Рейтинг:1

Разрешения сокета Fail2ban сбрасываются при перезагрузке

флаг cn

У меня есть определенные группы/разрешения, установленные для моего fail2ban.sock файл, чтобы Zabbix мог отслеживать Fail2ban, как описано здесь https://github.com/hermanekt/zabbix-fail2ban-discovery-

Я добавил следующие строки в конфигурацию службы systemd, чтобы убедиться, что разрешения будут правильными после перезапуска службы:

[Оказание услуг]
ExecStartPost=/bin/sh -c "пока! [-S /run/fail2ban/fail2ban.sock]; спать 1; готово"
ExecStartPost=/bin/chgrp fail2ban /run/fail2ban/fail2ban.sock
ExecStartPost=/bin/chmod g+w /run/fail2ban/fail2ban.sock

Он отлично работает, когда я пытаюсь перезапустить службу вручную, используя systemctl перезапустить fail2ban. Но почему-то не работает после перезагрузки. Я попытался добавить несколько строк отладки в ExecStartPost с манекеном эхо и они есть, так что ExecStartPost действия выполняются. Но похоже, что-то еще переписывает разрешение при загрузке. Любые идеи о том, как устранить неполадки?

Рейтинг:1
флаг il

Возможно, это похоже на проблему "времени" - может быть, первая из ваших ExecStartPost тайм-аут или несколько ExecStartPost записи не оцениваются последовательно и выполняются параллельно (из-за указанных Тип единицы измерения или какой-либо другой параметр), или что-то подобное...

Вы можете попробовать переписать его в одну строку или в какой-то скрипт и использовать один ExecStartPost параметр или...

Почему бы просто не установить acl по умолчанию для /run/fail2ban каталог (например, в ExecStartPre), поэтому сокет изначально создается с правильными разрешениями? Видеть https://unix.stackexchange.com/a/1315/452987

Итак, попробуйте что-то вроде этого:

ExecStartPre=-/bin/mkdir -p /run/fail2ban && /bin/setfacl -d -m g:fail2ban:rw /run/fail2ban

Другим вариантом было бы просто установить другой путь к сокету fail2ban в какой-либо постоянный каталог (например, /опт/fail2ban вместо /run/fail2ban) либо с параметр в системном блоке или с параметром разъем в /etc/fail2ban/fail2ban.local. И установить разрешения настойчиво.

ihorc avatar
флаг cn
Не знаю, в чем была проблема, но я решил ее с помощью тех же команд, перемещенных в отдельный скрипт: `ExecStartPost=/usr/bin/bash -c "/lib/systemd/system/fail2ban-fix-socket-permissions.sh "`

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.