Ubuntu für Bankentwickler-Mitarbeiter [geschlossen]

Geschlossen . Diese Frage muss gezielter gestellt werden . Derzeit werden keine Antworten akzeptiert.

Möchten Sie diese Frage verbessern? Aktualisieren Sie die Frage so, dass sie sich nur auf ein Problem konzentriert, indem Sie diesen Beitrag bearbeiten .

Geschlossen vor 2 Jahren .

Gibt es Prozesse und Methoden zum Ausführen benutzerdefinierter Ubuntu-Computer (von der Installation bis zur täglichen Verwendung) für Banken und andere Unternehmen, die nicht möchten, dass Benutzer Binärdateien von möglicherweise unsicheren Standorten herunterladen?

Damit apt-get, update usw. nur von wenigen vertrauenswürdigen Internet- oder Intranet-Standorten aus erfolgen kann?

Update: Dies wurde nach der ersten Antwort hinzugefügt. Diese Benutzer sind Supportanfänger, Systemanfänger und Entwickler der Banksoftware. Einige von ihnen benötigen daher Sudo-Berechtigungen. Gibt es eine Möglichkeit, diese zu überwachen, damit Ausnahmen schnell erkannt werden (wie das Hinzufügen der Quellenliste), aber andere Aktionen wie das Installieren von Daten aus bekannten Repos werden nicht gemeldet.

Ziel ist es, sicher zu sein, Ubuntu oder eine andere Version zu verwenden und Entwicklern und anderen Sudo-Benutzern zu ermöglichen, so produktiv wie möglich zu sein. (Und verringern Sie die Abhängigkeit von Windows- und Mac-Computern)

.2. Und die IT-Mitarbeiter können den Benutzern Richtlinien zuweisen, damit sie bestimmte Aktionen wie die Freigabe eines Ordners nicht ausführen können, selbst wenn sudo-Benutzer? Eine Komplettlösung?

— tgkprog
quelle

Wenn Sie ihnen root-Zugriff gewähren sudo apt-get, sollten Sie eine gute Firewall außerhalb des Systems installieren.

— Muru

Wie stellen Sie sicher, dass die Software in Ubuntus Repositories "vertrauenswürdig" ist? Wenn Ihre Organisation keines dieser Pakete oder Repositorys überprüft, könnte dies darauf hindeuten, dass Sie bereits nicht vertrauenswürdige Software installieren :) Auch wenn Sie den Internetzugang blockieren oder bestimmte Websites auf der Whitelist speichern, ist es für einen technischen Benutzer ziemlich trivial, diese zu umgehen diese Art von Einschränkung, einfach die Deb (s) manuell herunterladen und installieren ...

— Rory McCune

Sobald sie root haben, können sie nicht vertrauenswürdige Binärdateien installieren, die über einen USB-Stick bezogen werden. Oder laden Sie sie herunter. Oder senden Sie sie per E-Mail an sich. Es ist im Grunde unmöglich, einen Entwickler mit Root-Zugriff von der Installation der gewünschten Software abzuhalten.

— Federico Poloni

Ich stimme dafür, diese Frage als "Off-Topic" zu schließen, da dies eine Bitte um Beratung ist und keine einfache Qualitätssicherung, für die diese Website konzipiert ist. Daher ist die Frage zu weit gefasst, um hier und außerhalb des Themas behandelt zu werden!

— Fabby

Es sollte eine sorgfältig gestaltete sudoers-Datei erstellt werden, die von jedem Massenverwaltungssystem bereitgestellt wird und die sicherstellt, dass nur vom Unternehmen zugelassene Aufgaben ausgeführt werden. Dies macht die Fragen auf der Basis von Optionen oder zu breit (beide stimmen überein). zur Schließung für meinungsbasierte gekennzeichnet. (Versicherungsmakler Sysadmin hier, ich habe in vielen einen Weg gewählt, daher die meinungsbasierte Flagge)

— Tensibai

Antworten:

Dies ist eine sehr gute Frage, aber die Antwort ist sehr schwierig.

Erstens hat @Timothy Truckle einen guten Ausgangspunkt, um anzufangen. Sie würden Ihr eigenes Apt Repo betreiben, in dem Ihr Sicherheitsteam jedes Paket überprüfen könnte. Aber das ist erst der Anfang.

Als nächstes möchten Sie Gruppen implementieren. Sie möchten, dass Benutzer in der Lage sind, die erforderlichen Aufgaben zu erledigen, ohne dass der Support Sie dabei unterstützt. Aber im Bankwesen wollen Sie wirklich, dass die Dinge geschlossen werden. Tatsächlich möchten Sie in vielen Unternehmensstrukturen Dinge blockieren. Das Gewähren von Sudo-Berechtigungen für normale Benutzer auf jeder Ebene ist daher wahrscheinlich nicht möglich.

Was Sie wahrscheinlich tun würden, ist Dinge so einzustellen, dass bestimmte Gruppen keine erhöhten Berechtigungen benötigten, um ihre Arbeit zu erledigen.

Auch in den meisten Unternehmensumgebungen kann das Installieren von Software zu Fehlfunktionen führen. Wenn Sie Software benötigen, rufen Sie die IT an und diese erledigt dies für Sie, oder es gibt eine Anforderungskette oder eine solche.

Im Idealfall benötigen Sie niemals einen normalen Mitarbeiter, um etwas zu installieren, oder benötigen erhöhte Berechtigungen.

Jetzt für Entwickler ist die Frage ein bisschen anders. Vielleicht müssen sie installieren und vielleicht brauchen sie sudo. Aber ihre Boxen befinden sich im "Gefahrennetz" und können sich NIEMALS direkt mit kritischen Systemen verbinden.

IT- / Support-Mitarbeiter benötigen sudo. Sie können den sudo-Zugriff jedoch durch Befehle, Prozesse (Papierkram) oder andere Mittel einschränken. Es kann ganze Bände über Dinge wie das "2-Augen-Prinzip" und dessen Implementierung geben. Überwachungsprotokolle sind jedoch vorhanden und können für die meisten Anforderungen konfiguriert werden.

Also zurück zu deiner Frage. Die Antwort von Timothy Truckle ist zu 100% richtig, aber die Voraussetzung für Ihre Frage ist falsch. Beim Sichern eines Linux-Betriebssystems geht es viel mehr um die Auswahl der Einstellungen, die für Ihren speziellen Anwendungsfall erforderlich sind, und weniger um eine allgemeine Idee zum Sichern von Dingen.

— coteyr
quelle

Gut formulierte Antwort

— Corey Goldberg

Ich habe für einen amerikanischen IT-Anbieter gearbeitet, bei dem die Windows 7-Benutzerkontensteuerung in den Installationsimages sofort deaktiviert wurde (sie hatten auch Linux-Images), und alle meine Mitarbeiter waren Administratoren auf ihren Computern und hatten Root-Berechtigungen für viele Computer von verschiedenen Kunden, die auch Finanzdaten gespeichert haben Information. Es ist nicht so, dass es keine Sicherheitsvorkehrungen gab, aber wie soll ich das sagen? Auf jeden Fall sind Sie korrekt und ich würde es vorziehen, wenn ich verantwortlich wäre, aber haben Sie tatsächliche Erfahrung oder ist es nur so? Wunschdenken?

— LiveWireBT

Viele, viele Jahre tatsächliche Erfahrung. Das OP erkundigte sich nach dem Bankwesen und im Bankwesen sowie nach vielen Unternehmensstrukturen, in denen sowohl vertragliche als auch rechtliche Vorschriften eingehalten werden müssen. Normalerweise beginnt (oder endet) man damit, diese Verpflichtungen zu erfüllen.

— Coteyr

Vielen Dank. Ja, wir sind keine Bank, sondern brauchen und befolgen Sicherheit wie eine, denn bei sensiblen Daten. Ich habe das Wort Bank als vertrauten Anwendungsfall verwendet.

— tgkprog

Richten Sie Ihren eigenen Debian-Repository-Proxy in Ihrem Intranet ein.

Passen Sie die Ubuntu-Installation so an, dass Ihr Debian-Repository-Proxy der einzige Eintrag in ist /etc/apt/sources.list.

Et voila: Sie haben die volle Kontrolle über die auf Ihren Clients installierte Software (solange kein Benutzer über Superuser-Berechtigungen verfügt).

Update: Dies wurde nach der ersten Antwort hinzugefügt. Diese Benutzer sind Supportanfänger, Systemanfänger und Entwickler der Banksoftware. Einige von ihnen benötigen daher Sudo-Berechtigungen. Gibt es eine Möglichkeit, diese zu überwachen, damit Ausnahmen schnell erkannt werden (wie das Hinzufügen der Quellenliste), aber andere Aktionen wie das Installieren von Daten aus bekannten Repos werden nicht gemeldet.

In Ihrer benutzerdefinierten Installation können Sie das ändern /etc/sudoersDatei , damit Ihre Benutzer ausgeführt werden dürfen sudo apt updateund sudo apt installdoch kein anderes Kommando ab apt. Natürlich müssen Sie auch einschränken sudo bash(oder eine andere Shell).

— Timothy Truckle
quelle

Solange kein Benutzer Superuser-Rechte hat, kann er sowieso keine Software installieren.

— Byte Commander

Ich habe die Frage bearbeitet.

— tgkprog

@ByteCommander Das stimmt, aber was ist, wenn Sie zusätzlich zur anfänglichen Liste eine weitere "vertrauenswürdige Site" hinzufügen möchten? Möchten Sie lieber ein Skript ausführen, um ein Update /etc/apt/sources.listauf allen 10'000 Clients durchzuführen, oder diese Datei einfach in einigen geeigneten Caches ändern?

— Timothy Truckle

@TimothyTruckle Wenn Sie wirklich 10000 Kunden haben, dann haben Sie auch ein Managementsystem wie Puppet, und es allen hinzuzufügen ist trivial

— muru

Benutzer können auf eine Shell zugreifen, wenn sudo apt updateein Dateikonflikt

— gemeldet wird

In fast jedem Shop, den ich bisher gesehen habe, hatten Entwickler vollen Zugriff auf Entwicklungsmaschinen, aber diese Maschinen hatten nur Zugriff auf das Internet und das Quellcode-Repository.

Der Quellcode wird auf vertrauenswürdigen Computern eingecheckt und kompiliert (auf denen die Entwickler normalerweise keine Administratorrechte haben oder benötigen) und von dort aus zum Testen von Systemen bereitgestellt, die Zugriff auf das interne Netzwerk haben.

Ob diese Computer von den Entwicklern oder von einem separaten Testteam verwendet werden, liegt in Ihrem Unternehmen. Im Allgemeinen besteht die Grenze zwischen vertrauenswürdigen und nicht vertrauenswürdigen Computern jedoch zwischen separaten Computern, wobei die Schnittstelle zwischen diesen überprüfbar ist (z. B. Festschreibungen des Quellcodes).

Angestellte an der Rezeption erhalten niemals Administratorrechte. Als wir Solitaire auf all diesen Rechnern installiert haben, haben die Beschwerden über diese Richtlinie so gut wie aufgehört.

— Simon Richter
quelle

Guter Tipp. Ein paar Pass-Zeiten (Spiele-Apps) und vielleicht ein unternehmensweiter sozialer Bereich (Wiki, Chat, Forum, Stimmen), der 1-2 Stunden am Tag geöffnet ist.

— tgkprog