Hallo Helge,
#. type: Plain text
#, fuzzy
msgid ""
"Various parts of the kernel-user-space API (not just B<ptrace>() "
"operations), require so-called \"ptrace access mode\" checks, whose
outcome "
"determines whether an operation is permitted (or, in a few cases,
causes a "
"\"read\" operation to return sanitized data). These checks are
performed in "
"cases where one process can inspect sensitive information about, or
in some "
"cases modify the state of, another process. The checks are based on
factors "
"such as the credentials and capabilities of the two processes,
whether or "
"not the \"target\" process is dumpable, and the results of checks
performed "
"by any enabled Linux Security Module (LSM)\\(emfor example, SELinux,
Yama, "
"or Smack\\(emand by the commoncap LSM (which is always invoked)."
msgstr ""
"Verschiedene Teile des Kernel-Benutzerraum-APIs (nicht nur B<ptrace>()-"
"Aktionen) benötigen sogenannte »Ptrace-Zugriffsmodusüberprüfungen«,
deren "
"Ergebnis bestimmt, ob eine Aktion erlaubt (oder, in wenigen Fällen,
einer "
"»Lese«-Aktion bereinigte Daten zurückliefern) wird. Diese Überprüfungen "
"werden in Fällen durchgeführt, in denen ein Prozess vertrauliche "
"Informationen über einen anderen Prozess einsehen könnte oder in
einigen "
"Fällen den Zustand eines anderen Prozesse verändern könnte. Diese "
"Überprüfungen basieren auf Faktoren wie den Berechtigungsnachweisen
und den "
"Capabilities der zwei Prozesse, ob der »Ziel«-Prozess FIXME ist und dem "
"Ergebnis der Überprüfungen, die durch jedes aktivierte Linux-"
"Sicherheitsmodul (LSM) – zum Beispiel SELinux, Yama oder Smack – und
den "
"FIXME LSM (die immer ausgeführt wird), ausgeführt wird."
s/ob der »Ziel«-Prozess FIXME ist/ob der Speicherinhalt des
Zielprozesses ausgegeben werden kann/
commoncap ist ein C-Programmmodul, das beim Erhöhen der Capabilities
durch das Setuid-Bit diese Capabilities auf die gewünschten beschränkt.
Die entsprechenden Funktionen heißen capget() und capset().
Mein Vorschlag:
"... und durch das per Commoncap eingestellte LSM (das ...
#. type: Plain text
msgid ""
"Use the caller's filesystem UID and GID (see B<credentials>(7)) or "
"effective capabilities for LSM checks."
msgstr ""
"Die Dateisystem-UID und -GID (siehe B<credentials>(7)) oder die
effektiven "
"Capabilities für LSM-Prüfungen des Aufrufenden verwenden."
"verwendet für LSM-Prüfungen des Aufrufenden die ...
#. type: Plain text
msgid ""
"Use the caller's real UID and GID or permitted capabilities for LSM
checks. "
"This was effectively the default before Linux 4.5."
msgstr ""
"Die echte UID und GID oder die erlaubten Capabilities für
LSM-Prüfungen des "
"Aufrufenden verwenden. Dies war vor Linux 4.5 die Vorgabe."
hier ebenso
#. commit 69f594a38967f4540ce7a29b3fd214e68a8330bd
#. Just for /proc/pid/stat
#. type: Plain text
msgid ""
"Don't audit this access mode check. This modifier is employed for
ptrace "
"access mode checks (such as checks when reading I</proc/[pid]/stat>)
that "
"merely cause the output to be filtered or sanitized, rather than
causing an "
"error to be returned to the caller. In these cases, accessing the
file is "
"not a security violation and there is no reason to generate a
security audit "
"record. This modifier suppresses the generation of such an audit
record for "
"the particular access check."
msgstr ""
"Diese Zugriffsmodusprüfung nicht auditieren. Dieser Modifikatior wird
für "
"Ptrace-Zugriffsmodusprüfungen eingesetzt (wie z.B. Prüfungen beim
Lesen von "
"I</proc/[PID]/stat>), die lediglich die Ausgabe filtern oder
bereinigen, "
"statt dem Aufrufenden einen Fehler zurückzuliefern. In diesen Fällen
ist der "
"Zugriff auf die Datei keine Sicherheitsverletzung und es gibt keinen
Grund, "
"einen Sicherheitsauditdatensatz zu erstellen. Dieser Modifikator
unterdrückt "
"die Erstellung eines solchen Auditdatensatzes für diese Zugriffsprüfung."
auditiert diese Zugriffsmodusprüfung nicht.
(oder "untersucht")
s/Modifikatior/Modifikator/
#. type: Plain text
msgid ""
"Note that all of the B<PTRACE_MODE_*> constants described in this
subsection "
"are kernel-internal, and not visible to user space. The constant
names are "
"mentioned here in order to label the various kinds of ptrace access
mode "
"checks that are performed for various system calls and accesses to
various "
"pseudofiles (e.g., under I</proc>). These names are used in other
manual "
"pages to provide a simple shorthand for labeling the different kernel
checks."
msgstr ""
"Beachten Sie, dass alle in diesem Unterabschnitt beschriebenen
Konstanten "
"B<PTRACE_MODE_*> Kernel-intern und nicht im Anwendungsraum sichtbar
sind. "
"Die Konstantennamen werden hier benannt, um den verschiedenen Arten von "
"Ptrace-Zugriffsmodusprüfungen, die für verschiedene Systemaufrufe und "
"Zugriff auf verschiedene Pseudodateien (z.B. unter I</proc>)
durchgeführt "
"werden, einen Namen zu geben. Diese Namen werden in anderen
Handbuchseiten "
"benutzt, um eine einfache Abkürzung für die Benennung der verschiedenen "
"Kernelprüfungen bereitzustellen."
Der erste Satz ist schwer verständlich. Vielleicht wäre
B<PTRACE_MODE_*>-Konstanten besser.
Unten hast Du Kernelprüfungen zusammen geschrieben, ich würde daher auch
kernelintern zusammenschreiben.
#. type: Plain text
msgid ""
"If the access mode specifies B<PTRACE_MODE_FSCREDS>, then, for the
check in "
"the next step, employ the caller's filesystem UID and GID. (As noted
in "
"B<credentials>(7), the filesystem UID and GID almost always have the
same "
"values as the corresponding effective IDs.)"
msgstr ""
"Falls der Zugriffsmodus B<PTRACE_MODE_FSCREDS> festlegt, dann wird
für die "
"Prüfung im nächsten Schritt die Dateisystem-UID und -GID des
Aufrufenden "
"verwandt. (Wie in B<credentials>(7) vermerkt haben die
Dateisystem-UID und "
"-GID fast immer die gleichen Werte wie die entsprechenden effektiven
IDs.)"
s/vermerkt haben/vermerkt, haben/
#. type: Plain text
msgid ""
"The real, effective, and saved-set user IDs of the target match the
caller's "
"user ID, I<and> the real, effective, and saved-set group IDs of the
target "
"match the caller's group ID."
msgstr ""
"Die echten, effektiven und mit Sicherheit gesetzten Benutzerkennungen
des Ziels entsprechen der Benutzerkennung des Aufrufenden I<und> die
echten, effektiven und mit Sicherheit gesetzten Benutzerkennungen des
Ziels entsprechen der Gruppenkennung des Aufrufenden."
oder kürzer:
"Die echten, effektiven und mit Sicherheit gesetzten Benutzerkennungen
des Ziels entsprechen der Benutzer- I<und> Gruppenkennung des Aufrufenden."
#. type: Plain text
msgid ""
"Deny access if the target process \"dumpable\" attribute has a value
other "
"than 1 (B<SUID_DUMP_USER>; see the discussion of B<PR_SET_DUMPABLE> in "
"B<prctl>(2)), and the caller does not have the B<CAP_SYS_PTRACE>
capability "
"in the user namespace of the target process."
msgstr ""
Der Zugriff wird verweigert, falls das Attribut »Auslesen des
Speicherinhalts« einen anderen Wert als 1 hat (B<SUID_DUMP_USER>; siehe
die Besprechung von B<PR_SET_DUMPABLE> in B<prctl>(2)) und der
Aufrufende hat nicht die Capability B<CAP_SYS_PTRACE> im Benutzerraum
des Zielprozesses.
#. (in cap_ptrace_access_check()):
#. type: Plain text
msgid ""
"The kernel LSM I<security_ptrace_access_check>() interface is
invoked to "
"see if ptrace access is permitted. The results depend on the
LSM(s). The "
"implementation of this interface in the commoncap LSM performs the
following "
"steps:"
msgstr ""
"Die Schnittstelle I<security_ptrace_access_check>() wird aufgerufen,
um zu "
"erkennen, ob Ptrace-Zugriff erlaubt ist. Das Ergebnis hängt von den
LSM(s) "
"ab. Die Implementierung dieser Schnittstelle im LSM Commoncap führt die "
"folgenden Schritte durch:"
s#den LSM(s)#dem/den LSM(en)# (das M steht für Modul)
#. type: Plain text
msgid ""
"The caller and the target process are in the same user namespace, and
the "
"caller's capabilities are a proper superset of the target process's "
"I<permitted> capabilities."
msgstr ""
"Der aufrufende und der Zielprozess sind im gleichen
Benutzernamensraum und "
"die Capabilitys des Aufrufenden sind eine korrekte Obermenge der "
"I<erlaubten> Capabilities des Zielprozesses."
hier verwendest Du einmal Capabilitys und einmal Capabilities
Gruß,
Chris