Was ist der Unterschied zwischen .service und .timer?

Eine **`.service`** beschreibt ein Programm: wie es zu starten ist, wer es ausfuehrt, wie es bei Crash neu startet, was beim Beenden zu tun ist. Ein **`.timer`** beschreibt einen *Schedule* und zeigt auf einen Service, der gefeuert werden soll. Sie arbeiten zusammen: du schreibst `backup.service` mit dem echten `ExecStart` und `backup.timer` mit `OnCalendar=daily Persistent=true Unit=backup.service`. Du aktivierst den **Timer** (`systemctl enable --now backup.timer`), nicht den Service: der Timer triggert den Service, wenn der Schedule feuert. Das ist der systemd-Ersatz fuer cron, mit besserem Logging, Abhaengigkeiten und Missed-Run-Handling via `Persistent=true`.

Type=simple vs forking vs oneshot, was nehme ich?

Nach Verhalten waehlen. **`simple`** (Default fuer die meisten Apps): dein Programm **bleibt im Vordergrund**, systemd behandelt den ersten `ExecStart`-Prozess als Service. Fuer Node, Python, Go-Web-Apps, alles, was sich nicht selbst daemonized. **`forking`**: dein Programm **forkt ein Child und der Parent endet** (klassische Unix-Daemons wie aelterer nginx, postgres). systemd wartet aufs Parent-Ende und trackt das Child. Meist brauchst du auch `PIDFile=`. **`oneshot`**: der Befehl **laeuft bis zum Ende und endet** absichtlich (Backup-Skript, einmalige Migration). Mit `RemainAfterExit=yes` kombinieren, wenn andere Units das Resultat als "active" sehen sollen. **`notify`**: wie simple, aber dein Programm ruft `sd_notify(READY=1)`, damit systemd den exakten Ready-Moment kennt (am besten fuer Systeme, in denen Startreihenfolge zaehlt). **`idle`**: wie simple, aber verzoegert, bis andere Boot-Jobs fertig sind (fuer tty-getty). Im Zweifel mit `simple` starten.

Welche Restart=-Policy nehme ich?

Sechs Optionen, drei davon brauchst du wirklich. **`on-failure`**: nur Restart, wenn der Prozess non-zero endet, von einem Signal gekillt wird (ausser SIGTERM/SIGINT/SIGPIPE), in Timeout laeuft oder den Watchdog reisst. Das ist der **sichere Default fuer die meisten Web-Services und Worker**. **`always`**: Restart aus jedem Grund, auch nach sauberem `exit 0`. Fuer **must-stay-alive-Worker**, die sich nie von selbst beenden sollen. **`no`**: nie auto-restart. Richtig fuer **Oneshot-Jobs** (Backups, Migrationen), wo erfolgreich enden das Ziel ist. Die seltenen: **`on-success`** (nur bei sauberem Exit, fast nie nuetzlich), **`on-abnormal`** (Signale und Timeouts, aber keine non-zero Exits), **`on-watchdog`** (nur bei Watchdog-Timeout, fuer `Type=notify`-Services mit `WatchdogSec=`). Jede Restart-Policy mit **`RestartSec=5`** paaren, damit du das System nicht hammerst, wenn das Programm immer wieder sofort crasht.

Wie hardene ich einen Service? Was sind PrivateTmp, ProtectSystem etc.?

systemd liefert mehrere kostenlose Hardening-Schalter, die Schaden bei Kompromittierung begrenzen. Die billigen, nuetzlichen: **`PrivateTmp=yes`** gibt dem Service eigene `/tmp` und `/var/tmp`-Verzeichnisse, unsichtbar fuer andere Prozesse. **`ProtectSystem=strict`** mountet `/usr`, `/boot`, `/efi` und `/etc` read-only (mit `ReadWritePaths=` Ausnahmen whitelisten). **`NoNewPrivileges=yes`**: der Prozess und seine Children koennen via setuid-/setgid-Binaries keine Privileges gewinnen (blockt die meisten Privilege-Escalation-Pfade). **`ProtectHome=yes`** versteckt `/home`, `/root`, `/run/user`. **`PrivateDevices=yes`**: kein Zugriff auf physische Geraete. **`ProtectKernelModules=yes`**, **`ProtectKernelTunables=yes`**, **`ProtectControlGroups=yes`** blocken Manipulation des Kernels. `systemd-analyze security myapp.service` bewertet deine Unit auf einer 0-bis-10-Skala und zeigt, welche Schalter noch aus sind.

Wie funktioniert die OnCalendar=-Syntax?

OnCalendar nutzt ein kompaktes Day-of-Week + Date + Time-Format, mit Shortcuts fuer typische Faelle. **Shortcuts**: `minutely`, `hourly`, `daily`, `weekly`, `monthly`, `quarterly`, `yearly`. **Volle Form**: `DayOfWeek Year-Month-Day Hour:Minute:Second`. Beispiele: `*-*-* 02:30:00` laeuft jeden Tag um 02:30, `Mon..Fri 09:00` jeden Werktag um 09:00, `*-*-1 03:00:00` am 1. jedes Monats um 03:00, `Sat,Sun 10:00` am Wochenende um 10:00, `*-01,07-01 00:00:00` jeweils um Mitternacht am 1. Januar und 1. Juli. Jedes Feld kann `*` (beliebig), eine Komma-Liste (`Mon,Wed,Fri`) oder eine Range (`Mon..Fri`) sein. Zum Testen: `systemd-analyze calendar "Mon *-*-* 09:00"` zeigt die naechste Laufzeit. Aktive Timer listen: `systemctl list-timers`.

Was macht Persistent= an einem Timer?

**`Persistent=true`** sagt systemd: war ein geplanter Lauf **verpasst**, weil die Maschine aus, im Sleep oder der Timer deaktiviert war, **fahr ihn nach dem Wiederhochkommen so schnell wie moeglich**. Ohne `Persistent=true` werden verpasste Laeufe einfach uebersprungen: ein `daily`-Timer auf einem Laptop, den du nur dreimal die Woche aufmachst, feuert **drei statt einmal**, wenn der Laptop zum Schedule lief, sonst nullmal. Fuer Backups, Reports, Cleanups und alles, was **irgendwann passieren muss, auch verspaetet**, `Persistent=true` setzen. Fuer "jede Minute"-Health-Checks, bei denen ein veralteter Lauf wertlos ist, weglassen. Der State wird in `/var/lib/systemd/timers/` getrackt.

Warum RandomizedDelaySec= nutzen?

**`RandomizedDelaySec=`** verteilt die tatsaechliche Ausfuehrungszeit innerhalb eines Fensters, damit viele Maschinen mit demselben Timer eine geteilte Ressource nicht gleichzeitig hammern. Konkret: 500 Server fahren `OnCalendar=hourly`, um vom Config-Server zu ziehen. Ohne Randomisierung sieht der Config-Server jede Stunde 500 simultane Anfragen zur vollen Stunde. Mit `RandomizedDelaySec=5min` sind die Anfragen ueber ein 5-Minuten-Fenster verteilt. Auch nuetzlich fuer **Backups auf geteilten Storage** (I/O-Spitzen vermeiden), **ausgehende API-Calls** (unter Rate-Limits bleiben) und **bei identischen Hosts** (damit Log-Aggregation keinen heissen Sekunden-Spike sieht). Die echte Verzoegerung ist ein stabiler Zufallswert pro (Timer, Boot)-Paar, dieselbe Maschine feuert also etwa zum gleichen Offset im Fenster.

Wie installiere und aktiviere ich eine Unit-Datei? Wo gehoert sie hin?

Fuer **vom User installierte** Services und Timer: die Datei nach **`/etc/systemd/system/`** legen (nicht `/lib/systemd/system/`, das gehoert Paketen). Berechtigungen: `chmod 644 /etc/systemd/system/myapp.service` (root-owned, world-readable). Dann: **(1)** `sudo systemctl daemon-reload`, damit systemd die neue Datei aufgreift, **(2)** `sudo systemctl start myapp.service` fuer einmaligen Start, **(3)** `sudo systemctl enable myapp.service` fuer Auto-Start beim Boot (erzeugt den Symlink unter `multi-user.target.wants/`), oder beides als `sudo systemctl enable --now myapp.service` kombinieren. Bei Timern aktivierst du den **Timer**, nicht den Service: `sudo systemctl enable --now myapp.timer`. Entfernen: `sudo systemctl disable --now myapp.service` und Datei loeschen. **Per-User**-Services in `~/.config/systemd/user/` und mit `systemctl --user` laufen.

Wo liegen die Logs und wie lese ich sie?

Mit `StandardOutput=journal` (Default, alles, was dein Programm auf stdout/stderr schreibt, geht ins Journal) lies sie mit **`journalctl -u myapp.service`**. Typische Flags: **`-f`** neue Zeilen verfolgen (wie `tail -f`), **`-n 200`** letzte 200 Zeilen, **`--since "1 hour ago"`** oder **`--since today`** nach Zeit filtern, **`-p err`** nur Errors und hoeher, **`-o cat`** plain ohne Timestamps, **`-r`** umgekehrt (neueste zuerst), **`--no-pager`** fuer Skripte. Kombinieren: `journalctl -u myapp.service -f --since "10 min ago"`. Fuer Timer plus Service beide ansehen: `journalctl -u myapp.timer -u myapp.service`. Das Journal ist binaer, indiziert und automatisch rotiert: der Disk-Verbrauch ist via `SystemMaxUse=` in `/etc/systemd/journald.conf` gedeckelt (Default rund 10 % der `/var/log/journal`-Partition).

systemd-Unit-Builder - kostenlos

ModusWähle .service für ein lang laufendes Programm oder .timer für einen Zeitplan

PresetsKlick zum Ersetzen des aktiven Formulars

[Unit] - Identität und Abhängigkeiten

Unit-NameOhne Endung, z. B. `myapp` wird zu `myapp.service`BeschreibungKurze Beschreibung in `systemctl status` und `systemctl list-units`

AfterUnits, die vor dieser starten müssen. Am häufigsten `network-online.target`. Ein Eintrag pro Zeile oder leerzeichengetrenntWantsSchwache Abhängigkeit: Diese Units mitziehen, aber nicht scheitern, falls sie scheiternRequiresStarke Abhängigkeit: Wenn eine erforderliche Unit nicht startet, startet diese auch nicht

[Service] - Ausführung

Typ

Wie systemd erkennt, dass der Dienst gestartet ist. `simple` (Standard) für die meisten Apps, `oneshot` für Skripte, die laufen und beenden, `forking` für Daemons, die in den Hintergrund forken, `notify` falls dein Programm `sd_notify(READY=1)` ruft

BenutzerBenutzername, unter dem der Prozess läuft. Leer = root (meist eine schlechte Idee). Lege einen dedizierten Benutzer an: `sudo useradd --system --no-create-home --shell /usr/sbin/nologin myapp`GruppeProzess-Gruppe, standardmäßig dieselbe wie User

Arbeitsverzeichnis (WorkingDirectory)Arbeitsverzeichnis für den Prozess. Hilft bei relativen Pfaden und beim Finden von Config-DateienExecStartVollständiger Befehl mit **absolutem Pfad** zur Binary. Z. B. `/usr/bin/node /var/www/myapp/server.js`. Kein `cd`, kein `&&`, keine Pipes (nutze dafür ein Shell-Skript)ExecReloadBefehl für `systemctl reload myapp`. Klassisch: `/bin/kill -HUP $MAINPID`

[Service] - Restart-Policy

Restart

Wann systemd den Prozess neu starten soll. `on-failure` ist der sichere Standard. `always` für Worker, die laufen bleiben müssen. `no` für oneshotRestartSecSekunden, die zwischen Neustarts gewartet wird. 5 ist ein gutes Minimum, damit eine Crash-Schleife das System nicht überlastet

[Service] - Umgebungsvariablen

[Service] - Logging und Härtung

StandardOutput

Wohin stdout/stderr geht. `journal` (Standard) = `journalctl -u myapp`. Selten lohnt sich eine Änderung

PrivateTmp

Gibt dem Dienst eigene `/tmp` und `/var/tmp`. Für andere Prozesse unsichtbar. Kostenlose Härtung, einschalten

ProtectSystem

`yes` = `/usr` und `/boot` read-only, `strict` = auch ganzes `/etc` read-only (am stärksten). Füge `ReadWritePaths=` für Verzeichnisse hinzu, in die der Dienst schreiben muss

NoNewPrivileges

Blockiert Privilegien-Eskalation über setuid/setgid-Binaries. Sollte `yes` sein für jeden Dienst, der solche Tricks nicht braucht

[Install]

WantedBy

Zu welcher Boot-Target-Gruppe gehören. `multi-user.target` für Headless-Server (95 % der Fälle), `graphical.target` für Desktops

/etc/systemd/system/myapp.service

In eine systemd-Unit-Datei einfügen

22 Zeilen

[Unit]
Description=Node.js web application
After=network-online.target
Wants=network-online.target

[Service]
Type=simple
User=www-data
Group=www-data
WorkingDirectory=/var/www/myapp
ExecStart=/usr/bin/node /var/www/myapp/server.js
Restart=on-failure
RestartSec=5
Environment="NODE_ENV=production"
Environment="PORT=3000"
StandardOutput=journal
PrivateTmp=yes
ProtectSystem=strict
NoNewPrivileges=yes

[Install]
WantedBy=multi-user.target

Dateien herunterladen

Wie installieren

1. Lege die Datei ab unter /etc/systemd/system/myapp.service
2. sudo systemctl daemon-reload
3. sudo systemctl enable --now myapp.service
4. sudo systemctl status myapp.service
5. journalctl -u myapp.service -f

Was ist eine systemd-Unit und warum dieser Builder?

Auf modernem Linux (Ubuntu, Debian, Fedora, Arch, Rocky, Alma...) ist systemd das Programm, das Services beim Boot startet, sie nach einem Crash neu startet und geplante Jobs ausfuehrt. Eine Unit-Datei ist eine kleine Textdatei in `/etc/systemd/system/`, die systemd sagt, *was* zu starten ist und *wie* sich das Ding verhalten soll.

Dieser Builder schreibt zwei Arten von Units fuer dich:

`.service`-Dateien mit ExecStart fuer langlaufende Programme (eine Node-Web-App, ein Python-Worker, eine Datenbank).
`.timer`-Dateien mit OnCalendar fuer Jobs, die nach Schedule laufen sollen (der moderne Ersatz fuer cron).

Preset waehlen, Felder ausfuellen, das Ergebnis in eine Datei unter `/etc/systemd/system/` kopieren, `sudo systemctl daemon-reload && sudo systemctl enable --now myapp.service` ausfuehren, und du bist fertig. Alles passiert im Browser, kein Upload, kein Account.

So benutzt du es

Ein Preset waehlen, das deinem Fall aehnelt (Node Web-App, Python-Worker, One-Shot-Backup, Datenbank, Go-Binary, docker compose, Static Server). Das Formular fuellt mit sinnvollen Defaults, die du anpassen kannst.

Den Unit-Namen setzen (`myapp` wird `myapp.service`), die Description (sichtbar in `systemctl status`) und die Abhaengigkeiten (After, Wants, Requires, fast jeder will `network-online.target`).

Im Service-Bereich einen Type waehlen (`simple` fuer die meisten Apps, `oneshot` fuer Skripte, die laufen und enden, `forking` fuer Daemons, die in den Hintergrund forken), die User und Group zum Privileges-Droppen und ExecStart mit dem absoluten Pfad zu deinem Binary.

Eine Restart-Policy waehlen. `on-failure` ist der sichere Default: systemd startet nur neu, wenn dein Programm mit non-zero endet oder crasht. `always` ist fuer langlebige Worker, die in jedem Fall wiederkommen muessen. RestartSec als Back-off (5 Sekunden ist okay) setzen.

Environment-Variablen ergaenzen (NODE_ENV, DATABASE_URL...). Sensible (Passwoerter, Tokens) gehoeren stattdessen in `EnvironmentFile=`: in eine `chmod 600`-Datei ausserhalb der Unit legen.

Optionales Hardening: `PrivateTmp`, `ProtectSystem`, `NoNewPrivileges` anschalten. Kostet nichts und begrenzt Schaden bei Kompromittierung. Der Builder erklaert jedes.

Auf den .timer-Tab wechseln, wenn du einen geplanten Lauf statt (oder zusaetzlich zu) des langlaufenden Service willst. OnCalendar ausfuellen (z. B. `daily`, `Mon *-*-* 03:00:00`), Persistent anschalten, damit ein verpasster Lauf nach einem Reboot nachholt, Unit auf deinen Service zeigen lassen.

Copy oder Download klicken. Datei nach `/etc/systemd/system/myapp.service` (und `myapp.timer` falls noetig) legen, dann `sudo systemctl daemon-reload`, `sudo systemctl enable --now myapp.service`, und Logs mit `journalctl -u myapp.service -f` ansehen.

Wann das nuetzlich ist

Sieben konkrete Situationen, in denen eine ordentliche systemd-Unit echte Zeit spart:

Du hast ein Node-, Python- oder Go-Programm geschrieben und willst, dass es beim Boot startet und nach Crash neu startet. Eine `.service` in `/etc/systemd/system/` ablegen und `pm2`, `forever`, `screen` oder `nohup` vergessen.
Du hast ein Skript, das nach Schedule laufen soll (naechtliches Backup, woechentlicher Report, stuendlicher Cache-Refresh). Ein `.timer`-plus-`.service`-Paar ist der moderne Ersatz fuer cron, und Logs gehen direkt nach journalctl.
Du musst ein Programm als Non-Root-User mit kontrollierten Permissions laufen lassen. `User=` und `Group=` droppen Privileges; `ProtectSystem=strict`, `PrivateTmp=yes` und `NoNewPrivileges=yes` ergaenzen kostenlos Hardening.
Du verwaltest eine kleine Flotte und willst dieselbe Service-Definition ueber Maschinen. Die Unit-Datei ist plain Text: in git versionieren, mit ansible / Makefile / scp deployen.
Du brauchst, dass ein Service auf Netzwerk oder Datenbank wartet, bevor er startet. `After=network-online.target` und `Requires=postgresql.service` machen die Reihenfolge explizit.
Ein docker-compose-Stack soll beim Boot starten. Ein Oneshot-`.service` mit `ExecStart=docker compose up -d` plus `Requires=docker.service` haendelt das sauber.
Du willst zentrale Logs ohne Config. `StandardOutput=journal` (Default) heisst, `journalctl -u myapp` tailt dein Programm und `journalctl --since "1 hour ago"` ist deine einzige Suche.

Fragen und Antworten

systemd ist das Init-System auf den meisten modernen Linux-Distributionen (Ubuntu seit 15.04, Debian seit 8, RHEL/CentOS/Rocky seit 7, Fedora seit 15, Arch, openSUSE...). Es ist PID 1, der allererste Prozess, den der Kernel startet, verantwortlich fuers Booten, Starten von Services in der richtigen Reihenfolge, Restart nach Crash, geplante Jobs (Timer), Geraete-Management, Dateisystem-Mounts und Log-Sammlung. Wenn du `sudo systemctl restart nginx` tippst, sprichst du mit systemd. Eine Unit-Datei ist nur eine kleine INI-style-Textdatei, die systemd sagt, wie es einen Service, Timer, Socket oder Mount verwaltet.

[Unit] Description=Node.js web application After=network-online.target Wants=network-online.target [Service] Type=simple User=www-data Group=www-data WorkingDirectory=/var/www/myapp ExecStart=/usr/bin/node /var/www/myapp/server.js Restart=on-failure RestartSec=5 Environment="NODE_ENV=production" Environment="PORT=3000" StandardOutput=journal PrivateTmp=yes ProtectSystem=strict NoNewPrivileges=yes [Install] WantedBy=multi-user.target

Was ist eine systemd-Unit und warum dieser Builder?

Dieser Builder schreibt zwei Arten von Units fuer dich:

`.service`-Dateien mit ExecStart fuer langlaufende Programme (eine Node-Web-App, ein Python-Worker, eine Datenbank).
`.timer`-Dateien mit OnCalendar fuer Jobs, die nach Schedule laufen sollen (der moderne Ersatz fuer cron).

So benutzt du es

Environment-Variablen ergaenzen (NODE_ENV, DATABASE_URL...). Sensible (Passwoerter, Tokens) gehoeren stattdessen in `EnvironmentFile=`: in eine `chmod 600`-Datei ausserhalb der Unit legen.

Optionales Hardening: `PrivateTmp`, `ProtectSystem`, `NoNewPrivileges` anschalten. Kostet nichts und begrenzt Schaden bei Kompromittierung. Der Builder erklaert jedes.

Wann das nuetzlich ist

Sieben konkrete Situationen, in denen eine ordentliche systemd-Unit echte Zeit spart:

Du hast ein Node-, Python- oder Go-Programm geschrieben und willst, dass es beim Boot startet und nach Crash neu startet. Eine `.service` in `/etc/systemd/system/` ablegen und `pm2`, `forever`, `screen` oder `nohup` vergessen.
Du hast ein Skript, das nach Schedule laufen soll (naechtliches Backup, woechentlicher Report, stuendlicher Cache-Refresh). Ein `.timer`-plus-`.service`-Paar ist der moderne Ersatz fuer cron, und Logs gehen direkt nach journalctl.
Du musst ein Programm als Non-Root-User mit kontrollierten Permissions laufen lassen. `User=` und `Group=` droppen Privileges; `ProtectSystem=strict`, `PrivateTmp=yes` und `NoNewPrivileges=yes` ergaenzen kostenlos Hardening.
Du verwaltest eine kleine Flotte und willst dieselbe Service-Definition ueber Maschinen. Die Unit-Datei ist plain Text: in git versionieren, mit ansible / Makefile / scp deployen.
Du brauchst, dass ein Service auf Netzwerk oder Datenbank wartet, bevor er startet. `After=network-online.target` und `Requires=postgresql.service` machen die Reihenfolge explizit.
Ein docker-compose-Stack soll beim Boot starten. Ein Oneshot-`.service` mit `ExecStart=docker compose up -d` plus `Requires=docker.service` haendelt das sauber.
Du willst zentrale Logs ohne Config. `StandardOutput=journal` (Default) heisst, `journalctl -u myapp` tailt dein Programm und `journalctl --since "1 hour ago"` ist deine einzige Suche.

Fragen und Antworten

systemd-Unit-Builder

Was ist eine systemd-Unit und warum dieser Builder?

So benutzt du es

Wann das nuetzlich ist

Fragen und Antworten

Passende Tools

SSH-Config-Builder

Cron-Ausdruck-Builder

Nginx-Config-Snippet-Builder

Docker-Compose-Builder

iptables- und nftables-Builder

systemd-Unit-Builder

Was ist eine systemd-Unit und warum dieser Builder?

So benutzt du es

Wann das nuetzlich ist

Fragen und Antworten

Passende Tools

SSH-Config-Builder

Cron-Ausdruck-Builder

Nginx-Config-Snippet-Builder

Docker-Compose-Builder

iptables- und nftables-Builder