¿Cuál es la diferencia entre un .service y un .timer?

Un **`.service`** describe un programa: cómo arrancarlo, quién lo ejecuta, cómo reiniciarlo si se cuelga, qué hacer cuando sale. Un **`.timer`** describe un *horario* y apunta a un servicio para dispararlo. Funcionan juntos: escribes `backup.service` con el `ExecStart` real y `backup.timer` con `OnCalendar=daily Persistent=true Unit=backup.service`. Activas el **timer** (`systemctl enable --now backup.timer`), no el servicio: el timer dispara el servicio cuando el horario se cumple. Es el reemplazo systemd de cron, con mejor logueo, dependencias y gestión de ejecuciones perdidas vía `Persistent=true`.

Type=simple vs forking vs oneshot, ¿cuál escojo?

Escoge según qué hace tu programa. **`simple`** (por defecto para la mayoría de apps): tu programa **se queda en primer plano**, systemd trata el primer proceso `ExecStart` como el servicio. Úsalo para apps web Node, Python, Go, cualquier cosa que no se demonice por sí sola. **`forking`**: tu programa **hace fork de un hijo y el padre sale** (daemons Unix clásicos como nginx antiguo, postgres). systemd espera a que salga el padre y rastrea al hijo. Normalmente necesitas `PIDFile=` también. **`oneshot`**: el comando **se ejecuta hasta completarse y sale** a propósito (un script de backup, una migración puntual). Combina con `RemainAfterExit=yes` si otras unidades deben tratar el resultado como "activo". **`notify`**: como simple, pero tu programa llama a `sd_notify(READY=1)` para que systemd sepa el momento exacto en que está listo (mejor para sistemas donde el orden de arranque importa). **`idle`**: igual que simple pero retrasado hasta que terminen otros trabajos de arranque (se usa para tty-getty). En caso de duda, empieza con `simple`.

¿Qué política Restart= debería usar?

Seis opciones, tres que realmente necesitas. **`on-failure`**: reinicia solo si el proceso sale con código distinto de cero, lo mata una señal (excepto SIGTERM/SIGINT/SIGPIPE), hace timeout o llega al watchdog. Este es el **valor por defecto seguro para la mayoría de servicios web y workers**. **`always`**: reinicia da igual por qué salió el proceso, incluido un `exit 0` limpio. Úsalo para **workers que deben estar vivos** y nunca deben parar por sí solos. **`no`**: nunca auto-reinicia. Correcto para **trabajos oneshot** (backups, migraciones) donde terminar con éxito es el objetivo. Las raras: **`on-success`** (solo en salida limpia, casi nunca útil), **`on-abnormal`** (señales y timeouts, pero no códigos de salida distintos de cero), **`on-watchdog`** (solo en timeout del watchdog, para servicios `Type=notify` con `WatchdogSec=`). Empareja cualquier política de reinicio con **`RestartSec=5`** para no martirizar al sistema si el programa se sigue colgando inmediatamente.

¿Cómo endurezco un servicio? ¿Qué son PrivateTmp, ProtectSystem, etc.?

systemd entrega varios interruptores de hardening gratis que limitan el daño si el servicio se ve comprometido. Los baratos y útiles: **`PrivateTmp=yes`** da al servicio sus propios directorios `/tmp` y `/var/tmp`, invisibles para otros procesos. **`ProtectSystem=strict`** monta `/usr`, `/boot`, `/efi` y `/etc` en solo lectura (usa `ReadWritePaths=` para whitelisting de excepciones). **`NoNewPrivileges=yes`**: el proceso y sus hijos no pueden ganar privilegios vía binarios setuid/setgid (bloquea la mayoría de rutas de escalada). **`ProtectHome=yes`** oculta `/home`, `/root`, `/run/user`. **`PrivateDevices=yes`**: sin acceso a dispositivos físicos. **`ProtectKernelModules=yes`**, **`ProtectKernelTunables=yes`**, **`ProtectControlGroups=yes`** bloquean la manipulación del kernel. Ejecuta `systemd-analyze security miapp.service` para puntuar tu unidad en escala 0-10 y ver qué interruptores siguen apagados.

¿Cómo funciona la sintaxis OnCalendar=?

OnCalendar usa un formato compacto día-de-semana + fecha + hora, con atajos para casos comunes. **Atajos**: `minutely`, `hourly`, `daily`, `weekly`, `monthly`, `quarterly`, `yearly`. **Forma completa**: `DayOfWeek Year-Month-Day Hour:Minute:Second`. Ejemplos: `*-*-* 02:30:00` corre cada día a las 02:30, `Mon..Fri 09:00` corre a las 09:00 cada día de la semana, `*-*-1 03:00:00` corre a las 03:00 el día 1 de cada mes, `Sat,Sun 10:00` corre a las 10:00 los fines de semana, `*-01,07-01 00:00:00` corre a medianoche el 1 de enero y el 1 de julio. Cualquier campo puede ser `*` (cualquiera), una lista por comas (`Mon,Wed,Fri`) o un rango (`Mon..Fri`). Para probar: `systemd-analyze calendar "Mon *-*-* 09:00"` muestra la próxima ejecución. Para listar timers activos: `systemctl list-timers`.

¿Qué hace Persistent= en un timer?

**`Persistent=true`** le dice a systemd: si una ejecución programada se **perdió** porque la máquina estaba apagada, durmiendo o el timer estaba desactivado en ese momento, **ejecútalo en cuanto el sistema vuelva**. Sin `Persistent=true`, las ejecuciones perdidas simplemente se saltan: un timer `daily` en un portátil que solo abres tres veces a la semana se dispararía **tres veces** en lugar de una si el portátil estaba encendido a la hora programada, si no cero. Para backups, reportes, limpiezas y cualquier cosa que **debe acabar pasando aunque sea tarde**, pon `Persistent=true`. Para health checks "cada minuto" donde una ejecución obsoleta es inútil, déjalo apagado. El estado se rastrea en `/var/lib/systemd/timers/`.

¿Por qué usar RandomizedDelaySec=?

**`RandomizedDelaySec=`** reparte el tiempo de ejecución real dentro de una ventana, para que muchas máquinas ejecutando el mismo timer no martiricen un recurso compartido en el mismo instante. Caso concreto: 500 servidores ejecutan `OnCalendar=hourly` para tirar de un servidor de config. Sin randomización, cada hora el servidor de config ve 500 peticiones simultáneas en punto. Con `RandomizedDelaySec=5min`, las peticiones se reparten en una ventana de 5 minutos. También útil para **backups a almacenamiento compartido** (evitar picos de I/O), **llamadas API salientes** (mantenerse bajo rate limits) y **en una flota de hosts idénticos** (para que el agregador de logs no vea un segundo caliente). El retraso real es un valor aleatorio estable por par (timer, boot), así que la misma máquina se dispara aproximadamente con el mismo offset dentro de la ventana.

¿Cómo instalo y activo un fichero de unidad? ¿Dónde va?

Para servicios y timers **instalados por el usuario**: suelta el fichero en **`/etc/systemd/system/`** (no en `/lib/systemd/system/`, esa ruta pertenece a los paquetes). Los permisos deberían ser `chmod 644 /etc/systemd/system/miapp.service` (propiedad de root, world-readable). Luego: **(1)** `sudo systemctl daemon-reload` para que systemd recoja el nuevo fichero, **(2)** `sudo systemctl start miapp.service` para arrancarlo una vez, **(3)** `sudo systemctl enable miapp.service` para auto-arranque al boot (esto crea el symlink bajo `multi-user.target.wants/`), o combina ambos como `sudo systemctl enable --now miapp.service`. Para timers, activas el **timer**, no el servicio: `sudo systemctl enable --now miapp.timer`. Para eliminar: `sudo systemctl disable --now miapp.service` y borra el fichero. Los servicios **por usuario** van en `~/.config/systemd/user/` y corren bajo `systemctl --user`.

¿Dónde están los logs y cómo los leo?

Cuando `StandardOutput=journal` (por defecto, así que cualquier cosa que tu programa escriba a stdout/stderr va al journal), usa **`journalctl -u miapp.service`** para leerlos. Flags comunes: **`-f`** sigue las nuevas líneas según aparecen (como `tail -f`), **`-n 200`** muestra las últimas 200 líneas, **`--since "1 hour ago"`** o **`--since today`** filtra por tiempo, **`-p err`** muestra solo errores y superior, **`-o cat`** salida plana sin timestamps, **`-r`** invertido (más reciente primero), **`--no-pager`** para scripts. Combina: `journalctl -u miapp.service -f --since "10 min ago"`. Para un par timer + servicio, mira ambos: `journalctl -u miapp.timer -u miapp.service`. El journal es binario, indexado y rotado automáticamente: el uso de disco está limitado por `SystemMaxUse=` en `/etc/systemd/journald.conf` (por defecto en torno al 10% de la partición `/var/log/journal`).

Generador de unidad systemd - gratis

ModoElige .service para un programa de larga duración o .timer para una programación

PresetsHaz clic para reemplazar el formulario activo

[Unit] - identidad y dependencias

Nombre de unitSin la extensión, p. ej. `myapp` se convierte en `myapp.service`DescripciónDescripción corta mostrada en `systemctl status` y `systemctl list-units`

AfterUnits que deben arrancar antes que ésta. Lo más común `network-online.target`. Una entrada por línea o separadas por espaciosWantsDependencia débil: arrastra estas units pero no falla en el arranque si fallanRequiresDependencia fuerte: si una unit requerida no arranca, ésta tampoco arrancará

[Service] - ejecución

Tipo

Cómo detecta systemd que el servicio se ha iniciado. `simple` (por defecto) para la mayoría de apps, `oneshot` para scripts que se ejecutan y salen, `forking` para daemons que se bifurcan al fondo, `notify` si tu programa llama `sd_notify(READY=1)`

UsuarioNombre de usuario con el que se ejecuta el proceso. Vacío = root (suele ser mala idea). Crea un usuario dedicado: `sudo useradd --system --no-create-home --shell /usr/sbin/nologin myapp`GrupoGrupo del proceso, por defecto el mismo que User

WorkingDirectoryDirectorio de trabajo del proceso. Ayuda con rutas relativas y a encontrar archivos de configuraciónExecStartComando completo con **ruta absoluta** al binario. P. ej. `/usr/bin/node /var/www/myapp/server.js`. Sin `cd`, sin `&&`, sin pipes (usa un script de shell para eso)ExecReloadComando para `systemctl reload myapp`. Clásico: `/bin/kill -HUP $MAINPID`

[Service] - política de reinicio

Restart

Cuándo debe reiniciar systemd el proceso. `on-failure` es el valor seguro por defecto. `always` para workers que deben permanecer vivos. `no` para oneshotRestartSecSegundos a esperar entre intentos de reinicio. 5 es un mínimo razonable para que un bucle de fallos no martillee el sistema

[Service] - variables de entorno

[Service] - logging y endurecimiento

StandardOutput

Dónde va stdout/stderr. `journal` (por defecto) = `journalctl -u myapp`. Rara vez vale la pena cambiarlo

PrivateTmp

Da al servicio sus propios `/tmp` y `/var/tmp`. Invisibles para otros procesos. Endurecimiento gratis, actívalo

ProtectSystem

`yes` = `/usr` y `/boot` de sólo lectura, `strict` = también todo `/etc` de sólo lectura (lo más fuerte). Añade `ReadWritePaths=` para directorios donde el servicio necesite escribir

NoNewPrivileges

Bloquea la escalada de privilegios mediante binarios setuid/setgid. Debería ser `yes` para cualquier servicio que no necesite tales trucos

[Install]

WantedBy

A qué grupo de target de arranque adjuntar. `multi-user.target` para servidores headless (95 % de los casos), `graphical.target` para escritorios

/etc/systemd/system/myapp.service

Pega en un archivo unit de systemd

22 líneas

[Unit]
Description=Node.js web application
After=network-online.target
Wants=network-online.target

[Service]
Type=simple
User=www-data
Group=www-data
WorkingDirectory=/var/www/myapp
ExecStart=/usr/bin/node /var/www/myapp/server.js
Restart=on-failure
RestartSec=5
Environment="NODE_ENV=production"
Environment="PORT=3000"
StandardOutput=journal
PrivateTmp=yes
ProtectSystem=strict
NoNewPrivileges=yes

[Install]
WantedBy=multi-user.target

Descargar archivos

Cómo instalar

1. Coloca el archivo en /etc/systemd/system/myapp.service
2. sudo systemctl daemon-reload
3. sudo systemctl enable --now myapp.service
4. sudo systemctl status myapp.service
5. journalctl -u myapp.service -f

¿Qué es una unidad systemd y por qué usar este generador?

En el Linux moderno (Ubuntu, Debian, Fedora, Arch, Rocky, Alma...) systemd es el programa que arranca servicios al inicio, los reinicia cuando se cuelgan y ejecuta trabajos programados. Un fichero de unidad es un pequeño fichero de texto en `/etc/systemd/system/` que le dice a systemd *qué* ejecutar y *cómo* comportarse.

Este generador escribe dos tipos de unidades por ti:

Ficheros `.service` ExecStart para programas de larga duración (una app web Node, un worker Python, una base de datos).
Ficheros `.timer` OnCalendar para trabajos que deben ejecutarse en un horario (el reemplazo moderno de cron).

Elige un preset, rellena los campos, copia el resultado en un fichero bajo `/etc/systemd/system/`, ejecuta `sudo systemctl daemon-reload && sudo systemctl enable --now miapp.service`, y listo. Todo ocurre en tu navegador, sin subidas, sin cuenta.

Cómo usarlo

Elige un preset que se parezca a tu caso (app web Node, worker Python, backup oneshot, base de datos, binario Go, docker compose, servidor estático). El formulario se rellena con valores sensatos por defecto que puedes ajustar.

Pon el nombre de la unidad (`miapp` se convierte en `miapp.service`), la Description (se muestra en `systemctl status`) y las dependencias (After, Wants, Requires, donde casi todo el mundo quiere `network-online.target`).

En la sección Service elige un Type (usa `simple` para la mayoría de apps, `oneshot` para scripts que se ejecutan y salen, `forking` para daemons que hacen fork al fondo), el User y Group para soltar privilegios, y ExecStart con la ruta absoluta a tu binario.

Elige una política de Restart. `on-failure` es el valor por defecto seguro: systemd reinicia solo si tu programa sale con código distinto de cero o se cuelga. `always` es para workers de larga vida que deben volver pase lo que pase. Usa RestartSec para fijar un back-off (5 segundos está bien).

Añade variables de Environment (NODE_ENV, DATABASE_URL...). Las sensibles (passwords, tokens) van en `EnvironmentFile=` en su lugar: ponlas en un fichero con `chmod 600` fuera de la unidad.

Hardening opcional: activa `PrivateTmp`, `ProtectSystem`, `NoNewPrivileges`. No cuestan nada y limitan el daño si el servicio se ve comprometido. El generador explica cada uno.

Cambia a la pestaña .timer si quieres una ejecución programada en lugar de (o además de) el servicio de larga duración. Rellena OnCalendar (p. ej. `daily`, `Mon *-*-* 03:00:00`), activa Persistent para que una ejecución perdida corra tras un reinicio, apunta Unit a tu servicio.

Pulsa Copiar o Descargar. Coloca el fichero en `/etc/systemd/system/miapp.service` (y `miapp.timer` si aplica), luego ejecuta `sudo systemctl daemon-reload`, `sudo systemctl enable --now miapp.service` y mira los logs con `journalctl -u miapp.service -f`.

Cuándo es útil

Siete situaciones concretas en las que una buena unidad systemd ahorra tiempo real:

Has escrito un programa en Node, Python o Go y quieres que arranque al inicio y se reinicie al cuelgue. Suelta un `.service` en `/etc/systemd/system/` y olvídate de `pm2`, `forever`, `screen` o `nohup`.
Tienes un script que debe ejecutarse en un horario (backup nocturno, reporte semanal, refresco de caché horario). Un par `.timer` + `.service` es el reemplazo moderno de cron y los logs van directos a journalctl.
Necesitas ejecutar un programa como usuario no-root con permisos controlados. `User=` y `Group=` sueltan privilegios; `ProtectSystem=strict`, `PrivateTmp=yes` y `NoNewPrivileges=yes` añaden hardening gratis.
Gestionas una flota pequeña y quieres la misma definición de servicio en todas las máquinas. El fichero de unidad es texto plano: ponlo en git, despliega con ansible / un Makefile / scp.
Necesitas que un servicio espere a la red o a una base de datos antes de arrancar. `After=network-online.target` y `Requires=postgresql.service` hacen explícito el orden.
Un stack docker compose debe arrancar al boot. Un `.service` oneshot con `ExecStart=docker compose up -d` más `Requires=docker.service` lo gestiona limpio.
Quieres logs centralizados sin configurar nada. `StandardOutput=journal` (por defecto) significa que `journalctl -u miapp` rastrea tu programa y `journalctl --since "1 hour ago"` es tu única búsqueda.

Preguntas y respuestas

systemd es el init system en la mayoría de distribuciones Linux modernas (Ubuntu desde 15.04, Debian desde 8, RHEL/CentOS/Rocky desde 7, Fedora desde 15, Arch, openSUSE...). Es PID 1, el primerísimo proceso que arranca el kernel, y es responsable de iniciar el sistema, arrancar servicios en el orden correcto, reiniciarlos cuando se cuelgan, ejecutar trabajos programados (timers), gestionar dispositivos, montar sistemas de ficheros y recolectar logs. Cuando tecleas `sudo systemctl restart nginx`, estás hablando con systemd. Un fichero de unidad es solo un pequeño fichero de texto estilo INI que le dice a systemd cómo gestionar uno de esos servicios, timers, sockets o mounts.

[Unit] Description=Node.js web application After=network-online.target Wants=network-online.target [Service] Type=simple User=www-data Group=www-data WorkingDirectory=/var/www/myapp ExecStart=/usr/bin/node /var/www/myapp/server.js Restart=on-failure RestartSec=5 Environment="NODE_ENV=production" Environment="PORT=3000" StandardOutput=journal PrivateTmp=yes ProtectSystem=strict NoNewPrivileges=yes [Install] WantedBy=multi-user.target

¿Qué es una unidad systemd y por qué usar este generador?

Este generador escribe dos tipos de unidades por ti:

Ficheros `.service` ExecStart para programas de larga duración (una app web Node, un worker Python, una base de datos).
Ficheros `.timer` OnCalendar para trabajos que deben ejecutarse en un horario (el reemplazo moderno de cron).

Cómo usarlo

Añade variables de Environment (NODE_ENV, DATABASE_URL...). Las sensibles (passwords, tokens) van en `EnvironmentFile=` en su lugar: ponlas en un fichero con `chmod 600` fuera de la unidad.

Hardening opcional: activa `PrivateTmp`, `ProtectSystem`, `NoNewPrivileges`. No cuestan nada y limitan el daño si el servicio se ve comprometido. El generador explica cada uno.

Cuándo es útil

Siete situaciones concretas en las que una buena unidad systemd ahorra tiempo real:

Has escrito un programa en Node, Python o Go y quieres que arranque al inicio y se reinicie al cuelgue. Suelta un `.service` en `/etc/systemd/system/` y olvídate de `pm2`, `forever`, `screen` o `nohup`.
Tienes un script que debe ejecutarse en un horario (backup nocturno, reporte semanal, refresco de caché horario). Un par `.timer` + `.service` es el reemplazo moderno de cron y los logs van directos a journalctl.
Necesitas ejecutar un programa como usuario no-root con permisos controlados. `User=` y `Group=` sueltan privilegios; `ProtectSystem=strict`, `PrivateTmp=yes` y `NoNewPrivileges=yes` añaden hardening gratis.
Gestionas una flota pequeña y quieres la misma definición de servicio en todas las máquinas. El fichero de unidad es texto plano: ponlo en git, despliega con ansible / un Makefile / scp.
Necesitas que un servicio espere a la red o a una base de datos antes de arrancar. `After=network-online.target` y `Requires=postgresql.service` hacen explícito el orden.
Un stack docker compose debe arrancar al boot. Un `.service` oneshot con `ExecStart=docker compose up -d` más `Requires=docker.service` lo gestiona limpio.
Quieres logs centralizados sin configurar nada. `StandardOutput=journal` (por defecto) significa que `journalctl -u miapp` rastrea tu programa y `journalctl --since "1 hour ago"` es tu única búsqueda.

Preguntas y respuestas

Generador de unidad systemd

¿Qué es una unidad systemd y por qué usar este generador?

Cómo usarlo

Cuándo es útil

Preguntas y respuestas

Herramientas relacionadas

Generador de SSH config

Generador de expresiones cron

Generador de snippets de Nginx

Constructor de Docker Compose

Constructor de iptables / nftables

Generador de unidad systemd

¿Qué es una unidad systemd y por qué usar este generador?

Cómo usarlo

Cuándo es útil

Preguntas y respuestas

Herramientas relacionadas

Generador de SSH config

Generador de expresiones cron

Generador de snippets de Nginx

Constructor de Docker Compose

Constructor de iptables / nftables