Re: [RFR] man://manpages-de/systemd.exec.5.po (Teil 14/23)

To: German <debian-l10n-german@lists.debian.org>
Subject: Re: [RFR] man://manpages-de/systemd.exec.5.po (Teil 14/23)
From: Mario Blättermann <mario.blaettermann@gmail.com>
Date: Sat, 11 May 2019 23:25:45 +0200
Message-id: <[🔎] CAHi0vA9EYdwtdKkq4JCn2kUWCxM7q0skMz0QEomi+v5PDufnVg@mail.gmail.com>
In-reply-to: <[🔎] 20190511191833.GB23911@Debian-50-lenny-64-minimal>
References: <20190419140954.GE23882@Debian-50-lenny-64-minimal> <[🔎] 20190511191833.GB23911@Debian-50-lenny-64-minimal>

Hallo Helge,

#. type: Plain text
#: archlinux debian-unstable
msgid ""
"Generally, whitelisting system calls (rather than blacklisting) is the safer "
"mode of operation\\&. It is recommended to enforce system call whitelists "
"for all long-running system services\\&. Specifically, the following lines "
"are a relatively safe basic choice for the majority of system services:"
msgstr ""
"Im allgemeinen ist das explizite Erlauben von Systemaufrufen (statt einer "
"Ausschlussliste) der sichere Betriebsmodus\\&. Es wird empfohlen, für alle "
"langlaufenden Systemdienste eine Liste explizit erlaubter Systemaufrufe zu "
"erzwingen\\&. Insbesondere sind die nachfolgenden Zeilen eine relativ "
"sichere grundlegende Wahl für den Großteil der Systemdienste:"

Im allgemeinen → Im Allgemeinen
der sichere → der sicherere


#. type: Plain text
#: archlinux debian-unstable
msgid ""
"It is recommended to combine the file system namespacing related options "
"with I<SystemCallFilter=~@mount>, in order to prohibit the unit\\*(Aqs "
"processes to undo the mappings\\&. Specifically these are the options "
"I<PrivateTmp=>, I<PrivateDevices=>, I<ProtectSystem=>, I<ProtectHome=>, "
"I<ProtectKernelTunables=>, I<ProtectControlGroups=>, I<ReadOnlyPaths=>, "
"I<InaccessiblePaths=> and I<ReadWritePaths=>\\&."
msgstr ""
"Es wird empfohlen, die Dateisystem-Namensraum-bezogenen Optionen mit "
"I<SystemCallFilter=~@mount> zu kombinieren, um zu verhindern, dass die "
"Prozesse der Unit die Abbildungen rückgängig machen\\&. Insbesondere sind "
"dies die Optionen I<PrivateTmp=>, I<PrivateDevices=>, I<ProtectSystem=>, "
"I<ProtectHome=>, I<ProtectKernelTunables=>, I<ProtectControlGroups=>, "
"I<ReadOnlyPaths=>, I<InaccessiblePaths=> und I<ReadWritePaths=>\\&."

die Dateisystem-Namensraum-bezogenen
→
die auf den Namensraum des Dateisystems bezogenen


#. type: Plain text
#: archlinux debian-unstable
msgid ""
"Takes a space-separated list of architecture identifiers to include in the "
"system call filter\\&. The known architecture identifiers are the same as "
"for I<ConditionArchitecture=> described in B<systemd.unit>(5), as well as "
"B<x32>, B<mips64-n32>, B<mips64-le-n32>, and the special identifier B<native>"
"\\&. The special identifier B<native> implicitly maps to the native "
"architecture of the system (or more precisely: to the architecture the "
"system manager is compiled for)\\&. If running in user mode, or in system "
"mode, but without the B<CAP_SYS_ADMIN> capability (e\\&.g\\&. setting "
"I<User=nobody>), I<NoNewPrivileges=yes> is implied\\&. By default, this "
"option is set to the empty list, i\\&.e\\&. no system call architecture "
"filtering is applied\\&."
msgstr ""
"Akzeptiert eine Leerzeichen-getrennte Liste von Architekturkennungen, die in "
"den Systemaufrufilter eingeschlossen werden sollen\\&. Die bekannten "
"Architekturkennungen sind die gleichen wie für das in B<systemd.unit>(5) "
"beschriebene I<ConditionArchitecture=>, sowie B<x32>, B<mips64-n32>, "
"B<mips64-le-n32> und die besondere Kennung B<native>\\&. Die besondere "
"Kennung B<native> wird implizit auf die native Architektur des Systems "
"abgebildet (oder genauer: auf die Architektur, für die der Systemverwalter "
"kompiliert wurde)\\&. Falls der Betrieb im Benutzermodus oder im Systemmodus "
"aber ohne die Capability B<CAP_SYS_ADMIN> (z\\&.B\\&. durch Setzen von "
"I<User=>) erfolgt, wird I<NoNewPrivileges=yes> impliziert\\&. Standardmäßig "
"wird diese Option auf die leere Liste gesetzt, d\\&.h\\&. keine "
"Systemaufrufarchitekturfilterung erfolgt\\&."

Systemaufrufilter eingeschlossen → Systemaufruffilter einbezogen
(»eingeschlossen« klingt nach Verkapselung oder Verschachtelung)

oder im Systemmodus aber ohne → oder im Systemmodus, aber ohne

keine Systemaufrufarchitekturfilterung erfolgt
→
, dass keine Architekturen in Systemaufrufen gefiltert werden
(sofern ich das Wort richtig gedeutet habe)


#. type: Plain text
#: archlinux debian-unstable
msgid ""
"If this setting is used, processes of this unit will only be permitted to "
"call native system calls, and system calls of the specified architectures"
"\\&. For the purposes of this option, the x32 architecture is treated as "
"including x86-64 system calls\\&. However, this setting still fulfills its "
"purpose, as explained below, on x32\\&."
msgstr ""
"Falls diese Einstellung verwandt wird, wird den Prozessen dieser Unit nur "
"der Aufruf nativer Systemaufrufe erlaubt und Systemaufrufe der festgelegten "
"Architektur\\&. Für die Zwecke dieser Option wird die Architektur X32 so "
"behandelt, dass sie die Systemaufrufe von X86-64 enthält\\&. Allerdings "
"erfüllt diese Einstellung auf X32 weiterhin ihren Zweck, wie unten "
"dargestellt\\&."

nativer Systemaufrufe erlaubt und Systemaufrufe der festgelegten Architektur
→
nativer Systemaufrufe und von Systemaufrufen der festgelegten
Architektur erlaubt


#. type: Plain text
#: archlinux debian-unstable
msgid ""
"System call filtering is not equally effective on all architectures\\&. For "
"example, on x86 filtering of network socket-related calls is not possible, "
"due to ABI limitations \\(em a limitation that x86-64 does not have, however"
"\\&. On systems supporting multiple ABIs at the same time \\(em such as x86/"
"x86-64 \\(em it is hence recommended to limit the set of permitted system "
"call architectures so that secondary ABIs may not be used to circumvent the "
"restrictions applied to the native ABI of the system\\&. In particular, "
"setting I<SystemCallArchitectures=native> is a good choice for disabling non-"
"native ABIs\\&."
msgstr ""
"Systemaufruffilterung ist nicht auf allen Architekturen wirksam\\&. "
"Beispielsweise ist auf X86 aufgrund von ABI-Einschränkungen das Filtern von "
"Netz-Socket-bezogenen Aufrufen nicht möglich, eine Einschränkung, die X86-64 "
"allerdings nicht hat\\&. Auf Systemen, die mehrere ABI gleichzeitig "
"unterstützen, wie X86/X86-64, wird daher empfohlen, die Gruppe der erlaubten "
"Systemaufrufarchitekturen einzuschränken, so dass das sekundäre ABI nicht "
"dazu verwandt werden kann, die auf das native ABI des Systems auferlegten "
"Einschränkungen zu umgehen\\&. Insbesondere ist das Setzen von "
"I<SystemCallArchitectures=native> für das Deaktivieren nichtnativer ABIs "
"eine gute Wahl\\&."

die auf das native ABI des Systems auferlegten
→
die dem nativen ABI des Systems auferlegten


Gruß Mario

Reply to:

Follow-Ups:
- Re: [RFR] man://manpages-de/systemd.exec.5.po (Teil 14/23)
  - From: Helge Kreutzmann <debian@helgefjell.de>

References:
- [RFR] man://manpages-de/systemd.exec.5.po (Teil 14/23)
  - From: Helge Kreutzmann <debian@helgefjell.de>

Prev by Date: Re: [RFR] man://manpages-de/systemd.network.5.po (Teil 13/17)
Next by Date: Re: [RFR] man://manpages-de/systemd.exec.5.po (Teil 14/23)
Previous by thread: [RFR] man://manpages-de/systemd.exec.5.po (Teil 14/23)
Next by thread: Re: [RFR] man://manpages-de/systemd.exec.5.po (Teil 14/23)
Index(es):
- Date
- Thread