On Thu, Apr 22, 2021 at 03:26:12PM +0300, Mikhail Novosyolov wrote:
> 
> 22.04.2021 15:00, Arseny Maslennikov пишет:
> > On Thu, Apr 22, 2021 at 02:19:34PM +0300, Andrey Cherepanov wrote:
> >> Кто-нибудь знает, как вычислить виновника, устанавливающего PrivateTmp=true
> >> для сеанса пользователя для обновлённой системы на p9?
> > % man systemd.directives | grep -A4 PrivateTmp
> >        PrivateTmp=
> >            systemd.exec(5)
> >
> >        PrivateUsers=
> >            systemd.exec(5)
> > --
> >        PrivateTmp
> >            org.freedesktop.systemd1(5)
> >
> >        PrivateUsers
> >            org.freedesktop.systemd1(5)
> >
> >
> > Как понять выражение "PrivateTmp=true для сеанса пользователя"?
> > Эта директива может быть назначена только юниту.
> Сеанс пользователя - user-UID.slice - является унитом. pam_systemd работает.

Я был не слишком подробен.
1) Не любому юниту, а только сервису, маунту, свапу и (почему-то) сокету, см. org.freedesktop.systemd1(5).
2) Slice — это, конечно, тип юнита, но не сеанс пользователя; сеансом
можно разве что session-$ID.scope назвать, который как раз порождается
pam_systemd(8).
3) systemd.exec(5):
       PrivateTmp=
           Takes a boolean argument. If true, sets up a new
           file system namespace for the executed processes
           and mounts private /tmp/ and /var/tmp/ directories
           inside it that are not shared by processes outside
           of the namespace. This is useful to secure access
<...>
           This option is only available for system services
           and is not supported for services running in
           per-user instances of the service manager.

Т. е. в пользовательской инит-последовательности директива неприменима
(иначе некрасиво получается: чтобы mount namespace сделать, надо либо
userns городить, либо привилегии повышать...).

По конкретному вопросу Андрея — подозреваю, какой-то ещё pam-модуль старается.