Es ist sicher, Schülern den Zugriff auf Terminal.app in einer gemeinsam genutzten Umgebung zu ermöglichen?

Hintergrund: Wir haben ein Labor mit Macintosh-Computern, auf denen derzeit alle 10.10.3 laufen, die für den Unterricht bestimmt sind. Schüler verwenden in der Regel ihr eigenes Login/Passwort über Active Directory, um sich bei diesen Computern anzumelden, es ist jedoch auch ein (anonymer) Gastzugang verfügbar. Traditionell haben wir Schülern bisher nie erlaubt, Terminal.app zu öffnen/zu verwenden, da der Raum hauptsächlich für Kunst genutzt wurde, aber in letzter Zeit werden die Maschinen für die Wissenschaft verwendet und Lehrer haben CLI-Zugriff angefordert. Studenten sind keine Administratoren und könnten sudo nicht verwenden.

Ist es sicher, die Einschränkung zu entfernen, die Schüler daran hindert, Terminal.app zu öffnen, und Schülern vollen Zugriff auf die Bash-Shell zu gewähren? Sind wir übervorsichtig? Wenn nicht, welchen Arten von Risiken wären wir ausgesetzt/müssen wir uns damit befassen, bevor wir einen solchen Zugriff erlauben?

Ich hoffe, „Ask Different“ ist ein geeigneter Ort für diese Frage, ich habe auch überlegt, sie unter „Super User“ oder „Information Security“ zu platzieren.
Wenn Ihre Naturwissenschaftslehrer Ihnen genau sagen können, was ihre Schüler tun werden, was die Verwendung von Terminal erfordert, und solange diese Nutzungsanforderung erfüllt werden kann, ohne den Schülern sudo-Zugriff zu gewähren, haben Sie möglicherweise ausreichende Informationen für eine fundierte Entscheidung auf eine Weise oder das andere.
Wie bereits erwähnt, haben die Schüler nicht die Fähigkeit oder Notwendigkeit, sudo zu verwenden. Einige meiner Kollegen sind besorgt, dass das Zulassen der Nutzung von Terminal eine Sicherheitslücke darstellt, haben aber meiner Meinung nach nur wenige Beweise geliefert. Ich hoffe, jemand kann ein solides Argument dafür oder dagegen liefern.

Antworten (1)

Es ist wichtig zu wissen, dass die Schüler bereits andere Zugriffsmöglichkeiten auf die Bash- (und andere) Shells haben. Schüler können alternative Terminalprogramme – wie z. B. iTerm – in ihre Home-Verzeichnisse herunterladen, um Shell-/CLI-Zugriff zu erhalten. Darüber hinaus können Shell-Skripte über Automator.app ausgeführt werden .

Daher hat Ihnen das Blockieren der Standard-Terminal.app, insbesondere für unternehmungslustige Studenten, aus Sicherheitsgründen nicht viel gebracht.

Ob der CLI-Zugriff angemessen ist, hängt wirklich von den intakten Berechtigungen im gesamten Dateisystem in Kombination mit den entsprechenden Benutzerkontoeinstellungen ab. Wenn die Schüler als Standard- oder verwaltete (Nicht-Administrator-)Konten ausgeführt werden und die Dateisystemberechtigungen intakt sind, schränkt dies den Schülerzugriff ein. Konten ohne Administratorrechte sollten nicht in der Lage sein, Tools auf Stammebene auszuführen und Konfigurationsdateien auf Stammebene zu ändern.

Gut zu wissen, danke. Offensichtlich habe ich nicht unser gesamtes Richtlinien-Setup in meine Hintergrundinformationen aufgenommen, derzeit erlauben wir nicht, dass ausführbare Dateien außerhalb von /Applications ausgeführt werden, und nur Administratoren können in /Applications schreiben.
Sicher, es ist schwierig, eine vollständige Sicherheitsrichtlinie in einem kurzen Beitrag aufzulisten. Mir war nicht bewusst, dass es eine Möglichkeit gibt, das Starten von Apps im eigenen Home-Verzeichnis zu verbieten. Ist zwar off-topic, aber es wäre interessant zu wissen, wie du das machst. Trotzdem befindet sich Automator.app in /Applications und kann verwendet werden, um Shell-ähnliche Dinge zu tun.
Es ist sicher, Schülern den Zugriff auf Terminal.app in einer gemeinsam genutzten Umgebung zu ermöglichen?
AntwortenHierDatenschutz-Bestimmungen1y, 0v