En matière de sécurité, la meilleure pratique consiste à s'assurer que les ressources d'application sont protégées.

Suivez les étapes ci-dessous pour vous assurer que les ressources d'application sont protégées.

Procédure

  1. Exécutez la commande find / -path /proc -prune -o -type f -perm 6000 -ls pour vérifier que les fichiers ont un ensemble de bits SUID et GUID bien défini.
    La liste suivante s'affiche : 
    584208     44 -rwsr-xr-x   1  root     root        44696 Feb  4  2019 /usr/bin/su
   584210     60 -rwsr-xr-x   1  root     root        54112 Feb  4  2019 /usr/bin/chfn
   584646     56 -rwsr-x---   1  root     root        51872 Feb  4  2019 /usr/bin/crontab
   584216     40 -rwsr-xr-x   1  root     root        37128 Feb  4  2019 /usr/bin/newgidmap
   584206     68 -rwsr-xr-x   1  root     root        63736 Feb  4  2019 /usr/bin/passwd
   584211     44 -rwsr-xr-x   1  root     root        44544 Feb  4  2019 /usr/bin/chsh
   584218     40 -rwsr-xr-x   1  root     root        37128 Feb  4  2019 /usr/bin/newuidmap
   587446    144 -rwsr-xr-x   1  root     root       140856 Feb  4  2019 /usr/bin/sudo
   585233     36 -rwsr-xr-x   1  root     root        36144 Feb  4  2019 /usr/bin/umount
   584212     32 -rwsr-xr-x   1  root     root        31048 Feb  4  2019 /usr/bin/expiry
   584209     76 -rwsr-xr-x   1  root     root        71848 Feb  4  2019 /usr/bin/chage
   585231     56 -rwsr-xr-x   1  root     root        52968 Feb  4  2019 /usr/bin/mount
   583901     36 -rwsr-xr-x   1  root     root        34944 Feb  4  2019 /usr/bin/fusermount
   586675     36 -rwsr-xr-x   1  root     root        34952 Feb  4  2019 /usr/bin/fusermount3
   584217     44 -rwsr-xr-x   1  root     root        44472 Feb  4  2019 /usr/bin/newgrp
   584214     80 -rwsr-xr-x   1  root     root        75776 Feb  4  2019 /usr/bin/gpasswd
   582975    428 -rwsr-xr-x   1  root     root       432512 Mar  6  2019 /usr/libexec/ssh-keysign
   587407     80 -rwsr-x---   1  root     root        76224 Feb  4  2019 /usr/libexec/dbus-daemon-launch-helper
   587109     16 -rwsr-xr-x   1  root     root        14408 Feb  4  2019 /usr/sbin/usernetctl
   587105     16 -rwxr-sr-x   1  root     root        14384 Feb  4  2019 /usr/sbin/netreport
   582750     40 -rwsr-xr-x   1  root     root        38960 Feb  4  2019 /usr/sbin/unix_chkpw
  2. Exécutez la commande find / -path */proc -prune -o -nouser -print -o -nogroup -print pour vérifier que tous les fichiers de la vApp ont un propriétaire.
    S'il n'y a aucun résultat, tous les fichiers ont un propriétaire.
  3. Exécutez la commande find / -name "*" -type f -not -path "*/sys*" -not -path "*/proc*" -not -path "*/dev*" -perm -o+w | xargs ls -lb pour vérifier qu'aucun des fichiers n'est un fichier inscriptible par tout le monde en examinant les autorisations de tous les fichiers sur la vApp.
    Others ne doit pas disposer d'autorisation en écriture. Les autorisations sur ces fichiers doivent être ##4 ou ##5, où # correspond à l'ensemble d'autorisations par défaut du propriétaire et du groupe, tel que 6 ou 7.
  4. Exécutez la commande find / -path */proc -prune -o ! -user root -o -user admin -print pour vérifier que les fichiers appartiennent au bon utilisateur.
    S'il n'y a aucun résultat, tous les fichiers appartiennent soit à root soit à admin.
  5. Exécutez la commande find /usr/lib/vmware-casa/ -type f -perm -o=w pour vous assurer que les fichiers du répertoire /usr/lib/vmware-casa/ ne sont pas inscriptibles par tout le monde.
    Il ne doit pas y avoir de résultats.
  6. Exécutez la commande find /usr/lib/vmware-vcops/ -type f -perm -o=w pour vous assurer que les fichiers du répertoire /usr/lib/vmware-vcops/ ne sont pas inscriptibles par tout le monde.
    Il ne doit pas y avoir de résultats.
  7. Exécutez la commande find /usr/lib/vmware-vcopssuite/ -type f -perm -o=w pour vous assurer que les fichiers du répertoire /usr/lib/vmware-vcopssuite/ ne sont pas inscriptibles par tout le monde.
    Il ne doit pas y avoir de résultats.