msgstr ""
"Project-Id-Version: PACKAGE VERSION\n"
"POT-Creation-Date: 2015-01-11 04:00+0900\n"
-"PO-Revision-Date: 2015-01-11 05:36+0900\n"
+"PO-Revision-Date: 2015-01-11 18:45+0900\n"
"Last-Translator: FULL NAME <EMAIL@ADDRESS>\n"
"Language-Team: LANGUAGE <LL@li.org>\n"
"Language: \n"
"a user ID of 0 inside the namespace; in other words, the process has full "
"privileges for operations inside the user namespace, but is unprivileged for "
"operations outside the namespace."
-msgstr ""
+msgstr "ユーザー名前空間は、 セキュリティに関連する識別子や属性、 特にユーザー ID やグループ ID (B<credentials>(7) 参照)、 root ディレクトリ、 キー (B<keyctl>(2) 参照)、 ケーパビリティを分離する。 プロセスのユーザー ID とグループ ID はユーザー名前空間の内部と外部で異なる場合がある。 特に、 あるプロセスがユーザー名前空間の外部では通常の非特権ユーザー ID を持つが、 同時にユーザー名前空間の内部ではユーザー ID 0 を持つという場合がある。 言い換えると、 そのプロセスはそのユーザー名前空間の内部での操作に対してすべての特権を持つが、 名前空間の外部での操作では特権を持たない。"
#. type: SS
#: build/C/man7/user_namespaces.7:56
#, no-wrap
msgid "Nested namespaces, namespace membership"
-msgstr ""
+msgstr "ネストされた名前空間、名前空間のメンバー"
#. type: Plain text
#: build/C/man7/user_namespaces.7:69
"zero or more child user namespaces. The parent user namespace is the user "
"namespace of the process that creates the user namespace via a call to "
"B<unshare>(2) or B<clone>(2) with the B<CLONE_NEWUSER> flag."
-msgstr ""
+msgstr "ユーザー名前空間は入れ子にすることができる。 つまり、 最初の (\"root\") 名前空間以外の各名前空間は親のユーザー名前空間を持ち、 0 個以上のユーザー名前空間を持つということである。 親のユーザー名前空間は、 B<CLONE_NEWUSER> フラグを指定して B<unshare>(2) や B<clone>(2) を呼び出してユーザー名前空間を作成したプロセスのユーザー名前空間である。"
#. commit 8742f229b635bf1c1c84a3dfe5e47c814c20b5c8
#. FIXME Explain the rationale for this limit. (What is the rationale?)
"The kernel imposes (since version 3.11) a limit of 32 nested levels of user "
"namespaces. Calls to B<unshare>(2) or B<clone>(2) that would cause this "
"limit to be exceeded fail with the error B<EUSERS>."
-msgstr ""
+msgstr "カーネルにより (バージョン 3.11 以降では) ユーザー名前空間のネスト数に 32 という上限が課される。 B<unshare>(2) や B<clone>(2) の呼び出しでこの上限を超えてしまう場合はエラー B<EUSERS> で失敗する。"
#. type: Plain text
#: build/C/man7/user_namespaces.7:95
"can join another user namespace with B<setns>(2) if it has the "
"B<CAP_SYS_ADMIN> in that namespace; upon doing so, it gains a full set of "
"capabilities in that namespace."
-msgstr ""
+msgstr "各プロセスは必ず 1 個のユーザー名前空間のメンバーとなる。 B<CLONE_NEWUSER> フラグを指定せずに B<fork>(2) や B<clone>(2) でプロセスを作成した場合、 そのプロセスは親プロセスと同じユーザー名前空間のメンバーとなる。 シングルスレッドのプログラムは、 変更先のユーザー名前空間で B<CAP_SYS_ADMIN> を持っていれば、 B<setns>(2) を使って別のユーザー名前空間に参加することができる。 変更時に、 変更後の名前空間ですべてのケーパビリティを獲得する。"
#
#. ============================================================
"A call to B<clone>(2) or B<unshare>(2) with the B<CLONE_NEWUSER> flag "
"makes the new child process (for B<clone>(2)) or the caller (for "
"B<unshare>(2)) a member of the new user namespace created by the call."
-msgstr ""
+msgstr "B<CLONE_NEWUSER> を指定して B<clone>(2) や B<unshare>(2) を呼び出すと、 新しいプロセス (B<clone>(2) の場合) や呼び出したプロセス (B<unshare>(2) の場合) がその呼び出しで作成された新しいユーザー名前空間のメンバーとなる。"
#. type: SS
#: build/C/man7/user_namespaces.7:110
"case of B<unshare>(2) and B<setns>(2)) user namespace, even if the new "
"namespace is created or joined by the root user (i.e., a process with user "
"ID 0 in the root namespace)."
-msgstr ""
+msgstr "B<CLONE_NEWUSER> フラグが指定された B<clone>(2) で作成された子プロセスは、 新しい名前空間ですべてのケーパビリティを持った状態で開始される。 同様に、 B<unshare>(2) を使って新しいユーザー名前空間を作成したり、 B<setns>(2) を使って既存のユーザー名前空間に参加したりしたプロセスは、 その名前空間ですべてのケーパビリティを獲得する。 一方、 そのプロセスは、親のユーザー名前空間 (B<clone>(2) の場合) や直前のユーザー名前空間 (B<unshare>(2) や B<setns>(2) の場合) では、 root ユーザー (root 名前空間のユーザー ID 0 のプロセス) により新しい名前空間の作成や参加が行われた場合であっても、 ケーパビリティを全く持たない。"
#. type: Plain text
#: build/C/man7/user_namespaces.7:142
"unless it has a user ID of 0 within the namespace or the executable file has "
"a nonempty inheritable capabilities mask, it will lose all capabilities. "
"See the discussion of user and group ID mappings, below."
-msgstr ""
+msgstr "B<execve>(2) の呼び出しでは、 プロセスのケーパビリティは通常の方法 (B<capabilities>(7) 参照) で再計算され、 通常は、 名前空間内でユーザー ID 0 を持つ場合や実行ファイルが空でない継承可能ケーパビリティマスクを持っている場合を除くと、 すべてのケーパビリティを失うことになる。 下記の、ユーザー ID やグループ ID のマッピングの議論を参照。"
#. type: Plain text
#: build/C/man7/user_namespaces.7:167
"reset its \"securebits\" flags while retaining its user namespace membership "
"by using a pair of B<setns>(2) calls to move to another user namespace and "
"then return to its original user namespace."
-msgstr ""
+msgstr "B<CLONE_NEWUSER> フラグを使って B<clone>(2), B<unshare>(2), B<setns>(2) を呼び出すと、 子プロセス (B<clone>(2) の場合) や呼び出し元 (B<unshare>(2) や B<setns>(2) の場合) では \"securebits\" フラグ (B<capabilities>(7) 参照) がデフォルト値に設定される。 呼び出し元は B<setns>(2) の呼び出し後は元のユーザー名前空間ではケーパビリティを持たないので、 B<setns>(2) を 2 回呼び出して一度別のユーザー名前空間に移動して元のユーザー名前空間に戻ることで、 プロセスが元のユーザー名前空間にとどまりつつ自身の \"securebits\" フラグを再設定することはできない。"
#. type: Plain text
#: build/C/man7/user_namespaces.7:173
"operations (that require privilege) only on resources governed by that "
"namespace. The rules for determining whether or not a process has a "
"capability in a particular user namespace are as follows:"
-msgstr ""
+msgstr "ユーザー名前空間内部でケーパビリティを持つというのは、 そのプロセスがその名前空間の支配下にあるリソースに対してのみ (特権を必要とする) 操作を実行できるということである。 プロセスが特定のユーザー名前空間でケーパビリティを持つかどうかを判定するルールは以下の通りである。"
#. In the 3.8 sources, see security/commoncap.c::cap_capable():
#. type: Plain text
"with associated file capabilities. In addition, a process may gain "
"capabilities via the effect of B<clone>(2), B<unshare>(2), or B<setns>(2), "
"as already described."
-msgstr ""
+msgstr "プロセスがその名前空間のメンバーで、実効ケーパビリティセットにそのケーパビリティがあれば、 そのプロセスはユーザー名前空間内でケーパビリティを持つ。 プロセスが実効ケーパビリティセットでケーパビリティを得るにはいくつかの方法がある。 例えば、 set-user-ID プログラムや関連するファイルケーパビリティを持った実行ファイルを実行する。 また、 すでに説明したとおり、 プロセスは B<clone>(2), B<unshare>(2), B<setns>(2) の結果としてケーパビリティを獲得することもできる。"
#. type: Plain text
#: build/C/man7/user_namespaces.7:193
msgid ""
"If a process has a capability in a user namespace, then it has that "
"capability in all child (and further removed descendant) namespaces as well."
-msgstr ""
+msgstr "プロセスがユーザー名前空間でケーパビリティを持っている場合、 そのプロセスはすべての子供の名前空間 (および削除された子孫の名前空間) でケーパビリティを持つ。"
#
#. * The owner of the user namespace in the parent of the
"matches the owner of the namespace has all capabilities in the namespace. "
"By virtue of the previous rule, this means that the process has all "
"capabilities in all further removed descendant user namespaces as well."
-msgstr ""
+msgstr "ユーザー名前空間が作成された際、 カーネルはその名前空間の「所有者」として作成したプロセスの実効ユーザー ID を記録する。 親のユーザー名前空間に属するプロセスで、 そのプロセスの実効ユーザー ID が名前空間の所有者と一致する場合、 そのプロセスはその名前空間ですべてのケーパビリティを持つ。 一つ前のルールも合わせて考えると、 このプロセスはすべての削除された子孫のユーザー名前空間ですべてのケーパビリティを持つことを意味する。"
#. type: SS
#: build/C/man7/user_namespaces.7:214
#, no-wrap
msgid "Interaction of user namespaces and other types of namespaces"
-msgstr ""
+msgstr "ユーザー名前空間と他の名前空間の関係"
#. type: Plain text
#: build/C/man7/user_namespaces.7:219
"Starting in Linux 3.8, unprivileged processes can create user namespaces, "
"and mount, PID, IPC, network, and UTS namespaces can be created with just "
"the B<CAP_SYS_ADMIN> capability in the caller's user namespace."
-msgstr ""
+msgstr "Linux 3.8 以降では、 非特権プロセスがユーザー名前空間を作成することができる。 また、 呼び出し元のユーザー名前空間で B<CAP_SYS_ADMIN> ケーパビリティを持っているだけで、 マウント名前空間、 PID 名前空間、 IPC 名前空間、 ネットワーク名前空間、 UTS 名前空間を作成できる。"
#. type: Plain text
#: build/C/man7/user_namespaces.7:225
"which the creating process was a member at the time of the creation of the "
"namespace. Actions on the non-user-namespace require capabilities in the "
"corresponding user namespace."
-msgstr ""
+msgstr "ユーザー名前空間以外の名前空間が作成された場合、 その名前空間は呼び出したプロセスが名前空間の作成時にメンバーであったユーザー名前空間により所有される。 ユーザー名前空間以外の名前空間における操作には、 対応するユーザー名前空間でのケーパビリティが必要である。"
#. type: Plain text
#: build/C/man7/user_namespaces.7:242
"(B<unshare>(2)) privileges over the remaining namespaces created by the "
"call. Thus, it is possible for an unprivileged caller to specify this "
"combination of flags."
-msgstr ""
+msgstr "一つの B<clone>(2) や B<unshare>(2) の呼び出しで B<CLONE_NEWUSER> が他の B<CLONE_NEW*> フラグと一緒に指定された場合、 そのユーザー名前空間が最初に作成されることが保証され、 子プロセス (B<clone>(2) の場合) や呼び出し元 (B<unshare>(2) の場合) はその呼び出しで作成される残りの名前空間で特権を持つ。 したがって、 特権を持たない呼び出し元がフラグを組み合わせて指定することができる。"
#
#. ============================================================
"namespace, the permission checks are performed according to the process's "
"capabilities in the user namespace that the kernel associated with the new "
"namespace."
-msgstr ""
+msgstr "新しい IPC 名前空間、 マウント名前空間、 ネットワーク名前空間、 PID 名前空間、 UTS 名前空間が B<clone>(2) や B<unshare>(2) で作成される際、 カーネルは新しい名前空間に対して作成したプロセスのユーザー名前空間を記録する (この関連付けは変更できない)。 その新しい名前空間のプロセスがその後名前空間で分離されたグローバルリソースに対して特権操作を行う場合、 カーネルが新しい名前空間に対して関連付けたユーザー名前空間でのプロセスのケーパビリティに基づいてアクセス許可のチェックが行われる。"
#. type: SS
#: build/C/man7/user_namespaces.7:258
#, no-wrap
msgid "Restrictions on mount namespaces"
-msgstr ""
+msgstr "マウント名前空間における制限"
#. type: Plain text
#: build/C/man7/user_namespaces.7:261
msgid "Note the following points with respect to mount namespaces:"
-msgstr ""
+msgstr "マウント名前空間に関しては以下の点に注意すること。"
#. type: Plain text
#: build/C/man7/user_namespaces.7:266
"A mount namespace has an owner user namespace. A mount namespace whose "
"owner user namespace is different from the owner user namespace of its "
"parent mount namespace is considered a less privileged mount namespace."
-msgstr ""
+msgstr "マウント名前空間は所有者のユーザー名前空間を持つ。 所有者のユーザー名前空間が親のマウント名前空間の所有者のユーザー名前空間と異なるマウント名前空間は、 特権が少ないマウント名前空間 (less privileged mount namespace) である。"
#. type: Plain text
#: build/C/man7/user_namespaces.7:272
"When creating a less privileged mount namespace, shared mounts are reduced "
"to slave mounts. This ensures that mappings performed in less privileged "
"mount namespaces will not propagate to more privileged mount namespaces."
-msgstr ""
+msgstr "特権が少ないマウント名前空間を作成する場合、 共有マウントは slave マウントに縮小される。 これにより、 特権の少ないマウント名前空間で実行されるマッピングが、 より特権を持つマウント名前空間 (more privileged mount namespace) に伝搬しないことが保証される。"
#. FIXME .
#. What does "come as a single unit from more privileged mount" mean?
"(The B<unshare>(2) B<CLONE_NEWNS> operation brings across all of the mounts "
"from the original mount namespace as a single unit, and recursive mounts "
"that propagate between mount namespaces propagate as a single unit.)"
-msgstr ""
+msgstr "より特権を持つマウントで一つのまとまりとして行われたマウントは一つにまとまったままとなり、 特権が少ないマウント名前空間で分割することはできない。 (B<unshare>(2) の B<CLONE_NEWNS> 操作では、 元のマウント名前空間のすべてのマウントは一つのまとまりとして扱われ、 マウント名前空間間で伝わる再帰的なマウントでは一つのまとまりとして伝わる。)"
#
#. commit 9566d6742852c527bf5af38af5cbb878dad75705
"become locked when propagated from a more privileged to a less privileged "
"mount namespace, and may not be changed in the less privileged mount "
"namespace."
-msgstr ""
+msgstr "より特権を持つマウント名前空間から特権の少ないマウント名前空間に伝わる際に、 B<mount>(2) の B<MS_RDONLY>, B<MS_NOSUID>, B<MS_NOEXEC> フラグと \"atime\" フラグ (B<MS_NOATIME>, B<MS_NODIRATIME>, B<MS_REALTIME>) 設定はロックされ、 特権の少ないマウント名前空間では変更することはできない。"
#. (As of 3.18-rc1 (in Al Viro's 2014-08-30 vfs.git#for-next tree))
#. type: Plain text
"mount point in another namespace, may be renamed, unlinked, or removed "
"(B<rmdir>(2)) in the mount namespace in which it is not a mount point "
"(subject to the usual permission checks)."
-msgstr ""
+msgstr "ある名前空間でマウントポイントとなっているが別の名前空間でのマウントポイントになっていないファイルやディレクトリは、 マウントポイントになっていないマウント名前空間では (通常のアクセス許可チェックにもとづいて) rename, unlink, remove (B<rmdir>(2)) を行うことができる。"
#
#. ============================================================
"NFS) and permitted denial-of-service attacks against more privileged "
"users. (i.e., preventing individual files from being updated by bind "
"mounting on top of them)."
-msgstr ""
+msgstr "以前は、 別のマウント名前空間でマウントポイントとなっていたファイルやディレクトリを rename, unlink, remove しようとすると、 エラー B<EBUSY> が返されていた。 この動作は、 (NFS などで) 適用にあたっての技術的な問題があるとともに、 より特権を持つユーザーに対してサービス不能攻撃 (denial-of-service attack) を許してしまっていた (ファイルをバインドマウントで更新することができなくなっていた)。"
#. type: SS
#: build/C/man7/user_namespaces.7:324
#, no-wrap
msgid "User and group ID mappings: uid_map and gid_map"
-msgstr ""
+msgstr "ユーザー ID とグループ ID のマッピング: uid_map と gid_map"
#. commit 22d917d80e842829d0ca0a561967d728eb1d6303
#. type: Plain text
#: build/C/man7/user_namespaces.7:453
#, no-wrap
msgid "Defining user and group ID mappings: writing to uid_map and gid_map"
-msgstr ""
+msgstr "ユーザー ID とグループ ID のマッピングの定義: uid_map と gid_map への書き込み"
#. type: Plain text
#: build/C/man7/user_namespaces.7:469
#: build/C/man7/user_namespaces.7:555
#, no-wrap
msgid "Unmapped user and group IDs"
-msgstr ""
+msgstr "ユーザー ID とグループ ID のマッピング解除"
#. from_kuid_munged(), from_kgid_munged()
#. type: Plain text
#: build/C/man7/user_namespaces.7:615
#, no-wrap
msgid "Set-user-ID and set-group-ID programs"
-msgstr ""
+msgstr "set-user-ID や set-group-ID されたプログラム"
#
#. ============================================================
#: build/C/man7/user_namespaces.7:658
#, no-wrap
msgid "Availability"
-msgstr ""
+msgstr "可用性"
#. type: Plain text
#: build/C/man7/user_namespaces.7:666
OSDN Git Service
