보안 모범 사례로, 애플리케이션 리소스가 보호되는지 확인합니다.

이 태스크 정보

아래의 단계에 따라 애플리케이션 리소스가 보호되는지 확인합니다.

프로시저

  1. Find / -path /proc -prune -o -type f -perm +6000 -ls 명령을 실행하여 파일에 올바르게 정의된 SUID 및 GUID 비트가 설정되어 있는지 확인합니다.

    다음 목록이 나타납니다.

    354131   24 -rwsr-xr-x   1 polkituser root 23176 /usr/lib/PolicyKit/polkit-set-default-helper
    354126   20 -rwxr-sr-x   1 root     polkituser    19208 /usr/lib/PolicyKit/polkit-grant-helper
    354125   20 -rwxr-sr-x   1 root     polkituser    19008 /usr/lib/PolicyKit/polkit-explicit-grant-helper
    354130   24 -rwxr-sr-x   1 root     polkituser    23160 /usr/lib/PolicyKit/polkit-revoke-helper
    354127   12 -rwsr-x---   1 root     polkituser    10744 /usr/lib/PolicyKit/polkit-grant-helper-pam
    354128   16 -rwxr-sr-x   1 root     polkituser    14856 /usr/lib/PolicyKit/polkit-read-auth-helper
     73886   84 -rwsr-xr-x   1 root     shadow      77848 /usr/bin/chsh
     73888   88 -rwsr-xr-x   1 root     shadow      85952 /usr/bin/gpasswd
     73887   20 -rwsr-xr-x   1 root     shadow      19320 /usr/bin/expiry
     73890   84 -rwsr-xr-x   1 root     root        81856 /usr/bin/passwd
     73799  240 -rwsr-xr-x   1 root     root       238488 /usr/bin/sudo
     73889   20 -rwsr-xr-x   1 root     root        19416 /usr/bin/newgrp
     73884   92 -rwsr-xr-x   1 root     shadow      86200 /usr/bin/chage
     73885   88 -rwsr-xr-x   1 root     shadow      82472 /usr/bin/chfn
     73916   40 -rwsr-x---   1 root     trusted     40432 /usr/bin/crontab
    296275   28 -rwsr-xr-x   1 root     root        26945 /usr/lib64/pt_chown
    353804  816 -r-xr-sr-x   1 root     mail       829672 /usr/sbin/sendmail
    278545   36 -rwsr-xr-x   1 root     root        35792 /bin/ping6
    278585   40 -rwsr-xr-x   1 root     root        40016 /bin/su
    278544   40 -rwsr-xr-x   1 root     root        40048 /bin/ping
    278638   72 -rwsr-xr-x   1 root     root        69240 /bin/umount
    278637  100 -rwsr-xr-x   1 root     root        94808 /bin/mount
    475333   48 -rwsr-x---   1 root     messagebus    47912 /lib64/dbus-1/dbus-daemon-launch-helper
     41001   36 -rwsr-xr-x   1 root     shadow      35688 /sbin/unix_chkpwd
     41118   12 -rwsr-xr-x   1 root     shadow      10736 /sbin/unix2_chkpwd
    
  2. find / -path */proc -prune -o -nouser -o -nogroup 명령을 실행하여 vApp의 모든 파일에 소유자가 있는지 확인합니다.

    결과가 표시되지 않으면 모든 파일에 소유자가 있는 것입니다.

  3. find / -name "*.*" -type f -perm -a+w | xargs ls -ldb 명령을 실행하고 vApp의 모든 파일에 대한 사용 권한을 검토하여 모든 파일이 모두 쓰기 가능한(world writable) 파일이 아닌지 확인합니다.

    어떠한 파일에도 xx2 사용 권한이 포함되어서는 안 됩니다.

  4. find / -path */proc -prune -o ! -user root -o -user admin -print 명령을 실행하여 올바른 사용자가 파일을 소유하고 있는지 확인합니다.

    결과가 표시되지 않으면 모든 파일이 root 또는 admin에 속하는 것입니다.

  5. find /usr/lib/vmware-casa/ -type f -perm -o=w 명령을 실행하여 /usr/lib/vmware-casa/ 디렉토리의 파일이 모두 쓰기 가능한(world writable) 파일이 아닌지 확인합니다.

    결과가 표시되지 않아야 합니다.

  6. find /usr/lib/vmware-vcops/ -type f -perm -o=w 명령을 실행하여 /usr/lib/vmware-vcops/ 디렉토리의 파일이 모두 쓰기 가능한(world writable) 파일이 아닌지 확인합니다.

    결과가 표시되지 않아야 합니다.

  7. find /usr/lib/vmware-vcopssuite/ -type f -perm -o=w 명령을 실행하여 /usr/lib/vmware-vcopssuite/ 디렉토리의 파일이 모두 쓰기 가능한(world writable) 파일이 아닌지 확인합니다.

    결과가 표시되지 않아야 합니다.