AppArmor構成ファイルの機能と拡張属性

AppArmor構成ファイルの機能と拡張属性

私は現在AppArmorの機能を理解しようとしています。/bin/pingAppArmor設定ファイルをコピーして生成できる例を見つけました。

/bin/pingまず、機能を設定するための指示をコピーして従いましたnet_rawpermittedeffective

sudo cp /bin/ping /bin/fake_ping
sudo setcap cap_net_raw+ep  /bin/fake_ping

その後、AppArmor設定ファイルを作成しました。

sudo aa-genprof /bin/fake_ping

AppArmor プロファイルは強制モードで保存されます。すべてがうまくいきます。その後、net_raw機能設定を解除しました。

sudo setcap cap_net_raw-ep  /bin/fake_ping

期待どおりに欠落している機能のため、現在は機能しません。

fake_ping: socktype: SOCK_RAW
fake_ping: socket: Operation not permitted
fake_ping: => missing cap_net_raw+p capability or setuid?

私の質問:

新しく作成された服のプロファイルがすでに含まれていますが、capability net_raw拡張プロパティを設定しないと機能しないのはなぜですか?cap_net_raw=ep違いは何ですか?

関連情報