Vérifiez les ressources d'application de vRealize Automation et limitez les autorisations de fichier.

Procédure

  1. Exécutez la commande suivante pour vérifier que les fichiers incluant des bits SUID et GUID sont bien définis.

    find / -path /proc -prune -o -type f -perm +6000 -ls

    La liste suivante doit s'afficher.

    2197357   24 -rwsr-xr-x   1 polkituser root        23176 Mar 31  2015 /usr/lib/PolicyKit/polkit-set-default-helper
    2197354   16 -rwxr-sr-x   1 root     polkituser    14856 Mar 31  2015 /usr/lib/PolicyKit/polkit-read-auth-helper
    2197353   12 -rwsr-x---   1 root     polkituser    10744 Mar 31  2015 /usr/lib/PolicyKit/polkit-grant-helper-pam
    2197352   20 -rwxr-sr-x   1 root     polkituser    19208 Mar 31  2015 /usr/lib/PolicyKit/polkit-grant-helper
    2197351   20 -rwxr-sr-x   1 root     polkituser    19008 Mar 31  2015 /usr/lib/PolicyKit/polkit-explicit-grant-helper
    2197356   24 -rwxr-sr-x   1 root     polkituser    23160 Mar 31  2015 /usr/lib/PolicyKit/polkit-revoke-helper
    2188203  460 -rws--x--x   1 root     root       465364 Apr 21 22:38 /usr/lib64/ssh/ssh-keysign
    2138858   12 -rwxr-sr-x   1 root     tty         10680 May 10  2010 /usr/sbin/utempter
    2142482  144 -rwsr-xr-x   1 root     root       142890 Sep 15  2015 /usr/bin/passwd
    2142477  164 -rwsr-xr-x   1 root     shadow     161782 Sep 15  2015 /usr/bin/chage
    2142467  156 -rwsr-xr-x   1 root     shadow     152850 Sep 15  2015 /usr/bin/chfn
    1458298  364 -rwsr-xr-x   1 root     root       365787 Jul 22  2015 /usr/bin/sudo
    2142481   64 -rwsr-xr-x   1 root     root        57776 Sep 15  2015 /usr/bin/newgrp
    1458249   40 -rwsr-x---   1 root     trusted     40432 Mar 18  2015 /usr/bin/crontab
    2142478  148 -rwsr-xr-x   1 root     shadow     146459 Sep 15  2015 /usr/bin/chsh
    2142480  156 -rwsr-xr-x   1 root     shadow     152387 Sep 15  2015 /usr/bin/gpasswd
    2142479   48 -rwsr-xr-x   1 root     shadow      46967 Sep 15  2015 /usr/bin/expiry
    311484   48 -rwsr-x---   1 root     messagebus    47912 Sep 16  2014 /lib64/dbus-1/dbus-daemon-launch-helper
    876574   36 -rwsr-xr-x   1 root     shadow      35688 Apr 10  2014 /sbin/unix_chkpwd
    876648   12 -rwsr-xr-x   1 root     shadow      10736 Dec 16  2011 /sbin/unix2_chkpwd
     49308   68 -rwsr-xr-x   1 root     root        63376 May 27  2015 /opt/likewise/bin/ksu
    1130552   40 -rwsr-xr-x   1 root     root        40016 Apr 16  2015 /bin/su
    1130511   40 -rwsr-xr-x   1 root     root        40048 Apr 15  2011 /bin/ping
    1130600  100 -rwsr-xr-x   1 root     root        94808 Mar 11  2015 /bin/mount
    1130601   72 -rwsr-xr-x   1 root     root        69240 Mar 11  2015 /bin/umount
    1130512   36 -rwsr-xr-x   1 root     root        35792 Apr 15  2011 /bin/ping6  2012 /lib64/dbus-1/dbus-daemon-launch-helper 
    

  2. Exécutez la commande suivante pour vérifier que tous les fichiers du dispositif virtuel ont un propriétaire.

    find / -path /proc -prune -o -nouser -o -nogroup

  3. Vérifiez les autorisations de tous les fichiers du dispositif virtuel pour vous assurer qu'aucun d'entre eux ne peut faire l'objet d'une écriture par tout le monde en exécutant la commande suivante.

    find / -name "*.*" -type f -perm -a+w | xargs ls –ldb

  4. Exécutez la commande suivante pour vérifier que seul l'utilisateur vcac possède les fichiers appropriés.

    find / -name "proc" -prune -o -user vcac -print | egrep -v -e "*/vcac/*" | egrep -v -e "*/vmware-vcac/*"

    Si aucun résultat n'apparaît, tous les fichiers corrects appartiennent uniquement à l'utilisateur vcac.

  5. Vérifiez que les fichiers suivants sont accessibles en écriture uniquement par l'utilisateur vcac.

    /etc/vcac/vcac/security.properties

    /etc/vcac/vcac/solution-users.properties

    /etc/vcac/vcac/sso-admin.properties

    /etc/vcac/vcac/vcac.keystore

    /etc/vcac/vcac/vcac.properties

    Vérifiez également les fichiers suivants et leurs sous-répertoires.

    /var/log/vcac/*

    /var/lib/vcac/*

    /var/cache/vcac/*

  6. Vérifiez que seul l'utilisateur vcac ou racine peut lire les fichiers corrects dans les répertoires et sous-répertoires suivants.

    /etc/vcac/*

    /var/log/vcac/*

    /var/lib/vcac/*

    /var/cache/vcac/*

  7. Vérifiez que les fichiers corrects appartiennent uniquement à l'utilisateur racine ou vco, comme illustré dans les répertoires et sous-répertoires suivants.

    /etc/vco/*

    /var/log/vco/*

    /var/lib/vco/*

    /var/cache/vco/*

  8. Vérifiez que les fichiers corrects sont accessibles en écriture uniquement par l'utilisateur racine ou vco, comme illustré dans les répertoires suivants et leurs sous-répertoires.

    /etc/vco/*

    /var/log/vco/*

    /var/lib/vco/*

    /var/cache/vco/*

  9. Vérifiez que les fichiers corrects sont accessibles en lecture seule par l'utilisateur racine ou vco, comme illustré dans les répertoires et sous-répertoires suivants.

    /etc/vco/*

    /var/log/vco/*

    /var/lib/vco/*

    /var/cache/vco/*