セキュリティ上のベスト プラクティスとして、アプリケーション リソースが保護されるようにします。

次の手順に従って、アプリケーション リソースが保護されるようにします。

手順

  1. find / -path /proc -prune -o -type f -perm /6000 -ls コマンドを実行して、正しく定義された SUID および GUID ビット セットがファイルに設定されていることを確認します。
    次のリストが表示されます。
    141850     40 -rwsr-xr-x   1 root     root        40376 May 31 08:07 /usr/sbin/unix_chkpwd
       143209     16 -rwsr-xr-x   1 root     root        15408 Feb 25  2021 /usr/sbin/usernetctl
       142963     72 -rwsr-x---   1 root     root        66128 Oct 13  2022 /usr/libexec/dbus-daemon-launch-helper
       141312    516 -rwsr-xr-x   1 root     root       524184 Aug  1 21:01 /usr/libexec/ssh-keysign
       141930     60 -rwsr-xr-x   1 root     root        54464 Jun 21 16:27 /usr/bin/chsh
       141929     64 -rwsr-xr-x   1 root     root        60272 Jun 21 16:27 /usr/bin/chfn
       141927     56 -rwsr-xr-x   1 root     root        50384 Jun 21 16:27 /usr/bin/su
       140604     64 -rwsr-xr-x   1 root     root        61192 May 10  2022 /usr/bin/mount
       142924     60 -rwsr-xr-x   1 root     root        53576 Feb 25  2021 /usr/bin/crontab
       141938     60 -rwsr-xr-x   1 root     root        57000 Jun 21 16:27 /usr/bin/newuidmap
       141926     76 -rwsr-xr-x   1 root     root        70088 Jun 21 16:27 /usr/bin/passwd
       141928     80 -rwsr-xr-x   1 root     root        73984 Jun 21 16:27 /usr/bin/chage
       141937     48 -rwsr-xr-x   1 root     root        46176 Jun 21 16:27 /usr/bin/newgrp
       140621     36 -rwsr-xr-x   1 root     root        36224 May 10  2022 /usr/bin/umount
       141458     36 -rwsr-xr-x   1 root     root        36248 Feb 24  2021 /usr/bin/fusermount
       141936     60 -rwsr-xr-x   1 root     root        57008 Jun 21 16:27 /usr/bin/newgidmap
       141934     92 -rwsr-xr-x   1 root     root        86720 Jun 21 16:27 /usr/bin/gpasswd
       141931     32 -rwsr-xr-x   1 root     root        32376 Jun 21 16:27 /usr/bin/expiry
       143459    272 -rwsr-xr-x   1 root     root       273600 Aug  4 03:02 /usr/bin/sudo
  2. find / -path */proc -prune -o -nouser -print -o -nogroup -print コマンドを実行して、vApp 内のすべてのファイルに所有者が存在することを確認します。
    結果が表示されない場合は、すべてのファイルに所有者が存在します。
  3. find / -name "*" -type f -not -path "*/sys*" -not -path "*/proc*" -not -path "*/dev*" -perm -o+w | xargs ls -lb コマンドを実行して、vApp 上のすべてのファイルの権限を確認し、いずれのファイルも全ユーザーが書き込み可能なファイルではないことを確認します。
    Others は書き込み権限を持たないようにしてください。これらのファイルに対する権限は、 ##4 または ##5 である必要があります。ここで、 # は、所有者およびグループに対して指定されるデフォルトの権限セット( 6 または 7 など)と等しいものとします。
  4. find / -path */proc -prune -o ! -user root -o -user admin -print コマンドを実行して、ファイルが正しいユーザーに所有されていることを確認します。
    結果が表示されない場合は、すべてのファイルが root または admin のどちらかに所有されています。
  5. find /usr/lib/vmware-casa/ -type f -perm -o=w コマンドを実行して、/usr/lib/vmware-casa/ ディレクトリ内のファイルが、全ユーザーが書き込み可能なファイルではないことを確認します。
    このコマンドで結果が表示されないようにします。
  6. find /usr/lib/vmware-vcops/ -type f -perm -o=w コマンドを実行して、/usr/lib/vmware-vcops/ ディレクトリ内のファイルが、全ユーザーが書き込み可能なファイルではないことを確認します。
    このコマンドで結果が表示されないようにします。
  7. find /usr/lib/vmware-vcopssuite/ -type f -perm -o=w コマンドを実行して、/usr/lib/vmware-vcopssuite/ ディレクトリ内のファイルが、全ユーザーが書き込み可能なファイルではないことを確認します。
    このコマンドで結果が表示されないようにします。