Como recomendación de seguridad, asegúrese de que los recursos de aplicación estén protegidos.

Siga los pasos para asegurarse de que los recursos de aplicación están protegidos.

Procedimiento

  1. Ejecute el comando find / -path /proc -prune -o -type f -perm /6000 -ls para verificar que los archivos tienen un conjunto de bits SUID y GUID bien definido.
    Aparecerá la siguiente lista: 
    141850     40 -rwsr-xr-x   1 root     root        40376 May 31 08:07 /usr/sbin/unix_chkpwd
   143209     16 -rwsr-xr-x   1 root     root        15408 Feb 25  2021 /usr/sbin/usernetctl
   142963     72 -rwsr-x---   1 root     root        66128 Oct 13  2022 /usr/libexec/dbus-daemon-launch-helper
   141312    516 -rwsr-xr-x   1 root     root       524184 Aug  1 21:01 /usr/libexec/ssh-keysign
   141930     60 -rwsr-xr-x   1 root     root        54464 Jun 21 16:27 /usr/bin/chsh
   141929     64 -rwsr-xr-x   1 root     root        60272 Jun 21 16:27 /usr/bin/chfn
   141927     56 -rwsr-xr-x   1 root     root        50384 Jun 21 16:27 /usr/bin/su
   140604     64 -rwsr-xr-x   1 root     root        61192 May 10  2022 /usr/bin/mount
   142924     60 -rwsr-xr-x   1 root     root        53576 Feb 25  2021 /usr/bin/crontab
   141938     60 -rwsr-xr-x   1 root     root        57000 Jun 21 16:27 /usr/bin/newuidmap
   141926     76 -rwsr-xr-x   1 root     root        70088 Jun 21 16:27 /usr/bin/passwd
   141928     80 -rwsr-xr-x   1 root     root        73984 Jun 21 16:27 /usr/bin/chage
   141937     48 -rwsr-xr-x   1 root     root        46176 Jun 21 16:27 /usr/bin/newgrp
   140621     36 -rwsr-xr-x   1 root     root        36224 May 10  2022 /usr/bin/umount
   141458     36 -rwsr-xr-x   1 root     root        36248 Feb 24  2021 /usr/bin/fusermount
   141936     60 -rwsr-xr-x   1 root     root        57008 Jun 21 16:27 /usr/bin/newgidmap
   141934     92 -rwsr-xr-x   1 root     root        86720 Jun 21 16:27 /usr/bin/gpasswd
   141931     32 -rwsr-xr-x   1 root     root        32376 Jun 21 16:27 /usr/bin/expiry
   143459    272 -rwsr-xr-x   1 root     root       273600 Aug  4 03:02 /usr/bin/sudo
  2. Ejecute el comando find / -path */proc -prune -o -nouser -print -o -nogroup -print para verificar que todos los archivos de la vApp tienen un propietario.
    Si no se obtiene ningún resultado, todos los archivos tienen un propietario.
  3. Ejecute el comando find / -name "*" -type f -not -path "*/sys*" -not -path "*/proc*" -not -path "*/dev*" -perm -o+w | xargs ls -lb para verificar que ninguno de los archivos se puede escribir mediante la revisión de los permisos de todos los archivos de la vApp.
    Others no debe tener permiso de escritura. Los permisos de estos archivos deben ser ##4 o ##5, donde # es igual al conjunto predeterminado de permisos para el propietario y el grupo, como 6 o 7.
  4. Ejecute el comando find / -path */proc -prune -o ! -user root -o -user admin -print para verificar que los archivos son propiedad del usuario correcto.
    Si no se obtiene ningún resultado, todos los archivos pertenecen a root o admin.
  5. Ejecute el comando find /usr/lib/vmware-casa/ -type f -perm -o=w para asegurarse de que el entorno no tiene acceso de escritura a los archivos del directorio /usr/lib/vmware-casa/.
    No se deben obtener resultados.
  6. Ejecute el comando find /usr/lib/vmware-vcops/ -type f -perm -o=w para asegurarse de que el entorno no tiene acceso de escritura a los archivos del directorio /usr/lib/vmware-vcops/.
    No se deben obtener resultados.
  7. Ejecute el comando find /usr/lib/vmware-vcopssuite/ -type f -perm -o=w para asegurarse de que el entorno no tiene acceso de escritura en los archivos del directorio /usr/lib/vmware-vcopssuite/.
    No se deben obtener resultados.