超越基础：释放 Systemd 的全部潜力【systemd 二】

🎏：你只管努力，剩下的交给时间

🏠 ：小破站

前言

在 Linux 世界中，systemd 是一个非常强大的工具，但它的深度显然超出了日常的基础用法。本文将引导您走进 systemd 的高级领域，揭示其更多的用途和潜力。通过本文文章文章，你将能够以更高效和精密的方式管理和调整 Linux 系统。

第一：系统服务高级管理

systemd提供了许多高级功能，使得系统服务的管理更为灵活和精细。以下是一些高级服务管理的主题，包括高级服务配置、环境变量设置以及一些服务单元文件的高级选项：

高级服务配置：

1. 资源限制和控制：

   • 使用Limit*选项可以设置服务的资源限制，如内存、文件描述符等。例如，LimitNOFILE限制服务的文件描述符数量。

2. 安全性设置：

   • systemd提供了一些选项来增强服务的安全性，如ProtectSystem和ProtectHome，用于限制对系统和用户家目录的访问权限。

3. 私有临时文件系统：

   • 通过设置PrivateTmp=true，可以为服务创建一个私有的临时文件系统，使得服务无法访问其他服务的临时文件。

环境变量设置：

1. EnvironmentFile：

   • 使用EnvironmentFile选项可以从文件中加载环境变量。在服务单元文件中添加EnvironmentFile=/path/to/file，文件中包含的变量会在服务启动时被加载。

2. Environment：

   • 直接在服务单元文件中使用Environment选项可以设置服务的环境变量。例如，Environment=VAR1=value1 VAR2=value2。

3. EnvironmentDirectory：

   • 使用EnvironmentDirectory选项可以指定一个目录，该目录下的所有文件将被加载为环境变量。每个文件应该包含一个环境变量定义。

服务单元文件的高级选项：

1. ExecReload：

   • ExecReload定义了在服务重新加载时执行的命令。这在需要重新加载配置的服务中很有用。

2. RestartSec：

   • RestartSec定义了在服务失败后重新启动之前等待的时间。这可以防止服务在短时间内频繁地启动和停止。

3. Slice：

   • Slice选项允许将服务放置到指定的cgroup切片中，用于更精细地管理服务的资源。

4. ProtectSystem和ProtectHome：

   • 这两个选项用于增加服务的安全性，限制对系统和用户家目录的访问权限。

5. CapabilityBoundingSet：

   • 通过设置CapabilityBoundingSet，可以限制服务的权限，防止它获取超出必需权限范围之外的其他能力。

6. NoNewPrivileges：

   • 当设置为true时，NoNewPrivileges选项禁止服务创建新的用户特权，提高安全性。

通过使用这些高级选项，系统管理员可以更好地定制和控制系统服务的行为。这对于满足特定安全性需求、资源管理和环境配置非常有用。

第二：用户空间与systemd-nspawn

systemd-nspawn是systemd提供的一个容器管理工具，它允许在用户空间中创建和管理轻量级的容器。这些容器提供了一个独立的文件系统和进程空间，使得用户可以在其内运行一个或多个进程。以下是关于systemd-nspawn的概述以及一个简单的使用示例：

systemd-nspawn的应用：

1. 轻量级容器：

   • systemd-nspawn提供了一种轻量级的容器化解决方案，类似于传统的chroot，但具有更多功能和隔离。

2. 文件系统隔离：

   • 每个容器都有自己的文件系统，这使得它们可以拥有独立的根目录，并与主机系统和其他容器隔离。

3. 系统隔离：

   • systemd-nspawn创建的容器具有独立的进程空间，这意味着容器内的进程不会影响主机系统或其他容器。

systemd-nspawn使用示例：

以下是一个简单的示例，演示如何使用systemd-nspawn创建和管理容器：

1. 创建容器：

sudo systemd-nspawn -bD /path/to/container/root

• -b参数表示在容器内启动一个引导进程。
• -D参数指定容器的根目录。

2. 进入容器：

sudo machinectl shell root@containername

这将进入容器的shell环境，可以在其中执行命令。

3. 退出容器：

在容器内部的shell环境中，可以使用exit命令退出容器。

4. 列出所有容器：

machinectl list

这将列出当前系统中所有正在运行的容器。

5. 查看容器状态：

machinectl status containername

这将显示有关特定容器的详细信息，包括其进程状态和IP地址。

6. 停止容器：

machinectl poweroff containername

这将关闭并停止指定的容器。

通过这些简单的命令，可以创建、管理和监视systemd-nspawn容器。systemd-nspawn提供了一个简单而灵活的方式，让用户能够在一个独立的运行环境中运行应用程序或进行实验，而不必使用更重量级的虚拟化解决方案。

第三：系统管理与systemctl

systemctl是systemd中用于管理系统服务的命令行工具。它提供了一种统一的方式来查看和控制系统的状态和服务。以下是一些常见的systemctl命令用法，以及一些建议如何更有效地使用它：

常见的systemctl命令用法：

1. 查看所有单元的状态：

   systemctl status
   

   这将显示系统中所有单元（服务、目标、定时器等）的当前状态。

2. 查看特定服务的状态：

   systemctl status servicename
   

   这将显示特定服务的详细状态信息，包括是否正在运行、最后一次启动时间等。

3. 启动服务：

   sudo systemctl start servicename
   

   这将启动指定的服务。

4. 停止服务：

   sudo systemctl stop servicename
   

   这将停止指定的服务。

5. 重启服务：

   sudo systemctl restart servicename
   

   这将停止并重新启动指定的服务。

6. 查看服务的日志：

   journalctl -u servicename
   

   这将显示特定服务的日志，可以用于故障排除和监控服务的运行状态。

7. 启用服务开机自启：

   sudo systemctl enable servicename
   

   这将设置服务在系统启动时自动启动。

8. 禁用服务开机自启：

   sudo systemctl disable servicename
   

   这将设置服务在系统启动时不自动启动。

9. 查看单元的所有依赖关系：

   systemctl list-dependencies servicename
   

   这将列出指定单元（服务、目标等）的所有依赖关系。

一些建议：

1. 使用systemctl status进行快速查看：
   在日常使用中，使用systemctl status命令可以快速了解系统的运行状态和服务的健康状况。

2. 结合journalctl进行日志分析：
   结合journalctl命令，可以更详细地分析服务的日志信息，有助于快速定位问题。

3. 使用systemctl list-units进行全面查看：
   通过systemctl list-units命令可以查看系统中所有活动的单元，这有助于全面了解系统的运行状况。

4. 合理使用enable和disable：
   仅将确实需要在系统启动时运行的服务设置为自动启动，避免不必要的开机启动服务。

5. 使用别名进行缩写：
   例如，sudo systemctl restart可以简写为sudo systemctl restart，这有助于提高命令输入的效率。

6. 定期检查服务状态：
   定期使用systemctl status检查关键服务的状态，以及时发现和解决潜在的问题。

通过充分利用systemctl命令，系统管理员可以更轻松地管理和监控系统服务，确保它们在期望的状态下运行。

第四：系统配置与systemd配置文件

systemd的配置文件采用INI文件格式，通常存储在/etc/systemd/目录下。以下是一些常见的systemd配置文件和配置项，以及一个实际案例来演示如何修改系统行为。

systemd配置文件的结构：

1. 服务单元文件：

   • 服务单元文件的扩展名为.service，通常存储在/etc/systemd/system/目录下。

   • 典型的服务单元文件结构：

     [Unit]
     Description=My Service[Service]
     ExecStart=/path/to/executable
     

2. 定时器单元文件：

   • 定时器单元文件的扩展名为.timer，通常存储在/etc/systemd/system/目录下。

   • 典型的定时器单元文件结构：

     [Unit]
     Description=My Timer[Timer]
     OnCalendar=daily
     Persistent=true
     

3. 系统目标文件：

   • 系统目标文件的扩展名为.target，通常存储在/etc/systemd/system/目录下。

   • 典型的系统目标文件结构：

     [Unit]
     Description=My Target[Install]
     WantedBy=multi-user.target
     

常见的配置项：

1. Description：

   • 用于提供对单元（服务、定时器、目标等）的简要描述。

2. ExecStart：

   • 用于指定服务启动时执行的命令。

3. OnCalendar：

   • 用于指定定时器何时触发的时间规则。

4. WantedBy：

   • 用于指定一个目标单元的名称，表示单元应该由哪个目标单元所依赖。

5. Requires：

   • 用于指定服务单元依赖的其他单元。

实际案例：

假设有一个服务单元文件 /etc/systemd/system/myapp.service，它描述了一个简单的服务：

[Unit]
Description=My Application[Service]
ExecStart=/path/to/myapp

如果要修改该服务的行为，可以考虑以下场景：

• 场景：修改服务的运行参数

  在 [Service] 部分添加 ExecStart 行：

  [Service]
  ExecStart=/path/to/myapp --my-argument=value
  

• 场景：增加服务的依赖

  在 [Unit] 部分添加 Requires 行：

  [Unit]
  Description=My Application
  Requires=mydependency.service[Service]
  ExecStart=/path/to/myapp
  

• 场景：修改服务的描述信息

  修改 [Unit] 部分的 Description 行：

  [Unit]
  Description=Updated Description for My Application[Service]
  ExecStart=/path/to/myapp
  

修改配置后，使用以下命令重新加载systemd配置：

sudo systemctl daemon-reload

然后可以使用 sudo systemctl restart myapp.service 来使更改生效。

通过理解systemd配置文件的结构和常见配置项，以及实际案例的修改方式，系统管理员可以更灵活地配置和管理系统服务。

第五：实际应用案例(应用重启)

创建service

1️⃣：cd /etc/systemd/system/,进入到这个目录下，创建一个service文件，如下

[Unit]
Description=My Python Script[Service]
Type=simple
Restart=always
RestartSec=5
ExecStart=/usr/bin/python3 /home/csdn/curl_csdn.py[Install]
WantedBy=multi-user.target

1. Type=simple： 指定服务的类型为简单。这表示 systemd 仅等待服务的启动完成，而不会跟踪服务的子进程。对于简单的服务，systemd 会通过监测主进程的状态来确定服务是否正在运行。
2. Restart=always： 这个配置项指示 systemd 在服务终止时始终尝试重新启动。无论是由于正常退出还是发生错误，systemd 都会尝试重新启动服务。
3. RestartSec=5： 指定在尝试重新启动服务之前等待的时间（以秒为单位）。在这个例子中，等待 5 秒后尝试重新启动服务。

在 systemd 服务单元文件中的 [Install] 部分用于定义服务的安装信息，包括服务启动时的目标（target）。

具体来说：

• WantedBy=multi-user.target： 这个指令表示服务希望被添加到 multi-user.target，这是一个多用户环境的基本目标。multi-user.target 是 Linux 系统中启动到多用户环境的主要目标。当你使用 systemctl enable 启用服务时，systemd 将为服务创建符号链接，使其在系统启动时自动启动到 multi-user.target。

这就意味着，通过 sudo systemctl enable my_python_script 命令，你可以使你的服务在系统启动时自动启动到多用户环境。

如果你希望服务在其他目标下启动，你可以更改 WantedBy 指令的值，例如 graphical.target（图形界面目标）等，具体取决于你的需求。

执行相应的命令

# 重新加载 systemd 配置，以使新的服务单元文件生效
systemctl daemon-reload
# 启动服务
systemctl start 你所创建的service文件名，不加.service