<div style="font-family: arial; font-size: 14px;"><div style="font-family: arial; font-size: 14px;"><br></div></div><div style="font-family: arial; font-size: 14px;">Hi Jarno<br></div><div style="font-family: arial; font-size: 14px;"><br></div><blockquote><div style="font-family: arial; font-size: 14px;">You have lot of sandboxing options(Protect*, Restrict* etc.) in the<br></div><div style="font-family: arial; font-size: 14px;">unbound.service file.<br></div><div style="font-family: arial; font-size: 14px;"><br></div><div style="font-family: arial; font-size: 14px;">Have you tried commenting all Protect*, Restrict* etc. and see if<br></div><div style="font-family: arial; font-size: 14px;">unbound is
then able to start (and write to /test/unbound) ? And after that start<br></div><div style="font-family: arial; font-size: 14px;">adding those sandboxing options one by one ?<br></div></blockquote><div style="font-family: arial; font-size: 14px;"><br></div><div style="font-family: arial; font-size: 14px;">Yes, it was my next step yesterday.<br></div><div style="font-family: arial; font-size: 14px;"><br></div><div style="font-family: arial; font-size: 14px;">And i find out that if i set a plus as the first character on "ExecStart=..." (which means execution with full privileges)<br></div><div style="font-family: arial; font-size: 14px;">then the no pidfile-error occurs.<br></div><div style="font-family: arial; font-size: 14px;"><br></div><div style="font-family: arial; font-size: 14px;">I would like to know why because i thougt that if no "User=" option in the service is set, then the service automaticly starts as root.<br></div><div style="font-family: arial; font-size: 14px;"><br></div><div style="font-family: arial; font-size: 14px;">But the pidfile-error was not responsible for the failed start, it was the following line in my service-file:<br></div><div style="font-family: arial; font-size: 14px;">====================================<br></div><div style="font-family: arial; font-size: 14px;">SystemCallFilter=~@clock @cpu-emulation @debug @keyring @module @mount @obsolete @resources<br></div><div style="font-family: arial; font-size: 14px;">====================================<br></div><div style="font-family: arial; font-size: 14px;">In the original service-file "mount" in that line is without "@".<br></div><div style="font-family: arial; font-size: 14px;">When i set my service-file i looked into the man of systemd -> SystemCallFilter.<br></div><div style="font-family: arial; font-size: 14px;">In the Table there are all possible values listed with a "@" and i thougt that in the original service-file the "@" at "mount" was simply forgotten.<br></div><div style="font-family: arial; font-size: 14px;"><br></div><div style="font-family: arial; font-size: 14px;">I only now realized that "mount" was set correctly without a "@" because ONLY the system call "mount()" should be locked<br></div><div style="font-family: arial; font-size: 14px;">and not the ENTIRE system call set "mount" (which set with a "@") which includes other system calls too like "chroot()".<br></div><div style="font-family: arial; font-size: 14px;"><br></div><div style="font-family: arial; font-size: 14px;">So this start problem is eliminated.<br></div><div style="font-family: arial; font-size: 14px;"><br></div><div style="font-family: arial; font-size: 14px;">But now i run into another problem which i have already seen before. Now i get the timeout-problem which is<br></div><div style="font-family: arial; font-size: 14px;">known with the "Type=notify" option.<br></div><div style="font-family: arial; font-size: 14px;"><br></div><div style="font-family: arial; font-size: 14px;">The user gthess explained here "<a href="https://github.com/NLnetLabs/unbound/issues/56#issuecomment-520837503">https://github.com/NLnetLabs/unbound/issues/56#issuecomment-520837503</a>" why this problem occurs.<br></div><div style="font-family: arial; font-size: 14px;">And two posts next he talked about options to solve that problem.<br></div><div style="font-family: arial; font-size: 14px;"><br></div><div style="font-family: arial; font-size: 14px;">But in the service-file the following line already exists:<br></div><div style="font-family: arial; font-size: 14px;">====================================<br></div><div style="font-family: arial; font-size: 14px;">BindReadOnlyPaths=-/run/systemd/notify:/test/unbound/run/systemd/notify<br></div><div style="font-family: arial; font-size: 14px;">====================================<br></div><div style="font-family: arial; font-size: 14px;">so why it doesn't work?<br></div>