特定のユーザーとしてのみsystemdサービスを再起動しますか？

ユーザーtechopsがパスワードを指定せずにサービスpublicapi.serviceを制御できるようにするには、さまざまな可能性があります。あなたが自分で選択しなければならないので、どちらがあなたに適しているかは答えられません。

古典的なSudoアプローチは、長い間存在しているため、おそらく最も使用されています。作成する必要があります。次のようにファイル。
ドロップインディレクトリ/etc/sudoers.dは、#includedir /etc/sudoers.dが/etc/sudoersで設定されている場合にのみアクティブになることに注意してください。しかし、最新のUbuntuディストリビューションを使用している場合はそうなります。 rootを実行すると：

cat > /etc/sudoers.d/techops << Sudo
techops ALL= NOPASSWD: /bin/systemctl restart publicapi.service
techops ALL= NOPASSWD: /bin/systemctl stop publicapi.service
techops ALL= NOPASSWD: /bin/systemctl start publicapi.service
Sudo

これで、コマンドにsystemctlを付加することにより、パスワードを指定しなくても、ユーザーtechopsとしてSudoコマンドを実行できるようになります。

Sudo systemctl start publicapi.service
Sudo systemctl stop publicapi.service
Sudo systemctl restart publicapi.service

2番目の方法は、ユーザーがtechopsがsystemdサービスを制御できるようにするためにPolKit（PolicyKitから名前が変更されました）を使用することです。 politのバージョンによっては、systemdユニットを通常のユーザーが制御できるようにすることができます。
polkitバージョンを確認するには、pkaction --versionを実行します。

• polkitバージョン0.106以降を使用すると、特定のsystemdユニットをユーザーが制御できるようにすることができます。
  これを行うには、rootとしてルールを作成します。

  cat > /etc/polkit-1/rules.d/10-techops.rules << POLKIT
  polkit.addRule(function(action, subject) {
      if (action.id == "org.freedesktop.systemd1.manage-units" &&
          action.lookup("unit") == "publicapi.service" &&
          subject.user == "techops") {
          return polkit.Result.YES;
      }
  });
  POLKIT
  

• polkitバージョン0.105以下を使用すると、ユーザーがsystemdユニットを制御できるようになります。残念ながら、これにはすべてのsystemdユニットが含まれており、これを実行したくない場合があります。バージョン0.105以下の特定のsystemdユニットへのアクセスを制限する方法があるかどうかはわかりませんが、おそらく他の誰かが明確にすることができます。
  これを有効にするには、rootとしてファイルを作成します。

  cat > /etc/polkit-1/localauthority/50-local.d/org.freedesktop.systemd1.pkla << POLKIT
  [Allow user techops to run systemctl commands]
  Identity=unix-user:techops
  Action=org.freedesktop.systemd1.manage-units
  ResultInactive=no
  ResultActive=no
  ResultAny=yes
  POLKIT
  

どちらの場合も、パスワードを入力しなくても、ユーザーtechopsとしてsystemctl [start|stop|restart] publicapi.serviceを実行できます。後者の場合（polkit <= 0.105）、ユーザーtechopsは任意のsystemdユニットを制御できます。

3番目のオプションは、サービスをユーザーサービスにすることです。Sudoまたはpolkit構成は必要ありません。これはすべてをユーザーの制御下に置き、/home/techops/publicapi startで開始された実際のサービスがroot特権なしで実行できる場合にのみ機能します。

まず、ユーザーtechopsの残存を有効にする必要があります。これは、起動時にユーザーサービスを起動するために必要です。 rootを実行すると：

loginctl enable-linger techops

次に、systemdユニットファイルをtechopsユーザーディレクトリに移動する必要があります。ユーザーtechopsとして、次のようにコマンドを実行します。

mkdir -p ~/.config/systemd/user

cat > ~/.config/systemd/user/publicapi.service << UNIT
[Unit]
Description=public api startup script

[Service]
Type=oneshot
RemainAfterExit=yes
EnvironmentFile=-/etc/environment
WorkingDirectory=/home/techops
ExecStart=/home/techops/publicapi start
ExecStop=/home/techops/publicapi stop

[Install]
WantedBy=default.target
UNIT

ユーザーコンテキストにはdefault.targetがないため、WantedByはmulti-user.targetである必要があります。

次に、設定をリロードしてサービスを有効にします。再度、ユーザーtechopsとしてコマンドを実行します。

systemctl --user daemon-reload
systemctl --user enable publicapi.service
systemctl --user start publicapi.service

一般に、systemdユニットは/etc/systemd/system/に直接配置するのではなく、/etc/systemd/system/multi-user.target.wantsに配置する必要があります。 systemctl enable publicapi.serviceを実行すると、etc/systemd/system/multi-user.target.wantsまたはそのユニットに指定されているターゲットにシンボリックリンクが作成されます。

すでに述べたように、サービス/プロセス自体がroot権限なしで実行できる場合は、User=techopsをユニットファイルに追加して、権限のないユーザーアカウントでプロセスを実行することを検討してください。