Stellen Sie als Best Practice für die Sicherheit sicher, dass die Anwendungsressourcen geschützt sind.

Befolgen Sie die Schritte, um sicherzustellen, dass die Anwendungsressourcen geschützt sind.

Prozedur

  1. Führen Sie den Befehl find / -path /proc -prune -o -type f -perm 6000 -ls aus, um zu überprüfen, ob für die Dateien ordnungsgemäß definierte SUID- und GUID-Bits festgelegt sind.
    Die folgende Liste wird angezeigt: 
    141850     40 -rwsr-xr-x   1 root     root        40376 May 31 08:07 /usr/sbin/unix_chkpwd
   143209     16 -rwsr-xr-x   1 root     root        15408 Feb 25  2021 /usr/sbin/usernetctl
   142963     72 -rwsr-x---   1 root     root        66128 Oct 13  2022 /usr/libexec/dbus-daemon-launch-helper
   141312    516 -rwsr-xr-x   1 root     root       524184 Aug  1 21:01 /usr/libexec/ssh-keysign
   141930     60 -rwsr-xr-x   1 root     root        54464 Jun 21 16:27 /usr/bin/chsh
   141929     64 -rwsr-xr-x   1 root     root        60272 Jun 21 16:27 /usr/bin/chfn
   141927     56 -rwsr-xr-x   1 root     root        50384 Jun 21 16:27 /usr/bin/su
   140604     64 -rwsr-xr-x   1 root     root        61192 May 10  2022 /usr/bin/mount
   142924     60 -rwsr-xr-x   1 root     root        53576 Feb 25  2021 /usr/bin/crontab
   141938     60 -rwsr-xr-x   1 root     root        57000 Jun 21 16:27 /usr/bin/newuidmap
   141926     76 -rwsr-xr-x   1 root     root        70088 Jun 21 16:27 /usr/bin/passwd
   141928     80 -rwsr-xr-x   1 root     root        73984 Jun 21 16:27 /usr/bin/chage
   141937     48 -rwsr-xr-x   1 root     root        46176 Jun 21 16:27 /usr/bin/newgrp
   140621     36 -rwsr-xr-x   1 root     root        36224 May 10  2022 /usr/bin/umount
   141458     36 -rwsr-xr-x   1 root     root        36248 Feb 24  2021 /usr/bin/fusermount
   141936     60 -rwsr-xr-x   1 root     root        57008 Jun 21 16:27 /usr/bin/newgidmap
   141934     92 -rwsr-xr-x   1 root     root        86720 Jun 21 16:27 /usr/bin/gpasswd
   141931     32 -rwsr-xr-x   1 root     root        32376 Jun 21 16:27 /usr/bin/expiry
   143459    272 -rwsr-xr-x   1 root     root       273600 Aug  4 03:02 /usr/bin/sudo
  2. Führen Sie den Befehl find / -path */proc -prune -o -nouser -print -o -nogroup -print aus, um sicherzustellen, dass alle Dateien in der vApp einen Besitzer haben.
    Alle Dateien haben einen Besitzer, wenn keine Ergebnisse angezeigt werden.
  3. Führen Sie den Befehl find / -name "*" -type f -not -path "*/sys*" -not -path "*/proc*" -not -path "*/dev*" -perm -o+w | xargs ls -lb aus, um sicherzustellen, dass es sich bei keiner der Dateien um global schreibbare Dateien handelt, indem Sie die Berechtigungen aller Dateien in der vApp überprüfen.
    Others darf keine Schreibberechtigung haben. Die Berechtigungen für diese Dateien sollten ##4 oder ##5 sein, wobei # dem angegebenen Standardsatz von Berechtigungen für den Besitzer und die Gruppe entspricht, z. B. 6 oder 7.
  4. Führen Sie den Befehl find / -path */proc -prune -o ! -user root -o -user admin -print aus, um zu überprüfen, ab die Dateien im Besitz des korrekten Benutzers sind.
    Alle Dateien gehören entweder root oder admin, wenn keine Ergebnisse angezeigt werden.
  5. Führen Sie den Befehl find /usr/lib/vmware-casa/ -type f -perm -o=w aus, um sicherzustellen, dass die Dateien im Verzeichnis /usr/lib/vmware-casa/ nicht global schreibbar sind.
    Es dürfen keine Ergebnisse angezeigt werden.
  6. Führen Sie den Befehl find /usr/lib/vmware-vcops/ -type f -perm -o=w aus, um sicherzustellen, dass die Dateien im Verzeichnis /usr/lib/vmware-vcops/ nicht global schreibbar sind.
    Es dürfen keine Ergebnisse angezeigt werden.
  7. Führen Sie den Befehl find /usr/lib/vmware-vcopssuite/ -type f -perm -o=w aus, um sicherzustellen, dass die Dateien im Verzeichnis /usr/lib/vmware-vcopssuite/ nicht global schreibbar sind.
    Es dürfen keine Ergebnisse angezeigt werden.