Справочная информация: у нас есть лаборатория компьютеров Macintosh, на которых в настоящее время работает версия 10.10.3, предназначенных для обучения в классе. Студенты обычно используют свой собственный логин/пароль через Active Directory для входа на эти машины, однако гостевой (анонимный) доступ также доступен. Традиционно мы никогда раньше не разрешали учащимся открывать/использовать Terminal.app, поскольку комната использовалась в основном для занятий искусством, но в последнее время машины используются для научных целей, и инструкторы запрашивают доступ к CLI. Учащиеся не являются администраторами и не могут использовать sudo.
Безопасно ли снять ограничение, запрещающее учащимся открывать Terminal.app, и разрешить учащимся полный доступ к оболочке bash? Мы слишком осторожны? Если нет, то каким типам рисков мы подвергнемся/должны быть устранены, прежде чем разрешить такой доступ?
Важно понимать, что у студентов уже есть другие пути доступа к bash (и другим) оболочкам. Учащиеся могут загружать альтернативные терминальные программы, такие как iTerm , в свои домашние каталоги, чтобы получить доступ к оболочке/интерфейсу командной строки. Кроме того, через Automator.app можно запускать сценарии оболочки .
Так что, особенно для предприимчивых студентов, блокировка приложения Terminal.app по умолчанию не принесет вам многого с точки зрения безопасности.
На самом деле, правильный ли доступ CLI сводится к неповрежденным разрешениям в файловой системе в сочетании с соответствующими настройками учетной записи пользователя. Если учащиеся работают со стандартными или управляемыми (не администраторскими) учетными записями, а разрешения файловой системы не повреждены, то это ограничивает доступ учащихся. Учетные записи без прав администратора не должны иметь возможности запускать инструменты корневого уровня и изменять файлы конфигурации корневого уровня.
пользователь83417
КарлС
пользователь83417