systemd: problema de permissão com mkdir e ExecStartPre

Estou com um problema com este arquivo de serviço systemd (reduzido):

[Unit]
Description=control FOO daemon
After=syslog.target network.target

[Service]
Type=forking
User=FOOd
Group=FOO
ExecStartPre=/bin/mkdir -p /var/run/FOOd/
ExecStartPre=/bin/chown -R FOOd:FOO /var/run/FOOd/
ExecStart=/usr/local/bin/FOOd -P /var/run/FOOd/FOOd.pid
PIDFile=/var/run/FOOd/FOOd.pid

[Install]
WantedBy=multi-user.target

Seja FOOd o nome de usuário e FOO o nome do grupo, que já existe para o meu daemon /usr/local/bin/FOOd.

Preciso criar o diretório /var/run/FOOd/antes de iniciar o processo daemon /usr/local/bin/FOOdvia # systemctl start FOOd.service. Isso falha, porque o mkdir não pode criar o diretório devido às permissões:

...
Jun 03 16:18:49 PC0515546 mkdir[2469]: /bin/mkdir: cannot create directory /var/run/FOOd/: permission denied
Jun 03 16:18:49 PC0515546 systemd[1]: FOOd.service: control  process exited, code=exited status=1
...

Por que o mkdir falha no ExecStartPre e como posso corrigi-lo? (E não, não posso usar o sudo para mkdir ...)

Você precisa adicionar

PermissionsStartOnly=true

para [Service] . FOOdÉ claro que seu usuário não está autorizado a criar um diretório no /var/run. Para citar a página de manual:

Adota um argumento booleano. Se true, as opções de execução relacionadas à permissão, conforme configuradas com User = e opções semelhantes (consulte systemd.exec (5) para obter mais informações), são aplicadas apenas ao processo iniciado com ExecStart = e não aos vários outros ExecStartPre = , ExecStartPost =, ExecReload =, ExecStop = e ExecStopPost = comandos. Se falso, a configuração é aplicada a todos os comandos configurados da mesma maneira. O padrão é false.

Esta não é uma resposta que explique ou corrija o problema de permissão, mas acho que você deve usar a opção systemds RuntimeDirectory. Citando a página de manual :

RuntimeDirectory=, RuntimeDirectoryMode=
       Takes a list of directory names. If set, one or more directories by
       the specified names will be created below /run (for system
       services) or below $XDG_RUNTIME_DIR (for user services) when the
       unit is started, and removed when the unit is stopped. The
       directories will have the access mode specified in
       RuntimeDirectoryMode=, and will be owned by the user and group
       specified in User= and Group=. Use this to manage one or more
       runtime directories of the unit and bind their lifetime to the
       daemon runtime. The specified directory names must be relative, and
       may not include a "/", i.e. must refer to simple directories to
       create or remove. This is particularly useful for unprivileged
       daemons that cannot create runtime directories in /run due to lack
       of privileges, and to make sure the runtime directory is cleaned up
       automatically after use. For runtime directories that require more
       complex or different configuration or lifetime guarantees, please
       consider using tmpfiles.d(5).

Então, tudo que você precisa fazer é alterar seu arquivo de serviço para:

[Unit]
Description=control FOO daemon
After=syslog.target network.target

[Service]
Type=forking
User=FOOd
Group=FOO
RuntimeDirectory=FOOd
RuntimeDirectoryMode=$some-mode
ExecStart=/usr/local/bin/FOOd -P /run/FOOd/FOOd.pid
PIDFile=/run/FOOd/FOOd.pid

[Install]
WantedBy=multi-user.target

Adicionar + antes do comando que você deseja executar com privilégios totais.

Por exemplo:

ExecStartPre=+/bin/mkdir test

Consulte a seção "Prefixos especiais executáveis" em https://www.freedesktop.org/software/systemd/man/systemd.service.html#ExecStart=