.\" -*- coding: UTF-8 -*- '\" t .\"******************************************************************* .\" .\" This file was generated with po4a. Translate the source file. .\" .\"******************************************************************* .TH SYSTEMD\-NSRESOURCED\&.SERVICE 8 "" "systemd 257.3" systemd\-nsresourced.service .ie \n(.g .ds Aq \(aq .el .ds Aq ' .\" ----------------------------------------------------------------- .\" * Define some portability stuff .\" ----------------------------------------------------------------- .\" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ .\" http://bugs.debian.org/507673 .\" http://lists.gnu.org/archive/html/groff/2009-02/msg00013.html .\" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ .\" ----------------------------------------------------------------- .\" * set default formatting .\" ----------------------------------------------------------------- .\" disable hyphenation .nh .\" disable justification (adjust text to left margin only) .ad l .\" ----------------------------------------------------------------- .\" * MAIN CONTENT STARTS HERE * .\" ----------------------------------------------------------------- .SH BEZEICHNUNG systemd\-nsresourced.service, systemd\-nsresourced \- Benutzernamensraum\-Ressourcendelegationsdienst .SH ÜBERSICHT .PP systemd\-nsresourced\&.service .PP /usr/lib/systemd/systemd\-nsresourced .SH BESCHREIBUNG .PP \fBsystemd\-nsresourced\fP ist ein Systemdienst, der die flüchtige Delegation eines UID/GID\-Bereichs an einen, durch einen Client reservierten Benutzernamensraum (siehe \fBuser_namespaces\fP(7)) mittels einer Varlink\-IPC\-API erlaubt\&. .PP Nicht privilegierte Clients können einen Benutzernamensraum reservieren und dann mittels dieses Dienstes die Zuweisung eines UID/GID\-Bereichs anfordern\&. Der Benutzernamensraum kann dann zur Ausführung von Containern und anderen Sandboxes verwandt werden und/oder auf eine Einhängung mit zugeordneter Kennung angewandt werden\&. .PP Reservierungen von UIDs/GIDs auf diese Art sind flüchtig: wenn ein Benutzernamensraum verschwindet, wird sein UID/GID\-Bereich wieder zum Fundus der verfügbaren Bereiche hinzugefügt\&. Damit Clients keine Beständigkeit in ihren flüchtigen UID/GID\-Bereichen erlangen, wird eine BPF\-LSM\-basierte Richtlinie durchgesetzt, die sicherstellt, dass auf diese Weise eingerichtete Benutzernamensräume nur in Dateisysteme schreiben können, die sie selbst reserviert haben oder die explizit mittels \fBsystemd\-nsresourced\fP als erlaubt gelistet sind\&. .PP \fBsystemd\-nsresourced\fP stellt automatisch sicher, dass alle registrierten UID\-Bereiche in der NSS\-Datenbank des Systems mittels \m[blue]\fBBenutzer\-/Gruppen\-Datensatznachschlage\-API über Varlink\fP\m[]\&\s-2\u[1]\d\s+2 erscheinen\&. .PP Derzeit können nur UID/GID\-Bereiche, die aus genau einer oder genau 65536 UIDs/GIDs bestehen, mit diesem Dienst registriert werden\&. Desweiteren werden UIDs und GIDs immer zusammen und symmetrisch registriert\&. .PP Der Dienst stellt API\-Aufrufe bereit, um Einhängungen (die mittels ihrer Einhängedateideskriptoren gemäß des \fBfsmount()\fP\-API von Linux referenziert sind), die als erlaubt aufgelistet sind, die Eigentümerschaft eines Cgroup\-Unterbaums an den Benutzernamensraum weiterzugeben und ein virtuelles Ethernet\-Gerätepaar an den Benutzernamensraum zu delegieren\&. Wird dies zusammen benutzt, reicht dies aus, um vollständig unprivilegierte Container\-Umgebungen, wie dies von \fBsystemd\-nspawn\fP(1) implementiert wird, vollständig unprivilegierte \fIRootImage=\fP (siehe \fBsystemd.exec\fP(5)) oder vollständig unprivilegierte Plattenabbildwerkzeuge wie \fBsystemd\-dissect\fP(1) zu implementieren\&. .PP Dieser Dienst stellt einen \m[blue]\fBVarlink\fP\m[]\&\s-2\u[2]\d\s+2\-Dienst bereit: \fBio\&.systemd\&.NamespaceResource\fP erlaubt die Registrierung von Benutzernamensräumen und weist ihnen Einhängungen, Cgroups und Netzwerkschnittstellen zu\&. .SH "SIEHE AUCH" .PP \fBsystemd\fP(1), \fBsystemd\-mountfsd.service\fP(8), \fBsystemd\-nspawn\fP(1), \fBsystemd.exec\fP(5), \fBsystemd\-dissect\fP(1), \fBuser_namespaces\fP(7) .SH ANMERKUNGEN .IP " 1." 4 Benutzer\-/Gruppen\-Datensatznachschlage\-API über Varlink .RS 4 \%https://systemd.io/USER_GROUP_API .RE .IP " 2." 4 Varlink .RS 4 \%https://varlink.org/ .RE .PP .SH ÜBERSETZUNG Die deutsche Übersetzung dieser Handbuchseite wurde von Helge Kreutzmann erstellt. .PP Diese Übersetzung ist Freie Dokumentation; lesen Sie die .UR https://www.gnu.org/licenses/gpl-3.0.html GNU General Public License Version 3 .UE oder neuer bezüglich der Copyright-Bedingungen. Es wird KEINE HAFTUNG übernommen. .PP Wenn Sie Fehler in der Übersetzung dieser Handbuchseite finden, schicken Sie bitte eine E-Mail an die .MT debian-l10n-german@lists.debian.org Mailingliste der Übersetzer .ME .