Ubuntu для сотрудников банка [закрыт]

Есть ли документированные процессы и методы о том, как запускать пользовательские компьютеры Ubuntu (от установки до повседневного использования) для банков и других предприятий, которые не хотят, чтобы пользователи загружали двоичные файлы из, возможно, небезопасных мест?

Так что apt-get, update и т. Д. Происходят только из нескольких надежных мест в Интернете или интранете?

Обновление: добавлено после первого ответа. Это пользователи поддержки, начинающие пользователи систем и разработчики программного обеспечения для банков ... поэтому некоторым из них нужны привилегии sudo. Есть ли готовый способ контролировать их, чтобы любые исключения быстро перехватывались (например, добавление списка источников), но о других действиях, таких как установка материалов из известных репозиториев, не сообщалось.

Цель состоит в том, чтобы быть безопасным, использовать Ubuntu или версию, позволить девиверам и другим пользователям sudo быть максимально продуктивными. (И уменьшить зависимость от компьютеров Windows и Mac)

0,2. И ИТ-специалисты могут определять политику для пользователей, чтобы они не могли выполнять какие-либо действия, такие как совместное использование папки, даже если пользователь sudo? Полное решение?

Это очень хороший вопрос, но на него очень сложно ответить.

Во-первых, у @Timothy Truckle есть хорошая отправная точка. Вы бы запустили свой собственный репозиторий apt, где ваша команда безопасности могла бы проверить каждый пакет. Но это только начало.

Далее вы хотели бы реализовать группы. Вы бы хотели, чтобы пользователи могли делать то, что им нужно, без особой помощи со стороны поддержки. Но в банковском деле вы действительно хотите, чтобы все было заперто. На самом деле во многих корпоративных структурах вы хотите все заблокировать. Таким образом, предоставление обычным пользователям привилегий sudo на любом уровне, вероятно, не требуется.

Вероятно, вы бы настроили так, чтобы определенным группам не требовались повышенные разрешения для выполнения своей работы.

Опять же, в большинстве корпоративных сред установка программ - это то, что может вас уволить, так что это нет, нет. Если вам нужно программное обеспечение, вы звоните в отдел ИТ, и они делают это за вас, или есть цепочка заявок или что-то подобное.

В идеале вам никогда не понадобится нормальный сотрудник для установки чего-либо или когда-либо понадобятся повышенные разрешения.

Теперь для разработчиков вопрос немного другой. Может быть, им нужно установить и, возможно, им нужно sudo. Но их блоки находятся в «сети опасности» и НИКОГДА не могут напрямую подключаться к критическим системам.

ИТ / вспомогательному персоналу понадобится sudo. Но вы можете ограничить доступ к sudo командой или процессом (оформление документов) или другими способами. Там могут быть целые тома о таких вещах, как «принцип 2 глаза» и как его реализовать. Но журналы аудита существуют и могут быть настроены для удовлетворения большинства потребностей.

Итак, вернемся к вашему вопросу. Ответ Тимофея Тракля на 100% правильный, но предпосылка для вашего вопроса не верна. Защита ОС Linux - это гораздо больше о выборе настроек, необходимых для вашего конкретного случая использования, и меньше об общей идее обеспечения безопасности.

Настройте свой собственный прокси-сервер репозитория Debian в вашей внутренней сети.

Настройте установку Ubuntu так, чтобы ваш прокси-репозиторий Debian был единственной записью в /etc/apt/sources.list.

Et voila: у вас есть полный контроль над программным обеспечением, установленным на ваших клиентах (при условии, что ни у одного пользователя нет прав суперпользователя).

Обновление: добавлено после первого ответа. Это пользователи поддержки, начинающие пользователи систем и разработчики программного обеспечения для банков ... поэтому некоторым из них нужны привилегии sudo. Есть ли готовый способ контролировать их, чтобы любые исключения быстро перехватывались (например, добавление списка источников), но о других действиях, таких как установка материалов из известных репозиториев, не сообщалось.

В пользовательской установки вы можете изменить /etc/sudoersфайл , так что пользователи могут запускать sudo apt updateи , sudo apt installно ни одна другая команда не начиная с apt. Конечно, вы также должны ограничить sudo bash(или любой другой оболочки).

Практически во всех магазинах, которые я видел, разработчики имели полный доступ к машинам для разработки, но эти машины имели доступ только к Интернету и хранилищу исходного кода.

Исходный код регистрируется и компилируется на доверенных компьютерах (на которые разработчики обычно не имеют или не нуждаются в административных разрешениях), а затем оттуда развертывается для тестирования систем, имеющих доступ к внутренней сети.

Независимо от того, используются ли эти машины разработчиками или отдельная группа тестирования, зависит от вашей организации, но, как правило, граница между доверенными и ненадежными машинами проходит между отдельными компьютерами, причем интерфейс между ними может быть проверен (например, принятие исходного кода).

Сотрудники ресепшн никогда не получают никаких административных привилегий. Когда мы развернули Solitaire на всех этих машинах, жалобы на эту политику практически прекратились.