Quelle est la différence entre un .service et un .timer ?

Un **`.service`** décrit un programme : comment le démarrer, qui le lance, comment le redémarrer s'il crashe, quoi faire quand il sort. Un **`.timer`** décrit un *planning* et pointe vers un service à déclencher. Ils marchent ensemble : vous écrivez `backup.service` avec le vrai `ExecStart` et `backup.timer` avec `OnCalendar=daily Persistent=true Unit=backup.service`. Vous activez le **timer** (`systemctl enable --now backup.timer`), pas le service : le timer déclenche le service quand le planning se réalise. C'est le remplacement systemd de cron, avec un meilleur logging, des dépendances, et un handling des runs ratées via `Persistent=true`.

Type=simple vs forking vs oneshot, lequel choisir ?

Choisissez selon ce que fait votre programme. **`simple`** (le défaut pour la plupart des apps) : votre programme **reste au foreground**, systemd traite le premier process `ExecStart` comme le service. Utilisez ça pour les web apps Node, Python, Go, tout ce qui ne se daemonize pas tout seul. **`forking`** : votre programme **fork un enfant et le parent sort** (daemons Unix classiques comme nginx ancien, postgres). systemd attend que le parent sorte et track l'enfant. Vous avez généralement besoin de `PIDFile=` aussi. **`oneshot`** : la commande **tourne jusqu'à completion et sort** par design (un script de backup, une migration unique). Combinez avec `RemainAfterExit=yes` si d'autres units doivent traiter le résultat comme "actif". **`notify`** : comme simple, mais votre programme appelle `sd_notify(READY=1)` pour que systemd sache le moment exact où il est prêt (meilleur pour les systèmes où l'ordre de démarrage compte). **`idle`** : comme simple mais retardé jusqu'à ce que les autres jobs de boot finissent (utilisé pour tty-getty). En cas de doute, commencez par `simple`.

Quelle politique Restart= choisir ?

Six options, trois dont vous avez vraiment besoin. **`on-failure`** : redémarre seulement si le process sort non-zéro, est tué par un signal (sauf SIGTERM/SIGINT/SIGPIPE), timeout, ou touche le watchdog. C'est le **défaut sûr pour la plupart des services web et workers**. **`always`** : redémarre peu importe pourquoi le process est sorti, y compris un `exit 0` propre. Utilisez pour les **workers qui doivent rester vivants** qui ne devraient jamais s'arrêter d'eux-mêmes. **`no`** : jamais d'auto-restart. Bon pour les **jobs oneshot** (backups, migrations) où finir avec succès est le but. Les rares : **`on-success`** (seulement à la sortie propre, presque jamais utile), **`on-abnormal`** (signaux et timeouts, mais pas les codes de sortie non-zéro), **`on-watchdog`** (seulement au timeout watchdog, pour les services `Type=notify` avec `WatchdogSec=`). Combinez n'importe quelle politique de restart avec **`RestartSec=5`** pour ne pas matraquer le système si le programme continue de crasher immédiatement.

Comment hardener un service ? Que sont PrivateTmp, ProtectSystem etc. ?

systemd livre plusieurs switches de hardening gratuits qui limitent les dégâts si le service est compromis. Les bon marché et utiles : **`PrivateTmp=yes`** donne au service ses propres répertoires `/tmp` et `/var/tmp`, invisibles aux autres processus. **`ProtectSystem=strict`** monte `/usr`, `/boot`, `/efi`, et `/etc` en lecture seule (utilisez `ReadWritePaths=` pour whitelister des exceptions). **`NoNewPrivileges=yes`** : le process et ses enfants ne peuvent pas gagner de privilèges via les binaires setuid/setgid (bloque la plupart des chemins d'escalade de privilèges). **`ProtectHome=yes`** cache `/home`, `/root`, `/run/user`. **`PrivateDevices=yes`** : pas d'accès aux périphériques physiques. **`ProtectKernelModules=yes`**, **`ProtectKernelTunables=yes`**, **`ProtectControlGroups=yes`** bloquent la tampering avec le kernel. Lancez `systemd-analyze security myapp.service` pour scorer votre unit sur une échelle 0-10 et voir quels switches sont encore éteints.

Comment marche la syntaxe OnCalendar= ?

OnCalendar utilise un format compact jour-de-la-semaine + date + heure, avec des raccourcis pour les cas courants. **Raccourcis** : `minutely`, `hourly`, `daily`, `weekly`, `monthly`, `quarterly`, `yearly`. **Forme complète** : `DayOfWeek Year-Month-Day Hour:Minute:Second`. Exemples : `*-*-* 02:30:00` tourne chaque jour à 02:30, `Mon..Fri 09:00` tourne à 09:00 chaque jour de semaine, `*-*-1 03:00:00` tourne à 03:00 le 1er de chaque mois, `Sat,Sun 10:00` tourne à 10:00 le week-end, `*-01,07-01 00:00:00` tourne à minuit le 1er janvier et le 1er juillet. Tout champ peut être `*` (tout), une liste avec virgules (`Mon,Wed,Fri`), ou une plage (`Mon..Fri`). Pour tester : `systemd-analyze calendar "Mon *-*-* 09:00"` montre le prochain run. Pour lister les timers actifs : `systemctl list-timers`.

Que fait Persistent= sur un timer ?

**`Persistent=true`** dit à systemd : si une exécution planifiée a été **ratée** parce que la machine était éteinte, en veille, ou que le timer était désactivé à ce moment, **lance-la dès que possible après le redémarrage du système**. Sans `Persistent=true`, les runs ratées sont simplement sautées : un timer `daily` sur un laptop que vous n'ouvrez que trois fois par semaine se déclencherait **trois fois** au lieu d'une si le laptop était allumé à l'heure planifiée, sinon zéro. Pour les backups, rapports, nettoyages, et tout ce qui **doit éventuellement se passer même en retard**, mettez `Persistent=true`. Pour les vérifs santé "chaque minute" où un run périmé est inutile, laissez-le off. L'état est tracké dans `/var/lib/systemd/timers/`.

Pourquoi utiliser RandomizedDelaySec= ?

**`RandomizedDelaySec=`** étale le moment d'exécution réel dans une fenêtre, pour que beaucoup de machines lançant le même timer ne matraquent pas une ressource partagée au même instant exact. Cas concret : 500 serveurs lancent `OnCalendar=hourly` pour puller d'un serveur de config. Sans randomisation, chaque heure le serveur de config voit 500 requêtes simultanées au début de l'heure. Avec `RandomizedDelaySec=5min`, les requêtes sont étalées sur une fenêtre de 5 minutes. Aussi utile pour les **backups vers stockage partagé** (éviter les pics I/O), les **appels API sortants** (rester sous les rate limits), et **sur une flotte d'hosts identiques** (pour que l'agrégation de logs ne voie pas une seconde chaude). Le délai réel est une valeur aléatoire stable par paire (timer, boot), la même machine se déclenche donc à peu près au même offset dans la fenêtre.

Comment installer et activer un fichier unit ? Où va-t-il ?

Pour les services et timers **installés utilisateur** : déposez le fichier dans **`/etc/systemd/system/`** (pas `/lib/systemd/system/`, ce chemin est possédé par les packages). Les permissions devraient être `chmod 644 /etc/systemd/system/myapp.service` (possédé par root, lisible par tous). Puis : **(1)** `sudo systemctl daemon-reload` pour que systemd prenne le nouveau fichier, **(2)** `sudo systemctl start myapp.service` pour le démarrer une fois, **(3)** `sudo systemctl enable myapp.service` pour auto-démarrer au boot (ça crée le symlink sous `multi-user.target.wants/`), ou combinez les deux avec `sudo systemctl enable --now myapp.service`. Pour les timers, vous activez le **timer**, pas le service : `sudo systemctl enable --now myapp.timer`. Pour retirer : `sudo systemctl disable --now myapp.service` et supprimez le fichier. Les services **par utilisateur** vont dans `~/.config/systemd/user/` et tournent sous `systemctl --user`.

Où sont les logs et comment les lire ?

Quand `StandardOutput=journal` (le défaut, donc tout ce que votre programme écrit en stdout/stderr va au journal), utilisez **`journalctl -u myapp.service`** pour les lire. Flags courants : **`-f`** suit les nouvelles lignes au fur et à mesure (comme `tail -f`), **`-n 200`** montre les 200 dernières lignes, **`--since "1 hour ago"`** ou **`--since today`** filtre par temps, **`-p err`** ne montre que les erreurs et au-dessus, **`-o cat`** sortie simple sans timestamps, **`-r`** inversé (le plus récent en premier), **`--no-pager`** pour les scripts. Combinez : `journalctl -u myapp.service -f --since "10 min ago"`. Pour un timer plus service, voyez les deux : `journalctl -u myapp.timer -u myapp.service`. Le journal est binaire, indexé, et tourné automatiquement : l'usage disque est plafonné par `SystemMaxUse=` dans `/etc/systemd/journald.conf` (par défaut environ 10 % de la partition `/var/log/journal`).

Builder unit systemd - gratuit

ModeChoisissez .service pour un programme long ou .timer pour une planification

PresetsCliquez pour remplacer le formulaire actif

[Unit] — identité et dépendances

Unit nameSans l'extension, ex : `myapp` devient `myapp.service`DescriptionDescription courte affichée par `systemctl status` et `systemctl list-units`

AfterUnités qui doivent démarrer avant celle-ci. Le plus souvent `network-online.target`. Une entrée par ligne ou séparées par des espacesWantsDépendance faible : tire ces unités, mais ne refuse pas de démarrer si elles échouentRequiresDépendance forte : si une unité requise échoue, celle-ci ne démarrera pas non plus

[Service] — exécution

Type

Comment systemd détecte que le service a démarré. `simple` (défaut) pour la plupart des applis, `oneshot` pour les scripts qui s'exécutent et sortent, `forking` pour les démons qui forkent en arrière-plan, `notify` si votre programme appelle `sd_notify(READY=1)`

UserNom d'utilisateur sous lequel tourne le processus. Vide = root (généralement une mauvaise idée). Créez un utilisateur dédié : `sudo useradd --system --no-create-home --shell /usr/sbin/nologin myapp`GroupGroupe du processus, par défaut identique à User

WorkingDirectoryRépertoire de travail du processus. Aide pour les chemins relatifs et la lecture des fichiers de configExecStartCommande complète avec un **chemin absolu** vers le binaire. Ex : `/usr/bin/node /var/www/myapp/server.js`. Pas de `cd`, pas de `&&`, pas de pipes (utilisez un script shell pour ça)ExecReloadCommande pour `systemctl reload myapp`. Classique : `/bin/kill -HUP $MAINPID`

[Service] — politique de redémarrage

Restart

Quand systemd doit redémarrer le processus. `on-failure` est le défaut sûr. `always` pour les workers qui doivent rester en vie. `no` pour oneshotRestartSecSecondes à attendre entre les tentatives de redémarrage. 5 est un bon minimum pour qu'une boucle de crash ne pilonne pas le système

[Service] — variables d'environnement

[Service] — journalisation et durcissement

StandardOutput

Où vont stdout/stderr. `journal` (défaut) = `journalctl -u myapp`. Rarement utile à changer

PrivateTmp

Donne au service ses propres `/tmp` et `/var/tmp`. Invisibles aux autres processus. Durcissement gratuit, activez-le

ProtectSystem

`yes` = `/usr` et `/boot` en lecture seule, `strict` = `/etc` aussi en lecture seule (le plus fort). Ajoutez `ReadWritePaths=` pour les répertoires dans lesquels le service doit écrire

NoNewPrivileges

Bloque l'escalade de privilèges via les binaires setuid/setgid. Devrait être `yes` pour tout service qui n'a pas besoin de ces astuces

[Install]

WantedBy

Quel groupe target de boot rattacher. `multi-user.target` pour les serveurs sans interface (95 % des cas), `graphical.target` pour les postes de bureau

/etc/systemd/system/myapp.service

À coller dans un fichier d'unité systemd

22 lines

[Unit]
Description=Node.js web application
After=network-online.target
Wants=network-online.target

[Service]
Type=simple
User=www-data
Group=www-data
WorkingDirectory=/var/www/myapp
ExecStart=/usr/bin/node /var/www/myapp/server.js
Restart=on-failure
RestartSec=5
Environment="NODE_ENV=production"
Environment="PORT=3000"
StandardOutput=journal
PrivateTmp=yes
ProtectSystem=strict
NoNewPrivileges=yes

[Install]
WantedBy=multi-user.target

Download files

How to install

1. Placez le fichier dans /etc/systemd/system/myapp.service
2. sudo systemctl daemon-reload
3. sudo systemctl enable --now myapp.service
4. sudo systemctl status myapp.service
5. journalctl -u myapp.service -f

Qu'est-ce qu'une unit systemd et pourquoi utiliser ce générateur ?

Sur Linux moderne (Ubuntu, Debian, Fedora, Arch, Rocky, Alma...) systemd est le programme qui démarre les services au boot, les redémarre quand ils crashent, et lance les jobs planifiés. Un fichier unit est un petit fichier texte dans `/etc/systemd/system/` qui dit à systemd *quoi* lancer et *comment* se comporter.

Ce générateur écrit deux types d'units pour vous :

Fichiers `.service` ExecStart pour les programmes long-vivants (une web app Node, un worker Python, une base de données).
Fichiers `.timer` OnCalendar pour les jobs qui doivent tourner sur un planning (le remplacement moderne de cron).

Choisissez un preset, remplissez les champs, copiez le résultat dans un fichier sous `/etc/systemd/system/`, lancez `sudo systemctl daemon-reload && sudo systemctl enable --now myapp.service`, et c'est fini. Tout se passe dans votre navigateur, pas d'upload, pas de compte.

Mode d'emploi

Choisissez un preset qui ressemble à votre cas (web app Node, worker Python, backup one-shot, base de données, binaire Go, docker compose, serveur statique). Le formulaire se remplit avec des défauts sensés que vous pouvez ajuster.

Réglez le nom de l'unit (`myapp` devient `myapp.service`), la Description (montrée dans `systemctl status`), et les dépendances (After, Wants, Requires, presque tout le monde veut `network-online.target`).

Dans la section Service choisissez un Type (utilisez `simple` pour la plupart des apps, `oneshot` pour les scripts qui tournent et sortent, `forking` pour les daemons qui forkent en arrière-plan), les User et Group pour baisser les privilèges, et ExecStart avec le chemin absolu vers votre binaire.

Choisissez une politique Restart. `on-failure` est le défaut sûr : systemd redémarre seulement si votre programme sort non-zéro ou crashe. `always` est pour les workers long-vivants qui doivent revenir quoi qu'il arrive. Utilisez RestartSec pour régler un back-off (5 secondes c'est bien).

Ajoutez des variables Environment (NODE_ENV, DATABASE_URL...). Les sensibles (mots de passe, tokens) vont plutôt dans `EnvironmentFile=` : mettez-les dans un fichier `chmod 600` hors de l'unit.

Hardening optionnel : activez `PrivateTmp`, `ProtectSystem`, `NoNewPrivileges`. Ils ne coûtent rien et limitent les dégâts si le service est compromis. Le générateur explique chacun.

Basculez vers l'onglet .timer si vous voulez une exécution planifiée au lieu (ou en plus) du service long-vivant. Remplissez OnCalendar (par exemple `daily`, `Mon *-*-* 03:00:00`), activez Persistent pour qu'une exécution ratée s'exécute après un reboot, pointez Unit vers votre service.

Cliquez sur Copier ou Télécharger. Placez le fichier à `/etc/systemd/system/myapp.service` (et `myapp.timer` si applicable), puis lancez `sudo systemctl daemon-reload`, `sudo systemctl enable --now myapp.service`, et regardez les logs avec `journalctl -u myapp.service -f`.

Quand cet outil est utile

Sept situations concrètes où un bon unit systemd fait gagner du vrai temps :

Vous avez écrit un programme Node, Python, ou Go et voulez qu'il démarre au boot et redémarre en cas de crash. Mettez un `.service` dans `/etc/systemd/system/` et oubliez `pm2`, `forever`, `screen`, ou `nohup`.
Vous avez un script qui doit tourner sur un planning (backup nocturne, rapport hebdomadaire, refresh de cache horaire). Une paire `.timer` plus `.service` est le remplacement moderne de cron et les logs vont direct dans journalctl.
Vous devez faire tourner un programme comme utilisateur non-root avec des permissions contrôlées. `User=` et `Group=` baissent les privilèges ; `ProtectSystem=strict`, `PrivateTmp=yes`, et `NoNewPrivileges=yes` ajoutent du hardening gratuitement.
Vous gérez une petite flotte et voulez la même définition de service sur les machines. Le fichier unit est du texte simple : versionnez-le en git, déployez avec ansible / un Makefile / scp.
Vous avez besoin qu'un service attende le réseau ou une base de données avant de démarrer. `After=network-online.target` et `Requires=postgresql.service` rendent l'ordre explicite.
Une stack docker compose doit démarrer au boot. Un `.service` oneshot avec `ExecStart=docker compose up -d` plus `Requires=docker.service` gère ça proprement.
Vous voulez des logs centralisés sans rien configurer. `StandardOutput=journal` (le défaut) signifie que `journalctl -u myapp` suit votre programme et `journalctl --since "1 hour ago"` est votre recherche unique.

Questions fréquentes

systemd est le système d'init sur la plupart des distributions Linux modernes (Ubuntu depuis 15.04, Debian depuis 8, RHEL/CentOS/Rocky depuis 7, Fedora depuis 15, Arch, openSUSE...). C'est PID 1, le tout premier process que le kernel démarre, et il est responsable de booter le système, démarrer les services dans le bon ordre, les redémarrer quand ils crashent, lancer les jobs planifiés (timers), gérer les périphériques, monter les systèmes de fichiers, et collecter les logs. Quand vous tapez `sudo systemctl restart nginx`, vous parlez à systemd. Un fichier unit est juste un petit fichier texte au style INI qui dit à systemd comment gérer un tel service, timer, socket ou mount.

[Unit] Description=Node.js web application After=network-online.target Wants=network-online.target [Service] Type=simple User=www-data Group=www-data WorkingDirectory=/var/www/myapp ExecStart=/usr/bin/node /var/www/myapp/server.js Restart=on-failure RestartSec=5 Environment="NODE_ENV=production" Environment="PORT=3000" StandardOutput=journal PrivateTmp=yes ProtectSystem=strict NoNewPrivileges=yes [Install] WantedBy=multi-user.target

Qu'est-ce qu'une unit systemd et pourquoi utiliser ce générateur ?

Ce générateur écrit deux types d'units pour vous :

Fichiers `.service` ExecStart pour les programmes long-vivants (une web app Node, un worker Python, une base de données).
Fichiers `.timer` OnCalendar pour les jobs qui doivent tourner sur un planning (le remplacement moderne de cron).

Mode d'emploi

Ajoutez des variables Environment (NODE_ENV, DATABASE_URL...). Les sensibles (mots de passe, tokens) vont plutôt dans `EnvironmentFile=` : mettez-les dans un fichier `chmod 600` hors de l'unit.

Hardening optionnel : activez `PrivateTmp`, `ProtectSystem`, `NoNewPrivileges`. Ils ne coûtent rien et limitent les dégâts si le service est compromis. Le générateur explique chacun.

Quand cet outil est utile

Sept situations concrètes où un bon unit systemd fait gagner du vrai temps :

Vous avez écrit un programme Node, Python, ou Go et voulez qu'il démarre au boot et redémarre en cas de crash. Mettez un `.service` dans `/etc/systemd/system/` et oubliez `pm2`, `forever`, `screen`, ou `nohup`.
Vous avez un script qui doit tourner sur un planning (backup nocturne, rapport hebdomadaire, refresh de cache horaire). Une paire `.timer` plus `.service` est le remplacement moderne de cron et les logs vont direct dans journalctl.
Vous devez faire tourner un programme comme utilisateur non-root avec des permissions contrôlées. `User=` et `Group=` baissent les privilèges ; `ProtectSystem=strict`, `PrivateTmp=yes`, et `NoNewPrivileges=yes` ajoutent du hardening gratuitement.
Vous gérez une petite flotte et voulez la même définition de service sur les machines. Le fichier unit est du texte simple : versionnez-le en git, déployez avec ansible / un Makefile / scp.
Vous avez besoin qu'un service attende le réseau ou une base de données avant de démarrer. `After=network-online.target` et `Requires=postgresql.service` rendent l'ordre explicite.
Une stack docker compose doit démarrer au boot. Un `.service` oneshot avec `ExecStart=docker compose up -d` plus `Requires=docker.service` gère ça proprement.
Vous voulez des logs centralisés sans rien configurer. `StandardOutput=journal` (le défaut) signifie que `journalctl -u myapp` suit votre programme et `journalctl --since "1 hour ago"` est votre recherche unique.

Questions fréquentes

Builder unit systemd

Qu'est-ce qu'une unit systemd et pourquoi utiliser ce générateur ?

Mode d'emploi

Quand cet outil est utile

Questions fréquentes

Outils similaires

Builder config SSH

Builder cron

Builder config Nginx

Builder docker-compose

Builder iptables

Builder unit systemd

Qu'est-ce qu'une unit systemd et pourquoi utiliser ce générateur ?

Mode d'emploi

Quand cet outil est utile

Questions fréquentes

Outils similaires

Builder config SSH

Builder cron

Builder config Nginx

Builder docker-compose

Builder iptables