Re: [RFR] man://manpages-de/capabilities.7 (Teil 2)
Hallo Helge,
Helge Kreutzmann:
Helge Kreutzmann wrote:
Und nun Teil 2, ich habe alles was sich aus der Korrektur aus Teil 1
ergab, bereits eingebaut.
#. type: Plain text
msgid ""
"This is not a set, but rather just a single bit. If this bit is set,
then "
"during an B<execve>(2) all of the new permitted capabilities for the
thread "
"are also raised in the effective set. If this bit is not set, then
after an "
"B<execve>(2), none of the new permitted capabilities is in the new
effective "
"set."
msgstr ""
"Dies ist keine Menge, sondern eher ein einziges Bit. Falls dieses Bit
gesetzt "
"ist, dann werden während eines B<execve>(2) die gesamte erlaubten
Capabilties "
"für den Thread in die effektive Menge hochgezogen. Falls dieses Bit nicht "
"gesetzt ist, dann wird nach einem B<execve>(2) keine der erlaubten "
"Capabilities in der neuen effektiven Menge sein."
s/die gesamte erlaubten/die gesamten erlaubten/
#. type: Plain text
msgid ""
"If a set-user-ID-root program is being executed, or the real user ID of
the "
"process is 0 (root) then the file inheritable and permitted sets are "
"defined to be all ones (i.e., all capabilities enabled)."
msgstr ""
"Falls ein set-user-ID-root-Programm ausgeführt wird oder die reale "
"Benutzer-ID des Prozesses 0 (root) ist sind die vererbbaren und erlaubten "
"Dateimengen komplett auf nur Einsen definiert (d.h. alle Capabilities "
"aktiviert)."
Set-User-ID-Root-Programm (kommt mehrfach vor)
#. If a process with real UID 0, and nonzero effective UID does an
#. exec(), then it gets all capabilities in its
#. permitted set, and no effective capabilities
#. type: Plain text
msgid ""
"The upshot of the above rules, combined with the capabilities "
"transformations described above, is that when a process B<execve>(2)s a
set-"
"user-ID-root program, or when a process with an effective UID of 0
B<execve>"
"(2)s a program, it gains all capabilities in its permitted and effective "
"capability sets, except those masked out by the capability bounding set. "
"This provides semantics that are the same as those provided by
traditional "
"UNIX systems."
msgstr ""
"Das Fazit der oben aufgeführten Regeln, kombiniert mit den beschriebenen "
"Capabilities-Umwandlungen, ist, dass wenn ein Prozess ein "
"set-user-ID-root-Programm B<execve>(2)ed, er alle Capabilities in seinen "
"erlaubten und effektiven Mengen erhält, außer denen, die durch die "
"Capability-Begrenzungsmenge ausmaskiert sind. Damit wird eine Semantik "
"bereitgestellt, die identisch zu der von traditionellen UNIX-Sytemen ist."
wie im ersten Teil:
statt B<execve>(2)ed »mit execve>(2) ausführt« (kommt mehrfach vor)
s/ausmaskiert/maskiert/ oder verdeckt. Das Wort »ausmaskieren« finde ich
etwas unglücklich. Wo ist der Unterschied zwischen maskieren und
ausmaskieren?
#. type: Plain text
msgid ""
"Depending on the kernel version, the capability bounding set is either a "
"system-wide attribute, or a per-process attribute."
msgstr ""
"Abhängig von der Kernelversion ist die Capability-Begrenzungsmenge
entweder "
"ein systemweites Attribut oder ein pro-Prozess-Attribut."
Wie wäre hier »prozessweises Attribut«?
#. type: Plain text
msgid ""
"On a standard system the capability bounding set always masks out the "
"B<CAP_SETPCAP> capability. To remove this restriction (dangerous!),
modify "
"the definition of B<CAP_INIT_EFF_SET> in I<include/linux/capability.h>
and "
"rebuild the kernel."
msgstr ""
"Auf einem Standardsystem maskiert die Capability-Begrenzungsmenge immer
die "
"Capability B<CAP_SETPCAP> aus. Um diese Einschränkung zu entfernen "
"(gefährlich!), verändern Sie die Definition von B<CAP_INIT_EFF_SET> in "
"I<include/linux/capability.h> und bauen Sie Ihren Kernel neu."
s/aus. Um/. Um/
s/bauen Sie Ihren/bauen Ihren/
#. type: Plain text
msgid ""
"A thread may remove capabilities from its capability bounding set using
the "
"B<prctl>(2) B<PR_CAPBSET_DROP> operation, provided it has the "
"B<CAP_SETPCAP> capability. Once a capability has been dropped from the "
"bounding set, it cannot be restored to that set. A thread can
determine if "
"a capability is in its bounding set using the B<prctl>(2) "
"B<PR_CAPBSET_READ> operation."
msgstr ""
"Ein Thread kann mittels der Operation B<prctl>(2) B<PR_CAPBSET_DROP> "
"Capabilities aus seiner Begrenzungsmenge entfernen, vorausgesetzt es
verfügt "
"über die Capability B<CAP_SETPCAP>. Sobald eine Capability aus der "
"Begrenzungsmenge entfernt wurde, kann es nicht mehr zu der Menge wieder "
"hinzugefügt werden. Ein Thread kann mittels der Operation B<prctl>(2) "
"B<PR_CAPBSET_READ> herausfinden, ob ein Capability in seiner
Begrenzungsmenge "
"liegt."
s/vorausgesetzt es/vorausgesetzt er/ (der Thread)
s/kann es nicht/kann sie nicht/ (die Capability)
s/ein Capability/eine Capability/
#. type: Plain text
msgid ""
"Removing capabilities from the bounding set is only supported if file "
"capabilities are compiled into the kernel. In kernels before Linux
2.6.33, "
"file capabilities were an optional feature configurable via the "
"CONFIG_SECURITY_FILE_CAPABILITIES option. Since Linux 2.6.33, the "
"configuration option has been removed and file capabilities are always
part "
"of the kernel. When file capabilities are compiled into the kernel, the "
"B<init> process (the ancestor of all processes) begins with a full
bounding "
"set. If file capabilities are not compiled into the kernel, then B<init> "
"begins with a full bounding set minus B<CAP_SETPCAP>, because this "
"capability has a different meaning when there are no file capabilities."
msgstr ""
"Entfernen von Capabilities aus der Begrenzungsmenge ist nur mnöglich,
falls "
"Datei-Capabilities in den Kernel kompiliert wurden. In Kerneln vor Linux "
"2.6.33 waren Datei-Capabilities eine optionale Funktionalität, die
mittels "
"der Option CONFIG_SECURITY_FILE_CAPABILITIES konfigurierbar war. Seit
Linux "
"2.6.33 ist die Konfigurationsoption entfernt und Datei-Capabilities sind "
"immer Teil des Kernels. Wenn Datei-Capabilities in den Kernel kompiliert "
"sind, beginnt der B<init>-Prozess (der Urahn aller Prozesse) mit einer "
"kompletten Begrenzungsmenge. Falls Datei-Capabilities nicht in den Kernel "
"kompiliert sind, dann begint B<init> mit einer vollständigen
Begrenzungsmenge "
"ohne B<CAP_SETPCAP>, da diese Capability eine andere Bedeutung hat,
wenn es "
"keine Datei-Capabilities gibt."
s/mnöglich/möglich/
s/begint/beginnt/
#. type: Plain text
msgid ""
"Removing a capability from the bounding set does not remove it from the "
"thread's inherited set. However it does prevent the capability from
being "
"added back into the thread's inherited set in the future."
msgstr ""
"Die Entfernung einer Capability aus der Begrenzungsmenge entfernt es
nicht "
"aus der vererbten Menge des Threads. Allerdings verhindert es das
Zurückfügen "
"in die vererbte Menge des Threads in der Zukunft."
s/entfernt es/entfernt sie/
#. type: Plain text
msgid ""
"If one or more of the real, effective or saved set user IDs was
previously "
"0, and as a result of the UID changes all of these IDs have a nonzero
value, "
"then all capabilities are cleared from the permitted and effective "
"capability sets."
msgstr ""
"Falls einer der realen, effektiven oder gespeicherten set-user-IDs
vorher 0 "
"war und als Ergebnis der UID-Änderung alle dieser IDs eine von 0 "
"verschiedenen Wert haben, dann werden alle Capabilities aus den
erlaubten und "
"effektiven Capability-Mengen gelöscht."
s/set-user-IDs/Set-User-IDs/
#. type: Plain text
msgid ""
"If the file system user ID is changed from 0 to nonzero (see B<setfsuid>"
"(2)) then the following capabilities are cleared from the effective set: "
"B<CAP_CHOWN>, B<CAP_DAC_OVERRIDE>, B<CAP_DAC_READ_SEARCH>, B<CAP_FOWNER>, "
"B<CAP_FSETID>, B<CAP_LINUX_IMMUTABLE> (since Linux 2.2.30), "
"B<CAP_MAC_OVERRIDE>, and B<CAP_MKNOD> (since Linux 2.2.30). If the file "
"system UID is changed from nonzero to 0, then any of these capabilities
that "
"are enabled in the permitted set are enabled in the effective set."
msgstr ""
"Falls die Dateisystem-Benutzer-ID von 0 auf einen anderen Wert geändert
wird "
"(siehe B<setfsuid>(2)) dann werden die folgenden Capabilities aus der "
"effektiven Menge entfernt: B<CAP_CHOWN>, B<CAP_DAC_OVERRIDE>, "
"B<CAP_DAC_READ_SEARCH>, B<CAP_FOWNER>, B<CAP_FSETID>,
B<CAP_LINUX_IMMUTABLE> "
"(seit Linux 2.2.30), B<CAP_MAC_OVERRIDE> und B<CAP_MKNOD> (seit Linux "
"2.2.30). Falls die Dateisystem-UID von einem von 0 verschiedenen Wert
auf 0 "
"geändert wird, dann werden alle dieser Capabilities, die in der erlaubten "
"Menge aktiviert waren, in der effektiven Menge aktiviert."
s/geändert wird/geändert wird,/
#. type: Plain text
msgid ""
"If the caller does not have the B<CAP_SETPCAP> capability, the new "
"inheritable set must be a subset of the combination of the existing "
"inheritable and permitted sets."
msgstr ""
"Falls der Aufrufende nicht über die Capability B<CAP_SETPCAP> verfügt,
dann "
"muss die neue vererbare Menge eine Teilmenge der Kombination der
bestehenden "
"vererbbaren und erlaubten Menge sein."
s/vererbare Menge/vererbbare Menge/
#. type: Plain text
msgid ""
"In the pre-2.6.25 implementation the system-wide capability bounding
set, I</"
"proc/sys/kernel/cap-bound>, always masks out this capability, and this
can "
"not be changed without modifying the kernel source and rebuilding."
msgstr ""
"In der pre-2.6.25-Implementierung maskiert die systemweite "
"Capability-Begrenzungsmenge I</proc/sys/kernel/cap-bound> diese
Capability "
"immer aus und dies kann ohne Veränderung der Kernelquellen und dessen
Neubau "
"nicht geändert werden."
s/immer aus/immer/
Ansonsten konnte ich nichts finden.
Reply to: