Revise los recursos de aplicación de vRealize Automation y restrinja los permisos de archivo.

Procedimiento

  1. Ejecute el siguiente comando para comprobar que los archivos con bits SUID y GUID estén definidos correctamente.

    find / -path /proc -prune -o -type f -perm +6000 -ls

    Debería aparecer la siguiente lista.

    2197357   24 -rwsr-xr-x   1 polkituser root        23176 Mar 31  2015 /usr/lib/PolicyKit/polkit-set-default-helper
    2197354   16 -rwxr-sr-x   1 root     polkituser    14856 Mar 31  2015 /usr/lib/PolicyKit/polkit-read-auth-helper
    2197353   12 -rwsr-x---   1 root     polkituser    10744 Mar 31  2015 /usr/lib/PolicyKit/polkit-grant-helper-pam
    2197352   20 -rwxr-sr-x   1 root     polkituser    19208 Mar 31  2015 /usr/lib/PolicyKit/polkit-grant-helper
    2197351   20 -rwxr-sr-x   1 root     polkituser    19008 Mar 31  2015 /usr/lib/PolicyKit/polkit-explicit-grant-helper
    2197356   24 -rwxr-sr-x   1 root     polkituser    23160 Mar 31  2015 /usr/lib/PolicyKit/polkit-revoke-helper
    2188203  460 -rws--x--x   1 root     root       465364 Apr 21 22:38 /usr/lib64/ssh/ssh-keysign
    2138858   12 -rwxr-sr-x   1 root     tty         10680 May 10  2010 /usr/sbin/utempter
    2142482  144 -rwsr-xr-x   1 root     root       142890 Sep 15  2015 /usr/bin/passwd
    2142477  164 -rwsr-xr-x   1 root     shadow     161782 Sep 15  2015 /usr/bin/chage
    2142467  156 -rwsr-xr-x   1 root     shadow     152850 Sep 15  2015 /usr/bin/chfn
    1458298  364 -rwsr-xr-x   1 root     root       365787 Jul 22  2015 /usr/bin/sudo
    2142481   64 -rwsr-xr-x   1 root     root        57776 Sep 15  2015 /usr/bin/newgrp
    1458249   40 -rwsr-x---   1 root     trusted     40432 Mar 18  2015 /usr/bin/crontab
    2142478  148 -rwsr-xr-x   1 root     shadow     146459 Sep 15  2015 /usr/bin/chsh
    2142480  156 -rwsr-xr-x   1 root     shadow     152387 Sep 15  2015 /usr/bin/gpasswd
    2142479   48 -rwsr-xr-x   1 root     shadow      46967 Sep 15  2015 /usr/bin/expiry
    311484   48 -rwsr-x---   1 root     messagebus    47912 Sep 16  2014 /lib64/dbus-1/dbus-daemon-launch-helper
    876574   36 -rwsr-xr-x   1 root     shadow      35688 Apr 10  2014 /sbin/unix_chkpwd
    876648   12 -rwsr-xr-x   1 root     shadow      10736 Dec 16  2011 /sbin/unix2_chkpwd
     49308   68 -rwsr-xr-x   1 root     root        63376 May 27  2015 /opt/likewise/bin/ksu
    1130552   40 -rwsr-xr-x   1 root     root        40016 Apr 16  2015 /bin/su
    1130511   40 -rwsr-xr-x   1 root     root        40048 Apr 15  2011 /bin/ping
    1130600  100 -rwsr-xr-x   1 root     root        94808 Mar 11  2015 /bin/mount
    1130601   72 -rwsr-xr-x   1 root     root        69240 Mar 11  2015 /bin/umount
    1130512   36 -rwsr-xr-x   1 root     root        35792 Apr 15  2011 /bin/ping6  2012 /lib64/dbus-1/dbus-daemon-launch-helper 
    

  2. Ejecute el siguiente comando para comprobar que todos los archivos del dispositivo virtual tienen un propietario.

    find / -path /proc -prune -o -nouser -o -nogroup

  3. Ejecute el siguiente comando para verificar los permisos de todos los archivos en el dispositivo virtual para comprobar que ninguno de ellos puede ser modificado por cualquier usuario.

    find / -name "*.*" -type f -perm -a+w | xargs ls –ldb

  4. Ejecute el siguiente comando para comprobar que solo el usuario vcac es el propietario de los archivos correctos.

    find / -name "proc" -prune -o -user vcac -print | egrep -v -e "*/vcac/*" | egrep -v -e "*/vmware-vcac/*"

    Si se devuelve ningún resultado, todos los archivos correctos son propiedad exclusiva del usuario vcac.

  5. Compruebe que solo el usuario vcac tenga permiso para escribir en los siguientes archivos.

    /etc/vcac/vcac/security.properties

    /etc/vcac/vcac/solution-users.properties

    /etc/vcac/vcac/sso-admin.properties

    /etc/vcac/vcac/vcac.keystore

    /etc/vcac/vcac/vcac.properties

    Compruebe también los siguientes archivos y sus subdirectorios:

    /var/log/vcac/*

    /var/lib/vcac/*

    /var/cache/vcac/*

  6. Compruebe que solo el usuario raíz o el usuario vcac pueden leer los archivos correctos en los siguientes directorios y sus subdirectorios.

    /etc/vcac/*

    /var/log/vcac/*

    /var/lib/vcac/*

    /var/cache/vcac/*

  7. Compruebe que los archivos correctos son propiedad exclusiva del usuario raíz o el usuario vco, como se muestra en los siguientes directorios y sus subdirectorios.

    /etc/vco/*

    /var/log/vco/*

    /var/lib/vco/*

    /var/cache/vco/*

  8. Compruebe que solo el usuario raíz o el usuario vco pueden escribir en los archivos correctos, como se muestra en los siguientes directorios y sus subdirectorios.

    /etc/vco/*

    /var/log/vco/*

    /var/lib/vco/*

    /var/cache/vco/*

  9. Compruebe que solo el usuario raíz o el usuario vco pueden leer los archivos correctos, como se muestra en los siguientes directorios y sus subdirectorios.

    /etc/vco/*

    /var/log/vco/*

    /var/lib/vco/*

    /var/cache/vco/*