Re: [RFR] man://manpages-de/man2/ptrace.2 (Teil 8)
Hallo Helge,
#. commit 2d514487faf188938a4ee4fb3464eeecfbdcf8eb
#. type: Plain text
msgid ""
"On systems with the Yama Linux Security Module (LSM) installed (i.e.,
the "
"kernel was configured with B<CONFIG_SECURITY_YAMA>), the
I</proc/sys/kernel/"
"yama/ptrace_scope> file (available since Linux 3.4) can be used to
restrict "
"the ability to trace a process with B<ptrace>() (and thus also the
ability "
"to use tools such as B<strace>(1) and B<gdb>(1)). The goal of such "
"restrictions is to prevent attack escalation whereby a compromised
process "
"can ptrace-attach to other sensitive processes (e.g., a GPG agent or
an SSH "
"session) owned by the user in order to gain additional credentials
that may "
"exist in memory and thus expand the scope of the attack."
msgstr ""
"Auf Systemen, auf denen das Yama Linux Security Module (LSM)
installiert (d."
"h. der Kernel mit B<CONFIG_SECURITY_YAMA> konfiguriert worden) ist
kann die "
"Datei I</proc/sys/kernel/yama/ptrace_scope> (verfügbar seit Linux
3.4) zum "
"Einschränken der Nachverfolgung von Prozesse mit B<ptrace>() verwandt
werden "
"(und damit auch die Möglichkeit, Werkzeuge wie B<strace>(1) und
B<gdb>(1) zu "
"verwenden). Das Ziel einer solchen Einschränkung besteht darin, "
"Angriffseskalationen zu vermeiden, bei denen ein kompromitierter
Prozess "
"sich mittels Ptrace an andere sensitive Prozesse (z.B. einem
GPG-Agenten "
"oder einer SSH-Sitzung), die dem Benutzer gehören, anhängen könnte, um "
"zusätzliche Berechtigungsnachweise zu erlangen, die im Speicher
existieren, "
"und damit den Umfang des Angriffs zu erhöhen."
s/ist kann/ist, kann/
s/von Prozesse/von Prozessen/
s/kompromitierter/kompromittierter/
s/mittels Ptrace/mittels Ptrace-attach/
#. type: Plain text
msgid ""
"No process may perform B<PTRACE_MODE_ATTACH> operations or trace
children "
"that employ B<PTRACE_TRACEME>."
msgstr ""
"Kein Prozess darf B<PTRACE_MODE_ATTACH>-Aktionen durchführen oder
Kinder "
"verfolgen, die B<PTRACE_TRACEME> einsetzen."
Vielleicht unmissverständlicher: Kindprozesse. :-)
#. """"""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""
#. type: Plain text
msgid ""
"With respect to values 1 and 2, note that creating a new user namespace "
"effectively removes the protection offered by Yama. This is because a "
"process in the parent user namespace whose effective UID matches the
UID of "
"the creator of a child namespace has all capabilities (including "
"B<CAP_SYS_PTRACE>) when performing operations within the child user "
"namespace (and further-removed descendants of that namespace). "
"Consequently, when a process tries to use user namespaces to sandbox
itself, "
"it inadvertently weakens the protections offered by the Yama LSM."
msgstr ""
"Beachten Sie im Hinblick auf die Werte 1 und 2, dass die Erstellung
eines "
"neuen Benutzernamensraums effektiv den durch Yama bereitgestellte
Schutz "
"entfernt. Dies rührt daher, dass der Prozess in dem Elternbenutzerraum, "
"dessen effektive UID auf die UID des Erstellers des Kindnamensraums
passt, "
"über alle Capabilities (einschließlich B<CAP_SYS_PTRACE>) verfügt,
wenn der "
"Aktionen innerhalb des Kindnamensraums (und weiter entfernter
Nachkommen "
"dieses Namensraums) durchführt. Wenn ein Prozess versucht, einen "
"Benutzernamensraum zu verwenden, um sich in eine Sandbox zu bringen,
wird er "
"konsequenterweise den durch das Yama LSM bereitgestellten Schutz
schwächen."
s/bereitgestellte Schutz/bereitgestellten Schutz/
s/wenn der/wenn er/
#. type: Plain text
msgid "then, instead of the usual and expected one-line output such as"
msgstr "anhängen, dass Sie statt der erwarteten einzeilige Ausgabe, wie"
s/einzeilige/einzeiligen/
Gruß,
Chris
Reply to: