systemd 的 SupplementaryGroups 也适用于服务主进程产生的工作进程吗?

systemd 的 SupplementaryGroups 也适用于服务主进程产生的工作进程吗?

我必须为不允许以 root 身份运行但必须访问私钥文件和提升的端口的应用程序设置 systemd 服务。

通常,私钥受到保护,只有 root 才能访问。

由于该应用程序可能无法以 root 身份启动,我正在考虑使用 systemd 的 SupplementaryGroups 来授予对密钥的访问权限。

SupplementaryGroups=privkey_access_group

这按预期工作,但我想知道这个补充组是否仅适用于我的应用程序的主进程? 如果应用程序将生成工作进程,这些进程是否也会设置该补充组?

答案1

无论最初如何设置,组始终会从父进程继承到子进程。只有您的应用程序可以决定其工作进程是否保留继承的组或故意清除它们;systemd 对此没有发言权。

相关内容