Ubuntu untuk karyawan bank dev [ditutup]

Apakah ada proses dan metode yang didokumentasikan tentang cara menjalankan komputer Ubuntu kustom (dari instalasi hingga penggunaan setiap hari) untuk bank dan bisnis lain yang tidak ingin pengguna mengunduh binari dari lokasi yang mungkin tidak aman?

Sehingga apt-get, pembaruan dll terjadi hanya dari beberapa lokasi internet atau intranet tepercaya?

Pembaruan: Menambahkan ini setelah jawaban pertama. Pengguna ini adalah pendukung, pengguna pemula sistem dan pengembang perangkat lunak bank ... sehingga beberapa dari mereka memerlukan hak istimewa sudo. Apakah ada cara yang siap untuk memantau mereka sehingga setiap pengecualian ditangkap dengan cepat (seperti menambahkan daftar sumber) tetapi tindakan lain seperti memasang barang dari repo yang diketahui tidak dilaporkan.

Tujuannya agar aman, gunakan Ubuntu atau rasa, memungkinkan deveopers dan pengguna sudo lainnya menjadi seproduktif mungkin. (Dan mengurangi ketergantungan pada komputer Windows dan Mac)

.2. Dan orang-orang IT dapat membuat kebijakan untuk pengguna sehingga mereka tidak dapat melakukan beberapa tindakan seperti berbagi folder, bahkan jika pengguna sudo? Solusi lengkap?

Ini adalah pertanyaan yang sangat bagus, tetapi jawabannya sangat sulit.

Pertama, untuk memulai @Timothy Truckle memiliki titik awal yang baik. Anda akan menjalankan repo apt Anda sendiri di mana tim keamanan Anda dapat memverifikasi setiap paket. Tapi itu baru awalnya.

Selanjutnya Anda ingin menerapkan kelompok. Anda bertujuan agar pengguna dapat melakukan hal-hal yang mereka butuhkan tanpa banyak bantuan dari dukungan. Tetapi di perbankan Anda benar-benar ingin semuanya terkunci. Bahkan dalam banyak struktur perusahaan Anda ingin mengunci semuanya. Jadi, memberikan hak pengguna sudo yang normal pada tingkat mana pun mungkin tidak ada.

Apa yang Anda mungkin akan lakukan adalah mengatur hal-hal sehingga kelompok-kelompok tertentu tidak memerlukan izin tinggi untuk melakukan pekerjaan mereka.

Sekali lagi, di sebagian besar lingkungan perusahaan, menginstal perangkat lunak adalah sesuatu yang dapat membuat Anda dipecat, jadi itu tidak, tidak. Jika Anda memerlukan perangkat lunak, Anda memanggilnya dan mereka melakukannya untuk Anda, atau ada rantai permintaan atau semacamnya.

Idealnya Anda tidak akan pernah membutuhkan karyawan normal untuk menginstal apa pun atau membutuhkan izin yang lebih tinggi.

Sekarang untuk Pengembang pertanyaannya sedikit berbeda. Mungkin mereka perlu menginstal dan mungkin mereka membutuhkan sudo. Tetapi kotak-kotak mereka berada di "jaringan bahaya" dan tidak pernah bisa terhubung langsung ke sistem kritis.

Staf IT / Dukungan akan membutuhkan sudo. Tetapi Anda dapat membatasi akses sudo dengan perintah, atau proses (dokumen) atau cara lain. Mungkin ada banyak volume tentang hal-hal seperti "kepala 2 mata" dan bagaimana menerapkannya. Tetapi log audit ada dan dapat dikonfigurasi untuk memenuhi sebagian besar kebutuhan.

Jadi, kembali ke pertanyaan Anda. Jawaban Timothy Truckle adalah 100% benar, tetapi premis untuk pertanyaan Anda tidak aktif. Mengamankan OS Linux lebih banyak tentang memilih pengaturan yang diperlukan untuk kasus penggunaan khusus Anda, dan lebih sedikit tentang ide umum bagaimana cara mengamankan sesuatu.

Siapkan proxy repositori debian Anda sendiri di dalam intranet Anda.

Kustomisasi instalasi ubuntu sehingga proxy repositori debian Anda adalah satu-satunya entri di /etc/apt/sources.list.

Et voila: Anda memiliki kontrol penuh tentang perangkat lunak yang diinstal pada klien Anda (selama tidak ada pengguna yang memiliki izin pengguna super).

Pembaruan: Menambahkan ini setelah jawaban pertama. Pengguna ini adalah pendukung, pengguna pemula sistem dan pengembang perangkat lunak bank ... sehingga beberapa dari mereka memerlukan hak istimewa sudo. Apakah ada cara yang siap untuk memantau mereka sehingga setiap pengecualian ditangkap dengan cepat (seperti menambahkan daftar sumber) tetapi tindakan lain seperti memasang barang dari repo yang diketahui tidak dilaporkan.

Di instalasi kustom Anda, Anda dapat memodifikasi /etc/sudoersfile sehingga pengguna Anda diizinkan untuk menjalankan sudo apt updatedan sudo apt installtetapi tidak ada perintah lain dimulai dengan apt. Tentu saja, Anda juga harus membatasi sudo bash(atau shell lain).

Di hampir setiap toko yang saya lihat sejauh ini, pengembang memiliki akses penuh ke mesin pengembangan, tetapi mesin ini hanya memiliki akses ke Internet dan ke repositori kode sumber.

Kode sumber diperiksa dan dikompilasi pada mesin tepercaya (yang biasanya tidak dimiliki pengembang atau memerlukan izin administratif), lalu dari sana dikerahkan untuk menguji sistem yang memiliki akses ke jaringan internal.

Apakah mesin ini digunakan oleh pengembang atau tim pengujian terpisah tergantung pada organisasi Anda - tetapi umumnya batas antara mesin tepercaya dan tidak tepercaya adalah antara mesin yang terpisah, dengan antarmuka di antara mereka dapat diverifikasi (seperti komit kode sumber).

Karyawan meja depan tidak pernah mendapatkan hak administratif. Ketika kami menempatkan Solitaire ke semua mesin ini, keluhan tentang kebijakan ini cukup banyak terhenti.