저는 현재 AppArmor의 기능을 이해하려고 노력하고 있습니다. /bin/ping
AppArmor 구성 파일을 복사하고 생성 할 수 있는 예제를 찾았습니다 .
/bin/ping
먼저 기능 을 설정하기 위한 지침을 복사하고 따랐습니다 net_raw
.permitted
effective
sudo cp /bin/ping /bin/fake_ping
sudo setcap cap_net_raw+ep /bin/fake_ping
그런 다음 AppArmor 구성 파일을 생성했습니다.
sudo aa-genprof /bin/fake_ping
AppArmor 프로필은 강제 모드로 저장됩니다. 모든 것이 잘 작동합니다. 그 후 net_raw
기능 설정을 해제했습니다.
sudo setcap cap_net_raw-ep /bin/fake_ping
예상한 대로 누락된 기능으로 인해 현재 작동하지 않습니다.
fake_ping: socktype: SOCK_RAW
fake_ping: socket: Operation not permitted
fake_ping: => missing cap_net_raw+p capability or setuid?
내 질문:
새로 생성된 의류 프로필이 이미 포함되어 있는데 capability net_raw
확장 속성을 설정하지 않으면 작동하지 않는 이유는 무엇입니까? cap_net_raw=ep
차이점은 무엇입니까?