Stellen Sie als Best Practice für die Sicherheit sicher, dass die Anwendungsressourcen geschützt sind.

Befolgen Sie die Schritte, um sicherzustellen, dass die Anwendungsressourcen geschützt sind.

Prozedur

  1. Führen Sie den Befehl find / -path /proc -prune -o -type f -perm 6000 -ls aus, um zu überprüfen, ob für die Dateien ordnungsgemäß definierte SUID- und GUID-Bits festgelegt sind.
    Die folgende Liste wird angezeigt:
    141850     40 -rwsr-xr-x   1 root     root        40376 May 31 08:07 /usr/sbin/unix_chkpwd
       143209     16 -rwsr-xr-x   1 root     root        15408 Feb 25  2021 /usr/sbin/usernetctl
       142963     72 -rwsr-x---   1 root     root        66128 Oct 13  2022 /usr/libexec/dbus-daemon-launch-helper
       141312    516 -rwsr-xr-x   1 root     root       524184 Aug  1 21:01 /usr/libexec/ssh-keysign
       141930     60 -rwsr-xr-x   1 root     root        54464 Jun 21 16:27 /usr/bin/chsh
       141929     64 -rwsr-xr-x   1 root     root        60272 Jun 21 16:27 /usr/bin/chfn
       141927     56 -rwsr-xr-x   1 root     root        50384 Jun 21 16:27 /usr/bin/su
       140604     64 -rwsr-xr-x   1 root     root        61192 May 10  2022 /usr/bin/mount
       142924     60 -rwsr-xr-x   1 root     root        53576 Feb 25  2021 /usr/bin/crontab
       141938     60 -rwsr-xr-x   1 root     root        57000 Jun 21 16:27 /usr/bin/newuidmap
       141926     76 -rwsr-xr-x   1 root     root        70088 Jun 21 16:27 /usr/bin/passwd
       141928     80 -rwsr-xr-x   1 root     root        73984 Jun 21 16:27 /usr/bin/chage
       141937     48 -rwsr-xr-x   1 root     root        46176 Jun 21 16:27 /usr/bin/newgrp
       140621     36 -rwsr-xr-x   1 root     root        36224 May 10  2022 /usr/bin/umount
       141458     36 -rwsr-xr-x   1 root     root        36248 Feb 24  2021 /usr/bin/fusermount
       141936     60 -rwsr-xr-x   1 root     root        57008 Jun 21 16:27 /usr/bin/newgidmap
       141934     92 -rwsr-xr-x   1 root     root        86720 Jun 21 16:27 /usr/bin/gpasswd
       141931     32 -rwsr-xr-x   1 root     root        32376 Jun 21 16:27 /usr/bin/expiry
       143459    272 -rwsr-xr-x   1 root     root       273600 Aug  4 03:02 /usr/bin/sudo
  2. Führen Sie den Befehl find / -path */proc -prune -o -nouser -print -o -nogroup -print aus, um sicherzustellen, dass alle Dateien in der vApp einen Besitzer haben.
    Alle Dateien haben einen Besitzer, wenn keine Ergebnisse angezeigt werden.
  3. Führen Sie den Befehl find / -name "*" -type f -not -path "*/sys*" -not -path "*/proc*" -not -path "*/dev*" -perm -o+w | xargs ls -lb aus, um sicherzustellen, dass es sich bei keiner der Dateien um global schreibbare Dateien handelt, indem Sie die Berechtigungen aller Dateien in der vApp überprüfen.
    Others darf keine Schreibberechtigung haben. Die Berechtigungen für diese Dateien sollten ##4 oder ##5 sein, wobei # dem angegebenen Standardsatz von Berechtigungen für den Besitzer und die Gruppe entspricht, z. B. 6 oder 7.
  4. Führen Sie den Befehl find / -path */proc -prune -o ! -user root -o -user admin -print aus, um zu überprüfen, ab die Dateien im Besitz des korrekten Benutzers sind.
    Alle Dateien gehören entweder root oder admin, wenn keine Ergebnisse angezeigt werden.
  5. Führen Sie den Befehl find /usr/lib/vmware-casa/ -type f -perm -o=w aus, um sicherzustellen, dass die Dateien im Verzeichnis /usr/lib/vmware-casa/ nicht global schreibbar sind.
    Es dürfen keine Ergebnisse angezeigt werden.
  6. Führen Sie den Befehl find /usr/lib/vmware-vcops/ -type f -perm -o=w aus, um sicherzustellen, dass die Dateien im Verzeichnis /usr/lib/vmware-vcops/ nicht global schreibbar sind.
    Es dürfen keine Ergebnisse angezeigt werden.
  7. Führen Sie den Befehl find /usr/lib/vmware-vcopssuite/ -type f -perm -o=w aus, um sicherzustellen, dass die Dateien im Verzeichnis /usr/lib/vmware-vcopssuite/ nicht global schreibbar sind.
    Es dürfen keine Ergebnisse angezeigt werden.