Ubuntu для сотрудников банка [закрыт]

Закрыто . Этот вопрос должен быть более сфокусированным . В настоящее время не принимает ответы.

Хотите улучшить этот вопрос? Обновите вопрос, чтобы он был сосредоточен только на одной проблеме, отредактировав этот пост .

Закрыто 2 года назад .

Есть ли документированные процессы и методы о том, как запускать пользовательские компьютеры Ubuntu (от установки до повседневного использования) для банков и других предприятий, которые не хотят, чтобы пользователи загружали двоичные файлы из, возможно, небезопасных мест?

Так что apt-get, update и т. Д. Происходят только из нескольких надежных мест в Интернете или интранете?

Обновление: добавлено после первого ответа. Это пользователи поддержки, начинающие пользователи систем и разработчики программного обеспечения для банков ... поэтому некоторым из них нужны привилегии sudo. Есть ли готовый способ контролировать их, чтобы любые исключения быстро перехватывались (например, добавление списка источников), но о других действиях, таких как установка материалов из известных репозиториев, не сообщалось.

Цель состоит в том, чтобы быть безопасным, использовать Ubuntu или версию, позволить девиверам и другим пользователям sudo быть максимально продуктивными. (И уменьшить зависимость от компьютеров Windows и Mac)

0,2. И ИТ-специалисты могут определять политику для пользователей, чтобы они не могли выполнять какие-либо действия, такие как совместное использование папки, даже если пользователь sudo? Полное решение?

system-installation package-management software-installation security tgkprog
источник

Если вы предоставите им root-доступ sudo apt-get, то лучше установить хороший брандмауэр вне системы.

Муру

Чтобы немного поиграть в дьяволов, как вы гарантируете, что программное обеспечение в репозиториях Ubuntu является «доверенным»? Если ваша организация не просматривает какие-либо из этих пакетов или репозиториев, можно утверждать, что вы уже устанавливаете ненадежное программное обеспечение :) Кроме того, если вы не блокируете доступ в Интернет или не включаете определенные сайты из белого списка, техническому пользователю обойтись довольно просто такого рода ограничения, просто загрузите deb (s) вручную и установите ...

Rory McCune

Получив root, они могут установить недоверенные двоичные файлы, полученные через USB-накопитель. Или загрузите их. Или отправьте их по электронной почте самим себе. Удержать разработчика с правами root от установки всего необходимого программного обеспечения в принципе невозможно.

Федерико Полони

Я голосую, чтобы закрыть этот вопрос как не по теме, потому что это запрос на консультацию, а не простой QA, для которого предназначен этот сайт. Поэтому вопрос слишком широкий, чтобы его можно было здесь решить и не по теме!

Fabby

Следует использовать тщательно созданный файл sudoers, развернутый любой системой массового управления, обеспечивающей выполнение только разрешенных Компанией действий. Это делает варианты вопросов основанными или слишком широкими (оба совпадают). помечен для закрытия на основе мнения. (Сисадмин страхового брокера здесь, я выбрал путь во многих, следовательно, основанный на мнении флаг)

Tensibai

Ответы:

Это очень хороший вопрос, но на него очень сложно ответить.

Во-первых, у @Timothy Truckle есть хорошая отправная точка. Вы бы запустили свой собственный репозиторий apt, где ваша команда безопасности могла бы проверить каждый пакет. Но это только начало.

Далее вы хотели бы реализовать группы. Вы бы хотели, чтобы пользователи могли делать то, что им нужно, без особой помощи со стороны поддержки. Но в банковском деле вы действительно хотите, чтобы все было заперто. На самом деле во многих корпоративных структурах вы хотите все заблокировать. Таким образом, предоставление обычным пользователям привилегий sudo на любом уровне, вероятно, не требуется.

Вероятно, вы бы настроили так, чтобы определенным группам не требовались повышенные разрешения для выполнения своей работы.

Опять же, в большинстве корпоративных сред установка программ - это то, что может вас уволить, так что это нет, нет. Если вам нужно программное обеспечение, вы звоните в отдел ИТ, и они делают это за вас, или есть цепочка заявок или что-то подобное.

В идеале вам никогда не понадобится нормальный сотрудник для установки чего-либо или когда-либо понадобятся повышенные разрешения.

Теперь для разработчиков вопрос немного другой. Может быть, им нужно установить и, возможно, им нужно sudo. Но их блоки находятся в «сети опасности» и НИКОГДА не могут напрямую подключаться к критическим системам.

ИТ / вспомогательному персоналу понадобится sudo. Но вы можете ограничить доступ к sudo командой или процессом (оформление документов) или другими способами. Там могут быть целые тома о таких вещах, как «принцип 2 глаза» и как его реализовать. Но журналы аудита существуют и могут быть настроены для удовлетворения большинства потребностей.

Итак, вернемся к вашему вопросу. Ответ Тимофея Тракля на 100% правильный, но предпосылка для вашего вопроса не верна. Защита ОС Linux - это гораздо больше о выборе настроек, необходимых для вашего конкретного случая использования, и меньше об общей идее обеспечения безопасности.

coteyr
источник

хорошо сформулированный ответ

Кори Голдберг

Я работал на американского поставщика ИТ, где они отключили Windows 7 UAC из коробки в установочных образах (у них также были образы Linux), и все мои коллеги были администраторами на своих машинах и имели привилегии root для многих машин от разных клиентов, хранящих также финансовые ресурсы. Информация. Дело не в том, что не было никаких мер безопасности на месте, но как бы это выразить ... во что бы то ни стало, вы правы, и я бы предпочел, чтобы вы были так, если бы я был ответственным, но у вас есть реальный опыт или это просто желаемое за действительное?

LiveWireBT

Много-много лет реального опыта. ОП спросила о банковском деле и банковском деле, а также о многих корпоративных структурах, есть ли нормативные и договорные положения, которые необходимо соблюдать. Обычно вы начинаете (или заканчиваете) выполнением этих обязательств.

Котейр

Спасибо. Да, мы не являемся банком, но нам нужно и нужно соблюдать меры безопасности, как если бы они были конфиденциальными. Я использовал слово банк в качестве знакомого варианта использования.

tgkprog

Настройте свой собственный прокси-сервер репозитория Debian в вашей внутренней сети.

Настройте установку Ubuntu так, чтобы ваш прокси-репозиторий Debian был единственной записью в /etc/apt/sources.list.

Et voila: у вас есть полный контроль над программным обеспечением, установленным на ваших клиентах (при условии, что ни у одного пользователя нет прав суперпользователя).

Обновление: добавлено после первого ответа. Это пользователи поддержки, начинающие пользователи систем и разработчики программного обеспечения для банков ... поэтому некоторым из них нужны привилегии sudo. Есть ли готовый способ контролировать их, чтобы любые исключения быстро перехватывались (например, добавление списка источников), но о других действиях, таких как установка материалов из известных репозиториев, не сообщалось.

В пользовательской установки вы можете изменить /etc/sudoersфайл , так что пользователи могут запускать sudo apt updateи , sudo apt installно ни одна другая команда не начиная с apt. Конечно, вы также должны ограничить sudo bash(или любой другой оболочки).

Тимоти Тракл
источник

Пока ни один пользователь не имеет привилегий суперпользователя, они все равно не смогут установить программное обеспечение.

Byte Commander

Я редактировал вопрос.

tgkprog

@ByteCommander это правда, но что, если вы хотите добавить еще один «доверенный сайт» в дополнение к первоначальному списку? Вы бы предпочли запустить скрипт для обновления /etc/apt/sources.listна всех 10 000 клиентов или просто изменить этот файл на нескольких подходящих кешах?

Тимоти Траклле

@TimothyTruckle, если у вас действительно есть 10000 клиентов, то у вас также есть система управления, такая как Puppet, и добавление ее ко всем из них тривиально

muru

пользователи могут получить доступ к оболочке, если sudo apt update

сообщат о

Практически во всех магазинах, которые я видел, разработчики имели полный доступ к машинам для разработки, но эти машины имели доступ только к Интернету и хранилищу исходного кода.

Исходный код регистрируется и компилируется на доверенных компьютерах (на которые разработчики обычно не имеют или не нуждаются в административных разрешениях), а затем оттуда развертывается для тестирования систем, имеющих доступ к внутренней сети.

Независимо от того, используются ли эти машины разработчиками или отдельная группа тестирования, зависит от вашей организации, но, как правило, граница между доверенными и ненадежными машинами проходит между отдельными компьютерами, причем интерфейс между ними может быть проверен (например, принятие исходного кода).

Сотрудники ресепшн никогда не получают никаких административных привилегий. Когда мы развернули Solitaire на всех этих машинах, жалобы на эту политику практически прекратились.

Саймон Рихтер
источник

Хороший совет. Несколько проходов (игровые приложения) и, возможно, социальное пространство компании (вики, чат, форум, голосование), открытое в течение 1-2 часов в день.

tgkprog