systemd 是否针对这种情况提供了一些保护 [...]？

你假设它应该。相反，请考虑诸如 之类的设置TTYPath和诸如 之类的服务[email protected]。获得控制终端的能力实际上是必要的，以便服务管理可以包含 TTY 登录服务，而这正是需要做到的。

真正防止这种情况发生的是放弃在 处自动分配控制终端open()，并放弃旧的语义。或者会防止它。在 Linux 上情况并非如此，但在 FreeBSD、NetBSD、OpenBSD 和 Hurd 上，现在O_NOCTTY的 标志open()完全是多余的。这仅有的获取控制终端的方法是通过明确要求它，使用ioctl(…TIOSCTTY).事实上，自 4.4BSD 时代以来，这种情况已经持续了近四分之一个世纪。

与此同时，在 Linux 上养成的习惯也已经存在很长时间了，早在 systemd 之前：O_NOCTTY到处。 ☺

（是的，GNU 和 musl C 库不会为您提供此功能fopen()。这是仍然是一种有用机制的几个原因之一fdopen()。）

使用 nosh 工具集进行服务管理service-manager对此采取了略有不同的策略。不是总是将守护进程设置为会话领导者，而是为每个服务分配自己的内核会话对象，然后该对象就看不到任何用处，只有特定的服务也会setsid显式链接；例如使用的服务，当然是设置控制终端的服务，以及服务。 （如服务源中所述，调用自身。）ttylogin@*open-controlling-ttyagetty@*agettygetty@*mgettysetsid()

进一步阅读

• 乔纳森·德博因·波拉德 (2018)。setsid。小吃指南。软件。
• 乔纳森·德博因·波拉德 (2018)。open-controlling-tty。小吃指南。软件。
• 乔纳森·德博因·波拉德 (2015)。 ”继承和守护进程谬误 ”。service命令不再有问题。诺什简介。软件。
• 乔纳森·德博因·波拉德 (2001)。 ”不要fork()为了“将守护进程置于后台”。”。设计 Unix 守护程序时要避免的错误。经常给出的答案。
• 乔纳森·德博因·波拉德。 ”虚拟终端登录”。小吃指南。软件。
• 乔纳森·德博因·波拉德。 ”真实终端登录”。小吃指南。软件。
• http://git.musl-libc.org/cgit/musl/tree/src/stdio/__fmodeflags.c
• https://github.com/lattera/glibc/blob/a2f34833b1042d5d8eeb263b4cf4caaea138c4ad/libio/fileops.c#L274

systemd 不保护服务程序不获取控制终端。当打开用户指定的日志文件时，他们必须使用该O_NOCTTY标志来保护自己。

$ rpm -q systemd
systemd-238-8.git0e0aa59.fc28.x86_64

$ systemctl cat test
# /etc/systemd/system/test.service
[Service]
Type=simple
ExecStart=/bin/sh -c "exec cat </dev/tty10 >/dev/tty10"

$ systemctl status test
● test.service
   Loaded: loaded (/etc/systemd/system/test.service; static; vendor preset: disabled)
   Active: active (running) since Fri 2018-06-01 11:28:41 BST; 1min 35s ago
 Main PID: 12173 (cat)
    Tasks: 1 (limit: 4915)
   Memory: 180.0K
   CGroup: /system.slice/test.service
           └─12173 cat

Jun 01 11:28:41 alan-laptop systemd[1]: Started test.service.

$ ps -ejf
UID        PID  PPID  PGID   SID  C STIME TTY          TIME CMD
...
root     12173     1 12173 12173  0 11:28 tty10    00:00:00 cat

我还确认切换到 tty10 并按 Ctrl+C 会停止该cat过程。