====== Beispiel für ein Service Unit ======

Unit File anlegen:
  systemctl edit --full --force nc.service

<file txt /etc/systemd/system/nc.service>
[Service]
ExecStart=/usr/bin/nc -l -p 5000
</file>

Syntax des Unit Files prüfen:
  systemd-analyze verify nc.service
((
Fehlermeldung "Attempted to remove disk file system, and we can't allow that." in systemd Versionen vor v239 kann ignoriert werden: https://github.com/systemd/systemd/issues/8592
))

Systemd Konfiguration neu laden (( nicht nötig, wenn das Unit File mit ''systemctl edit'' angelegt oder bearbeitet wurde ))
  systemctl daemon-reload

Service starten
  systemctl start nc

Start überprüfen
  systemctl status nc

Beschreibung hinzufügen:
  systemctl edit --full nc.service

<file txt /etc/systemd/system/nc.service>
[Unit]
Description=my netcat service
 
…
</file>

Beschreibung überprüfen
  systemctl status nc

Beim Booten starten
  systemctl edit --full nc.service

<file txt /etc/systemd/system/nc.service>
…

[Install]
WantedBy=multi-user.target
</file>

  systemctl enable nc

====== Beispiel für ein User Service Unit ======
Sinnloses Skript anlegen:
  mkdir ~/bin
  vim ~/bin/fillfs.sh

<code bash ~/bin/fillfs.sh>
#!/bin/bash
dd if=/dev/zero of=/tmp/zero oflag=append conv=notrunc bs=1M
</code>

Als Benutzer Unit File anlegen:
  systemctl --user edit --force --full fillfs.service

<file txt ~/.config/systemd/user/fillfs.service>
[Service]
ExecStart=/home/nutzer45/bin/fill-fs.sh
</file>

Syntax des Unit Files überprüfen:
  systemd-analyze --user verify fillfs.service

"Dienst" starten:
  systemctl --user start fillfs

Sehen was passiert:
  systemctl --user status fillfs
  journalctl --user -fu fillfs
  watch -d df -h



===== vmstat daemon service unit =====
<file txt /etc/systemd/system/vmstatd.service>
[Unit]
Description=VMSTAT as a Service

[Service]
Restart=on-failure
RestartSec=10
EnvironmentFile=/etc/default/vmstatd
#ExecStart=/bin/bash -c 'exec /usr/bin/vmstat -n -w -t 3 >> /tmp/vmstat.log'
ExecStart=/bin/bash -c 'exec /usr/bin/vmstat $VMPARAM $VMDELAY >> $VMLOGFILE'

[Install]
WantedBy=basic.target
</file>

<file txt /etc/default/vmstatd>
VMPARAM="-n -w -t"
VMDELAY="5"
VMLOGFILE="/tmp/vmstat.log"
</file>

====== Dienste absichern ======
((Lennart Poettering schreibt: //There's quite some stuff now we
should enable wherever we can. Specifically ProtectSystem=,
ProtectHome=, ProtectKernelTunables=, ProtectKernelModules=,
ProtectedControlGroups=, PrivateUsers=, PrivateTmp=, PrivateDevices=,
PrivateNetwork=, SystemCallFilter=, RestrictAddressFamilies=,
RestrictNamespaces=, MemoryDenyWriteExecute=, RestrictRealtime=// https://lwn.net/Articles/709764/))

TODO: noch nicht getestet

<file txt>
ProtectSystem=full
</file>
oder
<file txt>
ProtectSystem=strict
ReadWritePaths=/var/lib/…
ReadOnlyPaths=/var/lib/…
CapabilityBoundingSet=~CAP_SYS_ADMIN
SystemCallFilter=~@mount,~@swap,~@setuid,~@resources,~@reboot,~@privileged,~@obsolete,~@module
</file>

<file txt>
ProtectHome=true
ProtectKernelTunables=true
ProtectKernelModules=true
ProtectedControlGroups=true
PrivateTmp=true
PrivateDevices=true
SystemCallFilter=~@mount,~@swap,~@setuid,~@resources,~@reboot,~@privileged,~@obsolete,~@module,~@keyring,~@cpu-emulation,~@clock,~@chown
RestrictAddressFamilies=AF_UNIX,AF_INET,AF_INET6
RestrictNamespaces=true
RestrictRealtime=true
#PrivateUsers=
#MemoryDenyWriteExecute=
#IPAddressAllow=
#IPAddressDeny=
#AmbientCapabilitySet=
</file>

Für lokale Dienste (systlog ohne netzwerk, cron (falls keine Jobs auf das Netzwerk zugreifen sollen), ...) zusätzlich:
<file txt>
PrivateNetwork=true
RestrictAddressFamilies=AF_UNIX
</file>

TODO: Für Dienste, die keine Daten dauerhaft speichern (ntpd? unbound?):
<file txt>
DynamicUser=yes
User=unbound
Group=unbound
</file>