Ubuntu สำหรับพนักงาน dev ธนาคาร [ปิด]

ปิด คำถามนี้จะต้องมีมากขึ้นมุ่งเน้น ไม่ยอมรับคำตอบในขณะนี้

ต้องการปรับปรุงคำถามนี้หรือไม่ อัปเดตคำถามเพื่อให้มุ่งเน้นที่ปัญหาเดียวโดยแก้ไขโพสต์นี้

ปิดให้บริการใน2 ปีที่ผ่านมา

มีกระบวนการและวิธีการเกี่ยวกับวิธีการเรียกใช้คอมพิวเตอร์ Ubuntu ที่กำหนดเอง (ตั้งแต่การติดตั้งจนถึงการใช้งานทุกวัน) สำหรับธนาคารและธุรกิจอื่น ๆ ที่ไม่ต้องการให้ผู้ใช้ดาวน์โหลดไบนารีจากที่ที่ไม่ปลอดภัยหรือไม่

ดังนั้น apt-get, update ฯลฯ จึงเกิดขึ้นจากอินเทอร์เน็ตหรืออินทราเน็ตที่เชื่อถือได้เพียงไม่กี่แห่ง

อัปเดต: เพิ่มสิ่งนี้หลังจากคำตอบแรก ผู้ใช้เหล่านี้ได้รับการสนับสนุนผู้ใช้มือใหม่ของระบบและนักพัฒนาซอฟต์แวร์ของธนาคาร ... ดังนั้นบางคนต้องการสิทธิพิเศษของ sudo มีวิธีที่พร้อมในการตรวจสอบเพื่อให้ข้อยกเว้นใด ๆ ถูกจับได้อย่างรวดเร็ว (เช่นการเพิ่มรายการแหล่งที่มา) แต่การกระทำอื่น ๆ เช่นการติดตั้งสิ่งต่าง ๆ จาก repos ที่รู้จักนั้นไม่มีการรายงาน

เป้าหมายคือเพื่อความปลอดภัยใช้อูบุนตูหรือรสชาติอนุญาตให้ผู้ใช้งาน deveopers และผู้ใช้ sudo คนอื่น ๆ (และลดการพึ่งพาคอมพิวเตอร์ Windows และ Mac)

0.2 และคนไอทีสามารถกำหนดนโยบายให้กับผู้ใช้เพื่อให้พวกเขาไม่สามารถดำเนินการบางอย่างเช่นแชร์โฟลเดอร์แม้ว่าผู้ใช้ sudo? ทางออกที่สมบูรณ์?

— tgkprog
แหล่งที่มา

หากคุณให้สิทธิ์รูทแก่พวกเขาsudo apt-getคุณควรใส่ไฟร์วอลล์ที่ดีนอกระบบ

— muru

ในการเล่นปีศาจสนับสนุนที่นี่คุณจะมั่นใจได้อย่างไรว่าซอฟต์แวร์ในที่เก็บของ Ubuntu นั้น "เชื่อถือได้"? หากองค์กรของคุณไม่ได้ตรวจสอบแพ็กเกจหรือที่เก็บใด ๆ ก็อาจเป็นที่ถกเถียงกันอยู่ว่าคุณกำลังติดตั้งซอฟต์แวร์ที่ไม่น่าเชื่อถือ :) นอกจากนี้หากคุณปิดกั้นการเข้าถึงอินเทอร์เน็ตหรือเว็บไซต์ที่มีรายชื่อสีขาว ข้อ จำกัด ประเภทนี้เพียงดาวน์โหลด deb (s) ด้วยตนเองและติดตั้ง ...

— Rory McCune

เมื่อพวกเขามีรูทพวกเขาสามารถติดตั้งไบนารีที่ไม่น่าเชื่อถือที่ได้รับผ่านแท่ง USB หรือดาวน์โหลดพวกเขา หรือส่งทางอีเมลถึงตัวเอง การทำให้ผู้พัฒนาไม่สามารถเข้าถึงรูทจากการติดตั้งซอฟต์แวร์ทั้งหมดที่พวกเขาต้องการนั้นเป็นไปไม่ได้

— Federico Poloni

ฉันลงคะแนนให้ปิดคำถามนี้เป็นหัวข้อนอกเพราะนี่คือคำขอให้คำปรึกษาไม่ใช่ QA ง่ายๆที่เว็บไซต์นี้ออกแบบมา ดังนั้นคำถามกว้างเกินไปที่จะจัดการที่นี่ และนอกหัวข้อ!

— Fabby

ไฟล์ sudoers ที่สร้างขึ้นอย่างพิถีพิถันควรทำติดตั้งโดยระบบการจัดการจำนวนมากเพื่อให้แน่ใจว่ามีเพียง บริษัท ที่อนุญาตเท่านั้น สิ่งนี้ทำให้ตัวเลือกคำถามอิงหรือกว้างเกินไป (ทั้งคู่ตรงกัน) ถูกตั้งค่าสถานะเพื่อปิดเพราะอิงตามความคิดเห็น (ดูแลระบบนายหน้าประกันภัยที่นี่ผมได้เลือกเส้นทางในหลายจึงธงตามความเห็น)

— Tensibai

คำตอบ:

นี่เป็นคำถามที่ดีมาก แต่คำตอบนั้นยากมาก

อันดับแรกเพื่อที่จะเริ่ม @Timothy Truckle มีจุดเริ่มต้นที่ดี คุณจะเรียกใช้ repo apt ของคุณเองที่ทีมรักษาความปลอดภัยของคุณสามารถตรวจสอบทุกแพ็คเกจ แต่นั่นเป็นเพียงจุดเริ่มต้น

ถัดไปคุณต้องการที่จะใช้กลุ่ม คุณต้องการให้ผู้ใช้สามารถทำสิ่งที่พวกเขาต้องการโดยไม่มีความช่วยเหลือจากฝ่ายสนับสนุน แต่ในธนาคารคุณต้องการปิดกั้นสิ่งต่างๆ ในความเป็นจริงในโครงสร้างองค์กรจำนวนมากคุณต้องการล็อคสิ่งต่าง ๆ ลง ดังนั้นการให้สิทธิ์ผู้ใช้ปกติกับสิทธิ์ระดับใด ๆ ก็อาจไม่เพียงพอ

สิ่งที่คุณอาจจะทำคือตั้งค่าสิ่งต่าง ๆ เพื่อให้กลุ่มบางกลุ่มไม่ต้องการการยกระดับสิทธิ์ในการทำงาน

อีกครั้งในสภาพแวดล้อมขององค์กรส่วนใหญ่ที่ติดตั้งซอฟต์แวร์เป็นสิ่งที่ทำให้คุณถูกไล่ออก หากคุณต้องการซอฟต์แวร์ที่คุณเรียกว่าไอทีและพวกเขาทำเพื่อคุณหรือมีห่วงโซ่การขอร้องหรือบางอย่าง

เป็นการดีที่คุณจะไม่ต้องใช้พนักงานปกติในการติดตั้งอะไรหรือต้องการสิทธิ์ในการยกระดับ

ตอนนี้สำหรับนักพัฒนาคำถามก็แตกต่างกันเล็กน้อย บางทีพวกเขาจำเป็นต้องติดตั้งและบางทีพวกเขาต้องการ sudo แต่กล่องของพวกเขาอยู่ใน "เครือข่ายอันตราย" และไม่สามารถเชื่อมต่อโดยตรงกับระบบที่สำคัญ

พนักงาน IT / Support จะต้องใช้ sudo แต่คุณสามารถ จำกัด การเข้าถึง sudo โดยคำสั่งหรือกระบวนการ (เอกสาร) หรือวิธีการอื่น ๆ อาจมีทั้งเล่มเกี่ยวกับสิ่งต่าง ๆ เช่น "2 ตาอาจารย์ใหญ่" และวิธีการใช้งาน แต่บันทึกการตรวจสอบมีอยู่และสามารถกำหนดค่าให้ตรงกับความต้องการส่วนใหญ่

ดังนั้นกลับไปที่คำถามของคุณ คำตอบของทิโมธี Truckle ถูกต้อง 100% แต่หลักฐานของคำถามของคุณปิดอยู่ การรักษาความปลอดภัย Linux OS นั้นมีมากขึ้นเกี่ยวกับการเลือกการตั้งค่าที่จำเป็นสำหรับกรณีการใช้งานเฉพาะของคุณ

— coteyr
แหล่งที่มา

คำตอบที่ระบุไว้อย่างดี

— Corey Goldberg

ฉันทำงานให้กับซัพพลายเออร์ไอทีชาวอเมริกันซึ่งพวกเขาปิดการใช้งาน Windows 7 UAC นอกกรอบในอิมเมจการติดตั้ง (พวกเขายังมีอิมเมจ Linux) และเพื่อนร่วมงานของฉันทุกคนเป็นผู้ดูแลระบบบนเครื่องของพวกเขา ข้อมูล. ไม่ใช่ว่าไม่มีมาตรการรักษาความปลอดภัยใด ๆ แต่ฉันจะใส่มันอย่างไร ... โดยวิธีใดก็ตามที่คุณถูกต้องและฉันต้องการวิธีการของคุณถ้าฉันอยู่ในความดูแล แต่คุณมีประสบการณ์จริงหรือเป็นเพียง คิดอยาก?

— LiveWireBT

ประสบการณ์จริงหลายปี OP ถามเกี่ยวกับการธนาคารและการธนาคารรวมถึงโครงสร้างองค์กรจำนวนมากที่มีข้อบังคับทั้งสัญญาและกฎหมายที่ต้องปฏิบัติตาม โดยปกติคุณจะเริ่ม (หรือเสร็จสิ้น) โดยปฏิบัติตามข้อผูกพันเหล่านั้น

— coteyr

ขอขอบคุณ. ใช่เราไม่ใช่ธนาคาร แต่ต้องการและติดตามการรักษาความปลอดภัยอย่างใดอย่างหนึ่งทำให้เกิดข้อมูลที่ละเอียดอ่อน ฉันใช้คำว่าธนาคารเป็นกรณีการใช้งานที่คุ้นเคย

— tgkprog

ตั้งค่าพร็อกซีที่เก็บเดเบียนของคุณเองภายในอินทราเน็ตของคุณ

ปรับแต่งการติดตั้งอูบุนตู/etc/apt/sources.listเพื่อให้เดเบียนพร็อกซี่พื้นที่เก็บข้อมูลของคุณเป็นรายการเฉพาะใน

และอื่น ๆ : คุณมีการควบคุมอย่างเต็มที่เกี่ยวกับซอฟต์แวร์ที่ติดตั้งบนไคลเอนต์ของคุณ (ตราบเท่าที่ไม่มีผู้ใช้ที่มีสิทธิ์ผู้ใช้ขั้นสูง)

อัปเดต: เพิ่มสิ่งนี้หลังจากคำตอบแรก ผู้ใช้เหล่านี้ได้รับการสนับสนุนผู้ใช้มือใหม่ของระบบและนักพัฒนาซอฟต์แวร์ของธนาคาร ... ดังนั้นบางคนต้องการสิทธิพิเศษของ sudo มีวิธีที่พร้อมในการตรวจสอบเพื่อให้ข้อยกเว้นใด ๆ ถูกจับได้อย่างรวดเร็ว (เช่นการเพิ่มรายการแหล่งที่มา) แต่การกระทำอื่น ๆ เช่นการติดตั้งสิ่งต่าง ๆ จาก repos ที่รู้จักนั้นไม่มีการรายงาน

ในการติดตั้งแบบกำหนดเองของคุณคุณสามารถแก้ไข/etc/sudoersไฟล์เพื่อให้ผู้ใช้ของคุณได้รับอนุญาตให้ทำงานsudo apt updateและsudo apt installไม่มีคำสั่งอื่นที่เริ่มต้นด้วยaptที่เริ่มต้นด้วย แน่นอนคุณต้อง จำกัดsudo bash(หรือเชลล์อื่น ๆ )

— ทิโมธี Truckle
แหล่งที่มา

ตราบใดที่ไม่มีผู้ใช้ที่มีสิทธิ์ผู้ใช้ขั้นสูงพวกเขาจะไม่สามารถติดตั้งซอฟต์แวร์ใด ๆ ได้

— ผู้บัญชาการ Byte

ฉันแก้ไขคำถาม

— tgkprog

@ByteCommander เป็นเรื่องจริง แต่ถ้าคุณต้องการเพิ่ม "ไซต์ที่เชื่อถือได้" อีกหนึ่งรายการนอกเหนือจากรายการเริ่มต้น คุณต้องการเรียกใช้สคริปต์เพื่ออัปเดต/etc/apt/sources.listในไคลเอนต์ 10,000 ทั้งหมดหรือเพียงแค่ปรับเปลี่ยนไฟล์นี้ในแคชฉลาดไม่กี่?

— ทิโมธี Truckle

@TimothyTruckle ถ้าคุณมีลูกค้า 10,000 คนจริงๆแล้วคุณมีระบบการจัดการอย่าง Puppet อยู่รอบ ๆ และการเพิ่มเข้าไปในพวกเขาทั้งหมดนั้นเป็นเรื่องที่ไม่สำคัญเลย

— muru

ผู้ใช้สามารถเข้าถึงเชลล์ได้หากsudo apt updateรายงานข้อขัดแย้งของไฟล์

— Ferrybig

ในร้านค้าเกือบทุกแห่งที่ฉันเคยเห็นนักพัฒนามีการเข้าถึงเครื่องพัฒนาเต็มรูปแบบ แต่เครื่องเหล่านี้มีการเข้าถึงอินเทอร์เน็ตและที่เก็บซอร์สโค้ดเท่านั้น

ซอร์สโค้ดถูกตรวจสอบและคอมไพล์บนเครื่องที่เชื่อถือได้ (ซึ่งโดยปกติแล้วนักพัฒนาจะไม่ต้องมีหรือต้องการสิทธิ์ระดับผู้ดูแลระบบ) จากนั้นจะนำไปใช้เพื่อทดสอบระบบที่มีการเข้าถึงเครือข่ายภายใน

ผู้พัฒนาหรือทีมทดสอบแยกต่างหากนั้นขึ้นอยู่กับองค์กรของคุณ แต่โดยทั่วไปแล้วขอบเขตระหว่างเครื่องที่เชื่อถือได้และไม่น่าเชื่อถือนั้นอยู่ระหว่างเครื่องที่แยกต่างหากโดยมีส่วนต่อประสานที่สามารถตรวจสอบได้ (เช่นซอร์สโค้ด)

พนักงานแผนกต้อนรับส่วนหน้าจะไม่ได้รับสิทธิพิเศษด้านการบริหาร เมื่อเราปรับใช้ Solitaire กับเครื่องทั้งหมดเหล่านี้การร้องเรียนเกี่ยวกับนโยบายนี้หยุดค่อนข้างมาก

— Simon Richter
แหล่งที่มา

เคล็ดลับดี ไม่กี่ครั้งที่ผ่านมา (แอพเกม) และอาจเป็นพื้นที่ทางสังคมที่กว้างขวางของ บริษัท (wiki, แชท, ฟอรัม, คะแนนโหวต) ที่เปิดให้บริการ 1-2 ชั่วโมงต่อวัน

— tgkprog