Hallo Helge, #. type: Plain text #: archlinux debian-unstable msgid "" "Controls which capabilities to include in the capability bounding set for " "the executed process\\&. See B<capabilities>(7) for details\\&. Takes a " "whitespace-separated list of capability names, e\\&.g\\&. B<CAP_SYS_ADMIN>, " "B<CAP_DAC_OVERRIDE>, B<CAP_SYS_PTRACE>\\&. Capabilities listed will be " "included in the bounding set, all others are removed\\&. If the list of " "capabilities is prefixed with \"~\", all but the listed capabilities will be " "included, the effect of the assignment inverted\\&. Note that this option " "also affects the respective capabilities in the effective, permitted and " "inheritable capability sets\\&. If this option is not used, the capability " "bounding set is not modified on process execution, hence no limits on the " "capabilities of the process are enforced\\&. This option may appear more " "than once, in which case the bounding sets are merged by B<OR>, or by B<AND> " "if the lines are prefixed with \"~\" (see below)\\&. If the empty string is " "assigned to this option, the bounding set is reset to the empty capability " "set, and all prior settings have no effect\\&. If set to \"~\" (without any " "further argument), the bounding set is reset to the full set of available " "capabilities, also undoing any previous settings\\&. This does not affect " "commands prefixed with \"+\"\\&." msgstr "" "Steuert, welche Capabilities in der Capability-Begrenzungsmenge für den " "ausgeführten Prozess aufgenommen werden\\&. Siehe B<capabilities>(7) für " "Details\\&. Akzeptiert eine Leerzeichen-getrennte Liste von Capability-" "Namen, z\\&.B\\&. B<CAP_SYS_ADMIN>, B<CAP_DAC_OVERRIDE>, B<CAP_SYS_PTRACE>" "\\&. Aufgeführte Capabilities werden in die Begrenzungsmenge aufgenommen, " "alle anderen werden entfernt\\&. Falls der Liste von Capabilities »~« " "vorangestellt wird, werden alle bis auf die aufgeführten Capabilities " "aufgenommen, die Wirkung der Zuweisung invertiert\\&. Beachten Sie, dass " "diese Option auch die respektiven Capabilities in der effektiven, erlaubten " "und vererbbaren Capability-Menge betrifft\\&. Falls diese Option nicht " "verwandt wird, wird die Capability-Begrenzungsmenge bei der " "Prozessausführung nicht verändert, daher werden keine Begrenzungen bezüglich " "der Capabilities des Prozesses erzwungen\\&. Diese Option kann mehr als " "einmal auftauchen, die Begrenzungsmengen werden mit B<ODER> zusammengeführt " "oder mit B<UND>, falls den Zeilen »~« vorangestellt wird (siehe unten)\\&. " "Falls die leere Zeichenkette dieser Option zugewiesen wird, wird die " "Begrenzungsmenge auf die leere Capability-Menge zurückgesetzt und alle " "vorhergehenden Einstellungen haben keine Wirkung\\&. Falls auf »~« (ohne " "weiteres Argument) gesetzt, wird die Begrenzungsmenge auf die komplette " "Menge der verfügbaren Capabilities zurückgesetzt und alle vorhergehenden " "Einstellungen zurückgenommen\\&. Dies betrifft nicht Befehle, denen »+« " "vorangestellt wurde\\&."
Falls die leere Zeichenkette dieser Option zugewiesen wird → Falls dieser Option die leere Zeichenkette zugewiesen wird So hast du es sonst immer geschrieben, und so ist es klarer. #. type: Plain text #: archlinux debian-unstable msgid "" "Ambient capability sets are useful if you want to execute a process as a non-" "privileged user but still want to give it some capabilities\\&. Note that in " "this case option B<keep-caps> is automatically added to I<SecureBits=> to " "retain the capabilities over the user change\\&. I<AmbientCapabilities=> " "does not affect commands prefixed with \"+\"\\&." msgstr "" "Umgebungs-Capabilitymengen sind nützlich, falls Sie einen Prozess als nicht " "privilegierten Benutzer ausführen wollen, ihm aber dennoch einige " "Capabilities geben möchten\\&. Beachten Sie, dass in diesem Fall die Option " "B<keep-caps> automatisch zu I<SecureBits=> hinzugefügt ist, um die " "Capabilities über den Benutzerwechsel hinweg zu erhalten\\&. " "I<AmbientCapabilities=> betrifft keine Befehle, denen »+« vorangestellt ist" "\\&." als nicht privilegierten Benutzer → als nicht privilegierter Benutzer Deine Version klingt so, als ob der Prozess durch die Ausführung zum Benutzer wird. Ist zwar Blödsinn, aber irgendwie irritierend. hinzugefügt ist, → hinzugefügt wird, (ja, im Original steht »is«, klingt aber im Deutschen unmöglich) #. type: Plain text #: archlinux debian-unstable msgid "" "Takes a boolean argument\\&. If true, ensures that the service process and " "all its children can never gain new privileges through B<execve()> (e\\&.g" "\\&. via setuid or setgid bits, or filesystem capabilities)\\&. This is the " "simplest and most effective way to ensure that a process and its children " "can never elevate privileges again\\&. Defaults to false, but certain " "settings override this and ignore the value of this setting\\&. This is the " "case when I<SystemCallFilter=>, I<SystemCallArchitectures=>, " "I<RestrictAddressFamilies=>, I<RestrictNamespaces=>, I<PrivateDevices=>, " "I<ProtectKernelTunables=>, I<ProtectKernelModules=>, " "I<MemoryDenyWriteExecute=>, I<RestrictRealtime=>, or I<LockPersonality=> are " "specified\\&. Note that even if this setting is overridden by them, " "B<systemctl show> shows the original value of this setting\\&. Also see " "\\m[blue]B<No New Privileges Flag>\\m[]\\&\\s-2\\u[2]\\d\\s+2\\&." msgstr "" "Akzeptiert ein logisches Argument\\&. Falls wahr, wird sichergestellt, dass " "der Diensteprozess und sämtliche seiner Kinder niemals mittels B<execve()> " "neue Privilegien erlangen können (z\\&.B\\&. mittels Setuid- oder Setgid-" "Bits oder Dateisystem-Capabilities)\\&. Dies ist die einfachste und " "effektivste Art, sicherzustellen, dass ein Prozess und seine Kinder niemals " "wieder Privilegien erhöhen können\\&. Standardmäßig falsch, aber bestimmte " "Einstellungen setzen dies außer Kraft und ignorieren den Wert dieser " "Einstellung\\&. Dies ist der Fall, wenn I<SystemCallFilter=>, " "I<SystemCallArchitectures=>, I<RestrictAddressFamilies=>, " "I<RestrictNamespaces=>, I<PrivateDevices=>, I<ProtectKernelTunables=>, " "I<ProtectKernelModules=>, I<MemoryDenyWriteExecute=>, I<RestrictRealtime=> " "oder I<LockPersonality=> festgelegt werden\\&. Beachten Sie, dass selbst " "diese Einstellung durch sie außer Kraft gesetzt wird, B<systemctl show> " "zeigt den ursprünglichen Wert dieser Einstellung\\&. Siehe auch " "\\m[blue]B<Schalter »Keine neuen Privilegien«>\\m[]\\&\\s-2\\u[2]\\d\\s+2\\&." »Kinder« klingt hier sehr prosaisch: Kinder → Kindprozesse Dies ist die einfachste und effektivste Art, sicherzustellen, → Damit kann auf einfache und effektive Weise sichergestellt werden, (Es geht nicht darum, ein Komma einzusparen, aber so liest es sich besser) #. type: Plain text #: archlinux debian-unstable msgid "" "Set the SELinux security context of the executed process\\&. If set, this " "will override the automated domain transition\\&. However, the policy still " "needs to authorize the transition\\&. This directive is ignored if SELinux " "is disabled\\&. If prefixed by \"-\", all errors will be ignored\\&. This " "does not affect commands prefixed with \"+\"\\&. See B<setexeccon>(3) for " "details\\&." msgstr "" "Setzt den SELinux-Sicherheitskontext des ausgeführten Prozesses\\&. Falls " "gesetzt, wird dies den automatischen Domain-Übergang außer Kraft setzen\\&. " "Allerdings muss die Policy den Übergang erlauben\\&. Diese Anweisung wird " "ignoriert, falls SELinux deaktiviert ist\\&. Falls »-« vorangestellt ist, " "werden alle Fehler ignoriert\\&. Dies betrifft keine Befehle, denen »+« " "vorangestellt sind\\&. Siehe B<setexeccon>(3) für Details\\&." vorangestellt sind\\&. → vorangestellt ist\\&. (Es wird nur ein Pluszeichen pro Befehl vorangestellt, nicht mehrere) Gruß Mario
