Banka geliştiricileri için Ubuntu [kapalı]

Kullanıcıların muhtemelen güvenli olmayan konumlardan ikili dosyalar indirmesini istemeyen bankalar ve diğer işletmeler için özel Ubuntu bilgisayarlarının (kurulumdan günlük kullanıma) nasıl çalıştırılacağı konusunda belgelenmiş işlemler ve yöntemler var mı?

Böylece apt-get, update vs sadece birkaç güvenilir internet veya intranet konumundan mı geliyor?

Güncelleme: İlk cevaptan sonra bunu ekledi. Bu kullanıcılar destek, banka yazılımı sistemlerinin ve geliştiricilerinin acemi kullanıcılarıdır ... bu yüzden bazıları sudo ayrıcalıklarına ihtiyaç duyar. Bunları izlemeye hazır bir yol var mı, böylece herhangi bir istisna hızlı bir şekilde yakalanır (kaynak listesini eklemek gibi), ancak bilinen depolardan malzeme yüklemek gibi diğer eylemler bildirilmez.

Amaç güvenli olmak, Ubuntu veya bir lezzet kullanmak, deveopers ve diğer sudo kullanıcılarının mümkün olduğunca üretken olmalarını sağlamaktır. (Windows ve Mac bilgisayarlara olan bağımlılığı azaltın)

0,2. Ve BT kullanıcıları kullanıcılara politika belirleyebilir, böylece sudo kullanıcısı olsa bile klasör paylaşma gibi bazı işlemleri yapamazlar? Tam bir çözüm mü?

Bu çok iyi bir soru, ama cevabı çok zor.

İlk olarak, @Timothy Truckle başlamak için iyi bir başlangıç ​​noktasına sahiptir. Güvenlik ekibinizin her paketi doğrulayabileceği kendi uygun repo'nuzu çalıştırabilirsiniz. Ama bu sadece başlangıç.

Sonra grupları uygulamak istersiniz. Kullanıcıların destekten fazla yardım almadan ihtiyaç duydukları şeyleri yapabilmelerini hedeflersiniz. Ama bankacılıkta gerçekten işlerin kilitlenmesini istiyorsunuz. Aslında birçok kurumsal yapıda işleri kilitlemek istiyorsunuz. Bu nedenle, normal kullanıcılara herhangi bir düzeyde sudo ayrıcalıkları vermek muhtemelen dışarıdadır.

Muhtemelen yapacağınız şeyler, bazı grupların işlerini yapmak için yükseltilmiş izinlere ihtiyaç duymayacakları şekilde ayarlanmasıdır.

Yine, çoğu kurumsal ortamda yazılım yüklemek, sizi işten çıkarabilecek bir şeydir, bu yüzden hayır. Yazılıma ihtiyacınız varsa, BT'yi ararsınız ve bunu sizin için yaparlar ya da bir talep zinciri veya benzeri şeyler vardır.

İdeal olarak, hiçbir şey kurmak için asla normal bir çalışana veya yükseltilmiş izinlere ihtiyacınız olmaz.

Şimdi Geliştiriciler için soru biraz farklı. Belki kurmaları ve belki de sudo'ya ihtiyaçları vardır. Ancak kutuları "tehlike ağı" üzerindedir ve ASLA doğrudan kritik sistemlere bağlanamaz.

BT / Destek personeli sudo'ya ihtiyaç duyacaktır. Ancak sudo erişimini komut veya işlem (evrak işleri) veya başka yollarla sınırlayabilirsiniz. "2 göz prensibi" ve bunun nasıl uygulanacağı gibi bir çok şey olabilir. Ancak denetim günlükleri vardır ve çoğu gereksinimi karşılayacak şekilde yapılandırılabilir.

Yani, sorunuza geri dönelim. Timothy Truckle'ın cevabı% 100 doğru, ancak sorunuzun önermesi kapalı. Bir Linux işletim sisteminin güvenliğini sağlamak, özel kullanım durumunuz için gereken ayarları seçmekle ve işlerin nasıl güvenli hale getirileceği hakkında genel bir fikirle ilgilidir.

İntranetinizde kendi debian depo proxy'nizi kurun.

Ubuntu kurulumunu , debian depo proxy'nizdeki tek girdi olacak şekilde özelleştirin/etc/apt/sources.list .

Et voila: istemcilerinizde yüklü olan yazılımlar üzerinde tam kontrole sahipsiniz (hiçbir kullanıcının süper kullanıcı izinleri olmadığı sürece).

Güncelleme: İlk cevaptan sonra bunu ekledi. Bu kullanıcılar destek, banka yazılımı sistemlerinin ve geliştiricilerinin acemi kullanıcılarıdır ... bu yüzden bazıları sudo ayrıcalıklarına ihtiyaç duyar. Bunları izlemeye hazır bir yol var mı, böylece herhangi bir istisna hızlı bir şekilde yakalanır (kaynak listesini eklemek gibi), ancak bilinen depolardan malzeme yüklemek gibi diğer eylemler bildirilmez.

Özel yüklemede değiştirebileceğiniz /etc/sudoerskullanıcıların çalışmasına izin böylece dosyayı sudo apt updateve sudo apt installancak başka bir komut ile başlayan apt. Tabii ki, ayrıca sudo bash(veya başka bir kabuk) kısıtlamanız gerekir .

Şimdiye kadar gördüğüm hemen hemen her dükkanda, geliştiricilerin geliştirme makinelerine tam erişimi vardı, ancak bu makineler sadece İnternet'e ve kaynak kodu deposuna erişebiliyordu.

Kaynak kodu teslim edilir ve güvenilir makinelerde derlenir (geliştiricilerin genellikle yönetici izinleri yoktur veya açıktır) ve daha sonra dahili ağa erişimi olan sistemleri test etmek için dağıtılır.

Bu makinelerin geliştiriciler tarafından mı yoksa ayrı bir test ekibi tarafından mı kullanıldığı kuruluşunuza bağlıdır - ancak genellikle güvenilir ve güvenilmeyen makineler arasındaki sınır, aralarındaki arayüz doğrulanabilir (kaynak kodu taahhütleri gibi) ile ayrı makineler arasındadır.

Ön büro çalışanları hiçbir şekilde yönetici ayrıcalığına sahip değildir. Solitaire'i tüm bu makinelere yerleştirdiğimizde, bu politika hakkındaki şikayetler hemen hemen sona erdi.