セキュリティ上のベスト プラクティスとして、アプリケーション リソースが保護されるようにします。
次の手順に従って、アプリケーション リソースが保護されるようにします。
手順
- find / -path /proc -prune -o -type f -perm /6000 -ls コマンドを実行して、正しく定義された SUID および GUID ビット セットがファイルに設定されていることを確認します。
次のリストが表示されます。
584208 44 -rwsr-xr-x 1 root root 44696 Feb 4 2019 /usr/bin/su 584210 60 -rwsr-xr-x 1 root root 54112 Feb 4 2019 /usr/bin/chfn 584646 56 -rwsr-x--- 1 root root 51872 Feb 4 2019 /usr/bin/crontab 584216 40 -rwsr-xr-x 1 root root 37128 Feb 4 2019 /usr/bin/newgidmap 584206 68 -rwsr-xr-x 1 root root 63736 Feb 4 2019 /usr/bin/passwd 584211 44 -rwsr-xr-x 1 root root 44544 Feb 4 2019 /usr/bin/chsh 584218 40 -rwsr-xr-x 1 root root 37128 Feb 4 2019 /usr/bin/newuidmap 587446 144 -rwsr-xr-x 1 root root 140856 Feb 4 2019 /usr/bin/sudo 585233 36 -rwsr-xr-x 1 root root 36144 Feb 4 2019 /usr/bin/umount 584212 32 -rwsr-xr-x 1 root root 31048 Feb 4 2019 /usr/bin/expiry 584209 76 -rwsr-xr-x 1 root root 71848 Feb 4 2019 /usr/bin/chage 585231 56 -rwsr-xr-x 1 root root 52968 Feb 4 2019 /usr/bin/mount 583901 36 -rwsr-xr-x 1 root root 34944 Feb 4 2019 /usr/bin/fusermount 586675 36 -rwsr-xr-x 1 root root 34952 Feb 4 2019 /usr/bin/fusermount3 584217 44 -rwsr-xr-x 1 root root 44472 Feb 4 2019 /usr/bin/newgrp 584214 80 -rwsr-xr-x 1 root root 75776 Feb 4 2019 /usr/bin/gpasswd 582975 428 -rwsr-xr-x 1 root root 432512 Mar 6 2019 /usr/libexec/ssh-keysign 587407 80 -rwsr-x--- 1 root root 76224 Feb 4 2019 /usr/libexec/dbus-daemon-launch-helper 587109 16 -rwsr-xr-x 1 root root 14408 Feb 4 2019 /usr/sbin/usernetctl 587105 16 -rwxr-sr-x 1 root root 14384 Feb 4 2019 /usr/sbin/netreport 582750 40 -rwsr-xr-x 1 root root 38960 Feb 4 2019 /usr/sbin/unix_chkpw
- find / -path */proc -prune -o -nouser -print -o -nogroup -print コマンドを実行して、vApp 内のすべてのファイルに所有者が存在することを確認します。
結果が表示されない場合は、すべてのファイルに所有者が存在します。
- find / -name "*" -type f -not -path "*/sys*" -not -path "*/proc*" -not -path "*/dev*" -perm -o+w | xargs ls -lb コマンドを実行して、vApp 上のすべてのファイルの権限を確認し、いずれのファイルも全ユーザーが書き込み可能なファイルではないことを確認します。
Others
は書き込み権限を持たないようにしてください。これらのファイルに対する権限は、 ##4 または ##5 である必要があります。ここで、 # は、所有者およびグループに対して指定されるデフォルトの権限セット( 6 または 7 など)と等しいものとします。 - find / -path */proc -prune -o ! -user root -o -user admin -print コマンドを実行して、ファイルが正しいユーザーに所有されていることを確認します。
結果が表示されない場合は、すべてのファイルが
root
またはadmin
のどちらかに所有されています。 -
find /usr/lib/vmware-casa/ -type f -perm -o=w
コマンドを実行して、/usr/lib/vmware-casa/ ディレクトリ内のファイルが、全ユーザーが書き込み可能なファイルではないことを確認します。このコマンドで結果が表示されないようにします。 -
find /usr/lib/vmware-vcops/ -type f -perm -o=w
コマンドを実行して、/usr/lib/vmware-vcops/ ディレクトリ内のファイルが、全ユーザーが書き込み可能なファイルではないことを確認します。このコマンドで結果が表示されないようにします。 -
find /usr/lib/vmware-vcopssuite/ -type f -perm -o=w
コマンドを実行して、/usr/lib/vmware-vcopssuite/ ディレクトリ内のファイルが、全ユーザーが書き込み可能なファイルではないことを確認します。このコマンドで結果が表示されないようにします。