Ubuntu dla pracowników deweloperów bankowych [zamknięte]

Zamknięte . To pytanie musi być bardziej skoncentrowane . Obecnie nie przyjmuje odpowiedzi.

Chcesz poprawić to pytanie? Zaktualizuj pytanie, aby skupiało się tylko na jednym problemie, edytując ten post .

Zamknięte 3 lata temu .

Czy istnieją udokumentowane procesy i metody uruchamiania niestandardowych komputerów Ubuntu (od instalacji do codziennego użytku) dla banków i innych firm, które nie chcą, aby użytkownicy pobierali pliki binarne z potencjalnie niepewnych lokalizacji?

Czy apt-get, update itp. Mają miejsce tylko z kilku zaufanych lokalizacji internetowych lub intranetowych?

Aktualizacja: Dodano to po pierwszej odpowiedzi. Ci użytkownicy to wsparcie, nowi użytkownicy systemów i twórcy oprogramowania bankowego ... więc niektórzy z nich potrzebują uprawnień sudo. Czy istnieje gotowy sposób na ich monitorowanie, aby wszelkie wyjątki zostały szybko wychwycone (np. Dodanie listy źródeł), ale inne działania, takie jak instalowanie rzeczy ze znanych repozytoriów, nie są zgłaszane.

Cel ma być bezpieczny, używać Ubuntu lub smaku, pozwolić deweloperom i innym użytkownikom sudo być tak wydajnym, jak to możliwe. (I zmniejszyć zależność od komputerów z systemem Windows i Mac)

.2. A pracownicy działu IT mogą ustalać zasady dla użytkowników, aby nie mogli wykonywać niektórych czynności, takich jak udostępnianie folderu, nawet jeśli użytkownik sudo? Kompletne rozwiązanie?

system-installation package-management software-installation security tgkprog
źródło

Jeśli zapewnisz im uprawnienia roota sudo apt-get, lepiej umieść dobrą zaporę ogniową poza systemem.

muru

Aby wcielić się w rolę diabłów, poprzyjcie trochę tutaj, jak zapewnić, że oprogramowanie w repozytoriach Ubuntu jest „zaufane”? Jeśli Twoja organizacja nie sprawdza żadnego z tych pakietów lub repozytoriów, można argumentować, że już instalujesz niezaufane oprogramowanie :) Również jeśli nie zablokujesz dostępu do Internetu lub stron z białej listy, omijanie go przez użytkownika technicznego jest bardzo proste tego rodzaju ograniczenie, wystarczy pobrać deb (s) ręcznie i zainstalować ...

Rory McCune

Po rootowaniu mogą instalować niezaufane pliki binarne uzyskane za pomocą pamięci USB. Lub pobierz je. Lub wyślij je e-mailem do siebie. Utrzymanie dewelopera z dostępem do roota przed instalacją całego potrzebnego oprogramowania jest w zasadzie niemożliwe.

Federico Poloni

Głosuję za zamknięciem tego pytania jako nie na temat, ponieważ jest to prośba o konsultacje, a nie zwykła kontrola jakości, dla której ta strona jest przeznaczona. Dlatego pytanie jest zbyt ogólne, aby można je było tutaj rozwiązać i było nie na temat!

Fabby

Powinien zrobić dokładnie spreparowany plik sudoers, wdrożony przez dowolny system zarządzania masą, zapewniający, że tylko firma dopuszcza się rzeczy. To sprawia, że opcje pytań są zbyt szerokie (oba pasują do siebie). oznaczony do zamknięcia na podstawie opinii. (tutaj sysadmin pośrednika ubezpieczeniowego, w wielu wybrałem ścieżkę, stąd flaga oparta na opiniach)

Tensibai

Odpowiedzi:

To bardzo dobre pytanie, ale odpowiedź jest bardzo trudna.

Po pierwsze, aby rozpocząć @Timothy Truckle ma dobry punkt wyjścia. Uruchomiłbyś własne apt repo, w którym zespół bezpieczeństwa mógłby zweryfikować każdą paczkę. Ale to dopiero początek.

Następnie chcesz wdrożyć grupy. Dążysz do tego, aby użytkownicy mogli robić to, czego potrzebują, bez dużej pomocy ze strony wsparcia. Ale w bankowości naprawdę chcesz, żeby sprawy zostały zamknięte. W rzeczywistości w wielu strukturach korporacyjnych chcesz to zablokować. Tak więc przyznanie normalnym użytkownikom uprawnień sudo na dowolnym poziomie prawdopodobnie nie istnieje.

To, co prawdopodobnie zrobiłbyś, to ustawienie rzeczy tak, aby niektóre grupy nie potrzebowały podwyższonych uprawnień do wykonywania swoich zadań.

Ponownie, w większości środowisk korporacyjnych instalowanie oprogramowania jest czymś, co może Cię zwolnić, więc to nie nie. Jeśli potrzebujesz oprogramowania, zadzwoń do IT, a oni zrobią to za Ciebie, albo istnieje łańcuch zapotrzebowań lub coś takiego.

Idealnie byłoby, gdyby normalny pracownik nigdy nie potrzebował niczego instalować ani nigdy nie potrzebowałby podwyższonych uprawnień.

Teraz dla programistów pytanie jest nieco inne. Może muszą zainstalować, a może potrzebują sudo. Ale ich urządzenia znajdują się w „niebezpiecznej sieci” i NIGDY nie mogą łączyć się bezpośrednio z krytycznymi systemami.

Pracownicy działu IT / wsparcia będą potrzebować sudo. Ale możesz ograniczyć dostęp do sudo za pomocą polecenia lub procesu (formalności) lub w inny sposób. Mogą istnieć całe tomy na temat takich rzeczy jak „zasada 2 oczu” i jak to zaimplementować. Istnieją jednak dzienniki kontroli, które można skonfigurować tak, aby spełniały większość potrzeb.

Wracając do twojego pytania. Odpowiedź Timothy'ego Truckle'a jest w 100% poprawna, ale przesłanka twojego pytania jest wyłączona. Zabezpieczanie systemu operacyjnego Linux to znacznie więcej na temat wybierania ustawień potrzebnych w konkretnym przypadku użycia, a mniej na ogólny pomysł na zabezpieczenie rzeczy.

Coteyr
źródło

dobrze określona odpowiedź

Corey Goldberg,

Pracowałem dla amerykańskiego dostawcy IT, w którym wyłączyli system Windows 7 UAC po wyjęciu z pudełka w obrazach instalacyjnych (mieli także obrazy Linuksa), a wszyscy moi współpracownicy byli administratorami na swoich komputerach i mieli uprawnienia root do wielu komputerów od różnych klientów przechowujących również finanse Informacja. Nie chodzi o to, że nie było żadnych pomiarów bezpieczeństwa, ale jak mam to powiedzieć… w każdym razie masz rację i wolałbym tak, jakbym to ja kierował, ale czy masz rzeczywiste doświadczenie, czy to po prostu pobożne życzenie?

LiveWireBT

Wiele lat rzeczywistego doświadczenia. PO zapytał o bankowość, w bankowości oraz w wielu strukturach korporacyjnych istnieją regulacje, zarówno umowne, jak i prawne, które należy spełnić. Zwykle zaczynasz (lub kończysz) wypełniając te obowiązki.

coteyr

Dziękuję Ci. Tak, nie jesteśmy bankiem, ale potrzebujemy bezpieczeństwa i przestrzegamy go tak jak w przypadku wrażliwych danych. Użyłem słowa bank jako znanego przypadku użycia.

tgkprog

Skonfiguruj własne proxy repozytorium debian w swoim intranecie.

Dostosuj instalację ubuntu , aby serwer proxy repozytorium debian był jedynym wpisem /etc/apt/sources.list.

Et voila: masz pełną kontrolę nad oprogramowaniem zainstalowanym na twoich klientach (o ile żaden użytkownik nie ma uprawnień superużytkownika).

Aktualizacja: Dodano to po pierwszej odpowiedzi. Ci użytkownicy to wsparcie, nowi użytkownicy systemów i twórcy oprogramowania bankowego ... więc niektórzy z nich potrzebują uprawnień sudo. Czy istnieje gotowy sposób na ich monitorowanie, aby wszelkie wyjątki zostały szybko wychwycone (np. Dodanie listy źródeł), ale inne działania, takie jak instalowanie rzeczy ze znanych repozytoriów, nie są zgłaszane.

W swojej instalacji niestandardowej można zmodyfikować /etc/sudoersplik tak, że użytkownicy mogą uruchamiać sudo apt updatei sudo apt installale żadna inna komenda zaczynając apt. Oczywiście musisz także ograniczyć sudo bash(lub dowolną inną powłokę).

Timothy Truckle
źródło

Dopóki żaden użytkownik nie ma uprawnień superużytkownika, i tak nie może zainstalować żadnego oprogramowania.

Bajt Dowódca

Zredagowałem pytanie.

tgkprog

@ByteCommander to prawda, ale co jeśli chcesz dodać jeszcze jedną „zaufaną stronę” oprócz początkowej listy? Czy wolisz uruchomić skrypt, aby zaktualizować /etc/apt/sources.listna wszystkich 10 000 klientów, czy po prostu zmodyfikować ten plik na kilku aptach?

Timothy Truckle,

@TimothyTruckle, jeśli naprawdę masz 10000 klientów, masz także system zarządzania taki jak Puppet, a dodanie go do wszystkich jest banalne

muru

użytkownicy mogą uzyskać dostęp do powłoki, jeśli sudo apt updatezgłosi konflikt plików

Ferrybig

W prawie każdym sklepie, który do tej pory widziałem, programiści mieli pełny dostęp do maszyn programistycznych, ale maszyny te miały dostęp tylko do Internetu i repozytorium kodu źródłowego.

Kod źródłowy jest rejestrowany i kompilowany na zaufanych komputerach (na których programiści zazwyczaj nie mają uprawnień administratora lub nie potrzebują ich), a następnie wdrażany jest do testowania systemów mających dostęp do sieci wewnętrznej.

To, czy te maszyny są używane przez programistów, czy oddzielny zespół testowy, zależy od organizacji - ale ogólnie granica między zaufanymi i niezaufanymi maszynami leży pomiędzy osobnymi maszynami, a interfejs między nimi można zweryfikować (np. Zatwierdzanie kodu źródłowego).

Pracownicy recepcji nigdy nie otrzymują żadnych uprawnień administracyjnych. Kiedy wdrożyliśmy Solitaire na wszystkich tych komputerach, skargi na te zasady prawie ustały.

Simon Richter
źródło

Dobra wskazówka. Kilka razy (aplikacje do gier) i być może ogólnodostępna przestrzeń społecznościowa (wiki, czat, forum, głosy), która jest otwarta przez 1-2 godziny dziennie.

tgkprog