.\" -*- coding: UTF-8 -*- .\" Automatically generated by Pandoc 3.1.12.1 .\" .\"******************************************************************* .\" .\" This file was generated with po4a. Translate the source file. .\" .\"******************************************************************* .TH mkosi\-sandbox 1 "" "" "" .SH BEZEICHNUNG mkosi\-sandbox \[en] Befehle in einer angepassten Sandbox ausführen .SH ÜBERSICHT \f[CR]mkosi\-sandbox [Optionen…] Befehl [Argumente]\fR .SH BESCHREIBUNG \f[B]mkosi\-sandbox\f[R] führt den angegebenen Befehl in einer angepassten Sandbox aus. Diese Sandbox wird durch die Angabe von Befehlszeilenoptionen für bestimmte Teile der Sandbox konfiguriert.\fR .PP Falls kein Befehl angegeben ist, wird \f[B]mkosi\-sandbox\f[R] \f[B]bash\f[R](1) in der Sandbox starten. .PP Beachten Sie, dass diese Sandbox nicht als Sicherheitsgrenze entwickelt wurde. Sie ist zur Ausführung von Befehlen in einer isolierten Umgebung gedacht, so dass diese nicht vom Wirtsystem beeinflusst werden. .SH OPTIONEN .TP \f[CR]\-\-tmpfs ZIEL\fR Hängt ein neues Tmpfs unter \f[CR]ZIEL\f[R] in der Sandbox ein.\fR .TP \f[CR]\-\-dev ZIEL\fR Richtet ein privates \f[CR]/dev\f[R] unter \f[CR]ZIEL\f[R] in der Sandbox ein. Dieses private \f[CR]/dev\f[R] wird nur die grundlegenden Geräteknoten beinhalten, die für eine funktionierende Sandbox notwendig sind (z.B.\ \f[CR]/dev/null\f[R]) und keine tatsächlichen Geräte.\fR .TP \f[CR]\-\-proc ZIEL\fR Hängt \f[CR]/proc\f[R] des Wirtsystems unter \f[CR]ZIEL\f[R] in der Sandbox ein.\fR .TP \f[CR]\-\-dir ZIEL\fR Erstellt ein Verzeichnis und alle übergeordneten Verzeichnisse unter \f[CR]ZIEL\f[R] in der Sandbox. Alle Verzeichnisse werden mit Modus 755 erstellt, außer der Pfad endet auf \f[CR]/tmp\f[R] oder \f[CR]/var/tmp\f[R], dann wird es mit Modus 1777 erstellt.\fR .TP \f[CR]\-\-bind QUELLE ZIEL\fR Der Quellpfad \f[CR]QUELLE\f[R] wird rekursiv unter \f[CR]ZIEL\f[R] in der Sandbox bind\-eingehängt. Der Einhängepunkt wird in der Sandbox erstellt, falls er nicht existiert. Es werden auch alle fehlenden Überverzeichnisse in der Sandbox erstellt. .TP \f[CR]\-\-bind\-try QUELLE ZIEL\fR Ähnlich wie \f[CR]\-\-bind\f[R], schlägt aber nicht fehl, wenn der Quellpfad nicht existiert.\fR .TP \f[CR]\-\-ro\-bind QUELLE ZIEL\fR Wie \f[CR]\-\-bind\f[R], führt aber eine schreibgeschützte rekursive Bind\-Einhängung durch.\fR .TP \f[CR]\-\-ro\-bind\-try QUELLE ZIEL\fR Wie \f[CR]\-\-bind\-try\f[R], führt aber eine schreibgeschützte rekursive Bind\-Einhängung durch.\fR .TP \f[CR]\-\-symlink QUELLE ZIEL\fR Erstellt einen Symlink unter \f[CR]ZIEL\f[R] in der Sandbox, der auf \f[CR]QUELLE\f[R] zeigt. Falls \f[CR]ZIEL\f[R] bereits existiert und eine Datei oder ein Symlink ist, wird ein temporärer Symlink erstellt und auf \f[CR]ZIEL\f[R] eingehängt.\fR .TP \f[CR]\-\-write DATEN ZIEL\fR Schreibt die Zeichenkette aus \f[CR]DATEN\f[R] an \f[CR]ZIEL\f[R] in der Sandbox.\fR .TP \f[CR]\-\-overlay\-lowerdir VERZ\fR Fügt \f[CR]VERZ\f[R] vom Wirt als neues unteres Verzeichnis für die nächste Overlayfs\-Einhängung hinzu.\fR .TP \f[CR]\-\-overlay\-upperdir VERZ\fR Setzt das obere Verzeichnis für die nächste Overlayfs\-Einhängung auf \f[CR]VERZ\f[R] vom Wirt. Falls auf \f[CR]tmpfs\f[R] gesetzt, werden das obere und das Arbeitsverzeichnis Unterverzeichnisse der frischen Tmpfs\-Einhängung sein.\fR .TP \f[CR]\-\-overlay\-workdir VERZ\fR Setzt das Arbeitsverzeichnis für die nächste Overlayfs\-Einhängung auf \f[CR]VERZ\f[R] von dem Wirt.\fR .TP \f[CR]\-\-overlay ZIEL\fR Hängt ein neues Overlay\-Dateisystem unter \f[CR]ZIEL\f[R] in die Sandbox ein. Die unteren Verzeichnisse, das obere und das Arbeitsverzeichnis werden mittels der Optionen \f[CR]\-\-overlay\-lowerdir\f[R], \f[CR]\-\-overlay\-upperdir\f[R] bzw. \f[CR]\-\-overlay\-workdir\f[R] festgelegt. Nachdem jede Option \f[CR]\-\-overlay\f[R] ausgewertet wurde, werden die anderen Overlay\-Optionen zurückgesetzt.\fR .TP \f[CR]\-\-unsetenv NAME\fR Entfernt eine in der Sandbox gesetzte Umgebungsvariable \f[CR]NAME\f[R].\fR .TP \f[CR]\-\-setenv NAME WERT\fR Setzt in der Sandbox die Umgebungsvariable \f[CR]NAME\f[R] auf \f[CR]WERT\f[R].\fR .TP \f[CR]\-\-chdir VERZ\fR Ändert das Arbeitsverzeichnis in der Sandbox auf \f[CR]VERZ\f[R].\fR .TP \f[CR]\-\-same\-dir\fR Ändert das Arbeitsverzeichnis in der Sandbox auf das aktuelle Arbeitsverzeichnis, in dem \f[B]mkosi\-sandbox\f[R] auf dem Wirt aufgerufen wurde.\fR .TP \f[CR]\-\-become\-root\fR Bildet den aktuellen Benutzer auf den Benutzer »root« in der Sandbox ab. Falls diese Option nicht angegeben ist, wird der aktuelle Benutzer in der Sandbox auf sich selbst abgebildet. Unabhängig von der Angabe dieser Option wird der aktuelle Benutzer einen vollständigen Satz an Umgebungs\-Capabilitys in der Sandbox haben. Dazu gehört \f[CR]CAP_SYS_ADMIN\f[R], was bedeutet, dass der aufgerufene Prozess in der Sandbox in der Lage sein wird, Bind\-Einhängungen und andere Aktionen durchzuführen.\fR .RS .PP Falls \f[B]mkosi\-sandbox\f[R] als Benutzer root aufgerufen wird, macht diese Option nichts.\fR .RE .TP \f[CR]\-\-suppress\-chown\fR Durch Angabe dieser Option werden alle Aufrufe von \f[CR]chown()\f[R] oder ähnliche Systemaufrufe in der Sandbox wirkungslos. Dies ist hauptsächlich für den Aufruf von Paketverwaltern in der Sandbox nützlich, da diese versuchen könnten, Dateien mittels \f[CR]chown()\f[R] auf andere Benutzer oder Gruppen zu ändern und dies fehlschlagen könnte, wenn \f[B]mkosi\-sandbox\f[R] nicht als privilegierter Benutzer aufgerufen wird.\fR .TP \f[CR]\-\-unshare\-net\fR Durch Angabe dieser Option trennt \f[B]mkosi\-sandbox\f[R] wenn möglich einen Netzwerknamensraum ab.\fR .TP \f[CR]\-\-unshare\-ipc\fR Durch Angabe dieser Option trennt \f[B]mkosi\-sandbox\f[R] wenn möglich einen IPC\-Namensraum ab.\fR .TP \f[CR]\-\-exec\-fd DD\fR Der angegebene \f[CR]DD\f[R] wird geschlossen, wenn \f[B]mkosi\-sandbox\f[R] \f[CR]execvp()\f[R] aufruft. Dies ist nützlich, damit auf die Beendigung sämtlicher Einrichtungslogik gewartet wird, bevor im übergeordneten Prozess, der \f[B]mkosi\-sandbox\f[R] aufgerufen hat, fortgefahren wird.\fR .TP \f[CR]\-\-version\fR Zeigt die Paketversion. .TP \f[CR]\-\-help\f[R], \f[CR]\-h\fR Zeigt einen kurzen Hinweis zum Aufruf. .SH BEISPIELE \f[B]bash\f[R](1) im aktuellen Arbeitsverzeichnis mit seinem eigenen Netzwerknamensraum als aktuellen Benutzer starten:\fR .IP .EX mkosi\-sandbox \-\-bind / / \-\-same\-dir \-\-unshare\-net .EE .PP \f[B]id\f[R](1) als der Benutzer root mit nur \f[CR]/usr\f[R] vom Hauptsystem sowie den notwendigen Symlinks, um Befehle ausführen zu können, in der Sandbox ausführen:\fR .IP .EX mkosi\-sandbox \[rs] \-\-ro\-bind /usr /usr \[rs] \-\-symlink usr/bin /bin \[rs] \-\-symlink usr/bin /bin \[rs] \-\-symlink usr/lib /lib \[rs] \-\-symlink usr/lib64 /lib64 \[rs] \-\-symlink usr/sbin /sbin \[rs] \-\-dev /dev \[rs] \-\-proc /proc \[rs] \-\-tmpfs /tmp \[rs] \-\-become\-root \[rs] id .EE .SH "SIEHE AUCH" \f[CR]mkosi(1)\fR .PP .SH ÜBERSETZUNG Die deutsche Übersetzung dieser Handbuchseite wurde von Helge Kreutzmann erstellt. .PP Diese Übersetzung ist Freie Dokumentation; lesen Sie die .UR https://www.gnu.org/licenses/gpl-3.0.html GNU General Public License Version 3 .UE oder neuer bezüglich der Copyright-Bedingungen. Es wird KEINE HAFTUNG übernommen. .PP Wenn Sie Fehler in der Übersetzung dieser Handbuchseite finden, schicken Sie bitte eine E-Mail an die .MT debian-l10n-german@lists.debian.org Mailingliste der Übersetzer .ME .