Ubuntu dla pracowników deweloperów bankowych [zamknięte]

Czy istnieją udokumentowane procesy i metody uruchamiania niestandardowych komputerów Ubuntu (od instalacji do codziennego użytku) dla banków i innych firm, które nie chcą, aby użytkownicy pobierali pliki binarne z potencjalnie niepewnych lokalizacji?

Czy apt-get, update itp. Mają miejsce tylko z kilku zaufanych lokalizacji internetowych lub intranetowych?

Aktualizacja: Dodano to po pierwszej odpowiedzi. Ci użytkownicy to wsparcie, nowi użytkownicy systemów i twórcy oprogramowania bankowego ... więc niektórzy z nich potrzebują uprawnień sudo. Czy istnieje gotowy sposób na ich monitorowanie, aby wszelkie wyjątki zostały szybko wychwycone (np. Dodanie listy źródeł), ale inne działania, takie jak instalowanie rzeczy ze znanych repozytoriów, nie są zgłaszane.

Cel ma być bezpieczny, używać Ubuntu lub smaku, pozwolić deweloperom i innym użytkownikom sudo być tak wydajnym, jak to możliwe. (I zmniejszyć zależność od komputerów z systemem Windows i Mac)

.2. A pracownicy działu IT mogą ustalać zasady dla użytkowników, aby nie mogli wykonywać niektórych czynności, takich jak udostępnianie folderu, nawet jeśli użytkownik sudo? Kompletne rozwiązanie?

To bardzo dobre pytanie, ale odpowiedź jest bardzo trudna.

Po pierwsze, aby rozpocząć @Timothy Truckle ma dobry punkt wyjścia. Uruchomiłbyś własne apt repo, w którym zespół bezpieczeństwa mógłby zweryfikować każdą paczkę. Ale to dopiero początek.

Następnie chcesz wdrożyć grupy. Dążysz do tego, aby użytkownicy mogli robić to, czego potrzebują, bez dużej pomocy ze strony wsparcia. Ale w bankowości naprawdę chcesz, żeby sprawy zostały zamknięte. W rzeczywistości w wielu strukturach korporacyjnych chcesz to zablokować. Tak więc przyznanie normalnym użytkownikom uprawnień sudo na dowolnym poziomie prawdopodobnie nie istnieje.

To, co prawdopodobnie zrobiłbyś, to ustawienie rzeczy tak, aby niektóre grupy nie potrzebowały podwyższonych uprawnień do wykonywania swoich zadań.

Ponownie, w większości środowisk korporacyjnych instalowanie oprogramowania jest czymś, co może Cię zwolnić, więc to nie nie. Jeśli potrzebujesz oprogramowania, zadzwoń do IT, a oni zrobią to za Ciebie, albo istnieje łańcuch zapotrzebowań lub coś takiego.

Idealnie byłoby, gdyby normalny pracownik nigdy nie potrzebował niczego instalować ani nigdy nie potrzebowałby podwyższonych uprawnień.

Teraz dla programistów pytanie jest nieco inne. Może muszą zainstalować, a może potrzebują sudo. Ale ich urządzenia znajdują się w „niebezpiecznej sieci” i NIGDY nie mogą łączyć się bezpośrednio z krytycznymi systemami.

Pracownicy działu IT / wsparcia będą potrzebować sudo. Ale możesz ograniczyć dostęp do sudo za pomocą polecenia lub procesu (formalności) lub w inny sposób. Mogą istnieć całe tomy na temat takich rzeczy jak „zasada 2 oczu” i jak to zaimplementować. Istnieją jednak dzienniki kontroli, które można skonfigurować tak, aby spełniały większość potrzeb.

Wracając do twojego pytania. Odpowiedź Timothy'ego Truckle'a jest w 100% poprawna, ale przesłanka twojego pytania jest wyłączona. Zabezpieczanie systemu operacyjnego Linux to znacznie więcej na temat wybierania ustawień potrzebnych w konkretnym przypadku użycia, a mniej na ogólny pomysł na zabezpieczenie rzeczy.

Skonfiguruj własne proxy repozytorium debian w swoim intranecie.

Dostosuj instalację ubuntu , aby serwer proxy repozytorium debian był jedynym wpisem /etc/apt/sources.list.

Et voila: masz pełną kontrolę nad oprogramowaniem zainstalowanym na twoich klientach (o ile żaden użytkownik nie ma uprawnień superużytkownika).

Aktualizacja: Dodano to po pierwszej odpowiedzi. Ci użytkownicy to wsparcie, nowi użytkownicy systemów i twórcy oprogramowania bankowego ... więc niektórzy z nich potrzebują uprawnień sudo. Czy istnieje gotowy sposób na ich monitorowanie, aby wszelkie wyjątki zostały szybko wychwycone (np. Dodanie listy źródeł), ale inne działania, takie jak instalowanie rzeczy ze znanych repozytoriów, nie są zgłaszane.

W swojej instalacji niestandardowej można zmodyfikować /etc/sudoersplik tak, że użytkownicy mogą uruchamiać sudo apt updatei sudo apt installale żadna inna komenda zaczynając apt. Oczywiście musisz także ograniczyć sudo bash(lub dowolną inną powłokę).

W prawie każdym sklepie, który do tej pory widziałem, programiści mieli pełny dostęp do maszyn programistycznych, ale maszyny te miały dostęp tylko do Internetu i repozytorium kodu źródłowego.

Kod źródłowy jest rejestrowany i kompilowany na zaufanych komputerach (na których programiści zazwyczaj nie mają uprawnień administratora lub nie potrzebują ich), a następnie wdrażany jest do testowania systemów mających dostęp do sieci wewnętrznej.

To, czy te maszyny są używane przez programistów, czy oddzielny zespół testowy, zależy od organizacji - ale ogólnie granica między zaufanymi i niezaufanymi maszynami leży pomiędzy osobnymi maszynami, a interfejs między nimi można zweryfikować (np. Zatwierdzanie kodu źródłowego).

Pracownicy recepcji nigdy nie otrzymują żadnych uprawnień administracyjnych. Kiedy wdrożyliśmy Solitaire na wszystkich tych komputerach, skargi na te zasady prawie ustały.