En matière de sécurité, la meilleure pratique consiste à s'assurer que les ressources d'application sont protégées.

Suivez les étapes ci-dessous pour vous assurer que les ressources d'application sont protégées.

Procédure

  1. Exécutez la commande find / -path /proc -prune -o -type f -perm 6000 -ls pour vérifier que les fichiers ont un ensemble de bits SUID et GUID bien défini.
    La liste suivante s'affiche : 
    141850     40 -rwsr-xr-x   1 root     root        40376 May 31 08:07 /usr/sbin/unix_chkpwd
   143209     16 -rwsr-xr-x   1 root     root        15408 Feb 25  2021 /usr/sbin/usernetctl
   142963     72 -rwsr-x---   1 root     root        66128 Oct 13  2022 /usr/libexec/dbus-daemon-launch-helper
   141312    516 -rwsr-xr-x   1 root     root       524184 Aug  1 21:01 /usr/libexec/ssh-keysign
   141930     60 -rwsr-xr-x   1 root     root        54464 Jun 21 16:27 /usr/bin/chsh
   141929     64 -rwsr-xr-x   1 root     root        60272 Jun 21 16:27 /usr/bin/chfn
   141927     56 -rwsr-xr-x   1 root     root        50384 Jun 21 16:27 /usr/bin/su
   140604     64 -rwsr-xr-x   1 root     root        61192 May 10  2022 /usr/bin/mount
   142924     60 -rwsr-xr-x   1 root     root        53576 Feb 25  2021 /usr/bin/crontab
   141938     60 -rwsr-xr-x   1 root     root        57000 Jun 21 16:27 /usr/bin/newuidmap
   141926     76 -rwsr-xr-x   1 root     root        70088 Jun 21 16:27 /usr/bin/passwd
   141928     80 -rwsr-xr-x   1 root     root        73984 Jun 21 16:27 /usr/bin/chage
   141937     48 -rwsr-xr-x   1 root     root        46176 Jun 21 16:27 /usr/bin/newgrp
   140621     36 -rwsr-xr-x   1 root     root        36224 May 10  2022 /usr/bin/umount
   141458     36 -rwsr-xr-x   1 root     root        36248 Feb 24  2021 /usr/bin/fusermount
   141936     60 -rwsr-xr-x   1 root     root        57008 Jun 21 16:27 /usr/bin/newgidmap
   141934     92 -rwsr-xr-x   1 root     root        86720 Jun 21 16:27 /usr/bin/gpasswd
   141931     32 -rwsr-xr-x   1 root     root        32376 Jun 21 16:27 /usr/bin/expiry
   143459    272 -rwsr-xr-x   1 root     root       273600 Aug  4 03:02 /usr/bin/sudo
  2. Exécutez la commande find / -path */proc -prune -o -nouser -print -o -nogroup -print pour vérifier que tous les fichiers de la vApp ont un propriétaire.
    S'il n'y a aucun résultat, tous les fichiers ont un propriétaire.
  3. Exécutez la commande find / -name "*" -type f -not -path "*/sys*" -not -path "*/proc*" -not -path "*/dev*" -perm -o+w | xargs ls -lb pour vérifier qu'aucun des fichiers n'est un fichier inscriptible par tout le monde en examinant les autorisations de tous les fichiers sur la vApp.
    Others ne doit pas disposer d'autorisation en écriture. Les autorisations sur ces fichiers doivent être ##4 ou ##5, où # correspond à l'ensemble d'autorisations par défaut du propriétaire et du groupe, tel que 6 ou 7.
  4. Exécutez la commande find / -path */proc -prune -o ! -user root -o -user admin -print pour vérifier que les fichiers appartiennent au bon utilisateur.
    S'il n'y a aucun résultat, tous les fichiers appartiennent soit à root soit à admin.
  5. Exécutez la commande find /usr/lib/vmware-casa/ -type f -perm -o=w pour vous assurer que les fichiers du répertoire /usr/lib/vmware-casa/ ne sont pas inscriptibles par tout le monde.
    Il ne doit pas y avoir de résultats.
  6. Exécutez la commande find /usr/lib/vmware-vcops/ -type f -perm -o=w pour vous assurer que les fichiers du répertoire /usr/lib/vmware-vcops/ ne sont pas inscriptibles par tout le monde.
    Il ne doit pas y avoir de résultats.
  7. Exécutez la commande find /usr/lib/vmware-vcopssuite/ -type f -perm -o=w pour vous assurer que les fichiers du répertoire /usr/lib/vmware-vcopssuite/ ne sont pas inscriptibles par tout le monde.
    Il ne doit pas y avoir de résultats.