Ubuntu for bank dev employees [fermé]

16

Existe-t-il des processus et des méthodes documentés sur la façon d'exécuter des ordinateurs Ubuntu personnalisés (de l'installation à l'utilisation quotidienne) pour les banques et autres entreprises qui ne souhaitent pas que les utilisateurs téléchargent des fichiers binaires à partir d'emplacements potentiellement non sécurisés?

Alors que apt-get, mise à jour, etc. se produisent à partir de quelques emplacements Internet ou intranet fiables?

Mise à jour: ajouté ceci après la première réponse. Ces utilisateurs sont des supporteurs, des utilisateurs novices de systèmes et des développeurs de logiciels bancaires ... donc certains d'entre eux ont besoin des privilèges sudo. Existe-t-il un moyen prêt de les surveiller afin que toutes les exceptions soient détectées rapidement (comme l'ajout de la liste des sources), mais d'autres actions telles que l'installation de choses à partir de dépôts connus ne sont pas signalées.

L'objectif est d'être sécurisé, d'utiliser Ubuntu ou une version, de permettre aux développeurs et autres utilisateurs de sudo d'être aussi productifs que possible. (Et réduire la dépendance aux ordinateurs Windows et Mac)

.2. Et les informaticiens peuvent dédier la stratégie aux utilisateurs afin qu'ils ne puissent pas faire certaines actions comme partager un dossier, même si vous êtes utilisateur sudo? Une solution complète?

system-installation package-management software-installation security tgkprog
la source
7
Si vous leur donnez un accès root sudo apt-get, vous feriez mieux de mettre un bon pare-feu en dehors du système.
muru
2
Pour incarner un peu les démons ici, comment vous assurer que le logiciel dans les référentiels d'Ubuntu est «fiable»? Si votre organisation ne passe en revue aucun de ces packages ou référentiels, on pourrait affirmer que vous installez déjà des logiciels non fiables :) De plus, à moins que vous ne bloquiez l'accès à Internet ou que vous ne mettiez sur la liste blanche des sites spécifiques, il est assez banal pour un utilisateur technique de contourner ce genre de restriction, téléchargez simplement le (s) deb (s) manuellement et installez ...
Rory McCune
2
Une fois qu'ils ont root, ils peuvent installer des binaires non fiables obtenus via une clé USB. Ou téléchargez-les. Ou envoyez-les par e-mail à eux-mêmes. Empêcher un développeur avec un accès root d'installer tous les logiciels qu'il souhaite est pratiquement impossible.
Federico Poloni
3
Je vote pour fermer cette question comme hors sujet car il s'agit d'une demande de conseil, pas d'un simple QA pour lequel ce site est conçu. Par conséquent, la question est trop large pour être traitée ici et hors sujet!
Fabby
1
Un fichier sudoers soigneusement conçu devrait suffire, déployé par tout système de gestion de masse garantissant que seules les choses autorisées par la société sont effectuées. Cela rend l'option questions basée ou trop large (les deux correspondent). marqué pour fermeture pour avis basé. (sysadmin du courtier d'assurance ici, j'ai choisi une voie dans beaucoup, d'où le drapeau basé sur l'opinion)
Tensibai

Réponses:

5

C'est une très bonne question, mais sa réponse est très difficile.

Tout d'abord, pour commencer, @Timothy Truckle a un bon point de départ. Vous exécuteriez votre propre référentiel apt où votre équipe de sécurité pourrait vérifier chaque package. Mais ce n'est que le début.

Ensuite, vous souhaitez implémenter des groupes. Vous viseriez à ce que les utilisateurs puissent faire les choses dont ils ont besoin sans beaucoup d'aide de l'assistance. Mais dans le secteur bancaire, vous voulez vraiment que les choses soient bloquées. En fait, dans de nombreuses structures d'entreprise, vous souhaitez verrouiller les choses. Ainsi, l'octroi de privilèges sudo aux utilisateurs normaux à n'importe quel niveau est probablement supprimé.

Ce que vous feriez probablement, c'est de régler les choses de sorte que certains groupes n'aient pas besoin d'autorisations élevées pour faire leur travail.

Encore une fois, dans la plupart des environnements d'entreprise, l'installation de logiciels est quelque chose qui peut vous faire virer, c'est donc un non non. Si vous avez besoin d'un logiciel, vous appelez le service informatique et ils le font pour vous, ou il existe une chaîne de demande ou quelque chose du genre.

Idéalement, vous n'auriez jamais besoin d'un employé normal pour installer quoi que ce soit ou vous auriez jamais besoin d'autorisations élevées.

Maintenant, pour les développeurs, la question est un peu différente. Peut-être qu'ils ont besoin d'installer et peut-être qu'ils ont besoin de sudo. Mais leurs boîtiers sont sur le "réseau de danger" et ne peuvent JAMAIS se connecter directement aux systèmes critiques.

Le personnel IT / Support aura besoin de sudo. Mais vous pouvez limiter l'accès sudo par commande, ou par processus (paperasse) ou par d'autres moyens. Il peut y avoir des volumes entiers sur des choses comme le "principe des 2 yeux" et comment le mettre en œuvre. Mais les journaux d'audit existent et peuvent être configurés pour répondre à la plupart des besoins.

Revenons donc à votre question. La réponse de Timothy Truckle est 100% correcte, mais la prémisse de votre question est éteinte. Sécuriser un système d'exploitation Linux consiste beaucoup plus à choisir les paramètres nécessaires à votre cas d'utilisation spécifique, et moins à une idée générale de la façon de sécuriser les choses.

coteyr
la source
réponse bien affirmée
Corey Goldberg
J'ai travaillé pour un fournisseur informatique américain où ils ont désactivé Windows 7 UAC hors de la boîte dans les images d'installation (ils avaient également des images Linux) et tous mes collègues étaient des administrateurs sur leurs machines et avaient des privilèges root sur de nombreuses machines de différents clients stockant également des données financières information. Ce n'est pas qu'il n'y avait pas de mesures de sécurité en place, mais comment dois-je le dire… en tout cas vous avez raison et je préférerais que vous le fassiez si j'étais en charge, mais avez-vous une expérience réelle ou est-ce juste vœu pieux?
LiveWireBT
De nombreuses années d'expérience réelle. Le PO a posé des questions sur les activités bancaires et bancaires ainsi que sur de nombreuses structures d'entreprise. Il existe des réglementations, à la fois contractuelles et juridiques, qui doivent être respectées. Habituellement, vous commencez (ou terminez) en respectant ces obligations.
coteyr
Je vous remercie. Oui, nous ne sommes pas une banque, mais nous avons besoin et respectons la sécurité comme une seule, car si les données sont sensibles. J'ai utilisé la banque de mots comme un cas d'utilisation familier.
tgkprog
18

Configurez votre propre proxy de référentiel debian dans votre intranet.

Personnalisez l'installation d'ubuntu pour que votre proxy de référentiel debian soit la seule entrée dans /etc/apt/sources.list.

Et voila: vous avez un contrôle total sur le logiciel installé sur vos clients (tant qu'aucun utilisateur ne dispose des autorisations de super utilisateur).

Mise à jour: ajouté ceci après la première réponse. Ces utilisateurs sont des supporteurs, des utilisateurs novices de systèmes et des développeurs de logiciels bancaires ... donc certains d'entre eux ont besoin des privilèges sudo. Existe-t-il un moyen prêt de les surveiller afin que toutes les exceptions soient détectées rapidement (comme l'ajout de la liste des sources), mais d'autres actions telles que l'installation de choses à partir de dépôts connus ne sont pas signalées.

Dans votre installation personnalisée, vous pouvez modifier le /etc/sudoersfichier afin que vos utilisateurs soient autorisés à s'exécuter sudo apt updateet sudo apt installaucune autre commande ne commençant par apt. Bien sûr, vous devez également restreindre sudo bash(ou tout autre shell).

Timothy Truckle
la source
3
Tant qu'aucun utilisateur ne dispose de privilèges de superutilisateur, il ne peut pas installer de logiciel de toute façon.
Byte Commander
J'ai édité la question.
tgkprog
@ByteCommander c'est vrai, mais que faire si vous voulez ajouter un "site de confiance" en plus de la liste initiale? Préférez-vous exécuter un script à mettre à jour /etc/apt/sources.listsur tous les 10'000 clients ou simplement modifier ce fichier sur quelques caches apt?
Timothy Truckle
5
@TimothyTruckle si vous avez vraiment 10000 clients, vous avez également un système de gestion comme Puppet, et l'ajouter à tous est trivial
muru
les utilisateurs peuvent accéder à un shell si sudo apt update signalent un conflit de fichiers
Ferrybig
6

Dans presque tous les magasins que j'ai vus jusqu'à présent, les développeurs avaient un accès complet aux machines de développement, mais ces machines n'avaient accès qu'à Internet et au référentiel de code source.

Le code source est archivé et compilé sur des machines de confiance (sur lesquelles les développeurs n'ont généralement pas ou n'ont pas besoin d'autorisations administratives), puis déployé à partir de là pour tester les systèmes qui ont accès au réseau interne.

Que ces machines soient utilisées par les développeurs ou par une équipe de test distincte dépend de votre organisation - mais généralement la frontière entre les machines approuvées et non approuvées se situe entre les machines distinctes, avec l'interface entre elles vérifiable (comme les validations de code source).

Les employés de la réception ne bénéficient jamais de privilèges administratifs. Lorsque nous avons déployé Solitaire sur toutes ces machines, les plaintes concernant cette politique ont quasiment cessé.

Simon Richter
la source
Bon conseil. Quelques temps de passage (applications de jeu) et peut-être un espace social à l'échelle de l'entreprise (wiki, chat, forum, votes) ouvert pendant 1 à 2 heures par jour.
tgkprog