बैंक देव कर्मचारियों के लिए उबंटू [बंद]


16

क्या बैंकों और अन्य व्यवसायों के लिए कस्टम उबंटू कंप्यूटर (हर दिन उपयोग के लिए इंस्टॉल से) को चलाने की प्रक्रियाएं और तरीके हैं, जो उपयोगकर्ताओं को संभवतः असुरक्षित स्थानों से बायनेरी डाउनलोड नहीं करना चाहते हैं?

ताकि एप-गेट, अपडेट आदि केवल कुछ विश्वसनीय इंटरनेट या इंट्रानेट स्थानों से ही हो?

अपडेट: पहले जवाब के बाद इसे जोड़ा गया। ये उपयोगकर्ता समर्थन, सिस्टम के नौसिखिए उपयोगकर्ता और बैंक सॉफ़्टवेयर के डेवलपर हैं ... इसलिए उनमें से कुछ को sudo विशेषाधिकार की आवश्यकता है। क्या उनकी निगरानी के लिए कोई तैयार तरीका है ताकि कोई भी अपवाद जल्दी से पकड़ा जा सके (जैसे स्रोतों की सूची को जोड़ना) लेकिन ज्ञात रिपोज से सामान स्थापित करने जैसे अन्य कार्य अप्राप्य हो जाते हैं।

उद्देश्य को सुरक्षित करना है, उबंटू या एक स्वाद का उपयोग करना है, deveopers और अन्य sudo उपयोगकर्ताओं को यथासंभव उत्पादक बनाने की अनुमति है। (और विंडोज और मैक कंप्यूटरों पर निर्भरता कम करें)

.2। और आईटी के लोग उपयोगकर्ताओं को पॉलिसी दे सकते हैं ताकि वे कुछ कार्रवाई नहीं कर सकें जैसे कि एक फ़ोल्डर साझा करें, भले ही sudo उपयोगकर्ता? एक पूर्ण समाधान?


7
यदि आप उन्हें रूट एक्सेस देते हैं sudo apt-get, तो आप सिस्टम के बाहर एक अच्छा फ़ायरवॉल लगा सकते हैं।
मुरु

2
डेविल्स को थोड़ा खेलने की वकालत करने के लिए, आप यह कैसे सुनिश्चित करेंगे कि उबंटू की रिपॉजिटरी में सॉफ्टवेयर "विश्वसनीय" है? यदि आपका संगठन उन पैकेजों या रिपॉजिटरी में से किसी की भी समीक्षा नहीं करता है, तो यह तर्क दिया जा सकता है कि आप पहले से अविशिष्ट सॉफ़्टवेयर स्थापित कर रहे हैं :) इसके अलावा जब तक आप इंटरनेट एक्सेस या व्हाइट-लिस्ट विशिष्ट साइटों को ब्लॉक नहीं करते हैं, यह तकनीकी उपयोगकर्ता के लिए बायपास करने के लिए बहुत मामूली है। इस तरह का प्रतिबंध, केवल डिब (एस) को मैन्युअल रूप से डाउनलोड करें और इंस्टॉल करें ...
रोरी मैककिन

2
एक बार जब वे जड़ हो जाते हैं, तो वे यूएसबी स्टिक के माध्यम से प्राप्त अविश्वसनीय बिनरी स्थापित कर सकते हैं। या उन्हें डाउनलोड करें। या उन्हें स्वयं ई-मेल द्वारा भेजें। एक डेवलपर को उन सभी सॉफ़्टवेयर को स्थापित करने से रूट एक्सेस के साथ रखना जो वे चाहते हैं मूल रूप से असंभव है।
फेडरिको पोलोनी

3
मैं इस प्रश्न को ऑफ-टॉपिक के रूप में बंद करने के लिए मतदान कर रहा हूं क्योंकि यह कंसल्टेंसी के लिए एक अनुरोध है, न कि एक सरल क्यूए जिसके लिए यह साइट डिज़ाइन की गई है। इसलिए प्रश्न यहाँ और ऑफ़-टॉपिक को संभालने के लिए बहुत व्यापक है !
फाबबी

1
एक सावधानी से तैयार की गई sudoers फ़ाइल को किसी भी बड़े पैमाने पर प्रबंधन प्रणाली द्वारा तैनात किया जाना चाहिए, यह सुनिश्चित करने के लिए कि केवल कंपनी को अनुमति दी गई है। यह प्रश्नों के विकल्प को आधारित या बहुत व्यापक (दोनों मैच) बनाता है। राय आधारित के लिए बंद करने के लिए ध्वजांकित किया गया। (बीमा दलाल sysadmin यहाँ, मैं कई में एक रास्ता चुना है, इसलिए राय आधारित झंडा)
Tensibai

जवाबों:


5

यह एक बहुत अच्छा प्रश्न है, लेकिन इसका उत्तर बहुत कठिन है।

सबसे पहले, @Timothy Truckle को शुरू करने के लिए एक अच्छा प्रारंभिक बिंदु है। आप अपना स्वयं का रेपो चलाएँगे जहाँ आपकी सुरक्षा टीम हर पैकेज को सत्यापित कर सके। लेकिन यह सिर्फ शुरुआत है।

आगे आप समूहों को लागू करना चाहेंगे। आप का लक्ष्य होगा कि उपयोगकर्ता उन चीजों को करने में सक्षम हों जिनकी उन्हें सहायता के बिना बहुत मदद करने की आवश्यकता है। लेकिन बैंकिंग में आप वास्तव में चीजों को बंद कर देना चाहते हैं। वास्तव में कई कॉर्पोरेट संरचनाओं में आप चीजों को बंद करना चाहते हैं। इसलिए किसी भी स्तर पर सामान्य उपयोगकर्ता sudo विशेषाधिकार देना शायद बाहर है।

आप शायद ऐसा करेंगे कि चीजों को सेट किया जाए ताकि कुछ समूहों को अपने काम करने के लिए उन्नत अनुमतियों की आवश्यकता न हो।

सॉफ्टवेयर को स्थापित करने वाले अधिकांश कॉर्पोरेट वातावरणों में एक ऐसी चीज होती है जो आपको निकाल सकती है, तो वह है नं। यदि आपको सॉफ़्टवेयर की आवश्यकता होती है, तो आप इसे आईटी कहते हैं और वे इसे आपके लिए करते हैं, या एक आवश्यक श्रृंखला या कुछ ऐसा है।

आदर्श रूप से आपको कुछ भी स्थापित करने के लिए एक सामान्य कर्मचारी की आवश्यकता नहीं होगी या कभी भी उच्चीकृत अनुमतियों की आवश्यकता होगी।

अब डेवलपर्स के लिए सवाल थोड़ा अलग है। शायद उन्हें स्थापित करने की आवश्यकता है और शायद उन्हें सुडो की आवश्यकता है। लेकिन उनके बक्से "खतरे के नेटवर्क" पर हैं और कभी भी महत्वपूर्ण प्रणालियों से सीधे कनेक्ट नहीं हो सकते हैं।

आईटी / सपोर्ट स्टाफ को सुडो की आवश्यकता होगी। लेकिन आप कमांड, या प्रक्रिया (कागजी कार्रवाई) या अन्य माध्यमों से सुडो पहुंच को सीमित कर सकते हैं। "2 आंखों के प्रिंसिपल" और इसे कैसे लागू किया जाए जैसी चीजों के बारे में पूरे खंड हो सकते हैं। लेकिन ऑडिट लॉग मौजूद हैं और अधिकांश जरूरतों को पूरा करने के लिए इसे कॉन्फ़िगर किया जा सकता है।

तो, वापस अपने सवाल पर। टिमोथी ट्रक्सले का उत्तर 100% सही है, लेकिन आपके प्रश्न का आधार बंद है। लिनक्स ओएस सुरक्षित करना आपके विशिष्ट उपयोग के मामले में आवश्यक सेटिंग्स को चुनने के बारे में बहुत अधिक है, और सामान्य विचार के बारे में कम है कि चीजों को कैसे सुरक्षित किया जाए।



मैंने एक अमेरिकी आईटी आपूर्तिकर्ता के लिए काम किया जहां उन्होंने विंडोज 7 यूएसी को स्थापना छवियों में बॉक्स से बाहर अक्षम कर दिया (उनके पास लिनक्स चित्र भी थे) और मेरे सभी सहकर्मी उनकी मशीनों पर प्रवेश कर रहे थे और विभिन्न ग्राहकों से कई मशीनों के लिए रूट विशेषाधिकार प्राप्त कर रहे थे जो वित्तीय भी संग्रहीत करते थे जानकारी। ऐसा नहीं है कि जगह में कोई सुरक्षा माप नहीं थे, लेकिन मुझे इसे कैसे लगाना चाहिए ... किसी भी तरह से आप सही हैं और अगर मैं प्रभारी था, तो मैं इसे अपना तरीका पसंद करूंगा, लेकिन क्या आपको वास्तविक अनुभव है या यह सिर्फ है वास्तविकता पर नहीं आशाओं के आधार पर कामना करना?
लाइववायरबीटी

कई वर्षों के वास्तविक अनुभव। ओपी ने बैंकिंग और बैंकिंग के बारे में और साथ ही कई कॉर्पोरेट संरचनाओं के बारे में पूछा, ऐसे अनुबंध और कानूनी दोनों हैं, जिन्हें पूरा करने की आवश्यकता है। आमतौर पर आप उन दायित्वों को पूरा करके शुरू (या खत्म) करते हैं।
कॉटियर

धन्यवाद। हां, हम एक बैंक नहीं हैं, लेकिन संवेदनशील डेटा की जरूरत है और सुरक्षा का पालन करें। मैंने बैंक शब्द का उपयोग एक परिचित उपयोग के मामले के रूप में किया है।
tgkprog

18

अपने इंट्रानेट के भीतर अपने स्वयं के डेबियन रिपॉजिटरी प्रॉक्सी को सेट करें।

Ubuntu स्थापना को अनुकूलित करें ताकि आपके डेबियन रिपॉजिटरी प्रॉक्सी में केवल प्रविष्टि हो /etc/apt/sources.list

Et voila: आपके पास अपने क्लाइंट पर इंस्टॉल किए गए सॉफ़्टवेयर के बारे में पूर्ण नियंत्रण है (जब तक कि किसी उपयोगकर्ता के पास सुपर उपयोगकर्ता अनुमतियां नहीं हैं)।


अपडेट: पहले जवाब के बाद इसे जोड़ा गया। ये उपयोगकर्ता समर्थन, सिस्टम के नौसिखिए उपयोगकर्ता और बैंक सॉफ़्टवेयर के डेवलपर हैं ... इसलिए उनमें से कुछ को sudo विशेषाधिकार की आवश्यकता है। क्या उनकी निगरानी के लिए कोई तैयार तरीका है ताकि कोई भी अपवाद जल्दी से पकड़ा जा सके (जैसे स्रोतों की सूची को जोड़ना) लेकिन ज्ञात रिपोज से सामान स्थापित करने जैसे अन्य कार्य अप्राप्य हो जाते हैं।

अपने कस्टम इंस्टॉलेशन में आप /etc/sudoersफ़ाइल को संशोधित कर सकते हैं ताकि आपके उपयोगकर्ताओं को चलने की अनुमति दी जा सके sudo apt updateऔर sudo apt installकोई अन्य कमांड शुरू न हो apt। बेशक, आपको भी प्रतिबंधित करना होगा sudo bash(या कोई अन्य शेल)।


3
जब तक किसी भी उपयोगकर्ता के पास सुपर उपयोगकर्ता विशेषाधिकार नहीं हैं, तब तक वे किसी भी सॉफ़्टवेयर को स्थापित नहीं कर सकते।
बाइट कमांडर

मैंने प्रश्न संपादित किया।
tgkprog

@ByteCommander यह सच है, लेकिन क्या होगा यदि आप प्रारंभिक सूची के अलावा एक और "विश्वसनीय साइट" जोड़ना चाहते हैं? क्या आप /etc/apt/sources.listसभी 10'000 ग्राहकों पर अपडेट करने के लिए एक स्क्रिप्ट चलाना पसंद करेंगे या कुछ उपयुक्त कैश पर इस फ़ाइल को संशोधित करेंगे?
तीमुथियुस ट्रक

5
@TimothyTruckle यदि आपके पास वास्तव में 10000 ग्राहक हैं, तो आपके पास भी कठपुतली की तरह एक प्रबंधन प्रणाली है, और उन सभी को जोड़ना तुच्छ है
muru

यदि sudo apt updateफ़ाइल विरोध की रिपोर्ट करता है तो उपयोगकर्ता शेल पर पहुँच प्राप्त कर सकते हैं
फेरीबिग

6

अब तक मैंने देखी गई लगभग हर दुकान में, डेवलपर्स के पास विकास मशीनों तक पूरी पहुंच थी, लेकिन इन मशीनों की पहुंच केवल इंटरनेट और सोर्स कोड रिपॉजिटरी तक थी।

स्रोत कोड की जाँच की जाती है और विश्वसनीय मशीनों पर संकलित की जाती है (जिसे डेवलपर्स को आमतौर पर प्रशासनिक अनुमति की आवश्यकता नहीं होती है), और फिर वहाँ से उन परीक्षण प्रणालियों में तैनात किया जाता है जिनकी आंतरिक नेटवर्क तक पहुँच होती है।

इन मशीनों का उपयोग डेवलपर्स द्वारा किया जाता है या एक अलग परीक्षण टीम आपके संगठन पर निर्भर है - लेकिन आम तौर पर विश्वसनीय और अविश्वासित मशीनों के बीच की सीमा अलग-अलग मशीनों के बीच होती है, उनके बीच का इंटरफ़ेस सत्यापन योग्य होता है (जैसे कि स्रोत कोड कमिट)।

फ्रंट डेस्क के कर्मचारियों को कोई प्रशासनिक विशेषाधिकार नहीं मिलता है। जब हमने इन सभी मशीनों के लिए त्यागी को तैनात किया, तो इस नीति के बारे में शिकायतें बहुत कम हो गईं।


अच्छा सुझाव। कुछ पास समय (गेम ऐप्स), और शायद एक कंपनी का व्यापक सामाजिक स्थान (विकी, चैट, फ़ोरम, वोट) जो दिन में 1-2 घंटे खुला रहता है।
tgkprog
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.