Sicuro per consentire agli studenti di accedere a Terminal.app in un ambiente condiviso?

4

Background: abbiamo un laboratorio di computer Macintosh, tutti attualmente in esecuzione 10.10.3, che sono per l'insegnamento in classe. Gli studenti utilizzano in genere il proprio login / password tramite Active Directory per accedere a queste macchine, tuttavia è disponibile anche l'accesso guest (anonimo). Tradizionalmente non abbiamo mai consentito in precedenza agli studenti di aprire / utilizzare Terminal.app poiché la stanza era utilizzata principalmente per l'arte, ma di recente le macchine vengono utilizzate per la scienza e gli istruttori hanno richiesto l'accesso alla CLI. Gli studenti non sono amministratori e non sarebbero in grado di utilizzare sudo.

È sicuro rimuovere la restrizione che impedisce agli studenti di aprire Terminal.app e consentire agli studenti l'accesso completo alla shell bash? Siamo troppo cauti? In caso contrario, a quali tipi di rischi saremmo esposti / a cui dobbiamo rivolgerci prima di consentire tale accesso?

    
posta user83417 13.01.2016 - 01:17
fonte

1 risposta

6

È importante rendersi conto che gli studenti hanno già altre possibilità di accesso alle shell di bash (e di altri). Gli studenti possono scaricare programmi terminali alternativi, come iTerm , nelle loro directory home per ottenere l'accesso alla shell / alla CLI. Inoltre, gli script di shell possono essere eseguiti tramite Automator.app .

Quindi, specialmente per studenti intraprendenti, bloccare il Terminal.app predefinito non ti ha comprato molto dal punto di vista della sicurezza.

In realtà, se l'accesso alla CLI è appropriato, si arriva alle autorizzazioni intatte sul filesystem combinate con le impostazioni dell'account utente appropriate. Se gli studenti eseguono account standard o gestiti (non di amministrazione) e le autorizzazioni del filesystem sono intatte, questo è ciò che limita l'accesso degli studenti. Gli account non amministratori non dovrebbero essere in grado di eseguire strumenti a livello di root e modificare i file di configurazione a livello di root.

    
risposta data 13.01.2016 - 20:05
fonte

Leggi altre domande sui tag