私は現在AppArmorの機能を理解しようとしています。/bin/ping
AppArmor設定ファイルをコピーして生成できる例を見つけました。
/bin/ping
まず、機能を設定するための指示をコピーして従いましたnet_raw
。permitted
effective
sudo cp /bin/ping /bin/fake_ping
sudo setcap cap_net_raw+ep /bin/fake_ping
その後、AppArmor設定ファイルを作成しました。
sudo aa-genprof /bin/fake_ping
AppArmor プロファイルは強制モードで保存されます。すべてがうまくいきます。その後、net_raw
機能設定を解除しました。
sudo setcap cap_net_raw-ep /bin/fake_ping
期待どおりに欠落している機能のため、現在は機能しません。
fake_ping: socktype: SOCK_RAW
fake_ping: socket: Operation not permitted
fake_ping: => missing cap_net_raw+p capability or setuid?
私の質問:
新しく作成された服のプロファイルがすでに含まれていますが、capability net_raw
拡張プロパティを設定しないと機能しないのはなぜですか?cap_net_raw=ep
違いは何ですか?