Hintergrund: Wir haben ein Labor mit Macintosh-Computern, auf denen derzeit alle 10.10.3 laufen, die für den Unterricht bestimmt sind. Schüler verwenden in der Regel ihr eigenes Login/Passwort über Active Directory, um sich bei diesen Computern anzumelden, es ist jedoch auch ein (anonymer) Gastzugang verfügbar. Traditionell haben wir Schülern bisher nie erlaubt, Terminal.app zu öffnen/zu verwenden, da der Raum hauptsächlich für Kunst genutzt wurde, aber in letzter Zeit werden die Maschinen für die Wissenschaft verwendet und Lehrer haben CLI-Zugriff angefordert. Studenten sind keine Administratoren und könnten sudo nicht verwenden.
Ist es sicher, die Einschränkung zu entfernen, die Schüler daran hindert, Terminal.app zu öffnen, und Schülern vollen Zugriff auf die Bash-Shell zu gewähren? Sind wir übervorsichtig? Wenn nicht, welchen Arten von Risiken wären wir ausgesetzt/müssen wir uns damit befassen, bevor wir einen solchen Zugriff erlauben?
Es ist wichtig zu wissen, dass die Schüler bereits andere Zugriffsmöglichkeiten auf die Bash- (und andere) Shells haben. Schüler können alternative Terminalprogramme – wie z. B. iTerm – in ihre Home-Verzeichnisse herunterladen, um Shell-/CLI-Zugriff zu erhalten. Darüber hinaus können Shell-Skripte über Automator.app ausgeführt werden .
Daher hat Ihnen das Blockieren der Standard-Terminal.app, insbesondere für unternehmungslustige Studenten, aus Sicherheitsgründen nicht viel gebracht.
Ob der CLI-Zugriff angemessen ist, hängt wirklich von den intakten Berechtigungen im gesamten Dateisystem in Kombination mit den entsprechenden Benutzerkontoeinstellungen ab. Wenn die Schüler als Standard- oder verwaltete (Nicht-Administrator-)Konten ausgeführt werden und die Dateisystemberechtigungen intakt sind, schränkt dies den Schülerzugriff ein. Konten ohne Administratorrechte sollten nicht in der Lage sein, Tools auf Stammebene auszuführen und Konfigurationsdateien auf Stammebene zu ändern.
user83417
KarlC
user83417