En matière de sécurité, la meilleure pratique consiste à s'assurer que les ressources d'application sont protégées.
Suivez les étapes ci-dessous pour vous assurer que les ressources d'application sont protégées.
Procédure
- Exécutez la commande find / -path /proc -prune -o -type f -perm 6000 -ls pour vérifier que les fichiers ont un ensemble de bits SUID et GUID bien défini.
La liste suivante s'affiche :
141850 40 -rwsr-xr-x 1 root root 40376 May 31 08:07 /usr/sbin/unix_chkpwd 143209 16 -rwsr-xr-x 1 root root 15408 Feb 25 2021 /usr/sbin/usernetctl 142963 72 -rwsr-x--- 1 root root 66128 Oct 13 2022 /usr/libexec/dbus-daemon-launch-helper 141312 516 -rwsr-xr-x 1 root root 524184 Aug 1 21:01 /usr/libexec/ssh-keysign 141930 60 -rwsr-xr-x 1 root root 54464 Jun 21 16:27 /usr/bin/chsh 141929 64 -rwsr-xr-x 1 root root 60272 Jun 21 16:27 /usr/bin/chfn 141927 56 -rwsr-xr-x 1 root root 50384 Jun 21 16:27 /usr/bin/su 140604 64 -rwsr-xr-x 1 root root 61192 May 10 2022 /usr/bin/mount 142924 60 -rwsr-xr-x 1 root root 53576 Feb 25 2021 /usr/bin/crontab 141938 60 -rwsr-xr-x 1 root root 57000 Jun 21 16:27 /usr/bin/newuidmap 141926 76 -rwsr-xr-x 1 root root 70088 Jun 21 16:27 /usr/bin/passwd 141928 80 -rwsr-xr-x 1 root root 73984 Jun 21 16:27 /usr/bin/chage 141937 48 -rwsr-xr-x 1 root root 46176 Jun 21 16:27 /usr/bin/newgrp 140621 36 -rwsr-xr-x 1 root root 36224 May 10 2022 /usr/bin/umount 141458 36 -rwsr-xr-x 1 root root 36248 Feb 24 2021 /usr/bin/fusermount 141936 60 -rwsr-xr-x 1 root root 57008 Jun 21 16:27 /usr/bin/newgidmap 141934 92 -rwsr-xr-x 1 root root 86720 Jun 21 16:27 /usr/bin/gpasswd 141931 32 -rwsr-xr-x 1 root root 32376 Jun 21 16:27 /usr/bin/expiry 143459 272 -rwsr-xr-x 1 root root 273600 Aug 4 03:02 /usr/bin/sudo
- Exécutez la commande find / -path */proc -prune -o -nouser -print -o -nogroup -print pour vérifier que tous les fichiers de la vApp ont un propriétaire.
S'il n'y a aucun résultat, tous les fichiers ont un propriétaire.
- Exécutez la commande find / -name "*" -type f -not -path "*/sys*" -not -path "*/proc*" -not -path "*/dev*" -perm -o+w | xargs ls -lb pour vérifier qu'aucun des fichiers n'est un fichier inscriptible par tout le monde en examinant les autorisations de tous les fichiers sur la vApp.
Others
ne doit pas disposer d'autorisation en écriture. Les autorisations sur ces fichiers doivent être ##4 ou ##5, où # correspond à l'ensemble d'autorisations par défaut du propriétaire et du groupe, tel que 6 ou 7. - Exécutez la commande find / -path */proc -prune -o ! -user root -o -user admin -print pour vérifier que les fichiers appartiennent au bon utilisateur.
S'il n'y a aucun résultat, tous les fichiers appartiennent soit à
root
soit àadmin
. - Exécutez la commande
find /usr/lib/vmware-casa/ -type f -perm -o=w
pour vous assurer que les fichiers du répertoire /usr/lib/vmware-casa/ ne sont pas inscriptibles par tout le monde.Il ne doit pas y avoir de résultats. - Exécutez la commande
find /usr/lib/vmware-vcops/ -type f -perm -o=w
pour vous assurer que les fichiers du répertoire /usr/lib/vmware-vcops/ ne sont pas inscriptibles par tout le monde.Il ne doit pas y avoir de résultats. - Exécutez la commande
find /usr/lib/vmware-vcopssuite/ -type f -perm -o=w
pour vous assurer que les fichiers du répertoire /usr/lib/vmware-vcopssuite/ ne sont pas inscriptibles par tout le monde.Il ne doit pas y avoir de résultats.