 얻어야합니다. 그것은 단지 공격자가 가야 할 여분의 계층을 추가합니다.
웹 서버를 실행하는 동일한 사용자로 간단하게 실행할 수 있지만 이로 인해 다른 잠재적 인 공격에 노출 될 수 있습니다. 웹 서버에 사용자가 시스템의 파일을 조작 할 수있는 취약점이있는 경우 생성 된 html 파일 또는 최악의 소스 파일을 수정하여 서버가 원하는 것을 제공 할 수 있습니다. 그러나 생성 된 파일과 소스 파일을 웹 서버에서만 읽을 수 있고 권한이없는 다른 사용자가 쓸 수있는 경우 웹 서버를 공격하여 쉽게 수정할 수 없습니다.
그러나 단순히이 서버에서 정적 파일을 제공하고 서버를 최신 상태로 유지하는 경우 이러한 공격은 매우 드물지만 여전히 가능합니다. 시스템이 얼마나 중요한지에 따라 위험을 설정하고 오버 헤드를 설정하는 것은 귀하의 책임입니다. 그러나이 두 가지 팁은 설정이 매우 간단하고 유지 보수 오버 헤드가 없습니다.
답변
@ Michael Daffin 의 솔루션 외에도 다음 예제와 같이 daemonize 도구를 사용하여 사용법을 얻을 수 있습니다 forking.
내가 데몬 화하고 systemd를 제어하고 싶은 작은 쉘 스크립트가 주어지면 다음과 같이 저장했습니다 /home/pi/testscript.sh.
#!/bin/bash
while true;
do
sleep 1
echo -n "."
done
아직없는 경우 다음과 같이 daemonize를 설치하십시오.
sudo apt install daemonize
이제 파일 서비스 정의 파일을 작성하십시오.
sudo vi /etc/systemd/system/testomat.service
# It is not recommended to modify this file in-place, because it will
# be overwritten during package upgrades. If you want to add further
# options or overwrite existing ones then use
# $ systemctl edit testomat.service
# See "man systemd.service" for details.
# copied from https://github.com/bitcoin/bitcoin/blob/master/contrib/init/bitcoind.service and modified by Michael
[Unit]
Description=Test service
After=network.target
[Service]
ExecStart=daemonize -p /run/testomat/testomat.pid -o /home/pi/testscript.log /home/pi/testscript.sh
TimeoutSec=1200
# Make sure the config directory is readable by the service user
PermissionsStartOnly=true
# Process management
####################
Type=forking
PIDFile=/run/testomat/testomat.pid
Restart=on-failure
GuessMainPID = true
# Directory creation and permissions
####################################
# Run as pi:pi
User=pi
Group=pi
# /run/testomat
RuntimeDirectory=testomat
RuntimeDirectoryMode=0710
# /var/lib/testomat
StateDirectory=testomat
StateDirectoryMode=0710
# Hardening measures
####################
# Provide a private /tmp and /var/tmp.
PrivateTmp=true
# Mount /usr, /boot/ and /etc read-only for the process.
ProtectSystem=full
# Allow access to /home, /root and /run/user
# Chosing "false" is actually no hardening, this is just to demonstrate the usage of a service. Well, I could have omitted it. True. :)
ProtectHome=false
# Disallow the process and all of its children to gain
# new privileges through execve().
NoNewPrivileges=true
# Use a new /dev namespace only populated with API pseudo devices
# such as /dev/null, /dev/zero and /dev/random.
PrivateDevices=true
# Deny the creation of writable and executable memory mappings.
MemoryDenyWriteExecute=true
[Install]
WantedBy=multi-user.target
새로 생성 된 서비스는 systemd에 발표되어야합니다.
systemctl daemon-reload
이제 서비스와 스크립트 포크를 시작할 수 있습니다. 예상대로 서비스 시작은 즉시 셸로 돌아옵니다. 결과는 분명하다 :
$ tail -f testscript.log
.....................