Безопасно ли предоставлять учащимся доступ к Terminal.app в общей среде?

Справочная информация: у нас есть лаборатория компьютеров Macintosh, на которых в настоящее время работает версия 10.10.3, предназначенных для обучения в классе. Студенты обычно используют свой собственный логин/пароль через Active Directory для входа на эти машины, однако гостевой (анонимный) доступ также доступен. Традиционно мы никогда раньше не разрешали учащимся открывать/использовать Terminal.app, поскольку комната использовалась в основном для занятий искусством, но в последнее время машины используются для научных целей, и инструкторы запрашивают доступ к CLI. Учащиеся не являются администраторами и не могут использовать sudo.

Безопасно ли снять ограничение, запрещающее учащимся открывать Terminal.app, и разрешить учащимся полный доступ к оболочке bash? Мы слишком осторожны? Если нет, то каким типам рисков мы подвергнемся/должны быть устранены, прежде чем разрешить такой доступ?

Я надеюсь, что «Спросить по-другому» — подходящее место для этого вопроса, я также подумал о том, чтобы поместить его в раздел «Суперпользователь» или «Информационная безопасность».
Если ваши преподаватели естественных наук могут точно сказать вам, что именно их студенты будут делать, что требует использования терминала, и если это требование использования может быть выполнено без предоставления студентам доступа к sudo, тогда у вас может быть достаточно информации для принятия обоснованного решения в любом случае. другой.
Как уже говорилось, у студентов не будет возможности или необходимости использовать sudo. Некоторые из моих коллег обеспокоены тем, что разрешение на использование терминала является дырой в безопасности, но представили, по крайней мере, мало доказательств. Я надеюсь, что кто-то может привести веские аргументы за или против.

Ответы (1)

Важно понимать, что у студентов уже есть другие пути доступа к bash (и другим) оболочкам. Учащиеся могут загружать альтернативные терминальные программы, такие как iTerm , в свои домашние каталоги, чтобы получить доступ к оболочке/интерфейсу командной строки. Кроме того, через Automator.app можно запускать сценарии оболочки .

Так что, особенно для предприимчивых студентов, блокировка приложения Terminal.app по умолчанию не принесет вам многого с точки зрения безопасности.

На самом деле, правильный ли доступ CLI сводится к неповрежденным разрешениям в файловой системе в сочетании с соответствующими настройками учетной записи пользователя. Если учащиеся работают со стандартными или управляемыми (не администраторскими) учетными записями, а разрешения файловой системы не повреждены, то это ограничивает доступ учащихся. Учетные записи без прав администратора не должны иметь возможности запускать инструменты корневого уровня и изменять файлы конфигурации корневого уровня.

Полезно знать, спасибо. Очевидно, я не включил всю настройку нашей политики в свою справочную информацию, в настоящее время мы не разрешаем запуск исполняемых файлов вне /Applications, и только администраторы могут писать в /Applications.
Конечно, сложно перечислить всю политику безопасности в коротком посте. Я не знал, что есть способ запретить запуск приложений в собственном домашнем каталоге. Это не по теме, но было бы интересно узнать, как вы это делаете. Несмотря на это, Automator.app находится в /Applications и может использоваться для выполнения действий, подобных оболочке.
Безопасно ли предоставлять учащимся доступ к Terminal.app в общей среде?
СпросиСетьПолитика конфиденциальности1y, 0v