面向银行开发人员的Ubuntu

是否有针对不希望用户从可能不安全的位置下载二进制文件的银行和其他企业运行自定义Ubuntu计算机（从安装到日常使用）的过程和方法？

这样，仅从几个受信任的Internet或Intranet位置进行apt-get，Update等操作？

更新：在第一个答案之后添加了此内容。这些用户是系统的支持者，系统的新手和银行软件的开发人员……因此，其中一些用户需要sudo特权。有没有现成的方法可以监视它们，以便迅速捕获到任何异常（例如，添加源列表），但是未报告其他操作（例如，从已知存储库中安装内容）。

目的是确保安全，使用Ubuntu或使用Flavor，以允许开发人员和其他sudo用户尽可能多地工作。（并减少对Windows和Mac计算机的依赖）

.2。而且IT人员可以将策略分配给用户，这样即使sudo用户也无法执行诸如共享文件夹之类的操作。完整的解决方案？

这是一个很好的问题，但是很难回答。

首先，为了起步，@ Timothy Truckle有一个很好的起点。您将运行自己的apt仓库，安全团队可以在其中验证每个软件包。但这仅仅是开始。

接下来，您将要实现组。您的目标是使用户能够在不需要支持人员太多帮助的情况下完成他们需要做的事情。但是在银行业中，您真的希望事情锁定下来。实际上，在许多公司结构中，您都希望将事情锁定下来。因此，向普通用户授予任何级别的sudo特权可能是不可行的。

您可能要做的是设置事物，以便某些组不需要提升的权限即可执行其工作。

同样，在大多数公司环境中，安装软件会让您被炒鱿鱼，所以这是不可以的。如果您需要软件，则可以致电IT部门，而IT部门会为您完成该工作，或者存在一个采购链或类似的采购链。

理想情况下，您将不需要普通员工来安装任何东西，也不需要提升权限。

现在，对于开发人员而言，问题有所不同。也许他们需要安装，也许他们需要sudo。但是它们的盒子位于“危险网络”上，永远不能直接连接到关键系统。

IT /支持人员将需要sudo。但是您可以通过命令或过程（文书工作）或其他方式限制sudo访问。关于“两眼原理”之类的东西以及如何实现它，可能有很多内容。但是，存在审核日志，可以对其进行配置以满足大多数需求。

所以，回到您的问题。蒂莫西·卡特尔（Timothy Truckle）的回答是100％正确的，但是您提出问题的前提是错误的。保护Linux OS的更多内容是选择特定用例所需的设置，而不是如何保护事物的一般想法。

在您的Intranet中设置自己的debian存储库代理。

自定义ubuntu安装，以便您的debian存储库代理是中的唯一条目/etc/apt/sources.list。

等等：您可以完全控制客户端上安装的软件（只要没有用户具有超级用户权限）。

更新：在第一个答案之后添加了此内容。这些用户是系统的支持者，系统的新手和银行软件的开发人员……因此，其中一些用户需要sudo特权。有没有现成的方法可以监视它们，以便迅速捕获到任何异常（例如，添加源列表），但是未报告其他操作（例如，从已知存储库中安装内容）。

在自定义安装中，您可以修改/etc/sudoers文件，以便允许您的用户运行sudo apt update，sudo apt install但不能以开头的其他命令apt。当然，您还必须限制sudo bash（或任何其他外壳）。

到目前为止，在我所见过的几乎每家商店中，开发人员都可以完全访问开发机器，但是这些机器只能访问Internet和源代码存储库。

检入源代码并在受信任的机器（开发人员通常没有或需要其管理权限）上编译源代码，然后从那里部署它们以测试可以访问内部网络的系统。

这些机器是由开发人员使用还是由单独的测试团队使用取决于您的组织-但是通常，受信任的机器与不受信任的机器之间的界限是在独立的机器之间，并且它们之间的接口是可验证的（例如，提交源代码）。

前台员工从未获得任何管理特权。当我们将Solitaire部署到所有这些机器上时，对该政策的抱怨几乎停止了。