Hallo Chris,
On Sun, Mar 19, 2017 at 11:13:30AM +0100, Chris Leick wrote:
> >#. type: Plain text
> >#, fuzzy
> >msgid ""
> >"Various parts of the kernel-user-space API (not just B<ptrace>() "
> >"operations), require so-called \"ptrace access mode\" checks,
> >whose outcome "
> >"determines whether an operation is permitted (or, in a few cases,
> >causes a "
> >"\"read\" operation to return sanitized data). These checks are
> >performed in "
> >"cases where one process can inspect sensitive information about,
> >or in some "
> >"cases modify the state of, another process. The checks are based
> >on factors "
> >"such as the credentials and capabilities of the two processes,
> >whether or "
> >"not the \"target\" process is dumpable, and the results of checks
> >performed "
> >"by any enabled Linux Security Module (LSM)\\(emfor example,
> >SELinux, Yama, "
> >"or Smack\\(emand by the commoncap LSM (which is always invoked)."
> >msgstr ""
> >"Verschiedene Teile des Kernel-Benutzerraum-APIs (nicht nur B<ptrace>()-"
> >"Aktionen) benötigen sogenannte
> >»Ptrace-Zugriffsmodusüberprüfungen«, deren "
> >"Ergebnis bestimmt, ob eine Aktion erlaubt (oder, in wenigen
> >Fällen, einer "
> >"»Lese«-Aktion bereinigte Daten zurückliefern) wird. Diese Überprüfungen "
> >"werden in Fällen durchgeführt, in denen ein Prozess vertrauliche "
> >"Informationen über einen anderen Prozess einsehen könnte oder in
> >einigen "
> >"Fällen den Zustand eines anderen Prozesse verändern könnte. Diese "
> >"Überprüfungen basieren auf Faktoren wie den
> >Berechtigungsnachweisen und den "
> >"Capabilities der zwei Prozesse, ob der »Ziel«-Prozess FIXME ist und dem "
> >"Ergebnis der Überprüfungen, die durch jedes aktivierte Linux-"
> >"Sicherheitsmodul (LSM) – zum Beispiel SELinux, Yama oder Smack –
> >und den "
> >"FIXME LSM (die immer ausgeführt wird), ausgeführt wird."
>
> s/ob der »Ziel«-Prozess FIXME ist/ob der Speicherinhalt des
> Zielprozesses ausgegeben werden kann/
Ich habe noch die Anführungszeichen wieder eingeführt, ansonsten
übernommen.
Würdest Du »dumpable« immer so übersetzen? Mit dem Wort, teilweise
zusätzlich noch in Anführungszeichen, hatte ich bisher so meine
Probleme.
> commoncap ist ein C-Programmmodul, das beim Erhöhen der Capabilities
> durch das Setuid-Bit diese Capabilities auf die gewünschten
> beschränkt. Die entsprechenden Funktionen heißen capget() und
> capset().
Welchen Text zitierst Du hier? (Ich finde ihn nicht)
> Mein Vorschlag:
> "... und durch das per Commoncap eingestellte LSM (das ...
Ist das für das zweite FIXME? Was genau willst Du da wie ersetzen?
(Sorry, ich sehe das momentan nicht).
> >#. type: Plain text
> >msgid ""
> >"Use the caller's filesystem UID and GID (see B<credentials>(7)) or "
> >"effective capabilities for LSM checks."
> >msgstr ""
> >"Die Dateisystem-UID und -GID (siehe B<credentials>(7)) oder die
> >effektiven "
> >"Capabilities für LSM-Prüfungen des Aufrufenden verwenden."
>
> "verwendet für LSM-Prüfungen des Aufrufenden die ...
Was genau soll hier getauscht werden? Ich finde die existierende
Formulierung problemlos.
> >#. type: Plain text
> >msgid ""
> >"Use the caller's real UID and GID or permitted capabilities for
> >LSM checks. "
> >"This was effectively the default before Linux 4.5."
> >msgstr ""
> >"Die echte UID und GID oder die erlaubten Capabilities für
> >LSM-Prüfungen des "
> >"Aufrufenden verwenden. Dies war vor Linux 4.5 die Vorgabe."
>
> hier ebenso
Dito.
> >#. commit 69f594a38967f4540ce7a29b3fd214e68a8330bd
> >#. Just for /proc/pid/stat
> >#. type: Plain text
> >msgid ""
> >"Don't audit this access mode check. This modifier is employed for
> >ptrace "
> >"access mode checks (such as checks when reading
> >I</proc/[pid]/stat>) that "
> >"merely cause the output to be filtered or sanitized, rather than
> >causing an "
> >"error to be returned to the caller. In these cases, accessing the
> >file is "
> >"not a security violation and there is no reason to generate a
> >security audit "
> >"record. This modifier suppresses the generation of such an audit
> >record for "
> >"the particular access check."
> >msgstr ""
> >"Diese Zugriffsmodusprüfung nicht auditieren. Dieser Modifikatior
> >wird für "
> >"Ptrace-Zugriffsmodusprüfungen eingesetzt (wie z.B. Prüfungen beim
> >Lesen von "
> >"I</proc/[PID]/stat>), die lediglich die Ausgabe filtern oder
> >bereinigen, "
> >"statt dem Aufrufenden einen Fehler zurückzuliefern. In diesen
> >Fällen ist der "
> >"Zugriff auf die Datei keine Sicherheitsverletzung und es gibt
> >keinen Grund, "
> >"einen Sicherheitsauditdatensatz zu erstellen. Dieser Modifikator
> >unterdrückt "
> >"die Erstellung eines solchen Auditdatensatzes für diese Zugriffsprüfung."
>
> auditiert diese Zugriffsmodusprüfung nicht.
> (oder "untersucht")
Auch hier ist mir leider nicht klar, was Du geändert haben möchtest,
sorry.
> >#. type: Plain text
> >msgid ""
> >"Note that all of the B<PTRACE_MODE_*> constants described in this
> >subsection "
> >"are kernel-internal, and not visible to user space. The constant
> >names are "
> >"mentioned here in order to label the various kinds of ptrace
> >access mode "
> >"checks that are performed for various system calls and accesses to
> >various "
> >"pseudofiles (e.g., under I</proc>). These names are used in other
> >manual "
> >"pages to provide a simple shorthand for labeling the different
> >kernel checks."
> >msgstr ""
> >"Beachten Sie, dass alle in diesem Unterabschnitt beschriebenen
> >Konstanten "
> >"B<PTRACE_MODE_*> Kernel-intern und nicht im Anwendungsraum
> >sichtbar sind. "
> >"Die Konstantennamen werden hier benannt, um den verschiedenen Arten von "
> >"Ptrace-Zugriffsmodusprüfungen, die für verschiedene Systemaufrufe und "
> >"Zugriff auf verschiedene Pseudodateien (z.B. unter I</proc>)
> >durchgeführt "
> >"werden, einen Namen zu geben. Diese Namen werden in anderen
> >Handbuchseiten "
> >"benutzt, um eine einfache Abkürzung für die Benennung der verschiedenen "
> >"Kernelprüfungen bereitzustellen."
>
> Der erste Satz ist schwer verständlich. Vielleicht wäre
> B<PTRACE_MODE_*>-Konstanten besser.
Ich finde meine Variante i.O., die Bindestrich-Variante versuche ich
zu vermeiden.
> >#. type: Plain text
> >msgid ""
> >"The real, effective, and saved-set user IDs of the target match
> >the caller's "
> >"user ID, I<and> the real, effective, and saved-set group IDs of
> >the target "
> >"match the caller's group ID."
> >msgstr ""
>
> "Die echten, effektiven und mit Sicherheit gesetzten
> Benutzerkennungen des Ziels entsprechen der Benutzerkennung des
> Aufrufenden I<und> die echten, effektiven und mit Sicherheit
> gesetzten Benutzerkennungen des Ziels entsprechen der Gruppenkennung
> des Aufrufenden."
>
> oder kürzer:
>
> "Die echten, effektiven und mit Sicherheit gesetzten
> Benutzerkennungen des Ziels entsprechen der Benutzer- I<und>
> Gruppenkennung des Aufrufenden."
Hier bin ich mir nicht sicher, ob das die Übersetzung ist. Hast Du das
frei übersetzt oder zitierst Du aus anderen Quellen / Handbuchseiten?
> >#. type: Plain text
> >msgid ""
> >"Deny access if the target process \"dumpable\" attribute has a
> >value other "
> >"than 1 (B<SUID_DUMP_USER>; see the discussion of B<PR_SET_DUMPABLE> in "
> >"B<prctl>(2)), and the caller does not have the B<CAP_SYS_PTRACE>
> >capability "
> >"in the user namespace of the target process."
> >msgstr ""
>
> Der Zugriff wird verweigert, falls das Attribut »Auslesen des
> Speicherinhalts« einen anderen Wert als 1 hat (B<SUID_DUMP_USER>;
> siehe die Besprechung von B<PR_SET_DUMPABLE> in B<prctl>(2)) und der
> Aufrufende hat nicht die Capability B<CAP_SYS_PTRACE> im Benutzerraum
> des Zielprozesses.
s.o. zu »dumpable«. Ich bin mir nicht sicher, warum darum
Anführungszeichen sind. Hast Du das frei übersetzt oder hast Du
Quellen verwandt?
> >#. (in cap_ptrace_access_check()):
> >#. type: Plain text
> >msgid ""
> >"The kernel LSM I<security_ptrace_access_check>() interface is
> >invoked to "
> >"see if ptrace access is permitted. The results depend on the
> >LSM(s). The "
> >"implementation of this interface in the commoncap LSM performs the
> >following "
> >"steps:"
> >msgstr ""
> >"Die Schnittstelle I<security_ptrace_access_check>() wird
> >aufgerufen, um zu "
> >"erkennen, ob Ptrace-Zugriff erlaubt ist. Das Ergebnis hängt von
> >den LSM(s) "
> >"ab. Die Implementierung dieser Schnittstelle im LSM Commoncap führt die "
> >"folgenden Schritte durch:"
>
> s#den LSM(s)#dem/den LSM(en)# (das M steht für Modul)
Ich habe das übernommen, finde das aber deutlich schwerer zu lesen,
sowohl der explizite Singular/Plural als auch der »korrekte« Plural.
> >#. type: Plain text
> >msgid ""
> >"The caller and the target process are in the same user namespace,
> >and the "
> >"caller's capabilities are a proper superset of the target process's "
> >"I<permitted> capabilities."
> >msgstr ""
> >"Der aufrufende und der Zielprozess sind im gleichen
> >Benutzernamensraum und "
> >"die Capabilitys des Aufrufenden sind eine korrekte Obermenge der "
> >"I<erlaubten> Capabilities des Zielprozesses."
>
> hier verwendest Du einmal Capabilitys und einmal Capabilities
Die korrekte deutsche Fassung ist wohl »Capabilitys«, global geändert.
Die nicht (weiter) kommentierten Punkte habe ich übernommen.
Vielen Dank & Grüße
Helge
--
Dr. Helge Kreutzmann debian@helgefjell.de
Dipl.-Phys. http://www.helgefjell.de/debian.php
64bit GNU powered gpg signed mail preferred
Help keep free software "libre": http://www.ffii.de/
Attachment:
signature.asc
Description: Digital signature