Antecedentes: Tenemos un laboratorio de computadoras Macintosh, todas ejecutando 10.10.3 actualmente, que son para la instrucción en el salón de clases. Los estudiantes generalmente usan su propio inicio de sesión/contraseña a través de Active Directory para iniciar sesión en estas máquinas; sin embargo, también está disponible el acceso de invitado (anónimo). Tradicionalmente, nunca habíamos permitido que los estudiantes abrieran/usaran Terminal.app ya que la sala se usaba principalmente para el arte, pero recientemente las máquinas se están usando para la ciencia y los instructores solicitaron acceso a la CLI. Los estudiantes no son administradores y no podrían usar sudo.
¿Es seguro eliminar la restricción que impide que los estudiantes abran Terminal.app y permitirles acceso completo al shell bash? ¿Estamos siendo demasiado cautelosos? De no ser así, ¿a qué tipos de riesgos estaríamos expuestos o tendríamos que abordar antes de permitir dicho acceso?
Es importante darse cuenta de que los estudiantes ya tienen otras vías de acceso a los shells bash (y otros). Los estudiantes pueden descargar programas de terminal alternativos, como iTerm , a sus directorios de inicio para obtener acceso a shell/CLI. Además, los scripts de shell se pueden ejecutar a través de Automator.app .
Por lo tanto, especialmente para los estudiantes emprendedores, bloquear la aplicación Terminal.app predeterminada no les ha proporcionado mucho desde el punto de vista de la seguridad.
Realmente, si el acceso CLI es apropiado se reduce a los permisos intactos en todo el sistema de archivos combinados con la configuración adecuada de la cuenta de usuario. Si los estudiantes se ejecutan como cuentas estándar o administradas (no administrativas) y los permisos del sistema de archivos están intactos, eso es lo que limita el acceso de los estudiantes. Las cuentas que no son de administrador no deberían poder ejecutar herramientas de nivel raíz ni modificar archivos de configuración de nivel raíz.
usuario83417
KarlC
usuario83417