Moin, die Handbuchseiten von Systemd wurden übersetzt. Ich wäre Euch dankbar, wenn Ihr mir konstruktive Rückmeldungen zu dem elften Teil der angehängten Seite (~ 20 Zeichenketten) geben könntet. Da diese Datei phasenweise eine Bleiwüste ist, habe ich kleinere Teile geschnürt. Vielen Dank & Grüße Helge -- Dr. Helge Kreutzmann debian@helgefjell.de Dipl.-Phys. http://www.helgefjell.de/debian.php 64bit GNU powered gpg signed mail preferred Help keep free software "libre": http://www.ffii.de/
#. type: Plain text #: archlinux debian-unstable msgid "I<ProtectKernelTunables=>" msgstr "I<ProtectKernelTunables=>" #. type: Plain text #: archlinux debian-unstable msgid "" "Takes a boolean argument\\&. If true, kernel variables accessible through /" "proc/sys, /sys, /proc/sysrq-trigger, /proc/latency_stats, /proc/acpi, /proc/" "timer_stats, /proc/fs and /proc/irq will be made read-only to all processes " "of the unit\\&. Usually, tunable kernel variables should be initialized only " "at boot-time, for example with the B<sysctl.d>(5) mechanism\\&. Few " "services need to write to these at runtime; it is hence recommended to turn " "this on for most services\\&. For this setting the same restrictions " "regarding mount propagation and privileges apply as for I<ReadOnlyPaths=> " "and related calls, see above\\&. Defaults to off\\&. If turned on and if " "running in user mode, or in system mode, but without the B<CAP_SYS_ADMIN> " "capability (e\\&.g\\&. services for which I<User=> is set), " "I<NoNewPrivileges=yes> is implied\\&. Note that this option does not prevent " "indirect changes to kernel tunables effected by IPC calls to other processes" "\\&. However, I<InaccessiblePaths=> may be used to make relevant IPC file " "system objects inaccessible\\&. If I<ProtectKernelTunables=> is set, " "I<MountAPIVFS=yes> is implied\\&." msgstr "" "Akzeptiert ein logisches Argument\\&. Falls wahr, sind die durch /proc/sys, /" "sys, /proc/sysrq-trigger, /proc/latency_stats, /proc/acpi, /proc/" "timer_stats, /proc/fs und /proc/irq verfügbaren Kernelvariablen für alle " "Prozesse der Unit nur lesbar\\&. Normalerweise sollten einstellbare " "Kernelvariablen nur zum Systemstartzeitpunkt initialisiert werden, " "beispielsweise über den Mechanismus B<sysctl.d>(5)\\&. Zur Laufzeit müssen " "wenige Dienste diese Schreiben, es wird daher empfohlen, dies für die " "meisten Dienste einzuschalten\\&. Für diese Einstellung gelten die gleichen " "Einschränkungen bezüglich Einhängeausbreitung und Privilegien wie für " "I<ReadOnlyPaths=> und verwandte Aufrufe, siehe oben\\&. Standardmäßig aus" "\\&. Falls eingeschaltet und im Benutzermodus oder im Systemmodus aber ohne " "die Capability B<CAP_SYS_ADMIN> (d\\&.h\\&. für Dienste, bei denen I<User=> " "gesetzt ist) betrieben, wird I<NoNewPrivileges=yes> impliziert\\&. Beachten " "Sie, dass diese Option keine indirekten Änderungen an Kerneleinstellungen, " "die durch IPC-Aufrufe an andere Prozesse erfolgen, verhindert\\&. Allerdings " "kann I<InaccessiblePaths=> verwandt werden, um die relevanten IPC-" "Dateisystemobjekte unzugreifbar zu machen\\&. Falls " "I<ProtectKernelTunables=> gesetzt ist, wird I<MountAPIVFS=yes> impliziert\\&." #. type: Plain text #: archlinux debian-unstable msgid "I<ProtectKernelModules=>" msgstr "I<ProtectKernelModules=>" #. type: Plain text #: archlinux debian-unstable msgid "" "Takes a boolean argument\\&. If true, explicit module loading will be denied" "\\&. This allows module load and unload operations to be turned off on " "modular kernels\\&. It is recommended to turn this on for most services that " "do not need special file systems or extra kernel modules to work\\&. " "Defaults to off\\&. Enabling this option removes B<CAP_SYS_MODULE> from the " "capability bounding set for the unit, and installs a system call filter to " "block module system calls, also /usr/lib/modules is made inaccessible\\&. " "For this setting the same restrictions regarding mount propagation and " "privileges apply as for I<ReadOnlyPaths=> and related calls, see above\\&. " "Note that limited automatic module loading due to user configuration or " "kernel mapping tables might still happen as side effect of requested user " "operations, both privileged and unprivileged\\&. To disable module auto-load " "feature please see B<sysctl.d>(5) B<kernel\\&.modules_disabled> mechanism " "and /proc/sys/kernel/modules_disabled documentation\\&. If turned on and if " "running in user mode, or in system mode, but without the B<CAP_SYS_ADMIN> " "capability (e\\&.g\\&. setting I<User=>), I<NoNewPrivileges=yes> is implied" "\\&." msgstr "" "Akzeptiert ein logisches Argument\\&. Falls wahr, wird das explizite Laden " "von Modulen verweigert\\&. Dies erlaubt es, dass Modulladen und -entladen " "für modulare Kernel abzuschalten\\&. Es wird empfohlen, dieses für die " "meisten Dienste, die keine besonderen Dateisysteme oder zusätzliche " "Kernelmodule für ihre Arbeit benötigen, einzuschalten\\&. Standardmäßig aus" "\\&. Einschalten dieser Option entfernt B<CAP_SYS_MODULE> aus der Capability-" "Begrenzungsmenge für die Unit und installiert ein Systemaufruffilter, um " "Modulsystemaufrufe zu blockieren; sie macht auch /usr/lib/modules " "unzugreifbar\\&. Für diese Einstellungen gelten die gleichen Einschränkungen " "bezüglich Einhängeausbreitung und Privilegien wie für I<ReadOnlyPaths=> und " "verwandte Aufrufe, siehe oben\\&. Beachten Sie, dass begrenztes automatische " "Modulladen aufgrund von Benutzerkonfiguration oder Kernelabbildungstabellen " "als Seiteneffekt von angefragten Benutzeraktionen, sowohl privilegiert als " "auch unprivilegiert, weiterhin vorkommen können\\&. Um die Funktionalität " "des automatischen Moduleladens zu deaktivieren, lesen Sie bitte die " "Dokumentation zum Mechanismus B<kernel\\&.modules_disabled> von B<sysctl." "d>(5) und /proc/sys/kernel/modules_disabled\\&. Falls dies eingeschaltet und " "im Benutzermodus oder im Systemmodus aber ohne die Capability " "B<CAP_SYS_ADMIN> (z\\&.B\\&. durch Setzen von I<User=>) betrieben wird, wird " "I<NoNewPrivileges=yes> impliziert\\&." #. type: Plain text #: archlinux debian-unstable msgid "I<ProtectControlGroups=>" msgstr "I<ProtectControlGroups=>" #. type: Plain text #: archlinux debian-unstable msgid "" "Takes a boolean argument\\&. If true, the Linux Control Groups " "(B<cgroups>(7)) hierarchies accessible through /sys/fs/cgroup will be made " "read-only to all processes of the unit\\&. Except for container managers no " "services should require write access to the control groups hierarchies; it " "is hence recommended to turn this on for most services\\&. For this setting " "the same restrictions regarding mount propagation and privileges apply as " "for I<ReadOnlyPaths=> and related calls, see above\\&. Defaults to off\\&. " "If I<ProtectControlGroups=> is set, I<MountAPIVFS=yes> is implied\\&." msgstr "" "Akzeptiert ein logisches Argument\\&. Falls wahr, werden die über /sys/fs/" "cgroup erreichbaren »Linux Control Groups« (B<cgroups>(7))-Hierarchie für " "alle der Prozesse nur lesbar sein\\&. Außer für Container-Verwalter sollte " "kein Dienst Schreibzugriff auf diese Control-Gruppenhierarchie benötigen; es " "wird daher empfohlen, dies für die meisten Dienste einzuschalten\\&. Für " "diese Einstellungen gelten die gleichen Einschränkungen bezüglich " "Einhängeausbreitung und Privilegien wie für I<ReadOnlyPaths=> und verwandte " "Aufrufe, siehe oben\\&. Standardmäßig aus\\&. Falls I<ProtectControlGroups=> " "gesetzt ist, wird I<MountAPIVFS=yes> impliziert\\&." #. type: Plain text #: archlinux debian-unstable msgid "I<RestrictAddressFamilies=>" msgstr "I<RestrictAddressFamilies=>" # FIXME: pcc64 → ppc64 ? #. type: Plain text #: archlinux debian-unstable msgid "" "Restricts the set of socket address families accessible to the processes of " "this unit\\&. Takes a space-separated list of address family names to " "whitelist, such as B<AF_UNIX>, B<AF_INET> or B<AF_INET6>\\&. When prefixed " "with B<~> the listed address families will be applied as blacklist, " "otherwise as whitelist\\&. Note that this restricts access to the " "B<socket>(2) system call only\\&. Sockets passed into the process by other " "means (for example, by using socket activation with socket units, see " "B<systemd.socket>(5)) are unaffected\\&. Also, sockets created with " "B<socketpair()> (which creates connected AF_UNIX sockets only) are unaffected" "\\&. Note that this option has no effect on 32-bit x86, s390, s390x, mips, " "mips-le, ppc, ppc-le, pcc64, ppc64-le and is ignored (but works correctly on " "other ABIs, including x86-64)\\&. Note that on systems supporting multiple " "ABIs (such as x86/x86-64) it is recommended to turn off alternative ABIs for " "services, so that they cannot be used to circumvent the restrictions of this " "option\\&. Specifically, it is recommended to combine this option with " "I<SystemCallArchitectures=native> or similar\\&. If running in user mode, or " "in system mode, but without the B<CAP_SYS_ADMIN> capability (e\\&.g\\&. " "setting I<User=nobody>), I<NoNewPrivileges=yes> is implied\\&. By default, " "no restrictions apply, all address families are accessible to processes\\&. " "If assigned the empty string, any previous address familiy restriction " "changes are undone\\&. This setting does not affect commands prefixed with " "\"+\"\\&." msgstr "" "Beschränkt die Gruppe der Socket-Adressfamilien, auf die Prozesse dieser " "Unit zugreifen können\\&. Akzeptiert eine Leerzeichen-getrennte Liste von " "freizugebenen Adressfamiliennamen, wie B<AF_UNIX>, B<AF_INET> oder " "B<AF_INET6>\\&. Wird dieser B<~> vorangestellt, wird die Liste der " "Adressfamilien als Ausschlussliste angewandt, andernfalls als Freigabeliste" "\\&. Beachten Sie, dass dies nur Zugriff auf den Systemaufruf B<socket>(2) " "beschränkt\\&. Sockets, die auf anderem Wege in die Unit hereingegeben " "werden (beispielsweise durch Verwendung von Socket-Aktivierung mit Socket-" "Units, siehe B<systemd.socket>(5)) sind davon nicht betroffen\\&. Auch " "Sockets, die mit B<socketpair()> (was nur verbundene AF_UNIX-Sockets " "erstellt) erstellt werden, sind nicht betroffen\\&. Beachten Sie, das diese " "Option keinen Effekt auf 32-Bit X86, S390, S390x, MIPS, MIPS-le, PPC, PPC-" "le, PCC64, PPC64-le hat und ignoriert wird (funktioniert aber auf anderen " "ABIs, einschließlich x86-64, korrekt)\\&. Beachten Sie, dass auf Systemen, " "die mehrere ABIs unterstützen (wie X86/X86-64), empfohlen wird, alternative " "ABIs für Dienste zu deaktivieren, so dass sie nicht zur Umgehung der " "Einschränkungen dieser Option verwandt werden können\\&. Insbesondere wird " "empfohlen, diese Option mit I<SystemCallArchitectures=native> oder ähnlichem " "zu kombinieren\\&. Falls der Betrieb im Benutzermodus oder im Systemmodus " "aber ohne die Capability B<CAP_SYS_ADMIN> (z\\&.B\\&. durch Setzen von " "I<User=>) erfolgt, wird I<NoNewPrivileges=yes> impliziert\\&. Standardmäßig " "werden keine Einschränkungen angewandt, Prozesse können auf alle " "Adressfamilien zugreifen\\&. Falls die leere Zeichenkette zugewiesen wird, " "werden alle vorherigen Adressfamilieneinschränkungsänderungen zurückgenommen" "\\&. Diese Einstellung betrifft keine Befehle, denen »+« vorangestellt sind" "\\&." #. type: Plain text #: archlinux debian-unstable msgid "" "Use this option to limit exposure of processes to remote access, in " "particular via exotic and sensitive network protocols, such as B<AF_PACKET>" "\\&. Note that in most cases, the local B<AF_UNIX> address family should be " "included in the configured whitelist as it is frequently used for local " "communication, including for B<syslog>(2) logging\\&." msgstr "" "Verwenden Sie diese Option, um den Kontakt des Prozesses für Zugriff aus der " "Ferne, insbesondere über exotische und heikle Netzwerkprotokolle wie " "B<AF_PACKET>, zu begrenzen\\&. Beachten Sie, dass in den meisten Fällen die " "lokale Adressfamilie B<AF_UNIX> in die konfigurierte Freigabeliste " "aufgenommen werden sollte, das sie häufig für lokale Kommunikation verwandt " "wird, einschließlich für die B<syslog>(2)-Protokollierung\\&." #. type: Plain text #: archlinux debian-unstable msgid "I<RestrictNamespaces=>" msgstr "I<RestrictNamespaces=>" #. type: Plain text #: archlinux debian-unstable msgid "" "Restricts access to Linux namespace functionality for the processes of this " "unit\\&. For details about Linux namespaces, see B<namespaces>(7)\\&. Either " "takes a boolean argument, or a space-separated list of namespace type " "identifiers\\&. If false (the default), no restrictions on namespace " "creation and switching are made\\&. If true, access to any kind of " "namespacing is prohibited\\&. Otherwise, a space-separated list of namespace " "type identifiers must be specified, consisting of any combination of: " "B<cgroup>, B<ipc>, B<net>, B<mnt>, B<pid>, B<user> and B<uts>\\&. Any " "namespace type listed is made accessible to the unit\\*(Aqs processes, " "access to namespace types not listed is prohibited (whitelisting)\\&. By " "prepending the list with a single tilde character (\"~\") the effect may be " "inverted: only the listed namespace types will be made inaccessible, all " "unlisted ones are permitted (blacklisting)\\&. If the empty string is " "assigned, the default namespace restrictions are applied, which is " "equivalent to false\\&. This option may appear more than once, in which case " "the namespace types are merged by B<OR>, or by B<AND> if the lines are " "prefixed with \"~\" (see examples below)\\&. Internally, this setting limits " "access to the B<unshare>(2), B<clone>(2) and B<setns>(2) system calls, " "taking the specified flags parameters into account\\&. Note that \\(em if " "this option is used \\(em in addition to restricting creation and switching " "of the specified types of namespaces (or all of them, if true) access to the " "B<setns()> system call with a zero flags parameter is prohibited\\&. This " "setting is only supported on x86, x86-64, mips, mips-le, mips64, mips64-le, " "mips64-n32, mips64-le-n32, ppc64, ppc64-le, s390 and s390x, and enforces no " "restrictions on other architectures\\&. If running in user mode, or in " "system mode, but without the B<CAP_SYS_ADMIN> capability (e\\&.g\\&. setting " "I<User=>), I<NoNewPrivileges=yes> is implied\\&." msgstr "" "Begrenzt Zugriff auf die Linux-Namensraumfunktionalität für die Prozesse " "dieser Unit\\&. Für Details über Linux-Namensräume siehe " "B<namespaces>(7)\\&. Akzeptiert entweder ein logische Argument oder eine " "Leerraum-getrennte Liste von Namensraumtypkennzeichnern\\&. Falls falsch (die " "Vorgabe), erfolgen keine Beschränkungen bezüglich Namensraumerstellung und -" "umschaltung\\&. Andernfalls muss eine Leerzeichen-getrennte Liste von " "Namensraumtypkennzeichnern festgelegt werden, die aus einer Kombination von " "B<cgroup>, B<ipc>, B<net>, B<mnt>, B<pid>, B<user> und B<uts> bestehen\\&. " "Jeder aufgeführte Namensraumtyp wird den Prozessen der Unit zugreifbar " "gemacht, Zugriff auf nicht aufgeführte Namensräume sind verboten " "(Freigabeliste)\\&. Durch Voranstellen des Tilde-Zeichens (»~«) kann der " "Effekt invertiert werden: nur die aufgeführten Namensraumtypen werden nicht " "zugreifbar gemacht, alle nicht aufgeführten sind erlaubt (Verbotsliste)\\&. " "Falls die leere Zeichenkette zugewiesen wird, werden die Vorgabe-" "Namensraumeinschränkungen angewandt, was zu falsch äquivalent ist\\&. Diese " "Option kann mehr als einmal auftauchen\\&. In diesem Fall werden die " "Namensraumtypen mit B<ODER> (oder mit B<UND>, falls den Zeilen »~« " "vorangestellt wird) zusammengefasst (siehe nachfolgende Beispiele)\\&. " "Intern begrenzt diese Einstellung Zugriff auf die Systemaufrufe " "B<unshare>(2), B<clone>(2) und B<setns>(2) und berücksichtigt dabei die " "festgelegten Schalterparameter\\&. Beachten Sie, dass bei Verwendung dieser " "Option zusätzlich zur Begrenzung der Erstellung und Umschaltung der " "festgelegten Namensraumtypen (oder allen von ihnen, falls wahr) Zugriff auf " "den Systemaufruf B<setns()> mit einem Nullschalterparameter verboten ist\\&. " "Diese Einstellung wird nur auf X86, X86-64, MIPS, MIPS-le, MIPS64, MIPS64-" "le, MIPS64-n32, MIPS64-le-n32, PPC64, PPC64-le, S390 und S390x unterstützt " "und erwirkt auf anderen Architekturen keine Einschränkungen\\. Falls der " "Betrieb im Benutzermodus oder im Systemmodus aber ohne die Capability " "B<CAP_SYS_ADMIN> (z\\&.B\\&. durch Setzen von I<User=>) erfolgt, wird " "I<NoNewPrivileges=yes> impliziert\\&." #. type: Plain text #: archlinux debian-unstable #, no-wrap msgid "" "RestrictNamespaces=cgroup ipc\n" "RestrictNamespaces=cgroup net\n" msgstr "" "RestrictNamespaces=cgroup ipc\n" "RestrictNamespaces=cgroup net\n" #. type: Plain text #: archlinux debian-unstable msgid "" "then B<cgroup>, B<ipc>, and B<net> are set\\&. If the second line is " "prefixed with \"~\", e\\&.g\\&.," msgstr "" "hat, dann werden B<cgroup>, B<ipc> und B<net> gesetzt\\&. Falls der zweiten " "Zeile »~« vorangestellt wird, d\\&.h\\&." #. type: Plain text #: archlinux debian-unstable #, no-wrap msgid "" "RestrictNamespaces=cgroup ipc\n" "RestrictNamespaces=~cgroup net\n" msgstr "" "RestrictNamespaces=cgroup ipc\n" "RestrictNamespaces=~cgroup net\n" #. type: Plain text #: archlinux debian-unstable msgid "then, only B<ipc> is set\\&." msgstr "dann wird nur B<ipc> gesetzt\\&." #. type: Plain text #: archlinux debian-unstable msgid "I<LockPersonality=>" msgstr "I<LockPersonality=>" #. type: Plain text #: archlinux debian-unstable msgid "" "Takes a boolean argument\\&. If set, locks down the B<personality>(2) " "system call so that the kernel execution domain may not be changed from the " "default or the personality selected with I<Personality=> directive\\&. This " "may be useful to improve security, because odd personality emulations may be " "poorly tested and source of vulnerabilities\\&. If running in user mode, or " "in system mode, but without the B<CAP_SYS_ADMIN> capability (e\\&.g\\&. " "setting I<User=>), I<NoNewPrivileges=yes> is implied\\&." msgstr "" "Akzeptiert ein logisches Argument\\&. Falls gesetzt, verriegelt es den " "Systemaufruf B<personality>(2), so dass die Kernel-Ausführungsdomäne nicht " "mehr von der Vorgabe oder von der mit der Anweisung I<Personality=> " "ausgewählten Personalität geändert werden kann\\&. Dies kann zur " "Verbesserung der Sicherheit nützlich sein, da merkwürdige " "Personalitätsemulationen schlecht getestet und eine Quelle von " "Schwachstellen sein können\\&. Falls der Betrieb im Benutzermodus oder im " "Systemmodus aber ohne die Capability B<CAP_SYS_ADMIN> (z\\&.B\\&. durch " "Setzen von I<User=>) erfolgt, wird I<NoNewPrivileges=yes> impliziert\\&." #. type: Plain text #: archlinux debian-unstable msgid "I<MemoryDenyWriteExecute=>" msgstr "I<MemoryDenyWriteExecute=>" #. type: Plain text #: archlinux debian-unstable msgid "" "Takes a boolean argument\\&. If set, attempts to create memory mappings that " "are writable and executable at the same time, or to change existing memory " "mappings to become executable, or mapping shared memory segments as " "executable are prohibited\\&. Specifically, a system call filter is added " "that rejects B<mmap>(2) system calls with both B<PROT_EXEC> and " "B<PROT_WRITE> set, B<mprotect>(2) or B<pkey_mprotect>(2) system calls with " "B<PROT_EXEC> set and B<shmat>(2) system calls with B<SHM_EXEC> set\\&. Note " "that this option is incompatible with programs and libraries that generate " "program code dynamically at runtime, including JIT execution engines, " "executable stacks, and code \"trampoline\" feature of various C compilers" "\\&. This option improves service security, as it makes harder for software " "exploits to change running code dynamically\\&. However, the protection can " "be circumvented, if the service can write to a filesystem, which is not " "mounted with B<noexec> (such as /dev/shm), or it can use B<memfd_create()>" "\\&. This can be prevented by making such file systems inaccessible to the " "service (e\\&.g\\&. I<InaccessiblePaths=/dev/shm>) and installing further " "system call filters (I<SystemCallFilter=~memfd_create>)\\&. Note that this " "feature is fully available on x86-64, and partially on x86\\&. Specifically, " "the B<shmat()> protection is not available on x86\\&. Note that on systems " "supporting multiple ABIs (such as x86/x86-64) it is recommended to turn off " "alternative ABIs for services, so that they cannot be used to circumvent the " "restrictions of this option\\&. Specifically, it is recommended to combine " "this option with I<SystemCallArchitectures=native> or similar\\&. If running " "in user mode, or in system mode, but without the B<CAP_SYS_ADMIN> capability " "(e\\&.g\\&. setting I<User=>), I<NoNewPrivileges=yes> is implied\\&." msgstr ""
Attachment:
signature.asc
Description: Digital signature