最佳安全性做法是確保應用程式資源受到保護。

請執行以下步驟,確保應用程式資源受到保護。

程序

  1. 執行 find / -path /proc -prune -o -type f -perm /6000 -ls 指令,驗證檔案已設定定義完善的 SUID 及 GUID 位元集。
    您會看到以下清單: 
    141850     40 -rwsr-xr-x   1 root     root        40376 May 31 08:07 /usr/sbin/unix_chkpwd
   143209     16 -rwsr-xr-x   1 root     root        15408 Feb 25  2021 /usr/sbin/usernetctl
   142963     72 -rwsr-x---   1 root     root        66128 Oct 13  2022 /usr/libexec/dbus-daemon-launch-helper
   141312    516 -rwsr-xr-x   1 root     root       524184 Aug  1 21:01 /usr/libexec/ssh-keysign
   141930     60 -rwsr-xr-x   1 root     root        54464 Jun 21 16:27 /usr/bin/chsh
   141929     64 -rwsr-xr-x   1 root     root        60272 Jun 21 16:27 /usr/bin/chfn
   141927     56 -rwsr-xr-x   1 root     root        50384 Jun 21 16:27 /usr/bin/su
   140604     64 -rwsr-xr-x   1 root     root        61192 May 10  2022 /usr/bin/mount
   142924     60 -rwsr-xr-x   1 root     root        53576 Feb 25  2021 /usr/bin/crontab
   141938     60 -rwsr-xr-x   1 root     root        57000 Jun 21 16:27 /usr/bin/newuidmap
   141926     76 -rwsr-xr-x   1 root     root        70088 Jun 21 16:27 /usr/bin/passwd
   141928     80 -rwsr-xr-x   1 root     root        73984 Jun 21 16:27 /usr/bin/chage
   141937     48 -rwsr-xr-x   1 root     root        46176 Jun 21 16:27 /usr/bin/newgrp
   140621     36 -rwsr-xr-x   1 root     root        36224 May 10  2022 /usr/bin/umount
   141458     36 -rwsr-xr-x   1 root     root        36248 Feb 24  2021 /usr/bin/fusermount
   141936     60 -rwsr-xr-x   1 root     root        57008 Jun 21 16:27 /usr/bin/newgidmap
   141934     92 -rwsr-xr-x   1 root     root        86720 Jun 21 16:27 /usr/bin/gpasswd
   141931     32 -rwsr-xr-x   1 root     root        32376 Jun 21 16:27 /usr/bin/expiry
   143459    272 -rwsr-xr-x   1 root     root       273600 Aug  4 03:02 /usr/bin/sudo
  2. 執行 find / -path */proc -prune -o -nouser -print -o -nogroup -print 命令,確認 vApp 中所有的檔案都有擁有者。
    如果沒有出現任何結果,表示所有檔案都有擁有者。
  3. 執行 find / -name "*" -type f -not -path "*/sys*" -not -path "*/proc*" -not -path "*/dev*" -perm -o+w | xargs ls -lb 命令,檢閱 vApp 上所有檔案的權限,以確認任何檔案不是任何人都能寫入的檔案。
    Others 不應具有寫入權限。這些檔案的權限應為 ##4##5,其中 # 等於擁有者和群組的預設權限,例如 67
  4. 執行 find / -path */proc -prune -o ! -user root -o -user admin -print 命令,確認這些檔案的擁有者都是正確的使用者。
    如果沒有出現任何結果,表示所有檔案都屬於 rootadmin
  5. 執行 find /usr/lib/vmware-casa/ -type f -perm -o=w 命令,確保 /usr/lib/vmware-casa/ 目錄中的檔案不是任何人都能寫入的。
    執行完畢後不應出現任何結果。
  6. 執行 find /usr/lib/vmware-vcops/ -type f -perm -o=w 命令,確保 /usr/lib/vmware-vcops/ 目錄中的檔案不是任何人都能寫入的。
    執行完畢後不應出現任何結果。
  7. 執行 find /usr/lib/vmware-vcopssuite/ -type f -perm -o=w 命令,確保 /usr/lib/vmware-vcopssuite/ 目錄中的檔案不是任何人都能寫入的。
    執行完畢後不應出現任何結果。