은행 개발자 직원을위한 Ubuntu

휴무 . 이 질문은 더 집중되어야 합니다. 현재 답변을받지 않습니다.

이 질문을 개선하고 싶습니까? 하나의 문제에만 집중하도록 질문을 업데이트하십시오.이 게시물 편집 .

휴일 2 년 전 .

사용자가 안전하지 않은 위치에서 이진 파일을 다운로드하지 못하게하는 은행 및 기타 비즈니스에 대해 사용자 지정 Ubuntu 컴퓨터 (설치부터 매일 사용까지)를 실행하는 방법에 대한 프로세스와 방법이 문서화되어 있습니까?

따라서 몇 가지 신뢰할 수있는 인터넷 또는 인트라넷 위치에서만 apt-get, update 등이 발생합니까?

업데이트 : 첫 번째 답변 후에 이것을 추가했습니다. 이러한 사용자는 은행 소프트웨어의 시스템 및 개발자의 초보자, 지원자이며 일부는 sudo 권한이 필요합니다. 소스 목록 추가와 같은 예외가 신속하게 포착되도록 알려진 준비된 위치에서 항목을 설치하는 것과 같은 다른 조치는보고되지 않습니다.

목표는 안전하고, 우분투 또는 풍미를 사용하여, 데비 퍼 및 기타 sudo 사용자가 가능한 한 생산성을 높일 수 있도록하는 것입니다. (Windows 및 Mac 컴퓨터에 대한 의존도 감소)

.2. IT 담당자는 사용자에게 정책을 제시하여 sudo 사용자라도 폴더 공유와 같은 일부 작업을 수행 할 수 없습니까? 완벽한 솔루션?

— tgkprog
소스

에 대한 루트 액세스 권한을 부여 sudo apt-get하면 시스템 외부에 방화벽을 설치하는 것이 좋습니다.

— muru

여기서 악마를 옹호하기 위해 우분투 리포지토리의 소프트웨어를 "신뢰할 수있는"방법은 무엇입니까? 조직에서 해당 패키지 또는 리포지토리를 검토하지 않은 경우 이미 신뢰할 수없는 소프트웨어를 설치하고 있다고 주장 할 수 있습니다. 이런 종류의 제한은 deb (s)를 수동으로 다운로드하여 설치하십시오.

— Rory McCune

일단 루트가 있으면 USB 스틱을 통해 얻은 신뢰할 수없는 바이너리를 설치할 수 있습니다. 또는 다운로드하십시오. 또는 이메일로 자신에게 보내십시오. 루트 액세스 권한을 가진 개발자가 원하는 모든 소프트웨어를 설치하지 못하게하는 것은 기본적으로 불가능합니다.

— Federico Poloni

이 질문은이 사이트가 설계된 단순한 QA가 아니라 컨설팅 요청이므로 주제를 벗어난 주제로 마무리하려고합니다. 따라서 질문 이 너무 광범위하여 여기서 다루어 질 수 없습니다 .

— Fabby

회사가 허용 한 작업 만 수행 할 수 있도록 모든 대량 관리 시스템에서 신중하게 조작 된 sudoers 파일을 배포해야합니다. 이것은 질문 옵션을 기반으로하거나 너무 광범위하게 만듭니다 (둘 다 일치). 의견에 근거하여 폐쇄로 신고되었습니다. (여기 보험 중개인 sysadmin, 많은 경로를 선택 했으므로 의견 기반 플래그)

— Tensibai

답변:

이것은 매우 좋은 질문이지만 대답은 매우 어렵습니다.

먼저 @Timothy Truckle을 시작하려면 좋은 출발점이 있습니다. 보안 팀이 모든 패키지를 확인할 수있는 자체 apt 저장소를 실행합니다. 그러나 그것은 시작에 불과합니다.

다음으로 그룹을 구현하려고합니다. 지원의 도움없이 사용자가 필요한 작업을 수행 할 수 있도록하는 것이 목표입니다. 그러나 뱅킹에서는 실제로 물건을 묶기를 원합니다. 실제로 많은 회사 구조에서 사물을 잠그고 싶습니다. 따라서 일반 사용자에게 모든 수준의 sudo 권한을 부여하는 것은 아마도 불가능할 것입니다.

아마도 당신이 할 일은 특정 그룹이 작업을 수행하기 위해 높은 권한을 필요로하지 않도록 설정하는 것입니다.

다시 말하지만, 대부분의 회사 환경에서 소프트웨어 설치는 해고 될 수있는 일입니다. 소프트웨어가 필요한 경우 IT라고 부르고 소프트웨어를 요청하거나 요청 체인 또는 이와 같은 것이 있습니다.

이상적으로는 설치를 위해 일반 직원이 필요하지 않거나 높은 권한이 필요하지 않습니다.

이제 개발자에게는 질문이 조금 다릅니다. 설치해야 할 수도 있고 sudo가 필요할 수도 있습니다. 그러나 그들의 박스는 "위험 네트워크"에 있으며 절대 중요한 시스템에 직접 연결할 수 없습니다.

IT / 지원 담당자는 sudo가 필요합니다. 그러나 명령, 프로세스 (서류) 또는 기타 방법으로 sudo 액세스를 제한 할 수 있습니다. "2 eyes principal"과 같은 것들과 그것을 구현하는 방법에 관한 많은 양이있을 수 있습니다. 그러나 감사 로그가 존재하며 대부분의 요구를 충족하도록 구성 할 수 있습니다.

다시 질문으로 돌아가십시오. Timothy Truckle의 답변은 100 % 정확하지만 귀하의 질문에 대한 전제는 벗어났습니다. Linux OS 보안은 특정 유스 케이스에 필요한 설정을 선택하는 것에 대한 것이 아니라 사물을 보호하는 방법에 대한 일반적인 아이디어는 아닙니다.

— 코트
소스

잘 설명 된 답변

— Corey Goldberg

미국 IT 공급 업체에서 일하면서 설치 이미지 (Windows 이미지도 포함)에서 Windows 7 UAC를 즉시 비활성화했으며 모든 동료가 컴퓨터의 관리자였으며 재무를 저장하는 다른 고객의 많은 컴퓨터에 대한 루트 권한을 가졌습니다. 정보. 보안 측정이 없었던 것은 아닙니다. 어떻게해야합니까… 어떤 방법 으로든 당신이 정확하고 담당하고 있다면 당신의 방식을 선호하지만 실제 경험이 있습니까? 희망적인 생각?

— LiveWireBT

수년 간의 실제 경험. OP는 은행 및 은행 업무뿐만 아니라 계약 및 법적 규정을 준수해야하는 많은 회사 구조에 대해 질문했습니다. 일반적으로 이러한 의무를 충족하여 시작 (또는 완료)합니다.

— coteyr

감사합니다. 그렇습니다. 우리는 은행이 아니지만, 보안과 같은 보안이 필요합니다. 은행이라는 단어를 익숙한 사용 사례로 사용했습니다.

— tgkprog

인트라넷 내에 자신의 데비안 저장소 프록시를 설정하십시오 .

데비안 저장소 프록시가의 유일한 항목이되도록 우분투 설치를 사용자 정의하십시오/etc/apt/sources.list .

Et Voila : 수퍼 유저 권한을 가진 사용자가없는 한 클라이언트에 설치된 소프트웨어를 완전히 제어 할 수 있습니다.

업데이트 : 첫 번째 답변 후에 이것을 추가했습니다. 이러한 사용자는 은행 소프트웨어의 시스템 및 개발자의 초보자, 지원자이며 일부는 sudo 권한이 필요합니다. 소스 목록 추가와 같은 예외가 신속하게 포착되도록 알려진 준비된 위치에서 항목을 설치하는 것과 같은 다른 조치는보고되지 않습니다.

사용자 정의 설치에서 당신은 수정할 수있는 /etc/sudoers사용자 실행이 허용되도록 파일을 sudo apt update하고 sudo apt install있지만 다른 명령으로 시작하지 않습니다 apt. 물론, 당신은 또한 제한 sudo bash(또는 다른 쉘)해야합니다.

— 티모시 트럭
소스

수퍼 유저 권한을 가진 사용자가 없으면 소프트웨어를 설치할 수 없습니다.

— 바이트 사령관

질문을 편집했습니다.

— tgkprog

@ByteCommander는 사실이지만 초기 목록 외에 "신뢰할 수있는 사이트"를 하나 더 추가하려면 어떻게해야합니까? /etc/apt/sources.list모든 10,000 클라이언트 에서 업데이트 할 스크립트를 실행 하거나 적절한 캐시에서이 파일을 수정 하시겠습니까?

— Timothy Truckle

@TimothyTruckle 당신이 정말로 10000 명의 클라이언트를 가지고 있다면, 당신은 또한 Puppet과 같은 관리 시스템을 가지고 있으며, 그들 모두에 추가하는 것은 사소한 일입니다

— muru

sudo apt update파일 충돌을보고하면 사용자가 쉘에 액세스 할 수 있습니다

— Ferrybig

지금까지 본 거의 모든 상점에서 개발자는 개발 시스템에 완전히 액세스 할 수 있었지만 이러한 시스템은 인터넷과 소스 코드 저장소에만 액세스 할 수있었습니다.

소스 코드는 신뢰할 수있는 컴퓨터 (일반적으로 개발자에게 관리 권한이 없거나 필요하지 않음)에서 체크인 및 컴파일 된 다음 내부 네트워크에 액세스 할 수있는 시스템을 테스트하기 위해 배포됩니다.

이러한 머신을 개발자가 사용하는지 또는 별도의 테스트 팀이 사용 하느냐는 조직에 달려 있습니다. 그러나 일반적으로 신뢰할 수있는 머신과 신뢰할 수없는 머신의 경계는 별도의 머신 사이이며 인터페이스는 검증 가능합니다 (예 : 소스 코드 커밋).

프론트 데스크 직원에게는 관리 권한이 없습니다. 우리가이 모든 머신에 솔리테어를 배치했을 때이 정책에 대한 불만은 거의 멈췄습니다.

— 사이먼 리히터
소스

좋은 팁. 몇 번의 통과 시간 (게임 앱)과 하루 1-2 시간 동안 열리는 회사 전체의 소셜 공간 (wiki, 채팅, 포럼, 투표).

— tgkprog