我们是一家小型软件公司,希望获得 Cyber Essentials 认证。该公司完全由远程工作的开发人员组成,大部分使用 Linux 机器。
我们仔细研究了所有问题和指导说明,果然,它们都是从 Microsoft 的角度编写的。而且并不总是清楚什么是实际需要的,什么是可以写成政策的。
有人有过获得 Cyber Essentials 认证的 Linux 设置的经验吗?
最大的障碍似乎是对远程擦除机器能力的要求。其次是实施密码策略、定期更新等的技术控制。
阻力最小的途径似乎是使用 Ubuntu Pro,它专门列出了 CyberEssentials 合规性。然而,我们宁愿坚持使用普通 Debian - 是否有任何“标准”开源解决方案可以让我们遵守而不必切换到企业 Linux 发行版?
答案1
没有直接经验,但您可能已经对中央帐户和包管理进行了排序?因此,让系统检查来自您自己的管理端点(网站,如果需要)的指令,并在执行它们之前下载/验证它们应该不会太困难。
这些命令之一可以是远程擦除脚本(如果您使用 LUKS,从/dev/urandomLUKS 标头删除的数据就足够了)