Stellen Sie als Best Practice für die Sicherheit sicher, dass die Anwendungsressourcen geschützt sind.

Befolgen Sie die Schritte, um sicherzustellen, dass die Anwendungsressourcen geschützt sind.

Prozedur

  1. Führen Sie den Befehl find / -path /proc -prune -o -type f -perm 6000 -ls aus, um zu überprüfen, ob für die Dateien ordnungsgemäß definierte SUID- und GUID-Bits festgelegt sind.
    Die folgende Liste wird angezeigt:
    584208     44 -rwsr-xr-x   1  root     root        44696 Feb  4  2019 /usr/bin/su
       584210     60 -rwsr-xr-x   1  root     root        54112 Feb  4  2019 /usr/bin/chfn
       584646     56 -rwsr-x---   1  root     root        51872 Feb  4  2019 /usr/bin/crontab
       584216     40 -rwsr-xr-x   1  root     root        37128 Feb  4  2019 /usr/bin/newgidmap
       584206     68 -rwsr-xr-x   1  root     root        63736 Feb  4  2019 /usr/bin/passwd
       584211     44 -rwsr-xr-x   1  root     root        44544 Feb  4  2019 /usr/bin/chsh
       584218     40 -rwsr-xr-x   1  root     root        37128 Feb  4  2019 /usr/bin/newuidmap
       587446    144 -rwsr-xr-x   1  root     root       140856 Feb  4  2019 /usr/bin/sudo
       585233     36 -rwsr-xr-x   1  root     root        36144 Feb  4  2019 /usr/bin/umount
       584212     32 -rwsr-xr-x   1  root     root        31048 Feb  4  2019 /usr/bin/expiry
       584209     76 -rwsr-xr-x   1  root     root        71848 Feb  4  2019 /usr/bin/chage
       585231     56 -rwsr-xr-x   1  root     root        52968 Feb  4  2019 /usr/bin/mount
       583901     36 -rwsr-xr-x   1  root     root        34944 Feb  4  2019 /usr/bin/fusermount
       586675     36 -rwsr-xr-x   1  root     root        34952 Feb  4  2019 /usr/bin/fusermount3
       584217     44 -rwsr-xr-x   1  root     root        44472 Feb  4  2019 /usr/bin/newgrp
       584214     80 -rwsr-xr-x   1  root     root        75776 Feb  4  2019 /usr/bin/gpasswd
       582975    428 -rwsr-xr-x   1  root     root       432512 Mar  6  2019 /usr/libexec/ssh-keysign
       587407     80 -rwsr-x---   1  root     root        76224 Feb  4  2019 /usr/libexec/dbus-daemon-launch-helper
       587109     16 -rwsr-xr-x   1  root     root        14408 Feb  4  2019 /usr/sbin/usernetctl
       587105     16 -rwxr-sr-x   1  root     root        14384 Feb  4  2019 /usr/sbin/netreport
       582750     40 -rwsr-xr-x   1  root     root        38960 Feb  4  2019 /usr/sbin/unix_chkpw
    
  2. Führen Sie den Befehl find / -path */proc -prune -o -nouser -o -nogroup aus, um zu überprüfen, ab alle Dateien in der vApp einen Besitzer haben.
    Alle Dateien haben einen Besitzer, wenn keine Ergebnisse angezeigt werden.
  3. Führen Sie den Befehl find / -name "*.*" -type f -perm -a+w | xargs ls -ldb aus, um zu überprüfen, ob die Dateien global schreibbare Dateien sind, indem Sie die Berechtigungen aller Dateien in der vApp überprüfen.
    Others darf keine Schreibberechtigung haben. Die Berechtigungen für diese Dateien sollten ##4 oder ##5 sein, wobei # dem angegebenen Standardsatz von Berechtigungen für den Besitzer und die Gruppe entspricht, z. B. 6 oder 7.
  4. Führen Sie den Befehl find / -path */proc -prune -o ! -user root -o -user admin -print aus, um zu überprüfen, ab die Dateien im Besitz des korrekten Benutzers sind.
    Alle Dateien gehören entweder root oder admin, wenn keine Ergebnisse angezeigt werden.
  5. Führen Sie den Befehl find /usr/lib/vmware-casa/ -type f -perm -o=w aus, um sicherzustellen, dass die Dateien im Verzeichnis /usr/lib/vmware-casa/ nicht global schreibbar sind.
    Es dürfen keine Ergebnisse angezeigt werden.
  6. Führen Sie den Befehl find /usr/lib/vmware-vcops/ -type f -perm -o=w aus, um sicherzustellen, dass die Dateien im Verzeichnis /usr/lib/vmware-vcops/ nicht global schreibbar sind.
    Es dürfen keine Ergebnisse angezeigt werden.
  7. Führen Sie den Befehl find /usr/lib/vmware-vcopssuite/ -type f -perm -o=w aus, um sicherzustellen, dass die Dateien im Verzeichnis /usr/lib/vmware-vcopssuite/ nicht global schreibbar sind.
    Es dürfen keine Ergebnisse angezeigt werden.