Jaka jest różnica między .service a .timer?

**`.service`** opisuje program: jak go uruchomić, kto go puszcza, jak go restartować po crashu, co robić gdy się skończy. **`.timer`** opisuje *harmonogram* i wskazuje usługę do odpalenia. Działają razem: piszesz `backup.service` z faktycznym `ExecStart` i `backup.timer` z `OnCalendar=daily Persistent=true Unit=backup.service`. Włączasz **timer** (`systemctl enable --now backup.timer`), a nie usługę: timer odpala usługę za każdym razem, gdy harmonogram wystrzeli. To zamiennik crona w systemd, z lepszym logowaniem, zależnościami i obsługą pominiętych runów przez `Persistent=true`.

Type=simple vs forking vs oneshot, co wybrać?

Wybierasz po tym, co robi Twój program. **`simple`** (domyślne dla większości aplikacji): program **zostaje na pierwszym planie**, systemd traktuje pierwszy proces `ExecStart` jako usługę. Tego użyj dla Node, Python, Go web app, wszystkiego co samo się nie demonizuje. **`forking`**: program **forkuje dziecko i rodzic kończy pracę** (klasyczne uniksowe daemony jak stary nginx, postgres). systemd czeka aż rodzic wyjdzie i śledzi dziecko. Zwykle potrzebujesz dorzucić `PIDFile=`. **`oneshot`**: komenda **wykonuje się do końca i kończy** celowo (skrypt backupu, jednorazowa migracja). Połącz z `RemainAfterExit=yes`, jeśli inne unity mają traktować rezultat jako "active". **`notify`**: jak simple, ale program woła `sd_notify(READY=1)`, dzięki czemu systemd wie kiedy dokładnie jest gotowy (najlepsze gdy kolejność bootu się liczy). **`idle`**: jak simple, ale opóźnione aż skończą się inne zadania bootu (używane dla tty-getty). Jak nie wiesz, zacznij od `simple`.

Której polityki Restart= użyć?

Sześć opcji, trzy które naprawdę potrzebujesz. **`on-failure`**: restart tylko jeśli proces wyjdzie z kodem niezerowym, zostanie zabity sygnałem (oprócz SIGTERM/SIGINT/SIGPIPE), trafi w timeout albo watchdog. To **bezpieczne domyślne dla większości usług web i workerów**. **`always`**: restart niezależnie od powodu, w tym po czystym `exit 0`. Tego użyj dla **workerów które muszą żyć**, niezależnie czy same chciały zakończyć. **`no`**: nigdy nie restartuj. Pasuje do **zadań oneshot** (backupy, migracje), gdzie czysty koniec to cel. Rzadkie: **`on-success`** (tylko po czystym wyjściu, prawie nigdy nieprzydatne), **`on-abnormal`** (sygnały i timeouty, ale nie kody niezerowe), **`on-watchdog`** (tylko timeout watchdoga, dla usług `Type=notify` z `WatchdogSec=`). Z każdą polityką sparuj **`RestartSec=5`**, żeby nie obciążać systemu, jeśli program crashuje natychmiast po starcie.

Jak utwardzić usługę? Co robią PrivateTmp, ProtectSystem itp.?

systemd ma kilka darmowych przełączników hardeningu, które ograniczają skutki włamania. Tanie i przydatne: **`PrivateTmp=yes`** daje usłudze własny `/tmp` i `/var/tmp`, niewidoczne dla innych procesów. **`ProtectSystem=strict`** montuje `/usr`, `/boot`, `/efi`, `/etc` jako read-only (użyj `ReadWritePaths=` żeby zrobić wyjątki). **`NoNewPrivileges=yes`**: proces i jego dzieci nie mogą podnieść uprawnień przez binarki setuid/setgid (blokuje większość escalation paths). **`ProtectHome=yes`** chowa `/home`, `/root`, `/run/user`. **`PrivateDevices=yes`**: brak dostępu do fizycznych urządzeń. **`ProtectKernelModules=yes`**, **`ProtectKernelTunables=yes`**, **`ProtectControlGroups=yes`** blokują grzebanie w kernelu. Odpal `systemd-analyze security myapp.service`, żeby zobaczyć ocenę 0 do 10 i które przełączniki masz jeszcze wyłączone.

Jak działa składnia OnCalendar=?

OnCalendar używa zwartego formatu dzień-tygodnia + data + czas, ze skrótami na najczęstsze przypadki. **Skróty**: `minutely`, `hourly`, `daily`, `weekly`, `monthly`, `quarterly`, `yearly`. **Pełna forma**: `DzienTygodnia Rok-Miesiac-Dzien Godz:Min:Sek`. Przykłady: `*-*-* 02:30:00` codziennie o 02:30, `Mon..Fri 09:00` o 09:00 każdy dzień roboczy, `*-*-1 03:00:00` o 03:00 pierwszego każdego miesiąca, `Sat,Sun 10:00` o 10:00 w weekendy, `*-01,07-01 00:00:00` o północy 1 stycznia i 1 lipca. Każde pole może być `*` (dowolne), listą z przecinkami (`Mon,Wed,Fri`) albo zakresem (`Mon..Fri`). Do testu: `systemd-analyze calendar "Mon *-*-* 09:00"` pokazuje następny czas odpalenia. Lista aktywnych timerów: `systemctl list-timers`.

Co robi Persistent= w timerze?

**`Persistent=true`** mówi systemd: jeśli zaplanowany run został **pominięty**, bo maszyna była wyłączona, spała albo timer był wtedy wyłączony, **odpal go jak najszybciej po starcie systemu**. Bez `Persistent=true` pominięte runy są po prostu pomijane: timer `daily` na laptopie, którego włączasz trzy razy w tygodniu, wystrzeli **trzy razy** zamiast raz, jeśli akurat trafisz na zaplanowaną godzinę, w innym wypadku zero razy. Dla backupów, raportów, cleanupów i wszystkiego, co **musi się w końcu wydarzyć nawet z opóźnieniem**, ustaw `Persistent=true`. Dla healthcheckow co minutę, gdzie stary run jest bezużyteczny, zostaw wyłączone. Stan trzymany jest w `/var/lib/systemd/timers/`.

Po co używać RandomizedDelaySec=?

**`RandomizedDelaySec=`** rozrzuca faktyczny czas wykonania w oknie, dzięki czemu wiele maszyn z tym samym timerem nie wali w wspólny zasób w tej samej sekundzie. Konkret: 500 serwerów odpala `OnCalendar=hourly`, żeby pobrać config z serwera. Bez randomizacji co godzinę config-serwer dostaje 500 jednoczesnych requestów punkt o pełnej. Z `RandomizedDelaySec=5min` requesty rozkładają się na 5 minut. Przydaje się też do **backupów na wspólny storage** (unika I/O spików), **wychodzących wywołań API** (mieści się w rate limitach) i **na flocie identycznych hostów** (żeby agregator logów nie widział hot second). Faktyczne opóźnienie to stała wartość losowa per (timer, boot), więc ta sama maszyna odpala mniej więcej z tym samym offsetem w oknie.

Jak zainstalować i włączyć unit? Gdzie ma leżeć plik?

Dla **usług i timerów instalowanych ręcznie** wrzucasz plik do **`/etc/systemd/system/`** (a nie `/lib/systemd/system/`, ta ścieżka należy do paczek). Uprawnienia: `chmod 644 /etc/systemd/system/myapp.service` (właściciel root, czytalne dla wszystkich). Potem: **(1)** `sudo systemctl daemon-reload`, żeby systemd zauważył nowy plik, **(2)** `sudo systemctl start myapp.service`, żeby odpalić raz, **(3)** `sudo systemctl enable myapp.service`, żeby autostartowało przy bocie (to tworzy symlink w `multi-user.target.wants/`), albo wszystko w jednej komendzie: `sudo systemctl enable --now myapp.service`. Dla timerów włączasz **timer**, a nie usługę: `sudo systemctl enable --now myapp.timer`. Żeby usunąć: `sudo systemctl disable --now myapp.service` i skasuj plik. Usługi **per-user** leżą w `~/.config/systemd/user/` i odpalasz je przez `systemctl --user`.

Gdzie są logi i jak je czytać?

Gdy `StandardOutput=journal` (domyślne, więc wszystko co Twój program pisze na stdout/stderr trafia do journala), używasz **`journalctl -u myapp.service`** żeby je przejrzeć. Częste flagi: **`-f`** podążaj za nowymi liniami (jak `tail -f`), **`-n 200`** ostatnie 200 linii, **`--since "1 hour ago"`** albo **`--since today`** filtrowanie po czasie, **`-p err`** tylko błędy i wyżej, **`-o cat`** czyste wyjście bez timestampów, **`-r`** odwrotnie (od najnowszych), **`--no-pager`** do skryptów. Można łączyć: `journalctl -u myapp.service -f --since "10 min ago"`. Dla timera plus usługi obejrzysz obydwa: `journalctl -u myapp.timer -u myapp.service`. Journal jest binarny, indeksowany i sam się rotuje: limit dysku ustawia `SystemMaxUse=` w `/etc/systemd/journald.conf` (domyślnie około 10% partycji `/var/log/journal`).

Kreator jednostek systemd - darmowy

TrybWybierz .service dla długo działającego programu lub .timer dla harmonogramu

PresetyKliknij, żeby zastąpić aktywny formularz

[Unit] - tożsamość i zależności

Nazwa jednostkiBez rozszerzenia, np. `myapp` da plik `myapp.service`DescriptionKrótki opis, widoczny w `systemctl status` i `systemctl list-units`

AfterPo jakich jednostkach uruchomić tę. Najczęściej `network-online.target`. Jeden wpis w linii lub po spacjiWantsSłaba zależność: pociągnij za sobą te jednostki, ale nie blokuj startu jeśli padnąRequiresMocna zależność: jeśli wymagana jednostka nie wstanie, ta też nie wstanie

[Service] - uruchomienie

Type

Jak systemd ma rozpoznać że usługa wystartowała. `simple` (domyślne) dla większości aplikacji, `oneshot` dla skryptów które kończą pracę, `forking` dla daemonów które forkują w tło, `notify` jeśli program woła `sd_notify(READY=1)`

UserUżytkownik, pod którym ma działać proces. Zostaw puste = root (zwykle zła wiadomość). Stwórz dedykowanego użytkownika: `sudo useradd --system --no-create-home --shell /usr/sbin/nologin myapp`GroupGrupa procesu, domyślnie ta sama co User

WorkingDirectoryKatalog roboczy procesu. Pomaga w ścieżkach względnych i znajdowaniu plików konfiguracyjnychExecStartPełna komenda **ze ścieżką bezwzględną** do binarki. Np. `/usr/bin/node /var/www/myapp/server.js`. Bez `cd`, bez ` && `, bez pipe’ów (na to są skrypty)ExecReloadKomenda dla `systemctl reload myapp`. Klasyczne: `/bin/kill -HUP $MAINPID`

[Service] - restart

Restart

Kiedy systemd ma restartować proces. `on-failure` to bezpieczny domyślny. `always` dla workerów które muszą żyć. `no` dla oneshotRestartSecSekundy do odczekania między próbami restartu. 5 to dobre minimum żeby nie obciążać systemu pętlą crashy

[Service] - zmienne środowiskowe

[Service] - logowanie i hardening

StandardOutput

Gdzie ma trafić stdout/stderr. `journal` (domyślne) = `journalctl -u myapp`. Bardzo rzadko zmienia się to ustawienie

PrivateTmp

Daje usłudze własny `/tmp` i `/var/tmp`. Niewidoczne dla innych procesów. Darmowe, włącz

ProtectSystem

`yes` = `/usr` i `/boot` read-only, `strict` = całe `/etc` też read-only (najmocniejsze). Dorzuć `ReadWritePaths=` dla katalogów które usługa ma zapisywać

NoNewPrivileges

Blokuje podniesienie uprawnień przez setuid/setgid. Powinno być `yes` dla każdej usługi która nie potrzebuje takich sztuczek

[Install]

WantedBy

Do której grupy boot-targetów wpiąć usługę. `multi-user.target` dla serwerów bez GUI (95% przypadków), `graphical.target` dla desktopów

/etc/systemd/system/myapp.service

Wklej do pliku jednostki w systemd

22 linii

[Unit]
Description=Node.js web application
After=network-online.target
Wants=network-online.target

[Service]
Type=simple
User=www-data
Group=www-data
WorkingDirectory=/var/www/myapp
ExecStart=/usr/bin/node /var/www/myapp/server.js
Restart=on-failure
RestartSec=5
Environment="NODE_ENV=production"
Environment="PORT=3000"
StandardOutput=journal
PrivateTmp=yes
ProtectSystem=strict
NoNewPrivileges=yes

[Install]
WantedBy=multi-user.target

Pobierz pliki

Jak zainstalować

1. Wrzuć plik do /etc/systemd/system/myapp.service
2. sudo systemctl daemon-reload
3. sudo systemctl enable --now myapp.service
4. sudo systemctl status myapp.service
5. journalctl -u myapp.service -f

Czym jest jednostka systemd i po co ten kreator?

Na nowoczesnym Linuksie (Ubuntu, Debian, Fedora, Arch, Rocky, Alma...) systemd to program, który startuje usługi przy bocie, restartuje je gdy padną i odpala zadania według harmonogramu. Plik jednostki (unit file) to mały plik tekstowy w `/etc/systemd/system/`, który mówi systemd *co* uruchomić i *jak* tym zarządzać.

Ten kreator pisze za Ciebie dwa rodzaje jednostek:

`.service` ExecStart dla długo działających programów (aplikacja Node, worker Python, baza danych).
`.timer` OnCalendar dla zadań, które mają działać według harmonogramu (nowoczesny zamiennik crona).

Wybierz preset, wypełnij pola, skopiuj wynik do pliku w `/etc/systemd/system/`, uruchom `sudo systemctl daemon-reload && sudo systemctl enable --now myapp.service` i gotowe. Wszystko dzieje się w Twojej przeglądarce, bez uploadu, bez konta.

Jak używać

Wybierz preset, który przypomina Twój przypadek (Node web app, Python worker, oneshot backup, baza, Go binary, docker compose, serwer statyczny). Formularz wypełnia się sensownymi domyślami, które możesz dopieścić.

Ustaw nazwę jednostki (`myapp` da `myapp.service`), Description (widoczne w `systemctl status`) i zależności (After, Wants, Requires, gdzie prawie każdy chce `network-online.target`).

W sekcji Service wybierz Type (`simple` dla większości aplikacji, `oneshot` dla skryptów które kończą pracę, `forking` dla daemonów które forkują się w tło), User i Group żeby zrzucić uprawnienia, oraz ExecStart z bezwzględną ścieżką do binarki.

Wybierz politykę Restart. `on-failure` to bezpieczny domyślny: systemd restartuje tylko jeśli program wyjdzie z kodem niezerowym albo padnie. `always` dla długo żyjących workerów, które mają wracać niezależnie od powodu. RestartSec to opóźnienie między próbami (5 sekund w sam raz).

Dodaj zmienne Environment (NODE_ENV, DATABASE_URL...). Wrażliwe (hasła, tokeny) trafiają do `EnvironmentFile=` zamiast unitu: zapisz je w pliku z `chmod 600` poza unitem.

Opcjonalne hardeningi: włącz `PrivateTmp`, `ProtectSystem`, `NoNewPrivileges`. Nic nie kosztują, a ograniczają skutki włamania. Kreator opisuje każdy z nich.

Przełącz na zakładkę .timer jeśli chcesz harmonogram zamiast (albo oprócz) długo działającej usługi. Wpisz OnCalendar (np. `daily`, `Mon *-*-* 03:00:00`), włącz Persistent, żeby pominięty run wykonał się po starcie systemu, w Unit wskaż swoją usługę.

Kliknij Copy albo Download. Wrzuć plik do `/etc/systemd/system/myapp.service` (i `myapp.timer` jeśli trzeba), potem `sudo systemctl daemon-reload`, `sudo systemctl enable --now myapp.service`, a logi oglądaj przez `journalctl -u myapp.service -f`.

Kiedy się przydaje

Siedem konkretnych sytuacji, w których porządny unit systemd oszczędza realny czas:

Napisałeś program w Node, Pythonie albo Go i chcesz, żeby startował przy bocie i wracał po crashu. Wrzuć `.service` do `/etc/systemd/system/` i zapomnij o `pm2`, `forever`, `screen` czy `nohup`.
Masz skrypt, który ma się odpalać według harmonogramu (nocny backup, tygodniowy raport, cogodzinne odświeżanie cache). Para `.timer` plus `.service` to nowoczesny zamiennik crona, a logi lecą prosto do journalctl.
Musisz uruchomić program jako użytkownik inny niż root z kontrolowanymi uprawnieniami. `User=` i `Group=` zrzucają uprawnienia; `ProtectSystem=strict`, `PrivateTmp=yes` i `NoNewPrivileges=yes` dorzucają hardening za darmo.
Zarządzasz małą flotą serwerów i chcesz mieć tę samą definicję usługi na każdej maszynie. Plik jednostki to tekst: wersjonuj go w gicie, deployuj ansiblem / Makefile-em / scp.
Twoja usługa musi czekać na sieć albo bazę danych zanim wystartuje. `After=network-online.target` i `Requires=postgresql.service` ustawiają kolejność wprost.
Stos docker compose ma startować przy bocie. Oneshot `.service` z `ExecStart=docker compose up -d` plus `Requires=docker.service` ogarnia to czysto.
Chcesz centralne logi bez konfigurowania niczego. `StandardOutput=journal` (domyślne) sprawia, że `journalctl -u myapp` pokazuje wszystko, a `journalctl --since "1 hour ago"` to Twoja pojedyncza wyszukiwarka.

Pytania i odpowiedzi

systemd to system init na większości nowoczesnych dystrybucji Linuksa (Ubuntu od 15.04, Debian od 8, RHEL/CentOS/Rocky od 7, Fedora od 15, Arch, openSUSE...). To PID 1, pierwszy proces który startuje jądro, i to on odpowiada za boot systemu, uruchamianie usług w odpowiedniej kolejności, restartowanie ich gdy padną, harmonogramy (timery), zarządzanie urządzeniami, montowanie systemów plików i zbieranie logów. Gdy wpisujesz `sudo systemctl restart nginx`, gadasz z systemd. Plik jednostki to po prostu mały plik w stylu INI, który mówi systemd jak zarządzać konkretną usługą, timerem, socketem albo mountem.

[Unit] Description=Node.js web application After=network-online.target Wants=network-online.target [Service] Type=simple User=www-data Group=www-data WorkingDirectory=/var/www/myapp ExecStart=/usr/bin/node /var/www/myapp/server.js Restart=on-failure RestartSec=5 Environment="NODE_ENV=production" Environment="PORT=3000" StandardOutput=journal PrivateTmp=yes ProtectSystem=strict NoNewPrivileges=yes [Install] WantedBy=multi-user.target

Czym jest jednostka systemd i po co ten kreator?

Ten kreator pisze za Ciebie dwa rodzaje jednostek:

`.service` ExecStart dla długo działających programów (aplikacja Node, worker Python, baza danych).
`.timer` OnCalendar dla zadań, które mają działać według harmonogramu (nowoczesny zamiennik crona).

Jak używać

Dodaj zmienne Environment (NODE_ENV, DATABASE_URL...). Wrażliwe (hasła, tokeny) trafiają do `EnvironmentFile=` zamiast unitu: zapisz je w pliku z `chmod 600` poza unitem.

Opcjonalne hardeningi: włącz `PrivateTmp`, `ProtectSystem`, `NoNewPrivileges`. Nic nie kosztują, a ograniczają skutki włamania. Kreator opisuje każdy z nich.

Kiedy się przydaje

Siedem konkretnych sytuacji, w których porządny unit systemd oszczędza realny czas:

Napisałeś program w Node, Pythonie albo Go i chcesz, żeby startował przy bocie i wracał po crashu. Wrzuć `.service` do `/etc/systemd/system/` i zapomnij o `pm2`, `forever`, `screen` czy `nohup`.
Masz skrypt, który ma się odpalać według harmonogramu (nocny backup, tygodniowy raport, cogodzinne odświeżanie cache). Para `.timer` plus `.service` to nowoczesny zamiennik crona, a logi lecą prosto do journalctl.
Musisz uruchomić program jako użytkownik inny niż root z kontrolowanymi uprawnieniami. `User=` i `Group=` zrzucają uprawnienia; `ProtectSystem=strict`, `PrivateTmp=yes` i `NoNewPrivileges=yes` dorzucają hardening za darmo.
Zarządzasz małą flotą serwerów i chcesz mieć tę samą definicję usługi na każdej maszynie. Plik jednostki to tekst: wersjonuj go w gicie, deployuj ansiblem / Makefile-em / scp.
Twoja usługa musi czekać na sieć albo bazę danych zanim wystartuje. `After=network-online.target` i `Requires=postgresql.service` ustawiają kolejność wprost.
Stos docker compose ma startować przy bocie. Oneshot `.service` z `ExecStart=docker compose up -d` plus `Requires=docker.service` ogarnia to czysto.
Chcesz centralne logi bez konfigurowania niczego. `StandardOutput=journal` (domyślne) sprawia, że `journalctl -u myapp` pokazuje wszystko, a `journalctl --since "1 hour ago"` to Twoja pojedyncza wyszukiwarka.

Pytania i odpowiedzi

Kreator jednostek systemd

Czym jest jednostka systemd i po co ten kreator?

Jak używać

Kiedy się przydaje

Pytania i odpowiedzi

Powiązane narzędzia

Kreator pliku ssh config

Kreator wyrażeń cron

Builder konfiguracji nginx

Kreator docker-compose.yml

Builder iptables / nftables

Kreator jednostek systemd

Czym jest jednostka systemd i po co ten kreator?

Jak używać

Kiedy się przydaje

Pytania i odpowiedzi

Powiązane narzędzia

Kreator pliku ssh config

Kreator wyrażeń cron

Builder konfiguracji nginx

Kreator docker-compose.yml

Builder iptables / nftables