[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: [RFR] man://manpages-de/systemd.exec.5.po (Teil 10/23)



Hallo Helge,

#. type: Plain text
#: archlinux debian-unstable
msgid ""
"Note that these settings will disconnect propagation of mounts from the unit"
"\\*(Aqs processes to the host\\&. This means that this setting may not be "
"used for services which shall be able to install mount points in the main "
"mount namespace\\&. For I<ReadWritePaths=> and I<ReadOnlyPaths=> propagation "
"in the other direction is not affected, i\\&.e\\&. mounts created on the "
"host generally appear in the unit processes\\*(Aq namespace, and mounts "
"removed on the host also disappear there too\\&. In particular, note that "
"mount propagation from host to unit will result in unmodified mounts to be "
"created in the unit\\*(Aqs namespace, i\\&.e\\&. writable mounts appearing "
"on the host will be writable in the unit\\*(Aqs namespace too, even when "
"propagated below a path marked with I<ReadOnlyPaths=>! Restricting access "
"with these options hence does not extend to submounts of a directory that "
"are created later on\\&. This means the lock-down offered by that setting is "
"not complete, and does not offer full protection\\&."
msgstr ""
"Beachten Sie, dass diese Einstellungen die Ausbreitung von Einhängungen von "
"den Prozessen einer Unit zum Rechner abtrennt\\&. Dies bedeutet, dass diese "
"Einstellung nicht für Dienste benutzt werden darf, die in der Lage sein "
"müssen, Einhängepunkte im Haupteinhängenamensraum zu installieren\\&. Die "
"I<ReadWritePaths=>- und I<ReadOnlyPaths=>-Ausbreitung in die andere Richtung "
"ist nicht betroffen, d\\&.h\\&. Einhängungen, die im Rechner erstellt "
"werden, tauchen im Allgemeinen im Namensraum der Unit auf und Einhängungen, "
"die auf dem Rechner entfernt werden, verschwinden auch dort\\&. Beachten Sie "
"insbesondere, dass die Einhängeausbreitung vom Rechner zu der Unit dazu "
"führt, dass unveränderte Einhängungen im Namensraum der Unit erstellt "
"werden, d\\&.h\\&. schreibbare Einhängungen, die auf dem Rechner auftauchen, "
"werden auch im Namensraum der Unit schreibbar sein, selbst wenn sie zu einem "
"Pfad fortgepflanzt werden, der mit I<ReadOnlyPaths=> markiert ist! Daher "
"wird die Zugriffseinschränkung mit diesen Optionen nicht auf "
"Untereinhängungen eines Verzeichnisses, das später erstellt wird, ausgeweitet"
"\\&. Dies bedeutet, dass die durch diese Einstellung angebotene Verriegelung "
"nicht vollständig ist und keinen vollständigen Schutz bietet\\&."

fortgepflanzt → ausgebreitet


# FIXME: it that is → it that are
#. type: Plain text
#: archlinux debian-unstable
msgid ""
"Takes a boolean argument\\&. If true, sets up a new file system namespace "
"for the executed processes and mounts private /tmp and /var/tmp directories "
"inside it that is not shared by processes outside of the namespace\\&. This "
"is useful to secure access to temporary files of the process, but makes "
"sharing between processes via /tmp or /var/tmp impossible\\&. If this is "
"enabled, all temporary files created by a service in these directories will "
"be removed after the service is stopped\\&. Defaults to false\\&. It is "
"possible to run two or more units within the same private /tmp and /var/tmp "
"namespace by using the I<JoinsNamespaceOf=> directive, see B<systemd."
"unit>(5)  for details\\&. This setting is implied if I<DynamicUser=> is set"
"\\&. For this setting the same restrictions regarding mount propagation and "
"privileges apply as for I<ReadOnlyPaths=> and related calls, see above\\&. "
"Enabling this setting has the side effect of adding I<Requires=> and "
"I<After=> dependencies on all mount units necessary to access /tmp and /var/"
"tmp\\&. Moreover an implicitly I<After=> ordering on B<systemd-tmpfiles-"
"setup.service>(8)  is added\\&."
msgstr ""
"Akzeptiert ein logisches Argument\\&. Falls wahr, wird ein neuer "
"Dateisystemnamensraum für den ausgeführten Prozess eingerichtet und private /"
"tmp- und /var/tmp-Verzeichnisse darin eingehängt, die nicht mit Prozessen "
"außerhalb des Namensraums gemeinsam genutzt werden\\&. Dies ist nützlich, um "
"Zugriff auf temporäre Dateien des Prozesses abzusichern, allerdings ist die "
"gemeinsame Benutzung von Inhalten über /tmp oder /var/tmp mit anderen "
"Prozessen unmöglich\\&. Falls dies aktiviert ist, werden alle durch einen "
"Dienst in diesen Verzeichnissen erstellten temporären Dateien entfernt, "
"nachdem der Dienst gestoppt ist\\&. Standardmäßig falsch\\&. Es ist möglich, "
"zwei oder mehr Units mit dem gleichen privaten /tmp- und /var/tmp-Namensraum "
"durch Verwendung der Anweisung I<JoinsNamespaceOf=> zu benutzen, siehe "
"B<systemd.unit>(5) für Details\\&. Diese Einstellung ist impliziert, falls "
"I<DynamicUser=> gesetzt ist\\&. Für diese Einstellung gelten die gleichen "
"Beschränkungen bezüglich Einhängeausbreitung und Privilegien wie für "
"I<ReadOnlyPaths=> und verwandte Aufrufe, siehe oben\\&. Aktivieren dieser "
"Einstellung hat den Seiteneffekt des Hinzufügens der Abhängigkeiten "
"I<Requires=> und I<After=> zu allen für den Zugriff auf /tmp und /var/tmp "
"notwendigen Einhänge-Units\\&. Desweiteren wird eine implizite I<After=>-"
"Ordnung auf B<systemd-tmpfiles-setup.service>(8) hinzugefügt\\&."

ggf. Seiteneffekt → Nebeneffekt


#. type: Plain text
#: archlinux debian-unstable
msgid ""
"Takes a boolean argument\\&. If true, sets up a new /dev mount for the "
"executed processes and only adds API pseudo devices such as /dev/null, /dev/"
"zero or /dev/random (as well as the pseudo TTY subsystem) to it, but no "
"physical devices such as /dev/sda, system memory /dev/mem, system ports /dev/"
"port and others\\&. This is useful to securely turn off physical device "
"access by the executed process\\&. Defaults to false\\&. Enabling this "
"option will install a system call filter to block low-level I/O system calls "
"that are grouped in the I<@raw-io> set, will also remove B<CAP_MKNOD> and "
"B<CAP_SYS_RAWIO> from the capability bounding set for the unit (see above), "
"and set I<DevicePolicy=closed> (see B<systemd.resource-control>(5)  for "
"details)\\&. Note that using this setting will disconnect propagation of "
"mounts from the service to the host (propagation in the opposite direction "
"continues to work)\\&. This means that this setting may not be used for "
"services which shall be able to install mount points in the main mount "
"namespace\\&. The new /dev will be mounted read-only and \\*(Aqnoexec\\*(Aq"
"\\&. The latter may break old programs which try to set up executable memory "
"by using B<mmap>(2)  of /dev/zero instead of using B<MAP_ANON>\\&. For this "
"setting the same restrictions regarding mount propagation and privileges "
"apply as for I<ReadOnlyPaths=> and related calls, see above\\&. If turned on "
"and if running in user mode, or in system mode, but without the "
"B<CAP_SYS_ADMIN> capability (e\\&.g\\&. setting I<User=>), "
"I<NoNewPrivileges=yes> is implied\\&."
msgstr ""
"Akzeptiert ein logisches Argument\\&. Falls wahr, wird eine neue /dev-"
"Einhängung für den ausgeführten Prozess eingerichtet und nur API-"
"Pseudogeräte wie /dev/null, /dev/zero oder /dev/random (sowie das Pseudo-TTY-"
"Untersystem) hinzugefügt, aber keine physischen Geräte wie /dev/sda, "
"Systemspeicher /dev/men, System-Ports /dev/port und andere\\&. Dies ist "
"nützlich, um Zugriff auf physische Geräte für ausgeführte Prozesse sicher "
"abzustellen\\&. Standardmäßig falsch\\&. Aktivieren dieser Option wird einen "
"Systemaufruffilter installieren, um systemnahe E/A-Systemaufrufe, die in der "
"Gruppe I<@raw-io> versammelt sind, zu blockieren, B<CAP_MKNOD> und "
"B<CAP_SYS_RAWIO> aus der Capability-Begrenzungsmenge für die Unit (siehe "
"oben) zu entfernen und I<DevicePolicy=closed> zu setzen (siehe B<systemd."
"resource-control>(5) für Details)\\&. Beachten Sie, dass die Verwendung "
"dieser Einstellung die Ausbreitung von Einhängungen aus dem Dienst zum "
"Rechner trennen wird (Ausbreitung in die umgekehrte Richtung wird weiterhin "
"funktionieren)\\&. Dies bedeutet, dass diese Einstellung nicht für Dienste "
"benutzt werden kann, die in der Lage sein sollen, Einhängepunkte in dem "
"Haupteinhängeraum zu installieren\\&. Das neue /dev wird nur lesbar und "
"»noexec« eingehängt\\&. Letzteres könnte alte Programme beschädigen, die mit "
"B<mmap>(2) aus /dev/zero ausführbaren Speicher einrichten, statt B<MAP_ANON> "
"zu verwenden\\&. Für diese Einstellung gelten die gleichen Einschränkungen "
"im Hinblick auf Einhängeausbreitung und Privilegien wie für "
"I<ReadOnlyPaths=> und verwandte Aufrufe, siehe oben\\&. Falls dies "
"eingeschaltet und im Benutzermodus oder im Systemmodus aber ohne die "
"Capability B<CAP_SYS_ADMIN> (z\\&.B\\&. durch Setzen von I<User=>) betrieben "
"wird, wird I<NoNewPrivileges=yes> impliziert\\&."

Systemspeicher /dev/men → Systemspeicher /dev/mem


#. type: Plain text
#: archlinux debian-unstable
msgid ""
"Takes a boolean argument\\&. If true, sets up a new user namespace for the "
"executed processes and configures a minimal user and group mapping, that "
"maps the \"root\" user and group as well as the unit\\*(Aqs own user and "
"group to themselves and everything else to the \"nobody\" user and group\\&. "
"This is useful to securely detach the user and group databases used by the "
"unit from the rest of the system, and thus to create an effective sandbox "
"environment\\&. All files, directories, processes, IPC objects and other "
"resources owned by users/groups not equaling \"root\" or the unit\\*(Aqs own "
"will stay visible from within the unit but appear owned by the \"nobody\" "
"user and group\\&. If this mode is enabled, all unit processes are run "
"without privileges in the host user namespace (regardless if the unit\\*(Aqs "
"own user/group is \"root\" or not)\\&. Specifically this means that the "
"process will have zero process capabilities on the host\\*(Aqs user "
"namespace, but full capabilities within the service\\*(Aqs user namespace"
"\\&. Settings such as I<CapabilityBoundingSet=> will affect only the latter, "
"and there\\*(Aqs no way to acquire additional capabilities in the host"
"\\*(Aqs user namespace\\&. Defaults to off\\&."
msgstr ""
"Akzeptiert ein logisches Argument\\&. Richtet falls wahr einen neunen "
"Benutzernamensraum für den ausgeführten Prozess ein und konfiguriert eine "
"minimale Benutzer- und Gruppenabbildung, die den Benutzer und die Gruppe "
"»root« sowie den Benutzer und die Gruppe der Unit auf sich selbst und alles "
"andere auf den Benutzer und die Gruppe »nobody« abbildet\\&. Dies ist "
"nützlich, um die von der Unit benutzte Benutzer- und Gruppendatenbank sicher "
"vom Rest des Systems abzutrennen und daher eine effektive Sandbox-Umgebung "
"zu erstellen\\&. Alle Dateien, Verzeichnisse, Prozesse, IPC-Objekte und "
"andere Ressourcen, die nicht »root« (Benutzer/Gruppe) oder der Unit-eigenen "
"gehören, bleiben von innerhalb der Unit sichtbar, scheinen aber dem Benutzer "
"und der Gruppe »nobody« zu gehören\\&. Falls dieser Modus aktiviert ist, "
"werden alle Unit-Prozesse ohne Privilegien in dem Systembenutzernamensraum "
"ausgeführt (unabhängig davon, ob der Benutzer / die Gruppe der Unit »root« "
"ist oder nicht)\\&. Dies bedeutet insbesondere, dass der Prozess über keine "
"Prozess-Capabilities im Systembenutzerraum, aber über volle Capabilities "
"innerhalb des Benutzernamensraums des Dienstes verfügen wird\\&. "
"Einstellungen wie I<CapabilityBoundingSet=> beeinflussen nur letzteren und "
"es gibt keine Möglichkeit, zusätzliche Capabilities im Benutzerraum des "
"Systems zu erlangen\\&. Standardmäßig aus\\&."

Richtet falls wahr einen neunen  → Falls wahr, richtet es einen neuen
benutzte Benutzer- → verwandte Benutzer-


Gruß Mario


Reply to: