<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Thu, Nov 30, 2017 at 10:31 AM, Michael Biebl <span dir="ltr"><<a href="mailto:mbiebl@gmail.com" target="_blank">mbiebl@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">2017-11-30 6:52 GMT+01:00 Mantas Mikulėnas <<a href="mailto:grawity@gmail.com">grawity@gmail.com</a>>:<br>
> On Thu, Nov 30, 2017 at 5:27 AM, Michael Biebl <<a href="mailto:mbiebl@gmail.com">mbiebl@gmail.com</a>> wrote:<br>
>><br>
>> Hi,<br>
>><br>
>> today I tried to lock down the rsyslog.service that I have on my system.<br>
>><br>
>> For that I first created an override.conf that contained<br>
>><br>
>> [Service]<br>
>> ProtectHome=yes<br>
>> PrivateTmp=yes<br>
>> PrivateDevices=yes<br>
>><br>
>> ProtectSystem=strict<br>
>> ReadWritePaths=/var/log<br>
>> ReadWritePaths=/var/spool/<wbr>rsyslog<br>
>> ReadWritePaths=/proc/kmsg<br>
><br>
><br>
> Are you using imklog or imkmsg? The latter would require the new /dev/kmsg<br>
> interface (which probably conflicts with PrivateDevices= above).<br>
<br>
</span>I suspect it's related to ProtectSystem=strict, as with<br>
ProtectSystem=full rsyslog seems to start successfully. But this is<br>
just trial and error. </blockquote><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
[…]<br>
Already tried<br>
ExecStart=<br>
ExecStart=/usr/bin/strace -f -o /var/log/strace /usr/sbin/rsyslogd -n<br>
<br>
but this didn't produce any /var/log/strace log file.<br>
<div class="HOEnZb"><div class="h5"><br></div></div></blockquote><div><br></div><div>Then I'm guessing ProtectSystem=strict overrides ReadWritePaths and makes /var/log read-only... I think I've seen other people have that problem recently.</div><div><br></div><div>Take a look with `ExecStartPre=/usr/bin/findmnt`.</div></div><div><br></div>-- <br><div class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr">Mantas Mikulėnas <<a href="mailto:grawity@gmail.com" target="_blank">grawity@gmail.com</a>></div></div>
</div></div>