Stellen Sie als Best Practice für die Sicherheit sicher, dass die Anwendungsressourcen geschützt sind.

Warum und wann dieser Vorgang ausgeführt wird

Befolgen Sie die Schritte, um sicherzustellen, dass die Anwendungsressourcen geschützt sind.

Prozedur

  1. Führen Sie den Befehl Find / -path /proc -prune -o -type f -perm +6000 -ls aus, um zu überprüfen, ob für die Dateien ordnungsgemäß definierte SUID- und GUID-Bits festgelegt sind.

    Die folgende Liste wird angezeigt:

    354131   24 -rwsr-xr-x   1 polkituser root 23176 /usr/lib/PolicyKit/polkit-set-default-helper
    354126   20 -rwxr-sr-x   1 root     polkituser    19208 /usr/lib/PolicyKit/polkit-grant-helper
    354125   20 -rwxr-sr-x   1 root     polkituser    19008 /usr/lib/PolicyKit/polkit-explicit-grant-helper
    354130   24 -rwxr-sr-x   1 root     polkituser    23160 /usr/lib/PolicyKit/polkit-revoke-helper
    354127   12 -rwsr-x---   1 root     polkituser    10744 /usr/lib/PolicyKit/polkit-grant-helper-pam
    354128   16 -rwxr-sr-x   1 root     polkituser    14856 /usr/lib/PolicyKit/polkit-read-auth-helper
     73886   84 -rwsr-xr-x   1 root     shadow      77848 /usr/bin/chsh
     73888   88 -rwsr-xr-x   1 root     shadow      85952 /usr/bin/gpasswd
     73887   20 -rwsr-xr-x   1 root     shadow      19320 /usr/bin/expiry
     73890   84 -rwsr-xr-x   1 root     root        81856 /usr/bin/passwd
     73799  240 -rwsr-xr-x   1 root     root       238488 /usr/bin/sudo
     73889   20 -rwsr-xr-x   1 root     root        19416 /usr/bin/newgrp
     73884   92 -rwsr-xr-x   1 root     shadow      86200 /usr/bin/chage
     73885   88 -rwsr-xr-x   1 root     shadow      82472 /usr/bin/chfn
     73916   40 -rwsr-x---   1 root     trusted     40432 /usr/bin/crontab
    296275   28 -rwsr-xr-x   1 root     root        26945 /usr/lib64/pt_chown
    353804  816 -r-xr-sr-x   1 root     mail       829672 /usr/sbin/sendmail
    278545   36 -rwsr-xr-x   1 root     root        35792 /bin/ping6
    278585   40 -rwsr-xr-x   1 root     root        40016 /bin/su
    278544   40 -rwsr-xr-x   1 root     root        40048 /bin/ping
    278638   72 -rwsr-xr-x   1 root     root        69240 /bin/umount
    278637  100 -rwsr-xr-x   1 root     root        94808 /bin/mount
    475333   48 -rwsr-x---   1 root     messagebus    47912 /lib64/dbus-1/dbus-daemon-launch-helper
     41001   36 -rwsr-xr-x   1 root     shadow      35688 /sbin/unix_chkpwd
     41118   12 -rwsr-xr-x   1 root     shadow      10736 /sbin/unix2_chkpwd
    
  2. Führen Sie den Befehl find / -path */proc -prune -o -nouser -o -nogroup aus, um zu überprüfen, ab alle Dateien in der vApp einen Besitzer haben.

    Alle Dateien haben einen Besitzer, wenn keine Ergebnisse angezeigt werden.

  3. Führen Sie den Befehl find / -name "*.*" -type f -perm -a+w | xargs ls -ldb aus, um zu überprüfen, ob die Dateien global schreibbare Dateien sind, indem Sie die Berechtigungen aller Dateien in der vApp überprüfen.

    Keine der Dateien darf die Berechtigung xx2 haben.

  4. Führen Sie den Befehl find / -path */proc -prune -o ! -user root -o -user admin -print aus, um zu überprüfen, ab die Dateien im Besitz des korrekten Benutzers sind.

    Alle Dateien gehören entweder root oder admin, wenn keine Ergebnisse angezeigt werden.

  5. Führen Sie den Befehl find /usr/lib/vmware-casa/ -type f -perm -o=w aus, um sicherzustellen, dass die Dateien im Verzeichnis /usr/lib/vmware-casa/ nicht global schreibbar sind.

    Es dürfen keine Ergebnisse angezeigt werden.

  6. Führen Sie den Befehl find /usr/lib/vmware-vcops/ -type f -perm -o=w aus, um sicherzustellen, dass die Dateien im Verzeichnis /usr/lib/vmware-vcops/ nicht global schreibbar sind.

    Es dürfen keine Ergebnisse angezeigt werden.

  7. Führen Sie den Befehl find /usr/lib/vmware-vcopssuite/ -type f -perm -o=w aus, um sicherzustellen, dass die Dateien im Verzeichnis /usr/lib/vmware-vcopssuite/ nicht global schreibbar sind.

    Es dürfen keine Ergebnisse angezeigt werden.