보안 모범 사례로, 애플리케이션 리소스가 보호되는지 확인합니다.
아래의 단계에 따라 애플리케이션 리소스가 보호되는지 확인합니다.
프로시저
- find / -path /proc -prune -o -type f -perm /6000 -ls 명령을 실행하여 파일에 올바르게 정의된 SUID 및 GUID 비트가 설정되어 있는지 확인합니다.
다음 목록이 나타납니다.
584208 44 -rwsr-xr-x 1 root root 44696 Feb 4 2019 /usr/bin/su 584210 60 -rwsr-xr-x 1 root root 54112 Feb 4 2019 /usr/bin/chfn 584646 56 -rwsr-x--- 1 root root 51872 Feb 4 2019 /usr/bin/crontab 584216 40 -rwsr-xr-x 1 root root 37128 Feb 4 2019 /usr/bin/newgidmap 584206 68 -rwsr-xr-x 1 root root 63736 Feb 4 2019 /usr/bin/passwd 584211 44 -rwsr-xr-x 1 root root 44544 Feb 4 2019 /usr/bin/chsh 584218 40 -rwsr-xr-x 1 root root 37128 Feb 4 2019 /usr/bin/newuidmap 587446 144 -rwsr-xr-x 1 root root 140856 Feb 4 2019 /usr/bin/sudo 585233 36 -rwsr-xr-x 1 root root 36144 Feb 4 2019 /usr/bin/umount 584212 32 -rwsr-xr-x 1 root root 31048 Feb 4 2019 /usr/bin/expiry 584209 76 -rwsr-xr-x 1 root root 71848 Feb 4 2019 /usr/bin/chage 585231 56 -rwsr-xr-x 1 root root 52968 Feb 4 2019 /usr/bin/mount 583901 36 -rwsr-xr-x 1 root root 34944 Feb 4 2019 /usr/bin/fusermount 586675 36 -rwsr-xr-x 1 root root 34952 Feb 4 2019 /usr/bin/fusermount3 584217 44 -rwsr-xr-x 1 root root 44472 Feb 4 2019 /usr/bin/newgrp 584214 80 -rwsr-xr-x 1 root root 75776 Feb 4 2019 /usr/bin/gpasswd 582975 428 -rwsr-xr-x 1 root root 432512 Mar 6 2019 /usr/libexec/ssh-keysign 587407 80 -rwsr-x--- 1 root root 76224 Feb 4 2019 /usr/libexec/dbus-daemon-launch-helper 587109 16 -rwsr-xr-x 1 root root 14408 Feb 4 2019 /usr/sbin/usernetctl 587105 16 -rwxr-sr-x 1 root root 14384 Feb 4 2019 /usr/sbin/netreport 582750 40 -rwsr-xr-x 1 root root 38960 Feb 4 2019 /usr/sbin/unix_chkpw
- find / -path */proc -prune -o -nouser -o -nogroup 명령을 실행하여 vApp의 모든 파일에 소유자가 있는지 확인합니다.
결과가 표시되지 않으면 모든 파일에 소유자가 있는 것입니다.
- find / -name "*.*" -type f -perm -a+w | xargs ls -ldb 명령을 실행하고 vApp의 모든 파일에 대한 사용 권한을 검토하여 모든 파일이 모두 쓰기 가능한(world writable) 파일이 아닌지 확인합니다.
Others
에 쓰기 권한이 없어야 합니다. 이러한 파일에 대한 사용 권한은 ##4 또는 ##5여야 하며, 여기서 #은 소유자 및 그룹에 대해 지정된 기본 권한 집합(예: 6 또는 7)과 동일합니다. - find / -path */proc -prune -o ! -user root -o -user admin -print 명령을 실행하여 올바른 사용자가 파일을 소유하고 있는지 확인합니다.
결과가 표시되지 않으면 모든 파일이
root
또는admin
에 속하는 것입니다. -
find /usr/lib/vmware-casa/ -type f -perm -o=w
명령을 실행하여 /usr/lib/vmware-casa/ 디렉토리의 파일이 모두 쓰기 가능한(world writable) 파일이 아닌지 확인합니다.결과가 표시되지 않아야 합니다. -
find /usr/lib/vmware-vcops/ -type f -perm -o=w
명령을 실행하여 /usr/lib/vmware-vcops/ 디렉토리의 파일이 모두 쓰기 가능한(world writable) 파일이 아닌지 확인합니다.결과가 표시되지 않아야 합니다. -
find /usr/lib/vmware-vcopssuite/ -type f -perm -o=w
명령을 실행하여 /usr/lib/vmware-vcopssuite/ 디렉토리의 파일이 모두 쓰기 가능한(world writable) 파일이 아닌지 확인합니다.결과가 표시되지 않아야 합니다.