Ubuntu для співробітників банківських розробників [закрито]

Чи є документи та процеси, задокументовані, як запускати власні комп’ютери Ubuntu (від встановлення до щоденного використання) для банків та інших підприємств, які не хочуть, щоб користувачі завантажували бінарні файли з можливо небезпечних місць?

Отже, що трапне отримання, оновлення тощо відбувається лише з декількох довірених локацій Інтернету чи Інтранети?

Оновлення: додано це після першої відповіді. Ці користувачі - це підтримка, початківці користувачі систем та розробники банківського програмного забезпечення ... тому деякі з них потребують привілеїв sudo. Чи є готовий спосіб їх моніторингу, щоб швидкі вилучення були вилучені (наприклад, додавання списку джерел), але інші дії, такі як встановлення матеріалів із відомих репостів, не повідомляються.

Мета - бути захищеними, використовувати Ubuntu або ароматизатор, дозволити deveopers та іншим користувачам судо бути максимально продуктивними. (І зменшити залежність від комп'ютерів Windows та Mac)

.2. І ІТ-люди можуть розробити політику для користувачів, щоб вони не могли робити якісь дії, як спільне використання папки, навіть якщо користувач sudo? Повне рішення?

Це дуже гарне запитання, але відповісти на нього дуже складно.

По-перше, для початку @Timothy Truckle має хорошу відправну точку. Ви б запустили власне підходяще репо, де ваша команда з безпеки могла перевірити кожен пакет. Але це лише початок.

Далі ви хочете реалізувати групи. Ви прагнете, щоб користувачі могли робити те, що їм потрібно, без особливої ​​допомоги з боку підтримки. Але в банківській справі дуже хочеться, щоб все було замкнено. Насправді в багатьох корпоративних структурах ви хочете заблокувати речі. Тож надання нормальним користувачам привілеїв для судового забезпечення на будь-якому рівні, ймовірно, не виходить.

Напевно, ви б це зробили так, щоб певні групи не потребували підвищених дозволів для виконання своєї роботи.

Знову ж таки, у більшості корпоративних середовищ встановлення програмного забезпечення - це те, що може вас звільнити, тож це не "ні". Якщо вам потрібне програмне забезпечення, ви дзвоните ІТ, і вони роблять це за вас, або є ланцюжок реквізитів або щось подібне.

В ідеалі вам ніколи не знадобиться звичайний працівник, щоб встановити що-небудь або коли-небудь потрібні підвищені дозволи.

Тепер для розробників питання дещо інше. Можливо, їм потрібно встановити і, можливо, їм потрібен sudo. Але їх скриньки знаходяться в "мережі небезпеки" і НІКОЛИ не можуть підключатися безпосередньо до критичних систем.

Персонал IT / підтримки потребуватиме судо. Але ви можете обмежити доступ до судо командою, процесом (паперовим оформленням) чи іншими способами. Тут можуть бути цілі томи про такі речі, як "головний керівник на 2 очі" та способи його реалізації. Але журнали аудиту існують і можуть бути налаштовані для задоволення більшості потреб.

Отже, повернемось до вашого питання. Відповідь Тімоті Тріклер на 100% правильна, але передумова для вашого питання відключена. Забезпечення ОС Linux - це набагато більше про вибір параметрів, необхідних для конкретного випадку використання, і менше про загальне уявлення про те, як захистити речі.

Налаштуйте власний проксі-репозиторій Debian у своїй інтранеті.

Налаштуйте установку ubuntu, щоб проксі-сховище вашого debian було єдиним входом у систему /etc/apt/sources.list.

Et voila: ви повністю контролюєте програмне забезпечення, встановлене на своїх клієнтах (до тих пір, поки жоден користувач не має суперкористувацьких прав).

Оновлення: додано це після першої відповіді. Ці користувачі - це підтримка, початківці користувачі систем та розробники банківського програмного забезпечення ... тому деякі з них потребують привілеїв sudo. Чи є готовий спосіб їх моніторингу, щоб швидкі вилучення були вилучені (наприклад, додавання списку джерел), але інші дії, такі як встановлення матеріалів із відомих репостів, не повідомляються.

У вибіркової інсталяції ви можете змінити /etc/sudoersфайл , так що користувачі можуть запускати sudo apt updateі , sudo apt installале ні одна інша команда не починаючи з apt. Звичайно, вам також доведеться обмежити sudo bash(або будь-яку іншу оболонку).

Майже в кожному магазині, який я бачив до цього часу, розробники мали повний доступ до машин для розробки, але ці машини мали лише доступ до Інтернету та до сховища вихідного коду.

Вихідний код перевіряється та компілюється на надійних машинах (на які розробники зазвичай не мають або не потребують адміністративних дозволів), а потім звідти розгортається для тестових систем, які мають доступ до внутрішньої мережі.

Незалежно від того, чи ці машини використовуються розробниками чи окремою тестовою командою, залежить від вашої організації, але, як правило, межа між довіреними та ненадійними машинами знаходиться між окремими машинами, інтерфейс між якими перевіряється (наприклад, код джерела).

Співробітники реєстрації не отримують жодних адміністративних пільг ніколи. Коли ми розгорнули пасьянс на всіх цих машинах, скарги на цю політику майже припинилися.