vRealize Automation 애플리케이션 리소스를 검토하고 파일 사용 권한을 제한합니다.

프로시저

  1. 다음 명령을 실행하여 SUID 및 GUID 비트가 설정된 파일이 올바르게 정의되었는지 확인합니다.

    find / -path /proc -prune -o -type f -perm +6000 -ls

    다음 목록이 표시되어야 합니다.

    2197357   24 -rwsr-xr-x   1 polkituser root        23176 Mar 31  2015 /usr/lib/PolicyKit/polkit-set-default-helper
    2197354   16 -rwxr-sr-x   1 root     polkituser    14856 Mar 31  2015 /usr/lib/PolicyKit/polkit-read-auth-helper
    2197353   12 -rwsr-x---   1 root     polkituser    10744 Mar 31  2015 /usr/lib/PolicyKit/polkit-grant-helper-pam
    2197352   20 -rwxr-sr-x   1 root     polkituser    19208 Mar 31  2015 /usr/lib/PolicyKit/polkit-grant-helper
    2197351   20 -rwxr-sr-x   1 root     polkituser    19008 Mar 31  2015 /usr/lib/PolicyKit/polkit-explicit-grant-helper
    2197356   24 -rwxr-sr-x   1 root     polkituser    23160 Mar 31  2015 /usr/lib/PolicyKit/polkit-revoke-helper
    2188203  460 -rws--x--x   1 root     root       465364 Apr 21 22:38 /usr/lib64/ssh/ssh-keysign
    2138858   12 -rwxr-sr-x   1 root     tty         10680 May 10  2010 /usr/sbin/utempter
    2142482  144 -rwsr-xr-x   1 root     root       142890 Sep 15  2015 /usr/bin/passwd
    2142477  164 -rwsr-xr-x   1 root     shadow     161782 Sep 15  2015 /usr/bin/chage
    2142467  156 -rwsr-xr-x   1 root     shadow     152850 Sep 15  2015 /usr/bin/chfn
    1458298  364 -rwsr-xr-x   1 root     root       365787 Jul 22  2015 /usr/bin/sudo
    2142481   64 -rwsr-xr-x   1 root     root        57776 Sep 15  2015 /usr/bin/newgrp
    1458249   40 -rwsr-x---   1 root     trusted     40432 Mar 18  2015 /usr/bin/crontab
    2142478  148 -rwsr-xr-x   1 root     shadow     146459 Sep 15  2015 /usr/bin/chsh
    2142480  156 -rwsr-xr-x   1 root     shadow     152387 Sep 15  2015 /usr/bin/gpasswd
    2142479   48 -rwsr-xr-x   1 root     shadow      46967 Sep 15  2015 /usr/bin/expiry
    311484   48 -rwsr-x---   1 root     messagebus    47912 Sep 16  2014 /lib64/dbus-1/dbus-daemon-launch-helper
    876574   36 -rwsr-xr-x   1 root     shadow      35688 Apr 10  2014 /sbin/unix_chkpwd
    876648   12 -rwsr-xr-x   1 root     shadow      10736 Dec 16  2011 /sbin/unix2_chkpwd
     49308   68 -rwsr-xr-x   1 root     root        63376 May 27  2015 /opt/likewise/bin/ksu
    1130552   40 -rwsr-xr-x   1 root     root        40016 Apr 16  2015 /bin/su
    1130511   40 -rwsr-xr-x   1 root     root        40048 Apr 15  2011 /bin/ping
    1130600  100 -rwsr-xr-x   1 root     root        94808 Mar 11  2015 /bin/mount
    1130601   72 -rwsr-xr-x   1 root     root        69240 Mar 11  2015 /bin/umount
    1130512   36 -rwsr-xr-x   1 root     root        35792 Apr 15  2011 /bin/ping6  2012 /lib64/dbus-1/dbus-daemon-launch-helper 
    

  2. 다음 명령을 실행하여 가상 장치에 있는 모든 파일에 대해 소유자가 있는지 확인합니다.

    find / -path /proc -prune -o -nouser -o -nogroup

  3. 다음 명령을 실행하여 가상 장치에 대한 모든 파일의 사용 권한을 검토하고 world writable 사용 권한이 없는지 확인합니다.

    find / -name "*.*" -type f -perm -a+w | xargs ls –ldb

  4. 다음 명령을 실행하여 vcac 사용자만 올바른 파일을 소유하는지 확인합니다.

    find / -name "proc" -prune -o -user vcac -print | egrep -v -e "*/vcac/*" | egrep -v -e "*/vmware-vcac/*"

    결과가 표시되지 않으면 모든 올바른 파일을 vcac 사용자만 소유하고 있는 것입니다.

  5. 다음 파일에 대해 vcac 사용자만 쓰기 가능한지 확인합니다.

    /etc/vcac/vcac/security.properties

    /etc/vcac/vcac/solution-users.properties

    /etc/vcac/vcac/sso-admin.properties

    /etc/vcac/vcac/vcac.keystore

    /etc/vcac/vcac/vcac.properties

    다음 파일과 해당 하위 디렉토리도 확인합니다.

    /var/log/vcac/*

    /var/lib/vcac/*

    /var/cache/vcac/*

  6. vcac 또는 루트 사용자만 다음 디렉토리와 해당 하위 디렉토리의 올바른 파일을 읽을 수 있는지 확인합니다.

    /etc/vcac/*

    /var/log/vcac/*

    /var/lib/vcac/*

    /var/cache/vcac/*

  7. 다음 디렉토리와 해당 하위 디렉토리에 나와 있는 올바른 파일을 vco 또는 루트 사용자만 소유하고 있는지 확인합니다.

    /etc/vco/*

    /var/log/vco/*

    /var/lib/vco/*

    /var/cache/vco/*

  8. 다음 디렉토리와 해당 하위 디렉토리에 나와 있는 올바른 파일에 대해 vco 또는 루트 사용자만 쓰기 가능한지 확인합니다.

    /etc/vco/*

    /var/log/vco/*

    /var/lib/vco/*

    /var/cache/vco/*

  9. 다음 디렉토리와 해당 하위 디렉토리에 나와 있는 올바른 파일에 대해 vco 또는 루트 사용자만 읽기 가능한지 확인합니다.

    /etc/vco/*

    /var/log/vco/*

    /var/lib/vco/*

    /var/cache/vco/*