Início / unix / Perguntas / 732281
Accepted
TommyPeanuts
Asked: 2023-01-19 13:01:16 +0800 CST

serviço rsyncd ProtectSystem=off não tem efeito

  • 772

Estou executando o Debian 11 com rsyncd 3.2, que tem ProtectSystem=fullcomo padrão.

Eu gostaria de substituir isso, então estou usando systemctl editpara fazer isso. Aqui está o que estou colocando na substituição:

### Editing /etc/systemd/system/rsync.service.d/override.conf
### Anything between here and the comment below will become the new contents of the file

[Service]
ProtectSystem=off

### Lines below this comment will be discarded

Os logs não relatam erros de análise com isso e a unidade (eu acho) recarrega com a nova configuração.

No entanto, ainda recebo erros de "sistema de arquivos somente leitura" ao tentar rsync nos caminhos /etc(por exemplo).

O que há de errado para que eu não possa substituir essa restrição? Ou essa restrição não é o problema? A configuração estava funcionando bem no Debian 10 antes de atualizar para o Debian 11, então presumo que ProtectSystemesteja causando o problema.

EDIT: Aqui está a configuração que /etc/rsyncd.confestou usando:

[nameOfMount]
     path = /etc/postfix
     auth users = sysadmin
     secrets file = /etc/rsyncd.secrets
     hosts allow = xxx.xxx.xxx.xxx 
     read only = false
     uid = root
     pre-xfer exec = /usr/local/bin/scriptA.sh
     post-xfer exec = /usr/local/bin/scriptB.sh

Os scripts pro/post exec fazem cópias de backup dos arquivos que estão sendo transferidos e recarregam o daemon postfix. Os erros destes são, por exemplo:

rsync error: requested action not supported (code 4) at clientserver.c(1098) [Receiver=3.2.3]
/bin/cp: cannot create regular file '/etc/postfix/fileName.yyyymmddd': Read-only file system
systemd

1 respostas

  1. Best Answer

    Vamos começar com uma verificação de status

    systemctl show rsync | grep -E 'ProtectSystem|NoNewPrivileges'

    No meu sistema não modificado, isso retorna

    ProtectSystem=full
NoNewPrivileges=yes

    Eu percebi NoNewPrivilegesporque essa configuração impede rsyncda alteração de seu UID.

    Agora vamos ver a hora em que o rsyncdaemon foi reiniciado e anotar (22:53 no meu caso):

    ps -ef | grep '[r]sync --daemon'

root     22600     1  0 22:53 ?        00:00:00 /usr/bin/rsync --daemon --no-detach

    Se eu adicionar suas duas linhas à substituição,

    systemctl edit rsync

[Service]
ProtectSystem=off

    eu então entendo isso

    systemctl show rsync | grep -E 'ProtectSystem|NoNewPrivileges'

ProtectSystem=no
NoNewPrivileges=yes

    Mas o rsyncdaemon não é reiniciado:

    ps -ef | grep '[r]sync --daemon'

root     22600     1  0 22:53 ?        00:00:00 /usr/bin/rsync --daemon --no-detach

    E, de fato, acho que devo fazer isso manualmente

    systemctl restart rsync
ps -ef | grep '[r]sync --daemon'

root     22770     1  1 22:56 ?        00:00:00 /usr/bin/rsync --daemon --no-detach

    No entanto, o sistema de arquivos ainda está no modo somente leitura. Precisamos da linha extra:

    systemctl edit rsync

[Service]
ProtectSystem=off
NoNewPrivileges=no

    Seguido por um reinício,

    systemctl restart rsync

    E uma verificação final de sanidade,

    systemctl show rsync | grep -E 'ProtectSystem|NoNewPrivileges'

    No meu sistema, isso retorna o jogo final desejado, o que me permite gravar em arquivos e diretórios abaixo /etc:

    ProtectSystem=no
NoNewPrivileges=no
    • 1

relate perguntas