Puncte:1

Permisiunile socketului Fail2ban sunt resetate la repornire

drapel cn

Am anumite grupuri/permisiuni setate pentru mine fail2ban.sock pentru a face Zabbix capabil să monitorizeze Fail2ban așa cum este descris aici https://github.com/hermanekt/zabbix-fail2ban-discovery-

Am adăugat următoarele linii la configurația serviciului systemd pentru a mă asigura că permisiunile vor fi corecte după repornirea serviciului:

[Serviciu]
ExecStartPost=/bin/sh -c „în timp ce ! [ -S /run/fail2ban/fail2ban.sock ]; dormi 1; gata”
ExecStartPost=/bin/chgrp fail2ban /run/fail2ban/fail2ban.sock
ExecStartPost=/bin/chmod g+w /run/fail2ban/fail2ban.sock

Funcționează perfect atunci când încerc să repornesc serviciul manual folosind systemctl reporniți fail2ban. Dar din anumite motive, nu funcționează după repornire. Am încercat să adaug câteva linii de depanare la ExecStartPost cu manechin ecou și sunt acolo, așa că ExecStartPost se execută acțiuni. Dar se pare că altceva rescrie permisiunea la pornire. Aveți idei despre cum să depanați?

Puncte:1
drapel il

Aceasta pare, probabil, o problemă de „timing” - poate prima dintre dvs ExecStartPost expirat sau multiplu ExecStartPost intrările nu sunt evaluate în serie și rulează în paralel (datorită specificațiilor Tip a unității sau o altă setare), sau ceva similar...

Puteți încerca să-l rescrieți într-o singură linie sau într-un script și să utilizați singur ExecStartPost parametru sau...

De ce nu setați acl implicit pentru /run/fail2ban director (de ex. în ExecStartPre), deci socket-ul este creat inițial cu permisiunile corecte? Vedea https://unix.stackexchange.com/a/1315/452987

Deci, încercați ceva de genul acesta:

ExecStartPre=-/bin/mkdir -p /run/fail2ban && /bin/setfacl -d -m g:fail2ban:rw /run/fail2ban

O altă variantă ar fi pur și simplu să setați o altă cale către soclul fail2ban la un director persistent (de ex. /opt/fail2ban în loc de /run/fail2ban) fie cu -s parametru în unitate systemd sau cu parametru priză în /etc/fail2ban/fail2ban.local. Și setați permisiunile în mod persistent.

ihorc avatar
drapel cn
Nu știu care a fost problema, dar am rezolvat-o cu aceleași comenzi mutate într-un script separat: `ExecStartPost=/usr/bin/bash -c "/lib/systemd/system/fail2ban-fix-socket-permissions.sh „`

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.