Moin,
die Handbuchseiten von Systemd wurden übersetzt.
Ich wäre Euch dankbar, wenn Ihr mir konstruktive Rückmeldungen zu
dem zehnten Teil der angehängten Seite (~ 20 Zeichenketten) geben
könntet.
Da diese Datei phasenweise eine Bleiwüste ist, habe ich kleinere
Teile geschnürt.
Vielen Dank & Grüße
Helge
--
Dr. Helge Kreutzmann debian@helgefjell.de
Dipl.-Phys. http://www.helgefjell.de/debian.php
64bit GNU powered gpg signed mail preferred
Help keep free software "libre": http://www.ffii.de/
#. type: Plain text #: archlinux debian-unstable msgid "" "Paths in I<ReadWritePaths=>, I<ReadOnlyPaths=> and I<InaccessiblePaths=> may " "be prefixed with \"-\", in which case they will be ignored when they do not " "exist\\&. If prefixed with \"+\" the paths are taken relative to the root " "directory of the unit, as configured with I<RootDirectory=>/I<RootImage=>, " "instead of relative to the root directory of the host (see above)\\&. When " "combining \"-\" and \"+\" on the same path make sure to specify \"-\" first, " "and \"+\" second\\&." msgstr "" "Pfaden in I<ReadWritePaths=>, I<ReadOnlyPaths=> und I<InaccessiblePaths=> " "kann ein »-« vorangestellt werden, wodurch sie ignoriert werden, falls sie " "nicht existieren\\&. Falls ihnen »+« vorangestellt wird, werden die Pfade " "als relativ zum Wurzelverzeichnis der Unit akzeptiert, wie dies mit " "I<RootDirectory=>/I<RootImage=> konfiguriert ist, statt relativ zum " "Wurzelverzeichnis des Rechners (siehe oben)\\&. Wenn Sie »-« und »+« auf dem " "gleichen Pfad kombinieren, verwenden Sie »-« zuerst und danach »+«\\&." #. type: Plain text #: archlinux debian-unstable msgid "" "Note that these settings will disconnect propagation of mounts from the unit" "\\*(Aqs processes to the host\\&. This means that this setting may not be " "used for services which shall be able to install mount points in the main " "mount namespace\\&. For I<ReadWritePaths=> and I<ReadOnlyPaths=> propagation " "in the other direction is not affected, i\\&.e\\&. mounts created on the " "host generally appear in the unit processes\\*(Aq namespace, and mounts " "removed on the host also disappear there too\\&. In particular, note that " "mount propagation from host to unit will result in unmodified mounts to be " "created in the unit\\*(Aqs namespace, i\\&.e\\&. writable mounts appearing " "on the host will be writable in the unit\\*(Aqs namespace too, even when " "propagated below a path marked with I<ReadOnlyPaths=>! Restricting access " "with these options hence does not extend to submounts of a directory that " "are created later on\\&. This means the lock-down offered by that setting is " "not complete, and does not offer full protection\\&." msgstr "" "Beachten Sie, dass diese Einstellungen die Ausbreitung von Einhängungen von " "den Prozessen einer Unit zum Rechner abtrennt\\&. Dies bedeutet, dass diese " "Einstellung nicht für Dienste benutzt werden darf, die in der Lage sein " "müssen, Einhängepunkte im Haupteinhängenamensraum zu installieren\\&. Die " "I<ReadWritePaths=>- und I<ReadOnlyPaths=>-Ausbreitung in die andere Richtung " "ist nicht betroffen, d\\&.h\\&. Einhängungen, die im Rechner erstellt " "werden, tauchen im Allgemeinen im Namensraum der Unit auf und Einhängungen, " "die auf dem Rechner entfernt werden, verschwinden auch dort\\&. Beachten Sie " "insbesondere, dass die Einhängeausbreitung vom Rechner zu der Unit dazu " "führt, dass unveränderte Einhängungen im Namensraum der Unit erstellt " "werden, d\\&.h\\&. schreibbare Einhängungen, die auf dem Rechner auftauchen, " "werden auch im Namensraum der Unit schreibbar sein, selbst wenn sie zu einem " "Pfad fortgepflanzt werden, der mit I<ReadOnlyPaths=> markiert ist! Daher " "wird die Zugriffseinschränkung mit diesen Optionen nicht auf " "Untereinhängungen eines Verzeichnisses, das später erstellt wird, ausgeweitet" "\\&. Dies bedeutet, dass die durch diese Einstellung angebotene Verriegelung " "nicht vollständig ist und keinen vollständigen Schutz bietet\\&." #. type: Plain text #: archlinux debian-unstable msgid "" "Note that the effect of these settings may be undone by privileged processes" "\\&. In order to set up an effective sandboxed environment for a unit it is " "thus recommended to combine these settings with either " "I<CapabilityBoundingSet=~CAP_SYS_ADMIN> or I<SystemCallFilter=~@mount>\\&." msgstr "" "Beachten Sie, dass die Wirkung dieser Einstellung durch privilegierte " "Prozesse zurückgenommen werden kann\\&. Um eine wirksame Sandbox-Umgebung " "für eine Unit einzurichten, wird daher empfohlen, diese Einstellungen mit " "entweder I<CapabilityBoundingSet=~CAP_SYS_ADMIN> oder " "I<SystemCallFilter=~@mount> zu kombinieren\\&." #. type: Plain text #: archlinux debian-unstable msgid "I<TemporaryFileSystem=>" msgstr "I<TemporaryFileSystem=>" #. type: Plain text #: archlinux debian-unstable msgid "" "Takes a space-separated list of mount points for temporary file systems " "(tmpfs)\\&. If set, a new file system namespace is set up for executed " "processes, and a temporary file system is mounted on each mount point\\&. " "This option may be specified more than once, in which case temporary file " "systems are mounted on all listed mount points\\&. If the empty string is " "assigned to this option, the list is reset, and all prior assignments have " "no effect\\&. Each mount point may optionally be suffixed with a colon (\":" "\") and mount options such as \"size=10%\" or \"ro\"\\&. By default, each " "temporary file system is mounted with \"nodev,strictatime,mode=0755\"\\&. " "These can be disabled by explicitly specifying the corresponding mount " "options, e\\&.g\\&., \"dev\" or \"nostrictatime\"\\&." msgstr "" "Akzeptiert eine Leerzeichen-getrennte Liste von Einhängepunkten für " "temporäre Dateisysteme (tmpfs)\\&. Falls gesetzt, wird ein neuer " "Dateisystemnamensraum für ausgeführte Prozesse eingerichtet und in jeden " "Einhängepunkt ein temporäres Dateisystem eingehängt\\&. Diese Option kann " "mehr als einmal festgelegt werden, dann werden an allen aufgeführten " "Einhängepunkten temporäre Dateisysteme eingehängt\\&. Falls dieser Option " "die leere Zeichenkette zugewiesen wird, wird die Liste zurückgesetzt und " "alle vorherigen Zuweisungen haben keinen Effekt\\&. Jedem Einhängepunkt darf " "optional ein Doppelpunkt (»:«) und Einhängeoptionen wie »size=10%« oder »ro« " "angehängt werden\\&. Standardmäßig wird jedes temporäre Dateisystem mit " "»nodev,strictatime,mode=0755« eingehängt\\&. Dies kann durch explizite " "Angabe der entsprechenden Einhängeoptionen deaktiviert werden, z\\&.B\\&. " "»dev« oder »nostrictatime«\\&." #. type: Plain text #: archlinux debian-unstable msgid "" "This is useful to hide files or directories not relevant to the processes " "invoked by the unit, while necessary files or directories can be still " "accessed by combining with I<BindPaths=> or I<BindReadOnlyPaths=>\\&. See " "the example below\\&." msgstr "" "Dies ist nützlich, um Dateien oder Verzeichnisse, die für die von der Unit " "gestarteten Prozesse nicht relevant sind, zu verstecken, während auf " "notwendige Dateien oder Verzeichnisse durch Kombination mit I<BindPaths=> " "oder I<BindReadOnlyPaths=> weiterhin zugegriffen werden kann\\&. Siehe das " "nachfolgende Beispiel\\&." #. type: Plain text #: archlinux debian-unstable #, no-wrap msgid "" "TemporaryFileSystem=/var:ro\n" "BindReadOnlyPaths=/var/lib/systemd\n" msgstr "" "TemporaryFileSystem=/var:ro\n" "BindReadOnlyPaths=/var/lib/systemd\n" #. type: Plain text #: archlinux debian-unstable msgid "" "then the invoked processes by the unit cannot see any files or directories " "under /var except for /var/lib/systemd or its contents\\&." msgstr "" "Der durch die Unit aufgerufene Prozess kann dann keine Dateien, " "Verzeichnisse oder Inhalte unter /var außer /var/lib/systemd sehen\\&." #. type: Plain text #: archlinux debian-unstable msgid "I<PrivateTmp=>" msgstr "I<PrivateTmp=>" # FIXME: it that is → it that are #. type: Plain text #: archlinux debian-unstable msgid "" "Takes a boolean argument\\&. If true, sets up a new file system namespace " "for the executed processes and mounts private /tmp and /var/tmp directories " "inside it that is not shared by processes outside of the namespace\\&. This " "is useful to secure access to temporary files of the process, but makes " "sharing between processes via /tmp or /var/tmp impossible\\&. If this is " "enabled, all temporary files created by a service in these directories will " "be removed after the service is stopped\\&. Defaults to false\\&. It is " "possible to run two or more units within the same private /tmp and /var/tmp " "namespace by using the I<JoinsNamespaceOf=> directive, see B<systemd." "unit>(5) for details\\&. This setting is implied if I<DynamicUser=> is set" "\\&. For this setting the same restrictions regarding mount propagation and " "privileges apply as for I<ReadOnlyPaths=> and related calls, see above\\&. " "Enabling this setting has the side effect of adding I<Requires=> and " "I<After=> dependencies on all mount units necessary to access /tmp and /var/" "tmp\\&. Moreover an implicitly I<After=> ordering on B<systemd-tmpfiles-" "setup.service>(8) is added\\&." msgstr "" "Akzeptiert ein logisches Argument\\&. Falls wahr, wird ein neuer " "Dateisystemnamensraum für den ausgeführten Prozess eingerichtet und private /" "tmp- und /var/tmp-Verzeichnisse darin eingehängt, die nicht mit Prozessen " "außerhalb des Namensraums gemeinsam genutzt werden\\&. Dies ist nützlich, um " "Zugriff auf temporäre Dateien des Prozesses abzusichern, allerdings ist die " "gemeinsame Benutzung von Inhalten über /tmp oder /var/tmp mit anderen " "Prozessen unmöglich\\&. Falls dies aktiviert ist, werden alle durch einen " "Dienst in diesen Verzeichnissen erstellten temporären Dateien entfernt, " "nachdem der Dienst gestoppt ist\\&. Standardmäßig falsch\\&. Es ist möglich, " "zwei oder mehr Units mit dem gleichen privaten /tmp- und /var/tmp-Namensraum " "durch Verwendung der Anweisung I<JoinsNamespaceOf=> zu benutzen, siehe " "B<systemd.unit>(5) für Details\\&. Diese Einstellung ist impliziert, falls " "I<DynamicUser=> gesetzt ist\\&. Für diese Einstellung gelten die gleichen " "Beschränkungen bezüglich Einhängeausbreitung und Privilegien wie für " "I<ReadOnlyPaths=> und verwandte Aufrufe, siehe oben\\&. Aktivieren dieser " "Einstellung hat den Seiteneffekt des Hinzufügens der Abhängigkeiten " "I<Requires=> und I<After=> zu allen für den Zugriff auf /tmp und /var/tmp " "notwendigen Einhänge-Units\\&. Desweiteren wird eine implizite I<After=>-" "Ordnung auf B<systemd-tmpfiles-setup.service>(8) hinzugefügt\\&." #. type: Plain text #: archlinux debian-unstable msgid "" "Note that the implementation of this setting might be impossible (for " "example if mount namespaces are not available), and the unit should be " "written in a way that does not solely rely on this setting for security\\&." msgstr "" "Beachten Sie, dass die Implementierung dieser Einstellung unmöglich sein " "könnte (beispielsweise, falls Einhängenamensräume nicht verfügbar sind) und " "dass die Unit auf eine Art geschrieben sein sollte, die sich nicht " "ausschließlich auf diese Einstellung für die Sicherheit verlässt\\&." #. type: Plain text #: archlinux debian-unstable msgid "I<PrivateDevices=>" msgstr "I<PrivateDevices=>" #. type: Plain text #: archlinux debian-unstable msgid "" "Takes a boolean argument\\&. If true, sets up a new /dev mount for the " "executed processes and only adds API pseudo devices such as /dev/null, /dev/" "zero or /dev/random (as well as the pseudo TTY subsystem) to it, but no " "physical devices such as /dev/sda, system memory /dev/mem, system ports /dev/" "port and others\\&. This is useful to securely turn off physical device " "access by the executed process\\&. Defaults to false\\&. Enabling this " "option will install a system call filter to block low-level I/O system calls " "that are grouped in the I<@raw-io> set, will also remove B<CAP_MKNOD> and " "B<CAP_SYS_RAWIO> from the capability bounding set for the unit (see above), " "and set I<DevicePolicy=closed> (see B<systemd.resource-control>(5) for " "details)\\&. Note that using this setting will disconnect propagation of " "mounts from the service to the host (propagation in the opposite direction " "continues to work)\\&. This means that this setting may not be used for " "services which shall be able to install mount points in the main mount " "namespace\\&. The new /dev will be mounted read-only and \\*(Aqnoexec\\*(Aq" "\\&. The latter may break old programs which try to set up executable memory " "by using B<mmap>(2) of /dev/zero instead of using B<MAP_ANON>\\&. For this " "setting the same restrictions regarding mount propagation and privileges " "apply as for I<ReadOnlyPaths=> and related calls, see above\\&. If turned on " "and if running in user mode, or in system mode, but without the " "B<CAP_SYS_ADMIN> capability (e\\&.g\\&. setting I<User=>), " "I<NoNewPrivileges=yes> is implied\\&." msgstr "" "Akzeptiert ein logisches Argument\\&. Falls wahr, wird eine neue /dev-" "Einhängung für den ausgeführten Prozess eingerichtet und nur API-" "Pseudogeräte wie /dev/null, /dev/zero oder /dev/random (sowie das Pseudo-TTY-" "Untersystem) hinzugefügt, aber keine physischen Geräte wie /dev/sda, " "Systemspeicher /dev/men, System-Ports /dev/port und andere\\&. Dies ist " "nützlich, um Zugriff auf physische Geräte für ausgeführte Prozesse sicher " "abzustellen\\&. Standardmäßig falsch\\&. Aktivieren dieser Option wird einen " "Systemaufruffilter installieren, um systemnahe E/A-Systemaufrufe, die in der " "Gruppe I<@raw-io> versammelt sind, zu blockieren, B<CAP_MKNOD> und " "B<CAP_SYS_RAWIO> aus der Capability-Begrenzungsmenge für die Unit (siehe " "oben) zu entfernen und I<DevicePolicy=closed> zu setzen (siehe B<systemd." "resource-control>(5) für Details)\\&. Beachten Sie, dass die Verwendung " "dieser Einstellung die Ausbreitung von Einhängungen aus dem Dienst zum " "Rechner trennen wird (Ausbreitung in die umgekehrte Richtung wird weiterhin " "funktionieren)\\&. Dies bedeutet, dass diese Einstellung nicht für Dienste " "benutzt werden kann, die in der Lage sein sollen, Einhängepunkte in dem " "Haupteinhängeraum zu installieren\\&. Das neue /dev wird nur lesbar und " "»noexec« eingehängt\\&. Letzteres könnte alte Programme beschädigen, die mit " "B<mmap>(2) aus /dev/zero ausführbaren Speicher einrichten, statt B<MAP_ANON> " "zu verwenden\\&. Für diese Einstellung gelten die gleichen Einschränkungen " "im Hinblick auf Einhängeausbreitung und Privilegien wie für " "I<ReadOnlyPaths=> und verwandte Aufrufe, siehe oben\\&. Falls dies " "eingeschaltet und im Benutzermodus oder im Systemmodus aber ohne die " "Capability B<CAP_SYS_ADMIN> (z\\&.B\\&. durch Setzen von I<User=>) betrieben " "wird, wird I<NoNewPrivileges=yes> impliziert\\&." #. type: Plain text #: archlinux debian-unstable msgid "I<PrivateNetwork=>" msgstr "I<PrivateNetwork=>" #. type: Plain text #: archlinux debian-unstable msgid "" "Takes a boolean argument\\&. If true, sets up a new network namespace for " "the executed processes and configures only the loopback network device \"lo" "\" inside it\\&. No other network devices will be available to the executed " "process\\&. This is useful to turn off network access by the executed process" "\\&. Defaults to false\\&. It is possible to run two or more units within " "the same private network namespace by using the I<JoinsNamespaceOf=> " "directive, see B<systemd.unit>(5) for details\\&. Note that this option " "will disconnect all socket families from the host, including B<AF_NETLINK> " "and B<AF_UNIX>\\&. Effectively, for B<AF_NETLINK> this means that device " "configuration events received from B<systemd-udevd.service>(8) are not " "delivered to the unit\\*(Aqs processes\\&. And for B<AF_UNIX> this has the " "effect that B<AF_UNIX> sockets in the abstract socket namespace of the host " "will become unavailable to the unit\\*(Aqs processes (however, those located " "in the file system will continue to be accessible)\\&." msgstr "" "Akzeptiert ein logisches Argument\\&. Falls wahr, wird ein Netzwerknamensraum " "für die ausgeführten Prozesse eingerichtet und darin nur das Loopback-" "Netzwerkgerät »lo« konfiguriert\\&. Dem ausgeführten Prozess wird kein " "anderes Netzwerkgerät zur Verfügung stehen\\&. Dies ist nützlich, um den " "ausgeführten Prozessen den Netzwerkzugriff zu verweigern\\&. Standardmäßig " "falsch\\&. Es ist möglich, zwei oder mehr Units mit dem gleichen privaten " "Netzwerknamensraum durch Verwendung der Anweisung I<JoinsNamespaceOf=> zu " "benutzen, siehe B<systemd.unit>(5) für Details\\&. Beachten Sie, dass diese " "Option alle Socket-Einrichtungen, einschließlich B<AF_NETLINK> und " "B<AF_UNIX>, vom Rechner trennen wird\\&. Effektiv bedeutet das für " "B<AF_NETLINK>, dass von B<systemd-udevd.service>(8) empfangene " "Gerätekonfigurationsereignisse nicht zu den Prozessen der Unit ausgeliefert " "werden\\&. Und für B<AF_UNIX> hat dies den Effekt, dass B<AF_UNIX>-Sockets " "in dem abstrakten Namensraum des Rechners für Prozesse der Unit unverfügbar " "werden (allerdings werden solche im Dateisystem weiterhin zugreifbar " "sein)\\&." #. type: Plain text #: archlinux debian-unstable msgid "" "Note that the implementation of this setting might be impossible (for " "example if network namespaces are not available), and the unit should be " "written in a way that does not solely rely on this setting for security\\&." msgstr "" "Beachten Sie, dass die Implementierung dieser Einstellung unmöglich sein " "könnte (beispielsweise, falls Netzwerknamensräume nicht verfügbar sind) und " "dass die Unit auf eine Art geschrieben sein sollte, die sich nicht " "ausschließlich auf diese Einstellung für die Sicherheit verlässt\\&." #. type: Plain text #: archlinux debian-unstable msgid "I<PrivateUsers=>" msgstr "I<PrivateUsers=>" #. type: Plain text #: archlinux debian-unstable msgid "" "Takes a boolean argument\\&. If true, sets up a new user namespace for the " "executed processes and configures a minimal user and group mapping, that " "maps the \"root\" user and group as well as the unit\\*(Aqs own user and " "group to themselves and everything else to the \"nobody\" user and group\\&. " "This is useful to securely detach the user and group databases used by the " "unit from the rest of the system, and thus to create an effective sandbox " "environment\\&. All files, directories, processes, IPC objects and other " "resources owned by users/groups not equaling \"root\" or the unit\\*(Aqs own " "will stay visible from within the unit but appear owned by the \"nobody\" " "user and group\\&. If this mode is enabled, all unit processes are run " "without privileges in the host user namespace (regardless if the unit\\*(Aqs " "own user/group is \"root\" or not)\\&. Specifically this means that the " "process will have zero process capabilities on the host\\*(Aqs user " "namespace, but full capabilities within the service\\*(Aqs user namespace" "\\&. Settings such as I<CapabilityBoundingSet=> will affect only the latter, " "and there\\*(Aqs no way to acquire additional capabilities in the host" "\\*(Aqs user namespace\\&. Defaults to off\\&." msgstr "" "Akzeptiert ein logisches Argument\\&. Richtet falls wahr einen neunen " "Benutzernamensraum für den ausgeführten Prozess ein und konfiguriert eine " "minimale Benutzer- und Gruppenabbildung, die den Benutzer und die Gruppe " "»root« sowie den Benutzer und die Gruppe der Unit auf sich selbst und alles " "andere auf den Benutzer und die Gruppe »nobody« abbildet\\&. Dies ist " "nützlich, um die von der Unit benutzte Benutzer- und Gruppendatenbank sicher " "vom Rest des Systems abzutrennen und daher eine effektive Sandbox-Umgebung " "zu erstellen\\&. Alle Dateien, Verzeichnisse, Prozesse, IPC-Objekte und " "andere Ressourcen, die nicht »root« (Benutzer/Gruppe) oder der Unit-eigenen " "gehören, bleiben von innerhalb der Unit sichtbar, scheinen aber dem Benutzer " "und der Gruppe »nobody« zu gehören\\&. Falls dieser Modus aktiviert ist, " "werden alle Unit-Prozesse ohne Privilegien in dem Systembenutzernamensraum " "ausgeführt (unabhängig davon, ob der Benutzer / die Gruppe der Unit »root« " "ist oder nicht)\\&. Dies bedeutet insbesondere, dass der Prozess über keine " "Prozess-Capabilities im Systembenutzerraum, aber über volle Capabilities " "innerhalb des Benutzernamensraums des Dienstes verfügen wird\\&. " "Einstellungen wie I<CapabilityBoundingSet=> beeinflussen nur letzteren und " "es gibt keine Möglichkeit, zusätzliche Capabilities im Benutzerraum des " "Systems zu erlangen\\&. Standardmäßig aus\\&." #. type: Plain text #: archlinux debian-unstable msgid "" "This setting is particularly useful in conjunction with I<RootDirectory=>/" "I<RootImage=>, as the need to synchronize the user and group databases in " "the root directory and on the host is reduced, as the only users and groups " "who need to be matched are \"root\", \"nobody\" and the unit\\*(Aqs own user " "and group\\&." msgstr "" "Diese Einstellung ist insbesondere im Zusammenspiel mit I<RootDirectory=>/" "I<RootImage=> nützlich, da die Notwendigkeit, die Benutzer- und " "Gruppendatenbank im Wurzelverzeichnis und dem Gesamtsystem zu " "synchronisieren, reduziert wird, da die einzigen Benutzer und Gruppen, die " "angepasst werden müssen, »root«, »nobody« und der Benutzer und die Gruppe " "der Unit selbst sind\\&." #. type: Plain text #: archlinux debian-unstable msgid "" "Note that the implementation of this setting might be impossible (for " "example if user namespaces are not available), and the unit should be " "written in a way that does not solely rely on this setting for security\\&." msgstr "" "Beachten Sie, dass die Implementierung dieser Einstellung unmöglich sein " "könnte (beispielsweise, falls Benutzernamensräume nicht verfügbar sind) und " "dass die Unit auf eine Art geschrieben sein sollte, die sich nicht " "ausschließlich auf diese Einstellung für die Sicherheit verlässt\\&."
Attachment:
signature.asc
Description: Digital signature