Modernise some older systemd services
authorTom Hughes <tom@compton.nu>
Sun, 26 Feb 2017 12:05:01 +0000 (12:05 +0000)
committerTom Hughes <tom@compton.nu>
Sun, 26 Feb 2017 12:05:01 +0000 (12:05 +0000)
cookbooks/chef/recipes/server.rb
cookbooks/kibana/recipes/default.rb
cookbooks/squid/recipes/default.rb
cookbooks/tile/recipes/default.rb
cookbooks/web/recipes/cgimap.rb
cookbooks/web/recipes/rails.rb

index 8edf4e5..ee27718 100644 (file)
@@ -73,6 +73,7 @@ end
 
 service "chef-server" do
   action [:enable, :start]
+  subscribes :restart, "systemd_service[chef-server]"
 end
 
 apache_module "alias"
index 788e955..adc3927 100644 (file)
@@ -68,6 +68,11 @@ systemd_service "kibana@" do
   after "network.target"
   user "kibana"
   exec_start "/opt/kibana-#{version}/bin/kibana -c /etc/kibana/%i.yml"
+  private_tmp true
+  private_devices true
+  protect_system "full"
+  protect_home true
+  no_new_privileges true
   restart "on-failure"
 end
 
@@ -89,6 +94,7 @@ node[:kibana][:sites].each do |name, details|
   service "kibana@#{name}" do
     action [:enable, :start]
     supports :status => true, :restart => true, :reload => false
+    subscribes :restart, "systemd_service[kibana@]"
   end
 
   ssl_certificate details[:site] do
index def3d91..731cbdd 100644 (file)
@@ -50,6 +50,11 @@ systemd_service "squid" do
   exec_start "/usr/sbin/squid -N $SQUID_ARGS"
   exec_reload "/usr/sbin/squid -k reconfigure"
   exec_stop "/usr/sbin/squid -k shutdown"
+  private_tmp true
+  private_devices true
+  protect_system "full"
+  protect_home true
+  no_new_privileges true
   restart "on-failure"
   timeout_sec 0
 end
index 2e19e9b..7d75087 100644 (file)
@@ -76,11 +76,13 @@ systemd_service "renderd" do
   private_network true
   protect_system "full"
   protect_home true
+  no_new_privileges true
   restart "on-failure"
 end
 
 service "renderd" do
   action [:enable, :start]
+  subscribes :restart, "systemd_service[renderd]"
 end
 
 directory "/srv/tile.openstreetmap.org/tiles" do
@@ -468,6 +470,7 @@ systemd_service "replicate" do
   private_devices true
   protect_system "full"
   protect_home true
+  no_new_privileges true
   restart "on-failure"
 end
 
index 7fb417b..0875804 100644 (file)
@@ -58,6 +58,7 @@ systemd_service "cgimap" do
   private_devices true
   protect_system "full"
   protect_home true
+  no_new_privileges true
   restart "on-failure"
   pid_file "#{node[:web][:pid_directory]}/cgimap.pid"
 end
index 77017b7..725f3b7 100644 (file)
@@ -119,6 +119,7 @@ systemd_service "api-statistics" do
   private_network true
   protect_system "full"
   protect_home true
+  no_new_privileges true
   restart "on-failure"
 end