Автозапуск скрипта от root'а без ввода пароля

Чтоб системда увидела файл службы, надо сначала запустить daemon-reload, а уже потом можно start, enable итд.

указав уже полный путь к файлу

эм, не надо так. советую прежде чем пробовать остальные советы - запустить systemctl disable /полный/путь. Естественно после этого надо будет обратно заэнейблить, но уже без полного пути.

что смотреть

systemctl status myservice, journalctl -u myservice.

Ещё можно проверить корректность файла - systemd-analyze verify myservice.

Задержка в скрипте не нужна, правильнее будет в файле .service прописать, что ему нужно - всякие After=network.target или After=mnt-storage.mount. Если ему, конечно, вообще что-либо подобное нужно.

Не помогло. systemctl status показывает следующее:

× myservice.service - DATA-EXPUNGED
     Loaded: loaded (/etc/systemd/system/myservice.service; enabled; preset: disabled)
     Active: failed (Result: exit-code) since Thu 2023-06-29 20:51:02 MSK; 1min 4s ago
   Duration: 956ms
    Process: 1050 ExecStart=/home/mapper720/script.sh (code=exited, status=203/EXEC)
   Main PID: 1050 (code=exited, status=203/EXEC)
        CPU: 726us

июн 29 20:51:01 Septem systemd[1]: Started DATA-EXPUNGED.
июн 29 20:51:02 Septem (mount.sh)[1050]: myservice.service: Failed to locate executable /home/mapper720/script.sh: No such file or directory
июн 29 20:51:02 Septem (mount.sh)[1050]: myservice.service: Failed at step EXEC spawning /home/mapper720/script.sh: No such file or directory
июн 29 20:51:02 Septem systemd[1]: myservice.service: Main process exited, code=exited, status=203/EXEC
июн 29 20:51:02 Septem systemd[1]: myservice.service: Failed with result 'exit-code'.

Файл /home/mapper720/script.sh, разумеется, существует. Команды find и cat не дадут соврать (пути копировались из этого лога).

journalctl -u выдаёт то же самое («No such file or directory»)

А права на исполнение у данного файла есть? ls -l /home/mapper720/script.sh, буква x.

Если нет - можно либо chmod +x файл, либо поменять ExecStart=путь к скрипту на ExecStart=/bin/bash (или sh) путь к скрипту

Права есть. Если вызывать его двойным ЛКМ из Thunar’а - запускается (без прав рута, разумеется).

Это было сделано сразу. Ничего не поменялось.

/home/mapper720/script.sh

Кто вообще вас надоумил этому?

Пихайте свой скрипт хотя бы в /usr/bin

Скрипт содержит пароль, а если запихать его в /usr/bin, то его содержимое будет как на ладони (если загрузиться с LiveUSB, например). Домашний же каталог зашифрован, его извне не просмотришь.

Вот в чем дело. Это и есть причина проблемы.

Естественно решение не в том, чтоб вообще ничего не шифровать. Просто надо прописать, чтоб скрипт запускался после монтирования домашнего каталога пользователя.

Если шифруется не весь раздел /home, а именно что домашний каталог - будет несколько сложнее, ибо разблокировка, вероятно, в моменте входа пользователя. Как прописать запуск системного сервиса (от рута) после входа определённого пользователя - я, к сожалению, не знаю.

Да и не покидает ощущение, что что-то деляешь не так (как и указал utanho), и что идея шифровать не весь диск скопом, а что-то там по отдельности, вообще несколько ошибочна.

Не факт, что там /home идёт отдельным разделом.

В любом случае, полагаю, что без входа пользователя всё это не расшифруется.

Просто надо прописать, чтоб скрипт запускался после монтирования домашнего каталога пользователя.

В service-файле есть следующая строка:

[Unit]
Description=DATA-EXPUNGED
[b]RequiresMountsFor=/home/mapper720[/b]

Я так понимаю, она и нужна для запуска скрипта после монтирования ДК, разве нет?

Если шифруется не весь раздел /home, а именно что домашний каталог

Шифровался, как я понимаю, именно домашний каталог конкретного юзверя, командой ecryptfs-migrate-home -u mapper720.

Да и не покидает ощущение, что что-то деляешь не так (как и указал @utanho), и что идея шифровать не весь диск скопом, а что-то там по отдельности, вообще несколько ошибочна.

Что, например?

Жёсткий диск (на 2 тб) шифровать полностью нет никакого смысла. Шифрование требуется только для домашнего каталога.

Делайте, как этот чувак делал, через сервис пользователя, с учётом его вопроса и ответов (включая замечания по безопасности) – https://unix.stackexchange.com/questions/720423/systemd-user-service-with-root-permissions

После входа пользователя домашняя папка будет расшифрована и сервис запустится.

Сам скрипт в /usr/local/bin. А секреты через переменные окружения.

Если такой вариант подойдёт, конечно.

Я так понимаю, она и нужна для запуска скрипта после монтирования ДК, разве нет?

Если /home/пользователь прописано в /etc/fstab, то наверное да.

Что, например?

Запуск чего-то, что не должно лежать открытым текстом, из зашифрованной домашней директории, из-под рута. Всё вместе.

Жёсткий диск (на 2 тб) шифровать полностью нет никакого смысла. Шифрование требуется только для домашнего каталога.

Тем не менее, FDE проще, надёжнее и безопастнее. LUKS-том - одно блочное устройство с файлсистемой, eCryptFS - несколько «подвижных частей», больше точек отказа (?).

В общем, заставить работать этот service-файл я так и не смог, поэтому пошёл по другому пути: в /etc/sudoers прописал запуск конкретного скрипта чрез sudo без запроса пароля. День второй, работает, как задумано…

Нарябай скрипт (в root) положь в inet.d. Или если системД то в :/etc/systemd/system положь ссылку на свой скрипт. Там есть примеры как это сделать.

Ты в группе wheel?

Кстати в systemd всё работает /etc/rc.local?