SYSTEMD-NSRESOURCED.SERVICE(8) systemd-nsresourced.service BEZEICHNUNG systemd-nsresourced.service, systemd-nsresourced - Benutzernamensraum-Ressourcendelegationsdienst UBERSICHT systemd-nsresourced.service /usr/lib/systemd/systemd-nsresourced BESCHREIBUNG systemd-nsresourced ist ein Systemdienst, der die fluchtige Delegation eines UID/GID-Bereichs an einen, durch einen Client reservierten Benutzernamensraum (siehe user_namespaces(7)) mittels einer Varlink-IPC-API erlaubt. Nicht privilegierte Clients konnen einen Benutzernamensraum reservieren und dann mittels dieses Dienstes die Zuweisung eines UID/GID-Bereichs anfordern. Der Benutzernamensraum kann dann zur Ausfuhrung von Containern und anderen Sandboxes verwandt werden und/oder auf eine Einhangung mit zugeordneter Kennung angewandt werden. Reservierungen von UIDs/GIDs auf diese Art sind fluchtig: wenn ein Benutzernamensraum verschwindet, wird sein UID/GID-Bereich wieder zum Fundus der verfugbaren Bereiche hinzugefugt. Damit Clients keine Bestandigkeit in ihren fluchtigen UID/GID-Bereichen erlangen, wird eine BPF-LSM-basierte Richtlinie durchgesetzt, die sicherstellt, dass auf diese Weise eingerichtete Benutzernamensraume nur in Dateisysteme schreiben konnen, die sie selbst reserviert haben oder die explizit mittels systemd-nsresourced als erlaubt gelistet sind. systemd-nsresourced stellt automatisch sicher, dass alle registrierten UID-Bereiche in der NSS-Datenbank des Systems mittels Benutzer-/Gruppen-Datensatznachschlage-API uber Varlink[1] erscheinen. Derzeit konnen nur UID/GID-Bereiche, die aus genau einer oder genau 65536 UIDs/GIDs bestehen, mit diesem Dienst registriert werden. Desweiteren werden UIDs und GIDs immer zusammen und symmetrisch registriert. Der Dienst stellt API-Aufrufe bereit, um Einhangungen (die mittels ihrer Einhangedateideskriptoren gemass des fsmount()-API von Linux referenziert sind), die als erlaubt aufgelistet sind, die Eigentumerschaft eines Cgroup-Unterbaums an den Benutzernamensraum weiterzugeben und ein virtuelles Ethernet-Geratepaar an den Benutzernamensraum zu delegieren. Wird dies zusammen benutzt, reicht dies aus, um vollstandig unprivilegierte Container-Umgebungen, wie dies von systemd-nspawn(1) implementiert wird, vollstandig unprivilegierte RootImage= (siehe systemd.exec(5)) oder vollstandig unprivilegierte Plattenabbildwerkzeuge wie systemd-dissect(1) zu implementieren. Dieser Dienst stellt einen Varlink[2]-Dienst bereit: io.systemd.NamespaceResource erlaubt die Registrierung von Benutzernamensraumen und weist ihnen Einhangungen, Cgroups und Netzwerkschnittstellen zu. SIEHE AUCH systemd(1), systemd-mountfsd.service(8), systemd-nspawn(1), systemd.exec(5), systemd-dissect(1), user_namespaces(7) ANMERKUNGEN 1. Benutzer-/Gruppen-Datensatznachschlage-API uber Varlink https://systemd.io/USER_GROUP_API 2. Varlink https://varlink.org/ UBERSETZUNG Die deutsche Ubersetzung dieser Handbuchseite wurde von Helge Kreutzmann erstellt. Diese Ubersetzung ist Freie Dokumentation; lesen Sie die GNU General Public License Version 3 oder neuer bezuglich der Copyright-Bedingungen. Es wird KEINE HAFTUNG ubernommen. Wenn Sie Fehler in der Ubersetzung dieser Handbuchseite finden, schicken Sie bitte eine E-Mail an die Mailingliste der Ubersetzer . systemd 257.3 SYSTEMD-NSRESOURCED.SERVICE(8)