ユーザーが安全でない可能性のある場所からバイナリをダウンロードすることを望まない銀行やその他の企業向けに、カスタムUbuntuコンピューターを実行する方法(インストールから毎日の使用まで)について文書化されたプロセスと方法はありますか?
apt-get、updateなどは、少数の信頼できるインターネットまたはイントラネットの場所からのみ発生しますか?
更新:最初の回答の後にこれを追加しました。これらのユーザーはサポートであり、システムの初心者ユーザーおよび銀行ソフトウェアの開発者です。そのため、一部のユーザーはsudo権限が必要です。それらを監視する準備ができているので、例外はすぐにキャッチされます(ソースリストの追加など)が、既知のリポジトリからのものをインストールするなどの他のアクションは報告されません。
目的は、セキュリティを確保し、Ubuntuまたはフレーバーを使用して、開発者や他のsudoユーザーができるだけ生産的になることです。(およびWindowsおよびMacコンピューターへの依存を減らします)
.2。また、IT担当者は、sudoユーザーであっても、フォルダーを共有するなどのアクションを実行できないように、ポリシーをユーザーに分割できます。完全なソリューションですか?
ここで少し主張する悪魔を演じるために、Ubuntuのリポジトリ内のソフトウェアが「信頼できる」ことをどのように確認しますか?組織がこれらのパッケージまたはリポジトリのいずれもレビューしていない場合、信頼できないソフトウェアを既にインストールしていると主張できます:)また、インターネットアクセスをブロックしたり、特定のサイトをホワイトリストに登録したりしない限り、技術ユーザーがバイパスすることは非常に簡単です制限のこの種だけ手動でdebファイル(複数可)をダウンロードしてインストール...
—
ロリーMcCune氏
ルートを取得したら、USBスティックから取得した信頼できないバイナリをインストールできます。またはそれらをダウンロードします。または、自分自身に電子メールで送信します。rootアクセス権を持つ開発者が必要なすべてのソフトウェアをインストールできないようにすることは、基本的に不可能です。
—
フェデリコポロニ
この質問は、このサイトが設計された単純なQAではなく、コンサルティングの要求であるため、トピック外としてこの質問を終了することに投票しています。したがって、質問はあまりに広すぎてここで扱うことはできず、 トピック外です!
—
ファビー
慎重に作成されたsudoersファイルは、大規模な管理システムによって展開され、会社が許可したものだけが実行されるようにします。これにより、質問オプションに基づくか広すぎる(両方一致)になります。意見に基づいて閉鎖のフラグが立てられます。(ここで保険ブローカーのシステム管理者、私は多くの道を選んだので、意見ベースのフラグ)
—
Tensibai
sudo apt-get、システムの外側に適切なファイアウォールを配置することをお勧めします。