セキュリティ上のベスト プラクティスとして、アプリケーション リソースが保護されるようにします。

次の手順に従って、アプリケーション リソースが保護されるようにします。

手順

  1. find / -path /proc -prune -o -type f -perm /6000 -ls コマンドを実行して、正しく定義された SUID および GUID ビット セットがファイルに設定されていることを確認します。
    次のリストが表示されます。
    584208     44 -rwsr-xr-x   1  root     root        44696 Feb  4  2019 /usr/bin/su
       584210     60 -rwsr-xr-x   1  root     root        54112 Feb  4  2019 /usr/bin/chfn
       584646     56 -rwsr-x---   1  root     root        51872 Feb  4  2019 /usr/bin/crontab
       584216     40 -rwsr-xr-x   1  root     root        37128 Feb  4  2019 /usr/bin/newgidmap
       584206     68 -rwsr-xr-x   1  root     root        63736 Feb  4  2019 /usr/bin/passwd
       584211     44 -rwsr-xr-x   1  root     root        44544 Feb  4  2019 /usr/bin/chsh
       584218     40 -rwsr-xr-x   1  root     root        37128 Feb  4  2019 /usr/bin/newuidmap
       587446    144 -rwsr-xr-x   1  root     root       140856 Feb  4  2019 /usr/bin/sudo
       585233     36 -rwsr-xr-x   1  root     root        36144 Feb  4  2019 /usr/bin/umount
       584212     32 -rwsr-xr-x   1  root     root        31048 Feb  4  2019 /usr/bin/expiry
       584209     76 -rwsr-xr-x   1  root     root        71848 Feb  4  2019 /usr/bin/chage
       585231     56 -rwsr-xr-x   1  root     root        52968 Feb  4  2019 /usr/bin/mount
       583901     36 -rwsr-xr-x   1  root     root        34944 Feb  4  2019 /usr/bin/fusermount
       586675     36 -rwsr-xr-x   1  root     root        34952 Feb  4  2019 /usr/bin/fusermount3
       584217     44 -rwsr-xr-x   1  root     root        44472 Feb  4  2019 /usr/bin/newgrp
       584214     80 -rwsr-xr-x   1  root     root        75776 Feb  4  2019 /usr/bin/gpasswd
       582975    428 -rwsr-xr-x   1  root     root       432512 Mar  6  2019 /usr/libexec/ssh-keysign
       587407     80 -rwsr-x---   1  root     root        76224 Feb  4  2019 /usr/libexec/dbus-daemon-launch-helper
       587109     16 -rwsr-xr-x   1  root     root        14408 Feb  4  2019 /usr/sbin/usernetctl
       587105     16 -rwxr-sr-x   1  root     root        14384 Feb  4  2019 /usr/sbin/netreport
       582750     40 -rwsr-xr-x   1  root     root        38960 Feb  4  2019 /usr/sbin/unix_chkpw
    
  2. find / -path */proc -prune -o -nouser -print -o -nogroup -print コマンドを実行して、vApp 内のすべてのファイルに所有者が存在することを確認します。
    結果が表示されない場合は、すべてのファイルに所有者が存在します。
  3. find / -name "*" -type f -not -path "*/sys*" -not -path "*/proc*" -not -path "*/dev*" -perm -o+w | xargs ls -lb コマンドを実行して、vApp 上のすべてのファイルの権限を確認し、いずれのファイルも全ユーザーが書き込み可能なファイルではないことを確認します。
    Others は書き込み権限を持たないようにしてください。これらのファイルに対する権限は、 ##4 または ##5 である必要があります。ここで、 # は、所有者およびグループに対して指定されるデフォルトの権限セット( 6 または 7 など)と等しいものとします。
  4. find / -path */proc -prune -o ! -user root -o -user admin -print コマンドを実行して、ファイルが正しいユーザーに所有されていることを確認します。
    結果が表示されない場合は、すべてのファイルが root または admin のどちらかに所有されています。
  5. find /usr/lib/vmware-casa/ -type f -perm -o=w コマンドを実行して、/usr/lib/vmware-casa/ ディレクトリ内のファイルが、全ユーザーが書き込み可能なファイルではないことを確認します。
    このコマンドで結果が表示されないようにします。
  6. find /usr/lib/vmware-vcops/ -type f -perm -o=w コマンドを実行して、/usr/lib/vmware-vcops/ ディレクトリ内のファイルが、全ユーザーが書き込み可能なファイルではないことを確認します。
    このコマンドで結果が表示されないようにします。
  7. find /usr/lib/vmware-vcopssuite/ -type f -perm -o=w コマンドを実行して、/usr/lib/vmware-vcopssuite/ ディレクトリ内のファイルが、全ユーザーが書き込み可能なファイルではないことを確認します。
    このコマンドで結果が表示されないようにします。