Ubuntu для сотрудников банка dev [закрыто]

16

Существуют ли процессы и методы, описанные в том, как запускать пользовательские компьютеры Ubuntu (от установки до ежедневного использования) для банков и других предприятий, которые не хотят, чтобы пользователи загружали двоичные файлы из возможных небезопасных мест?

Итак, apt-get, update и т. д. происходят из нескольких доверенных мест в Интернете или в интрасети?

Обновление: добавлено это после первого ответа. Эти пользователи - это поддержка, начинающие пользователи систем и разработчиков банковского программного обеспечения ... поэтому некоторым из них нужны привилегии sudo. Есть ли готовый способ контролировать их, чтобы любые исключения были быстро схвачены (например, добавление списка источников), но другие действия, такие как установка материалов из известных репозиториев, не сообщаются.

Цель должна быть безопасной, использовать Ubuntu или аромат, позволять игрокам и другим пользователям sudo быть максимально продуктивными. (И уменьшить зависимость от компьютеров Windows и Mac)

0,2. И ИТ-специалисты могут делиться политикой с пользователями, поэтому они не могут выполнять некоторые действия, такие как совместное использование папки, даже если пользователь sudo? Полное решение?

    
задан tgkprog 16.01.2017 в 07:30
источник

3 ответа

5

Это очень хороший вопрос, но ответ очень сложный.

Во-первых, для того, чтобы начать @Timothy Truckle имеет хорошую отправную точку. Вы будете запускать собственное apt repo, где ваша команда безопасности может проверить каждый пакет. Но это только начало.

Затем вы хотите реализовать группы. Вы бы хотели, чтобы пользователи могли делать то, что им нужно, без значительной поддержки. Но в банковском деле вы действительно хотите, чтобы все было заблокировано. Фактически во многих корпоративных структурах вы хотите заблокировать все. Таким образом, предоставление обычных прав пользователей sudo на любом уровне, вероятно, отсутствует.

То, что вы, вероятно, сделаете, - это установить вещи так, чтобы определенные группы не нуждались в повышенных разрешениях для выполнения своих задач.

Опять же, в большинстве корпоративных сред установка программного обеспечения - это то, что может вас уволить, так что это не так. Если вам нужно программное обеспечение, которое вы вызываете ИТ, и они делают это за вас, или есть цепочка заявок или некоторые такие.

В идеале вам никогда не понадобится нормальный сотрудник, чтобы устанавливать что-либо или когда-либо нуждаться в повышенных разрешениях.

Теперь для разработчиков вопрос немного другой. Возможно, им нужно установить и, возможно, им нужно sudo. Но их ящики находятся в «опасной сети» и НИКОГДА не могут напрямую подключаться к критическим системам.

ИТ / персоналу службы поддержки потребуется sudo. Но вы можете ограничить доступ к sudo командой или процессом (документами) или другими средствами. Могут быть целые тома о таких вещах, как «главный глаз 2» и как его реализовать. Но журналы аудита существуют и могут быть настроены для удовлетворения большинства потребностей.

Итак, вернемся к вашему вопросу. Ответ Тимоти-Truckle на 100% правильный, но предпосылка для вашего вопроса отключена. Обеспечение ОС Linux намного больше зависит от выбора параметров, которые необходимы для вашего конкретного варианта использования, и меньше об общей идее, как защищать вещи.     

ответ дан coteyr 16.01.2017 в 20:28
источник
18

Создайте собственный прокси-сервер репозитория в своей интрасети.

Настроить установку ubuntu , чтобы ваш прокси-сервер репозитория debian был единственной записью в /etc/apt/sources.list .

Et voila: у вас есть полный контроль над программным обеспечением, установленным на ваших клиентах (если у пользователя нет прав суперпользователя).

  

Обновление: добавлено это после первого ответа. Эти пользователи - это поддержка, начинающие пользователи систем и разработчиков банковского программного обеспечения ... поэтому некоторым из них нужны привилегии sudo. Есть ли готовый способ контролировать их, чтобы любые исключения были быстро схвачены (например, добавление списка источников), но другие действия, такие как установка материалов из известных репозиториев, не сообщаются.

В вашей пользовательской установке вы можете изменить файл /etc/sudoers , чтобы ваши пользователи могли запускать sudo apt update и sudo apt install , но никакой другой команды, начинающейся с apt . Конечно, вам также необходимо ограничить sudo bash (или любую другую оболочку).

    
ответ дан Timothy Truckle 16.01.2017 в 07:36
6

В почти каждом магазине, который я видел до сих пор, разработчики имели полный доступ к машинам разработки, но эти машины имели доступ только к Интернету и к репозиторию исходного кода.

Исходный код проверяется и компилируется на доверенных машинах (для которых разработчикам обычно не нужны или необходимы административные разрешения), а затем оттуда развернуты для тестирования систем, имеющих доступ ко внутренней сети.

Независимо от того, используются ли эти машины разработчиками или отдельная группа тестирования, ваша организация - но, как правило, граница между надежными и ненадежными машинами находится между отдельными машинами, причем интерфейс между ними поддается проверке (например, компиляция исходного кода) .

Сотрудники службы поддержки не получают никаких административных привилегий. Когда мы развернули Solitaire на все эти машины, жалобы на эту политику в значительной степени прекратились.

    
ответ дан Simon Richter 17.01.2017 в 00:26