Permisiunile socketului Fail2ban sunt resetate la repornire

Am anumite grupuri/permisiuni setate pentru mine fail2ban.sock pentru a face Zabbix capabil să monitorizeze Fail2ban așa cum este descris aici https://github.com/hermanekt/zabbix-fail2ban-discovery-

Am adăugat următoarele linii la configurația serviciului systemd pentru a mă asigura că permisiunile vor fi corecte după repornirea serviciului:

[Serviciu]
ExecStartPost=/bin/sh -c „în timp ce ! [ -S /run/fail2ban/fail2ban.sock ]; dormi 1; gata”
ExecStartPost=/bin/chgrp fail2ban /run/fail2ban/fail2ban.sock
ExecStartPost=/bin/chmod g+w /run/fail2ban/fail2ban.sock

Funcționează perfect atunci când încerc să repornesc serviciul manual folosind systemctl reporniți fail2ban. Dar din anumite motive, nu funcționează după repornire. Am încercat să adaug câteva linii de depanare la ExecStartPost cu manechin ecou și sunt acolo, așa că ExecStartPost se execută acțiuni. Dar se pare că altceva rescrie permisiunea la pornire. Aveți idei despre cum să depanați?

Aceasta pare, probabil, o problemă de „timing” - poate prima dintre dvs ExecStartPost expirat sau multiplu ExecStartPost intrările nu sunt evaluate în serie și rulează în paralel (datorită specificațiilor Tip a unității sau o altă setare), sau ceva similar...

Puteți încerca să-l rescrieți într-o singură linie sau într-un script și să utilizați singur ExecStartPost parametru sau...

De ce nu setați acl implicit pentru /run/fail2ban director (de ex. în ExecStartPre), deci socket-ul este creat inițial cu permisiunile corecte? Vedea https://unix.stackexchange.com/a/1315/452987

Deci, încercați ceva de genul acesta:

ExecStartPre=-/bin/mkdir -p /run/fail2ban && /bin/setfacl -d -m g:fail2ban:rw /run/fail2ban

O altă variantă ar fi pur și simplu să setați o altă cale către soclul fail2ban la un director persistent (de ex. /opt/fail2ban în loc de /run/fail2ban) fie cu -s parametru în unitate systemd sau cu parametru priză în /etc/fail2ban/fail2ban.local. Și setați permisiunile în mod persistent.