¿Seguro para permitir que los estudiantes accedan a Terminal.app en un entorno compartido?

4

Antecedentes: tenemos un laboratorio de computadoras Macintosh, todas ejecutando 10.10.3 actualmente, que son para instrucción en el aula. Por lo general, los estudiantes usan su propio nombre de usuario / contraseña a través de Active Directory para iniciar sesión en estas máquinas, sin embargo, el acceso de invitado (anónimo) también está disponible. Tradicionalmente, nunca antes hemos permitido a los estudiantes abrir / usar Terminal.app ya que la sala se usaba principalmente para arte, pero recientemente las máquinas se están utilizando para la ciencia y los instructores han solicitado acceso a CLI. Los estudiantes no son administradores y no podrían usar sudo.

¿Es seguro eliminar la restricción que impide a los estudiantes abrir Terminal.app y permitir que los estudiantes tengan acceso completo al shell de bash? ¿Estamos siendo demasiado cautelosos? Si no es así, ¿a qué tipo de riesgos estaríamos expuestos / deberíamos abordar antes de permitir dicho acceso?

    
pregunta user83417 13.01.2016 - 01:17

1 respuesta

6

Es importante darse cuenta de que los estudiantes ya tienen otras vías de acceso a los depósitos de bash (y otros). Los estudiantes pueden descargar programas de terminal alternativos, como iTerm , a sus directorios principales para obtener acceso a la shell / CLI. Además, los scripts de shell se pueden ejecutar a través de Automator.app .

Por lo tanto, especialmente para los estudiantes emprendedores, el bloqueo del Terminal.app predeterminado no te ha comprado mucho desde el punto de vista de la seguridad.

Realmente, si el acceso a la CLI es apropiado se reduce a los permisos intactos en todo el sistema de archivos combinado con la configuración apropiada de la cuenta de usuario. Si los estudiantes se ejecutan como cuentas estándar o administradas (no de administrador) y los permisos del sistema de archivos están intactos, eso es lo que limita el acceso de los estudiantes. Las cuentas que no son administradores no deberían poder ejecutar herramientas de nivel raíz y modificar archivos de configuración de nivel raíz.

    
respondido por el jefe2000 13.01.2016 - 20:05

Lea otras preguntas en las etiquetas