Provided by: manpages-de_4.27.0-1_all 
BEZEICHNUNG
systemd-nsresourced.service, systemd-nsresourced - Benutzernamensraum-Ressourcendelegationsdienst
ÜBERSICHT
systemd-nsresourced.service
/usr/lib/systemd/systemd-nsresourced
BESCHREIBUNG
systemd-nsresourced ist ein Systemdienst, der die flüchtige Delegation eines UID/GID-Bereichs an einen,
durch einen Client reservierten Benutzernamensraum (siehe user_namespaces(7)) mittels einer
Varlink-IPC-API erlaubt.
Nicht privilegierte Clients können einen Benutzernamensraum reservieren und dann mittels dieses Dienstes
die Zuweisung eines UID/GID-Bereichs anfordern. Der Benutzernamensraum kann dann zur Ausführung von
Containern und anderen Sandboxes verwandt werden und/oder auf eine Einhängung mit zugeordneter Kennung
angewandt werden.
Reservierungen von UIDs/GIDs auf diese Art sind flüchtig: wenn ein Benutzernamensraum verschwindet, wird
sein UID/GID-Bereich wieder zum Fundus der verfügbaren Bereiche hinzugefügt. Damit Clients keine
Beständigkeit in ihren flüchtigen UID/GID-Bereichen erlangen, wird eine BPF-LSM-basierte Richtlinie
durchgesetzt, die sicherstellt, dass auf diese Weise eingerichtete Benutzernamensräume nur in
Dateisysteme schreiben können, die sie selbst reserviert haben oder die explizit mittels
systemd-nsresourced als erlaubt gelistet sind.
systemd-nsresourced stellt automatisch sicher, dass alle registrierten UID-Bereiche in der NSS-Datenbank
des Systems mittels Benutzer-/Gruppen-Datensatznachschlage-API über Varlink[1] erscheinen.
Derzeit können nur UID/GID-Bereiche, die aus genau einer oder genau 65536 UIDs/GIDs bestehen, mit diesem
Dienst registriert werden. Desweiteren werden UIDs und GIDs immer zusammen und symmetrisch registriert.
Der Dienst stellt API-Aufrufe bereit, um Einhängungen (die mittels ihrer Einhängedateideskriptoren gemäß
des fsmount()-API von Linux referenziert sind), die als erlaubt aufgelistet sind, die Eigentümerschaft
eines Cgroup-Unterbaums an den Benutzernamensraum weiterzugeben und ein virtuelles Ethernet-Gerätepaar an
den Benutzernamensraum zu delegieren. Wird dies zusammen benutzt, reicht dies aus, um vollständig
unprivilegierte Container-Umgebungen, wie dies von systemd-nspawn(1) implementiert wird, vollständig
unprivilegierte RootImage= (siehe systemd.exec(5)) oder vollständig unprivilegierte
Plattenabbildwerkzeuge wie systemd-dissect(1) zu implementieren.
Dieser Dienst stellt einen Varlink[2]-Dienst bereit: io.systemd.NamespaceResource erlaubt die
Registrierung von Benutzernamensräumen und weist ihnen Einhängungen, Cgroups und Netzwerkschnittstellen
zu.
SIEHE AUCH
systemd(1), systemd-mountfsd.service(8), systemd-nspawn(1), systemd.exec(5), systemd-dissect(1),
user_namespaces(7)
ANMERKUNGEN
1. Benutzer-/Gruppen-Datensatznachschlage-API über Varlink
https://systemd.io/USER_GROUP_API
2. Varlink
https://varlink.org/
ÜBERSETZUNG
Die deutsche Übersetzung dieser Handbuchseite wurde von Helge Kreutzmann <debian@helgefjell.de> erstellt.
Diese Übersetzung ist Freie Dokumentation; lesen Sie die GNU General Public License Version 3 oder neuer
bezüglich der Copyright-Bedingungen. Es wird KEINE HAFTUNG übernommen.
Wenn Sie Fehler in der Übersetzung dieser Handbuchseite finden, schicken Sie bitte eine E-Mail an die
Mailingliste der Übersetzer: debian-l10n-german@lists.debian.org.
systemd 257.6 SYSTEMD-NSRESOURCED.SERVICE(8)