Domina herramientas y mejores prácticas de DevOps - DevOps Knowledge Hub Domina herramientas y mejores prácticas de DevOps - DevOps Knowledge Hub

Solucionando Fallos Comunes de Servicios Systemd de Forma Efectiva

Diagnostica fallos comunes de servicios systemd con systemctl, journalctl, códigos de salida, comprobaciones de unidades y pasos prácticos de reparación.

Solucionando Fallos Comunes de Servicios Systemd de Forma Efectiva

La mayoría de los fallos de servicios systemd no son misteriosos una vez que separas tres preguntas: ¿leyó systemd el archivo de unidad?, ¿logró ejecutar el comando?, y ¿la aplicación se mantuvo saludable después de iniciarse? Esos son diferentes puntos de fallo, y dejan diferentes pistas.

El error que veo más a menudo es saltar directamente a editar el archivo de unidad. Primero lee el estado y los registros. Un servicio fallido generalmente te dice si encontró un ejecutable faltante, un usuario incorrecto, un problema de permisos, un problema de orden de dependencias o un bloqueo de la aplicación. La redacción exacta importa.

El Kit de Herramientas de Diagnóstico Esencial

La solución de problemas efectiva se basa en dos herramientas principales de systemd que proporcionan retroalimentación inmediata sobre el estado del servicio y los registros operativos.

1. Verificación del Estado del Servicio

El comando systemctl status proporciona una instantánea inmediata de la condición de la unidad, incluyendo su estado actual, registros recientes y metadatos críticos como el ID del proceso (PID) y el código de salida.

$ systemctl status myapp.service

Información clave a buscar:

  • Load: Confirma que el archivo de unidad se leyó correctamente. loaded es bueno. Si muestra not found, tu archivo de servicio está en la ubicación incorrecta o mal escrito.
  • Active: Este es el estado central. Si dice failed, el servicio intentó iniciarse y salió inesperadamente.
  • Exit Code: Este código numérico, a menudo mostrado junto a Active: failed, es vital. Indica por qué terminó el proceso (por ejemplo, 0 para salida limpia, 1 o 2 para errores generales de la aplicación, 203 para errores de ruta de ejecución).
  • Registros Recientes: Systemd a menudo incluye las últimas líneas de salida de registro del servicio, que pueden revelar instantáneamente el error.

2. Inmersión Profunda en Registros con Journalctl

Mientras que systemctl status da un resumen, journalctl proporciona el contexto completo del historial de ejecución del servicio, incluyendo la salida estándar y los flujos de error estándar.

Usa el siguiente comando para ver el diario específicamente para tu servicio fallido, usando la bandera -x para explicación y la bandera -e para saltar al final (entradas más recientes):

$ journalctl -xeu myapp.service

Consejo: Si el fallo ocurrió hace horas o días, usa las opciones de filtrado de tiempo, como journalctl -u myapp.service --since "2 hours ago".

Diagnóstico Paso a Paso de Fallos Comunes

Los fallos de systemd típicamente caen en unas pocas categorías predecibles. Al examinar el estado y los registros, puedes categorizar rápidamente el problema y aplicar la solución adecuada.

Tipo de Fallo 1: Errores de Ejecución (Código de Salida 203)

Un código de salida de 203/EXEC significa que systemd no pudo ejecutar el archivo especificado en la directiva ExecStart. Este es uno de los errores de configuración más comunes.

Causas y Soluciones:

  1. Ruta Incorrecta: La ruta al ejecutable es incorrecta o no es absoluta.

    • Solución: Siempre usa la ruta completa y absoluta en ExecStart. Asegúrate de que el ejecutable exista en esa ubicación exacta.
    # INCORRECTO
ExecStart=myapp

# CORRECTO
ExecStart=/usr/local/bin/myapp

  2. Permisos Faltantes: El archivo carece de permiso de ejecución para el usuario que ejecuta el servicio.

    • Solución: Verifica y aplica permisos de ejecución: chmod +x /path/to/executable.

  3. Intérprete Faltante (Shebang): Si ExecStart apunta a un script (por ejemplo, Python o Bash), la línea shebang (#!/usr/bin/env python) podría faltar o ser incorrecta, impidiendo la ejecución.

    • Solución: Verifica que el script tenga una línea shebang válida.

Tipo de Fallo 2: Bloqueos de Aplicación (Código de Salida 1 o 2)

Si el servicio se está iniciando correctamente (systemd encuentra el ejecutable) pero luego entra inmediatamente en el estado failed con un código de error de aplicación genérico (generalmente 1 o 2), el problema está dentro de la lógica o el entorno de la aplicación.

Causas y Soluciones:

  1. Errores de Archivo de Configuración: La aplicación no pudo leer su archivo de configuración requerido, o el archivo contiene sintaxis inválida.

    • Solución: Revisa cuidadosamente la salida de journalctl. La aplicación generalmente imprime un mensaje de error específico sobre la ruta o sintaxis del archivo de configuración. Usa la directiva WorkingDirectory= si los archivos de configuración son relativos.

  2. Contención de Recursos/Acceso Denegado: La aplicación falló al abrir un puerto necesario, acceder a una base de datos o escribir en un archivo de registro debido a restricciones de permisos.

    • Solución: Verifica la directiva User= en el archivo de servicio y asegúrate de que ese usuario tenga acceso de lectura/escritura a todos los recursos y directorios necesarios.

Tipo de Fallo 3: Fallos de Dependencia

El servicio podría fallar porque se inicia antes de que una dependencia requerida esté lista, como una base de datos, interfaz de red o sistema de archivos montado.

Causas y Soluciones:

  1. Red No Lista: Los servicios que requieren conectividad de red (por ejemplo, servidores web, proxies) a menudo fallan si se inician antes de que la pila de red esté inicializada.

    • Solución: Si el servicio necesita una dirección o ruta durante el inicio, añade el ordenamiento network-online.target y asegúrate de que el servicio wait-online de tu distribución esté habilitado para tu gestor de red:
    [Unit]
Description=My Web Service
After=network-online.target
Wants=network-online.target

  2. Sistema de Archivos No Montado: El servicio intenta acceder a archivos en un volumen que aún no ha sido montado (especialmente crítico para almacenamiento secundario o montajes de red).

    • Solución: Usa RequiresMountsFor= para decirle explícitamente a systemd qué ruta debe estar disponible antes de iniciar.
    [Unit]
RequiresMountsFor=/mnt/data/storage

Tipo de Fallo 4: Problemas de Usuario y Entorno (Código de Salida 217)

El código de salida 217/USER a menudo indica un fallo relacionado con directivas de usuario o grupo, o variables de entorno no disponibles.

Causas y Soluciones:

  1. Usuario/Grupo Inválido: El usuario especificado en la directiva User= o Group= no existe en el sistema.

    • Solución: Verifica que el nombre de usuario exista mediante id <username>.

  2. Variables de Entorno Faltantes: Los servicios de systemd se ejecutan en un entorno limpio, lo que significa que las variables de shell (como PATH o claves API personalizadas) no se heredan.

    • Solución: Define las variables necesarias directamente en el archivo de servicio o mediante un archivo de entorno.
    [Service]
# Definición directa
Environment="API_KEY=ABCDEFG"

# Usando un archivo externo (por ejemplo, /etc/sysconfig/myapp)
EnvironmentFile=/etc/sysconfig/myapp

Flujo de Trabajo de Solución de Problemas y Mejores Prácticas

Al modificar un archivo de servicio, sigue siempre este ciclo de tres pasos para asegurarte de que tus cambios se recojan y prueben correctamente.

1. Validar la Sintaxis de Configuración

Usa systemd-analyze verify para verificar el archivo de unidad de servicio antes de intentar iniciarlo. Esto detecta errores de sintaxis simples.

$ systemd-analyze verify /etc/systemd/system/myapp.service

2. Recargar el Daemon

Systemd almacena en caché los archivos de configuración. Después de cualquier cambio en un archivo de unidad, debes decirle a systemd que recargue su configuración.

$ systemctl daemon-reload

3. Reiniciar y Verificar el Estado

Intenta reiniciar el servicio y verifica inmediatamente su estado y registros.

$ systemctl restart myapp.service
$ systemctl status myapp.service

Manejo de Reinicios Inmediatos y Tiempos de Espera

Si tu servicio entra en un bucle de restarting o falla inmediatamente sin un mensaje de registro obvio, considera ajustar estas directivas en la sección [Service]:

Directiva Propósito Mejor Práctica
Type= Cómo gestiona systemd el proceso (por ejemplo, simple, forking). Usa simple a menos que la aplicación se demonice explícitamente.
TimeoutStartSec= Cuánto tiempo espera systemd a que el proceso principal señale éxito. Aumenta este valor si la aplicación tiene un inicio prolongado (por ejemplo, inicialización de base de datos grande).
Restart= Define cuándo debe reiniciarse automáticamente el servicio (por ejemplo, always, on-failure). Usa on-failure para aplicaciones de producción para evitar bucles de reinicio interminables en errores de configuración repetidos.

Leyendo Estados de Fallo con Más Cuidado

failed no es el único estado malo. Una unidad puede estar inactive (dead) después de una salida limpia, lo cual es normal para trabajos Type=oneshot pero sospechoso para un daemon que esperabas que siguiera ejecutándose. Una unidad puede estar activating hasta que TimeoutStartSec= expire. Una unidad puede estar active (exited) cuando el comando terminó y systemd cree que eso es aceptable. Antes de cambiar la política de reinicio, asegúrate de que el tipo de servicio coincida con el programa.

Para un proceso normal en primer plano, comienza con:

[Service]
Type=simple
ExecStart=/usr/local/bin/myapp

Para un script que se ejecuta una vez y sale:

[Service]
Type=oneshot
ExecStart=/usr/local/sbin/rotate-reports

Para daemons más antiguos que se bifurcan a sí mismos en segundo plano, puede ser necesario Type=forking, pero no lo uses por costumbre. Muchas aplicaciones modernas ya permanecen en primer plano cuando se ejecutan bajo systemd. Si le dices a systemd que espere una bifurcación y el proceso no bifurca como systemd espera, puedes obtener fallos de inicio engañosos.

Una Lista de Verificación de Triage que Funciona Bajo Presión

Cuando un servicio está caído y la gente está esperando, usa una secuencia fija:

systemctl status myapp.service --no-pager
journalctl -u myapp.service -b --no-pager
systemctl cat myapp.service
systemctl show myapp.service -p FragmentPath -p User -p Group -p WorkingDirectory -p ExecStart

Busca el primer error real, no la última línea. La entrada final del diario puede solo decir que systemd marcó la unidad como fallida. La línea útil está a menudo encima: Permission denied, No such file or directory, Address already in use, Failed at step USER, o una excepción específica de la aplicación.

Si el servicio fue editado recientemente, verifica la sintaxis y el estado de recarga:

sudo systemd-analyze verify /etc/systemd/system/myapp.service
sudo systemctl daemon-reload

Si systemctl status dice que el archivo de unidad cambió en el disco, systemd te está advirtiendo que el gestor no ha recargado la nueva definición. Reiniciar el servicio antes de daemon-reload puede seguir usando configuraciones obsoletas.

Problemas de Permisos Que No Parecen Problemas de Permisos

Un servicio puede ejecutarse perfectamente desde tu shell y fallar bajo systemd porque no se está ejecutando como tú. Verifica User=, Group=, WorkingDirectory=, y cualquier opción de endurecimiento como ProtectSystem=, ReadWritePaths=, PrivateTmp=, o NoNewPrivileges=.

Por ejemplo:

[Service]
User=webapp
WorkingDirectory=/srv/webapp
ExecStart=/srv/webapp/bin/server
ReadWritePaths=/srv/webapp/var
ProtectSystem=strict

Con ProtectSystem=strict, la mayor parte del sistema de archivos es de solo lectura para el servicio. Eso es una buena configuración de endurecimiento, pero significa que la aplicación debe escribir solo en rutas que permitas explícitamente. Si el diario dice que la aplicación no puede crear un archivo PID, archivo de caché, base de datos SQLite o directorio de carga, el sandboxing de la unidad puede ser la razón.

También verifica los permisos del directorio padre. El ejecutable puede tener modo 755, pero si /srv/webapp no es buscable por el usuario del servicio, systemd aún fallará al ejecutarlo. Usa:

namei -l /srv/webapp/bin/server
sudo -u webapp /srv/webapp/bin/server --check-config

Ejecutar una verificación de configuración segura como el usuario del servicio detecta muchos problemas sin iniciar el daemon completo.

Bucles de Reinicio y Límites de Velocidad

Restart=on-failure es útil, pero puede ocultar el error original en una inundación de inicios repetidos. Systemd también aplica limitación de velocidad de inicio. Cuando un servicio falla demasiadas veces en una ventana corta, puedes ver start-limit-hit.

Comandos útiles:

systemctl status myapp.service
systemctl reset-failed myapp.service
sudo systemctl start myapp.service

reset-failed no soluciona la causa. Solo limpia el estado fallido de systemd y la memoria de límite de velocidad para que puedas probar de nuevo después de hacer un cambio. Si sigues necesitándolo, reduce la velocidad y arregla el primer fallo en el diario.

Depurando Problemas Persistentes

Si los registros estándar no revelan el problema, la aplicación podría estar redirigiendo su salida.

  • Revisa StandardOutput y StandardError: Por defecto, estos se dirigen al diario. Si están configurados en /dev/null o un archivo, debes verificar esas ubicaciones directamente para mensajes de error.
  • Verbosidad Temporal: Si es posible, configura temporalmente la aplicación (o sus argumentos de línea de comandos en ExecStart) para que se ejecute con la máxima verbosidad (por ejemplo, --debug o -v) para generar una salida de registro más detallada al fallar.

Un Punto de Parada Sensato

Una vez que el servicio se inicia, verifica una cosa más: si hace trabajo real. systemctl status solo puede decirte el estado del proceso desde el punto de vista de systemd. Un servicio web puede estar activo mientras devuelve 500s. Un trabajador puede estar activo mientras falla cada trabajo. Después de arreglar el problema a nivel de unidad, ejecuta la propia verificación de salud de la aplicación, mira sus registros de aplicación y confirma que la dependencia con la que habla es accesible.

Para la mayoría de los incidentes, el camino útil es corto: systemctl status, luego journalctl -u, luego inspeccionar la unidad con systemctl cat, luego probar el comando como el usuario del servicio configurado. Eso te mantiene cerca de la evidencia y lejos de cambios aleatorios en el archivo de unidad.

Escribe la causa final en el runbook del servicio o notas de despliegue mientras aún está fresco. "Arreglado systemd" no es útil después. "El servicio falló con 203/EXEC porque el despliegue creó /opt/app/current/bin/server sin permiso de ejecución" es útil. El próximo incidente generalmente rimará con el último.