Hallo Helge, #. type: Plain text #: archlinux debian-unstable msgid "" "Takes a boolean argument\\&. If set, any attempts to enable realtime " "scheduling in a process of the unit are refused\\&. This restricts access to " "realtime task scheduling policies such as B<SCHED_FIFO>, B<SCHED_RR> or " "B<SCHED_DEADLINE>\\&. See B<sched>(7) for details about these scheduling " "policies\\&. If running in user mode, or in system mode, but without the " "B<CAP_SYS_ADMIN> capability (e\\&.g\\&. setting I<User=>), " "I<NoNewPrivileges=yes> is implied\\&. Realtime scheduling policies may be " "used to monopolize CPU time for longer periods of time, and may hence be " "used to lock up or otherwise trigger Denial-of-Service situations on the " "system\\&. It is hence recommended to restrict access to realtime scheduling " "to the few programs that actually require them\\&. Defaults to off\\&." msgstr "" "Akzeptiert ein logisches Argument\\&. Falls gesetzt, werden alle Versuche, " "Echtzeit-Scheduling für einen Prozess der Unit zu aktivieren, abgelehnt\\&. " "Damit wird Zugriff auf die Echtzeitprogramm-Scheduling-Richtlinien wie " "B<SCHED_FIFO>, B<SCHED_RR> oder B<SCHED_DEADLINE> begrenzt\\&. Siehe " "B<sched>(7) für Details über diese Scheduling-Richtlinien\\&. Falls der " "Betrieb im Benutzermodus oder im Systemmodus aber ohne die Capability " "B<CAP_SYS_ADMIN> (z\\&.B\\&. durch Setzen von I<User=>) erfolgt, wird " "I<NoNewPrivileges=yes> impliziert\\&. Echtzeit-Scheduling-Richtlinien können " "zur Monopolisierung von CPU-Zeit für längere Zeitperioden verwandt werden " "und können daher dazu verwandt werden, das System zu sperren oder " "anderweitige Diensteverweigerungssituationen auf dem System auszulösen\\&. " "Es wird daher empfohlen, den Zugiff auf Echtzeit-Scheduling auf die wenigen " "Programme, die dies tatsächlich benötigen, zu begrenzen\\&. Standardmäßig aus" "\\&."
im Systemmodus aber ohne → im Systemmodus, aber ohne Zugiff → Zugriff #. type: Plain text #: archlinux debian-unstable msgid "" "Takes a boolean parameter\\&. If set, all System V and POSIX IPC objects " "owned by the user and group the processes of this unit are run as are " "removed when the unit is stopped\\&. This setting only has an effect if at " "least one of I<User=>, I<Group=> and I<DynamicUser=> are used\\&. It has no " "effect on IPC objects owned by the root user\\&. Specifically, this removes " "System V semaphores, as well as System V and POSIX shared memory segments " "and message queues\\&. If multiple units use the same user or group the IPC " "objects are removed when the last of these units is stopped\\&. This setting " "is implied if I<DynamicUser=> is set\\&." msgstr "" "Akzeptiert ein logisches Argument\\&. Falls gesetzt, werden alle System-V- " "und POSIX-IPC-Objekte, die dem Benutzer und der Gruppe, unter der diese Unit " "läuft, gehören, entfernt, wenn die Unit gestoppt wird\\&. Diese Einstellung " "hat nur einen Effekt, falls eines aus I<User=>, I<Group=> oder " "I<DynamicUser=> verwandt wird\\&. Es hat keinen Effekt für IPC-Objekte, die " "dem Benutzer root gehören\\&. Insbesondere entfernt dies System-V-Semaphoren " "sowie gemeinsam benutzte Segmente und Nachrichten-Warteschlangen gemäß " "System V und POSIX\\&. Falls mehrere Units die gleichen Benutzer oder " "Gruppen verwenden, werden die IPC-Objekte entfernt, wenn die letzte dieser " "Units gestoppt wird\\&. Diese Einstellung ist impliziert, falls " "I<DynamicUser=> gesetzt ist\\&." dem Benutzer root → dem Benutzer »root« #. type: Plain text #: archlinux debian-unstable msgid "" "File system namespaces are set up individually for each process forked off " "by the service manager\\&. Mounts established in the namespace of the " "process created by I<ExecStartPre=> will hence be cleaned up automatically " "as soon as that process exits and will not be available to subsequent " "processes forked off for I<ExecStart=> (and similar applies to the various " "other commands configured for units)\\&. Similarly, I<JoinsNamespaceOf=> " "does not permit sharing kernel mount namespaces between units, it only " "enables sharing of the /tmp/ and /var/tmp/ directories\\&." msgstr "" "Dateisystemnamensräume werden individuell für jeden mit »fork« vom " "Diensteverwalter gestarteten Prozess eingerichtet\\&. Einhängungen, die im " "Namensraum des durch I<ExecStartPre=> erstellten Prozesses etabliert wurden " "werden daher automatisch bereinigt, sobald der Prozess sich beendet und " "werden für nachfolgend durch I<ExecStart=> mit Fork gestartete Prozesse " "nicht verfügbar sein (und ähnliches gilt auch für die verschiedenen anderen " "für Units konfigurierten Befehle)\\&. Ähnlich erlaubt I<JoinsNamespaceOf=> " "nicht die gemeinsame Benutzung von Kernelnamensräumen zwischen Units, es " "ermöglicht nur die gemeinsame Benutzung der Verzeichnisse /tmp/ und /var/tmp/" "\\&." etabliert wurden werden für → etabliert wurden, werden für und ähnliches gilt → und Ähnliches gilt #. type: Plain text #: archlinux debian-unstable msgid "" "Other file system namespace unit settings \\(em I<PrivateMounts=>, " "I<PrivateTmp=>, I<PrivateDevices=>, I<ProtectSystem=>, I<ProtectHome=>, " "I<ReadOnlyPaths=>, I<InaccessiblePaths=>, I<ReadWritePaths=>, \\&... \\(em " "also enable file system namespacing in a fashion equivalent to this option" "\\&. Hence it is primarily useful to explicitly request this behaviour if " "none of the other settings are used\\&." msgstr "" "Andere Dateisystemnamensräume-Einstellungen für Units \\(em " "I<PrivateMounts=>, I<PrivateTmp=>, I<PrivateDevices=>, I<ProtectSystem=>, " "I<ProtectHome=>, I<ReadOnlyPaths=>, I<InaccessiblePaths=>, " "I<ReadWritePaths=>, … \\(em ermöglichen Dateisystemnamensräume in einer Art " "ähnlich dieser Option\\&. Daher ist es primär zur expliziten Anfrage dieses " "Verhalten nützlich, falls keine der anderen Einstellungen verwandt werden\\&." falls keine der anderen Einstellungen verwandt werden → falls keine der anderen Einstellungen verwandt wird #. type: Plain text #: archlinux debian-unstable msgid "" "If not set \\(en but file system namespaces are enabled through another file " "system namespace unit setting \\(en B<shared> mount propagation is used, but " "\\(em as mentioned \\(em as B<slave> is applied first, propagation from the " "unit\\*(Aqs processes to the host is still turned off\\&." msgstr "" "Falls nicht gesetzt \\(en aber es sind durch andere " "Dateisystemnamensraumeinstellungen der Unit keine Dateisystemnamensräume " "aktiviert \\(en, wird B<shared> Einhängeausbreitung verwandt aber, wie " "erwähnt, wird B<slave> zuerst angewandt, Ausbreitung von den Prozessen der " "Unit zum Hauptsystem bleibt weiterhin abgeschaltet\\&." wird B<shared> Einhängeausbreitung verwandt aber, wie erwähnt, → wird B<shared> Einhängeausbreitung verwandt, aber wie erwähnt, #. type: Plain text #: archlinux debian-unstable msgid "" "Takes a space-separated list of system call names\\&. If this setting is " "used, all system calls executed by the unit processes except for the listed " "ones will result in immediate process termination with the B<SIGSYS> signal " "(whitelisting)\\&. If the first character of the list is \"~\", the effect " "is inverted: only the listed system calls will result in immediate process " "termination (blacklisting)\\&. Blacklisted system calls and system call " "groups may optionally be suffixed with a colon (\":\") and \"errno\" error " "number (between 0 and 4095) or errno name such as B<EPERM>, B<EACCES> or " "B<EUCLEAN>\\&. This value will be returned when a blacklisted system call is " "triggered, instead of terminating the processes immediately\\&. This value " "takes precedence over the one given in I<SystemCallErrorNumber=>\\&. If " "running in user mode, or in system mode, but without the B<CAP_SYS_ADMIN> " "capability (e\\&.g\\&. setting I<User=nobody>), I<NoNewPrivileges=yes> is " "implied\\&. This feature makes use of the Secure Computing Mode 2 interfaces " "of the kernel (\\*(Aqseccomp filtering\\*(Aq) and is useful for enforcing a " "minimal sandboxing environment\\&. Note that the B<execve>, B<exit>, " "B<exit_group>, B<getrlimit>, B<rt_sigreturn>, B<sigreturn> system calls and " "the system calls for querying time and sleeping are implicitly whitelisted " "and do not need to be listed explicitly\\&. This option may be specified " "more than once, in which case the filter masks are merged\\&. If the empty " "string is assigned, the filter is reset, all prior assignments will have no " "effect\\&. This does not affect commands prefixed with \"+\"\\&." msgstr "" "Akzeptiert eine Leerzeichen-getrennte Liste von Systemaufrufenamen\\&. Falls " "diese Einstellung verwandt wird, werden alle Systemaufrufe, die durch die " "Prozesse der Unit ausgeführt werden, zu sofortiger Beendiung mit dem Signal " "B<SIGSYS> führen, falls sie nicht aufgeführt sind (Freigabeliste)\\&. Falls " "das erste Zeichen der Liste »~« ist, wird die Wirkung invertiert: nur die " "aufgeführten Systemaufrufe führen zu einer sofortigen Prozessbeendigung " "(Verbotsliste)\\&. Freigegebene Systemaufrufe und Systemaufrufgruppen kann " "optional ein Doppelpunkt (»:«) und »errno«-Fehlernummern (zwischen 0 und " "4095) oder Fehlernummernamen wie B<EPERM>, B<EACCES> oder B<EUCLEAN> " "angehängt werden\\&. Dieser Wert wird zurückgeliefert, wenn ein verbotener " "Systemaufruf ausgelöst wird, statt den Prozess sofort zu beenden\\&. Dieser " "Wert hat vor dem in I<SystemCallErrorNumber=> angegebenen Vorrang\\&. Falls " "der Betrieb im Benutzermodus oder im Systemmodus aber ohne die Capability " "B<CAP_SYS_ADMIN> (z\\&.B\\&. durch Setzen von I<User=nobody>) erfolgt, wird " "I<NoNewPrivileges=yes> impliziert\\&. Diese Funktionalittä verwendet die " "Schnittstelle »Secure Computing Mode 2« des Kernels (»Seccomp-Filterung«) " "und ist nützlich, um eine minimale Sandboxing-Umgebung zu erzwingen\\&. " "Beachten Sie, dass die Systemaufrufe B<execve>, B<exit>, B<exit_group>, " "B<getrlimit>, B<rt_sigreturn>, B<sigreturn> und die Systemaufrufe zur " "Abfrage der Zeit und zum Schlafen implizit auf der Freigabeliste sind und " "nicht explizit aufgelistet werden müssen\\&. Diese Option kann mehr als " "einmal angegeben werden, die Filtermasken werden in diesem Fall " "zusammengeführt\\&. Falls die leere Zeichenkette zugewiesen wird, wird der " "Filter zurückgesetzt und alle vorherigen Zuweisungen haben keine Wirkung\\&. " "Diese betrifft Befehle, denen »+« vorangestellt ist, nicht\\&." Beendiung → Beendigung Freigegebene Systemaufrufe → Freigegebenen Systemaufrufen im Systemmodus aber ohne → im Systemmodus, aber ohne Funktionalittä → Funktionalität #. type: Plain text #: archlinux debian-unstable msgid "" "Note that on systems supporting multiple ABIs (such as x86/x86-64) it is " "recommended to turn off alternative ABIs for services, so that they cannot " "be used to circumvent the restrictions of this option\\&. Specifically, it " "is recommended to combine this option with I<SystemCallArchitectures=native> " "or similar\\&." msgstr "" "Beachten Sie, dass auf Systemen, die mehrere ABIs unterstützen (wie X86/" "X86-64), empfohlen wird, alternative ABIs für Dienste zu deaktivieren, so " "dass sie nicht zur Umgehung der Einschränkungen dieser Option verwandt " "werden können\\&. Insbesondere wird empfohlen, diese Option mit " "I<SystemCallArchitectures=native> oder ähnlichem zu kombinieren\\&." oder ähnlichem → oder Ähnlichem Gruß Mario
