Ubuntu untuk karyawan bank dev [ditutup]

Ditutup . Pertanyaan ini perlu lebih fokus . Saat ini tidak menerima jawaban.

Ingin meningkatkan pertanyaan ini? Perbarui pertanyaan sehingga berfokus pada satu masalah hanya dengan mengedit posting ini .

Ditutup 2 tahun yang lalu .

Apakah ada proses dan metode yang didokumentasikan tentang cara menjalankan komputer Ubuntu kustom (dari instalasi hingga penggunaan setiap hari) untuk bank dan bisnis lain yang tidak ingin pengguna mengunduh binari dari lokasi yang mungkin tidak aman?

Sehingga apt-get, pembaruan dll terjadi hanya dari beberapa lokasi internet atau intranet tepercaya?

Pembaruan: Menambahkan ini setelah jawaban pertama. Pengguna ini adalah pendukung, pengguna pemula sistem dan pengembang perangkat lunak bank ... sehingga beberapa dari mereka memerlukan hak istimewa sudo. Apakah ada cara yang siap untuk memantau mereka sehingga setiap pengecualian ditangkap dengan cepat (seperti menambahkan daftar sumber) tetapi tindakan lain seperti memasang barang dari repo yang diketahui tidak dilaporkan.

Tujuannya agar aman, gunakan Ubuntu atau rasa, memungkinkan deveopers dan pengguna sudo lainnya menjadi seproduktif mungkin. (Dan mengurangi ketergantungan pada komputer Windows dan Mac)

.2. Dan orang-orang IT dapat membuat kebijakan untuk pengguna sehingga mereka tidak dapat melakukan beberapa tindakan seperti berbagi folder, bahkan jika pengguna sudo? Solusi lengkap?

system-installation package-management software-installation security tgkprog
sumber

Jika Anda memberi mereka akses root sudo apt-get, maka Anda lebih baik meletakkan firewall yang bagus di luar sistem.

muru

Untuk sedikit bermain sebagai pendukung setan di sini, bagaimana Anda memastikan bahwa perangkat lunak dalam repositori Ubuntu "tepercaya"? Jika organisasi Anda tidak meninjau salah satu dari paket atau repositori tersebut, dapat dikatakan bahwa Anda sudah menginstal perangkat lunak yang tidak terpercaya :) Juga kecuali Anda memblokir akses Internet atau daftar putih situs tertentu, itu cukup sepele bagi pengguna teknis untuk mem-bypass pembatasan semacam ini, cukup unduh deb secara manual dan instal ...

Rory McCune

Setelah mereka root, mereka dapat menginstal binari yang tidak terpercaya yang diperoleh melalui stik USB. Atau unduh mereka. Atau mengirim mereka melalui email ke diri mereka sendiri. Menjaga pengembang dengan akses root dari menginstal semua perangkat lunak yang mereka inginkan pada dasarnya tidak mungkin.

Federico Poloni

Saya memberikan suara untuk menutup pertanyaan ini sebagai di luar topik karena ini adalah permintaan untuk konsultasi, bukan QA sederhana yang dirancang untuk situs ini. Karena itu pertanyaannya terlalu luas untuk ditangani di sini dan di luar topik!

Fabby

File sudoers yang dibuat dengan hati-hati harus dilakukan, digunakan oleh sistem manajemen massa apa pun yang memastikan hanya hal-hal yang diperbolehkan Perusahaan yang dilakukan. Ini menjadikan opsi pertanyaan berdasarkan atau terlalu luas (keduanya cocok). ditandai untuk penutupan berdasarkan opini. (broker asuransi sysadmin di sini, saya telah memilih jalan di banyak, maka bendera berdasarkan pendapat)

Tensibai

Jawaban:

Ini adalah pertanyaan yang sangat bagus, tetapi jawabannya sangat sulit.

Pertama, untuk memulai @Timothy Truckle memiliki titik awal yang baik. Anda akan menjalankan repo apt Anda sendiri di mana tim keamanan Anda dapat memverifikasi setiap paket. Tapi itu baru awalnya.

Selanjutnya Anda ingin menerapkan kelompok. Anda bertujuan agar pengguna dapat melakukan hal-hal yang mereka butuhkan tanpa banyak bantuan dari dukungan. Tetapi di perbankan Anda benar-benar ingin semuanya terkunci. Bahkan dalam banyak struktur perusahaan Anda ingin mengunci semuanya. Jadi, memberikan hak pengguna sudo yang normal pada tingkat mana pun mungkin tidak ada.

Apa yang Anda mungkin akan lakukan adalah mengatur hal-hal sehingga kelompok-kelompok tertentu tidak memerlukan izin tinggi untuk melakukan pekerjaan mereka.

Sekali lagi, di sebagian besar lingkungan perusahaan, menginstal perangkat lunak adalah sesuatu yang dapat membuat Anda dipecat, jadi itu tidak, tidak. Jika Anda memerlukan perangkat lunak, Anda memanggilnya dan mereka melakukannya untuk Anda, atau ada rantai permintaan atau semacamnya.

Idealnya Anda tidak akan pernah membutuhkan karyawan normal untuk menginstal apa pun atau membutuhkan izin yang lebih tinggi.

Sekarang untuk Pengembang pertanyaannya sedikit berbeda. Mungkin mereka perlu menginstal dan mungkin mereka membutuhkan sudo. Tetapi kotak-kotak mereka berada di "jaringan bahaya" dan tidak pernah bisa terhubung langsung ke sistem kritis.

Staf IT / Dukungan akan membutuhkan sudo. Tetapi Anda dapat membatasi akses sudo dengan perintah, atau proses (dokumen) atau cara lain. Mungkin ada banyak volume tentang hal-hal seperti "kepala 2 mata" dan bagaimana menerapkannya. Tetapi log audit ada dan dapat dikonfigurasi untuk memenuhi sebagian besar kebutuhan.

Jadi, kembali ke pertanyaan Anda. Jawaban Timothy Truckle adalah 100% benar, tetapi premis untuk pertanyaan Anda tidak aktif. Mengamankan OS Linux lebih banyak tentang memilih pengaturan yang diperlukan untuk kasus penggunaan khusus Anda, dan lebih sedikit tentang ide umum bagaimana cara mengamankan sesuatu.

kapas
sumber

jawaban yang dinyatakan dengan baik

Corey Goldberg

Saya bekerja untuk pemasok IT Amerika di mana mereka menonaktifkan Windows 7 UAC di luar kotak pada gambar instalasi (mereka juga memiliki gambar Linux) dan semua rekan kerja saya adalah admin pada mesin mereka dan memiliki hak root untuk banyak mesin dari pelanggan yang berbeda menyimpan juga keuangan informasi. Bukannya tidak ada pengukuran keamanan di tempat, tetapi bagaimana saya harus mengatakannya ... dengan cara apa pun Anda benar dan saya lebih suka dengan cara Anda jika saya yang bertanggung jawab, tetapi apakah Anda memiliki pengalaman yang sebenarnya atau hanya saja angan-angan?

LiveWireBT

Bertahun-tahun pengalaman aktual. OP bertanya tentang perbankan dan perbankan serta banyak struktur perusahaan ada peraturan, baik kontrak dan hukum yang perlu dipenuhi. Biasanya Anda memulai (atau menyelesaikan) dengan memenuhi kewajiban itu.

coteyr

Terima kasih. Ya kami bukan bank, tetapi membutuhkan dan mengikuti keamanan seperti itu, karena jika data sensitif. Saya menggunakan kata bank sebagai kasus penggunaan yang umum.

tgkprog

Siapkan proxy repositori debian Anda sendiri di dalam intranet Anda.

Kustomisasi instalasi ubuntu sehingga proxy repositori debian Anda adalah satu-satunya entri di /etc/apt/sources.list.

Et voila: Anda memiliki kontrol penuh tentang perangkat lunak yang diinstal pada klien Anda (selama tidak ada pengguna yang memiliki izin pengguna super).

Pembaruan: Menambahkan ini setelah jawaban pertama. Pengguna ini adalah pendukung, pengguna pemula sistem dan pengembang perangkat lunak bank ... sehingga beberapa dari mereka memerlukan hak istimewa sudo. Apakah ada cara yang siap untuk memantau mereka sehingga setiap pengecualian ditangkap dengan cepat (seperti menambahkan daftar sumber) tetapi tindakan lain seperti memasang barang dari repo yang diketahui tidak dilaporkan.

Di instalasi kustom Anda, Anda dapat memodifikasi /etc/sudoersfile sehingga pengguna Anda diizinkan untuk menjalankan sudo apt updatedan sudo apt installtetapi tidak ada perintah lain dimulai dengan apt. Tentu saja, Anda juga harus membatasi sudo bash(atau shell lain).

Timothy Truckle
sumber

Selama tidak ada pengguna yang memiliki hak istimewa pengguna super, mereka tidak dapat menginstal perangkat lunak apa pun.

Byte Commander

Saya mengedit pertanyaan.

tgkprog

@ByteCommander itu benar, tetapi bagaimana jika Anda ingin menambahkan satu lagi "situs tepercaya" di samping daftar awal? Apakah Anda lebih suka menjalankan skrip untuk memperbarui /etc/apt/sources.listpada semua 10'000 klien atau hanya memodifikasi file ini pada beberapa cache apt?

Timothy Truckle

@TimothyTruckle jika Anda benar-benar memiliki 10.000 klien, maka Anda juga memiliki sistem manajemen seperti Wayang, dan menambahkannya pada mereka semua adalah sepele

muru

pengguna dapat memperoleh akses ke shell jika sudo apt updatemelaporkan konflik file

Ferrybig

Di hampir setiap toko yang saya lihat sejauh ini, pengembang memiliki akses penuh ke mesin pengembangan, tetapi mesin ini hanya memiliki akses ke Internet dan ke repositori kode sumber.

Kode sumber diperiksa dan dikompilasi pada mesin tepercaya (yang biasanya tidak dimiliki pengembang atau memerlukan izin administratif), lalu dari sana dikerahkan untuk menguji sistem yang memiliki akses ke jaringan internal.

Apakah mesin ini digunakan oleh pengembang atau tim pengujian terpisah tergantung pada organisasi Anda - tetapi umumnya batas antara mesin tepercaya dan tidak tepercaya adalah antara mesin yang terpisah, dengan antarmuka di antara mereka dapat diverifikasi (seperti komit kode sumber).

Karyawan meja depan tidak pernah mendapatkan hak administratif. Ketika kami menempatkan Solitaire ke semua mesin ini, keluhan tentang kebijakan ini cukup banyak terhenti.

Simon Richter
sumber

Tip yang bagus. Beberapa waktu berlalu (aplikasi game), dan mungkin ruang sosial perusahaan yang luas (wiki, obrolan, forum, suara) yang terbuka selama 1-2 jam sehari.

tgkprog