Свободно защищающий Linux для студентов для изучения на
Просто ветвь Защита Конечной точки Symantec 12 и это работало вполне прилично. Интерфейс не плох вообще. Системный ресурс легок также.
Я выполнил примерно подобный проект, в то время как в колледже (у нас был больше чем один сервер, и не были действительно соответствующими никому компьютерные сервисы панели, но мы были полями Linux для студентов). С точки зрения безопасности главным образом это о хранении абсолютно актуального с патчами. Где необходимо, выключите вход в систему, если существуют локальные корневые уязвимости и никакой патч все же. Вы также хотите настроить ulimits. То, как разъединяют, это, вероятно, зависит от того, как мощный Ваши машины или, но наша наименее мощная машина использовала их:
-
t: cpu time (seconds) 18000
-f: file size (blocks) 307200
-d: data seg size (kbytes) 51200
-s: stack size (kbytes) 8192
-c: core file size (blocks) 0
-m: resident set size (kbytes) 51200
-u: processes 75
-n: file descriptors 300
-l: locked-in-memory size (kb) 175000
-v: address space (kb) 400000
-x: file locks unlimited
-i: pending signals 61440
-q: bytes in POSIX msg queues 819200
-e: max nice 0
-r: max rt priority 0
А также это, Вы захотите установить квоты, вероятно, и для способности и для студенческих учетных записей. То, насколько большой они, зависит от Вашего диска, но мы в настоящее время устанавливаем квоты на 1 ГБ по умолчанию. Я полагаю, что мои преемники, заботящиеся о машинах, обычно довольно рады они однако для людей, у которых есть любой своего рода допустимая причина.
А также это, я попросил бы/одолжил бы/украл бы второй машины если вообще возможный создать резервную копию Ваших данных конфигурации/пользователя. Идеально необходимо создавать резервную копию всех / и т.д./, список установленных пакетов, и и всех пользовательских данных (Если у Вас есть какие-либо пакеты, Вы соединили себя, необходимо создавать резервную копию полного .debs). Если бы у Вас есть пространство, я скопировал бы / var, (кроме/var/tmp) также.
Полномочия на корне / 755 по умолчанию. Вы захотите изменить их, так как Вы оставите чувствительные файлы там случайно в какой-то момент. Кроме того, стене и su (по крайней мере), нужно изменить их полномочия поэтому, только базируются/базируются, группа может использовать их (не стесняйтесь изменять корневую группу для некоторой другой группы, что только Вы находитесь в).
Наконец, я был бы системный журнал все к удаленному серверу без пользовательских логинов (даже если это не машина, которой Вы управляете). Я установил бы излишне любопытный на Вашей машине, таким образом, у Вас есть некоторый контрольный журнал для того, когда кто-то врывается.
Наши документы для большей части системного материала здесь. Большинство из них, вероятно, не относится к Вам, если Вы только выполняете единственную машину, но их может стоить ввести по абсолютному адресу через биты так или иначе.
-
1Добавление к Cian' s ответ, я также рекомендовал бы изолировать поле от сетевой перспективы. Если существует что-то поставленное под угрозу на поле, Вы don' t хотят это в области сети, где они могли получить доступ к любым чувствительным внутренним данным. В нашем случае у нас есть " students" VLAN, и что-либо, что имеет оболочку и является студенческим направлением, входит в тот VLAN. Тот VLAN затем не имеет никакого другого доступа ни к какой другой сети. – Alex 3 September 2009 в 15:09
-
2Как насчет того, чтобы добавить что-то как Растяжка... тот способ, которым у Вас есть контрольные суммы файлов, таким образом, у Вас может быть запись того, что, во всяком случае, изменено внешними пользователями? – Bart Silverstrim 3 September 2009 в 15:14
Существует в основном два способа идти об этом:
- Вы удостоверяетесь, что они не могут повредить его.
- Вы удостоверяетесь, что можно зафиксировать его намного более быстрый, чем они могут повредить его.
Для первого Вы могли рассмотреть недавний дистрибутив Linux, который идет с очень трудным набором правил SELinux. Учитывая тот факт, что эти студенты должны узнать, что я ожидал бы, что они столкнутся с проблемами (как: Нельзя слушать сетевой порт), которые лишают возможности на них завершать их присвоения или просто идти вне их текущего уровня квалификации.
Вторая опция на самом деле намного более устойчива для понимания.
- Установите что-то как сапожник для автоматизации переустановки система, они продолжают работать.
- Учите студентов передавать свой код репозиторию подверсии/мерзавца регулярно (полезный навык программирования!!). Предоставьте доступ учителя в репозиторий студентов. Студенты могут просто попросить, чтобы учитель рассмотрел определенный тег в их персональной подверсии.
- Поместите все данные для входа в LDAP и настройте Ваш сервер, чтобы автоволшебно создать корневой каталог студента, когда они войдут в систему.
- Переустанавливайте сервер КАЖДУЮ НОЧЬ. Это легко потому что Вы; ve автоматизировал весь процесс.
Побочные эффекты:
- Никакое вредоносное программное обеспечение не живет дольше, чем 24 часа.
- Если число студентов растет, можно просто добавить вторую/третью систему и установить ее 100% тождественно.
- Любые проблемы конфигурации решены однажды и остаются фиксированными после переустановки.
- Студенты забудут фиксировать и терять работу время от времени.
-
1Это только работает если it' s, чтобы использоваться просто в качестве dev поля, и пользователи никогда не хотят ничего что Вы don' t установили. I' ve нашел, что пользователи неизменно заканчивают тем, что компилировали материал в своем домашнем dir и в большой степени настроили их различное. файлы, создание переустанавливает каждую ночь неприменимый. – Cian 3 September 2009 в 13:28
-
2Да, you' абсолютно правильное ре. It' s всегда хороший для проверки всех возможных решений видеть, может ли такое решение работать в определенной ситуации под рукой. Учитывая тот факт, что существуют только студенты, делающие присвоения, учитель диктует необходимые инструменты. Любые дополнительные полезные инструменты могут быть добавлены к переустановить сценарию. – Niels Basjes 3 September 2009 в 14:01
-
3You' ре, все еще не собирающееся иметь дело с user' s файлы конфигурации. Большинство пользователей быстро заканчивает с bash/vim/$OTHER_THING rcs, который you' ре, вытирающее каждую ночь. Если мой университет настроил сервис как этот, I' d только что не использовали его, дали сумму лаваша it' d для копирования по моему. файлы каждое утро. – Cian 3 September 2009 в 14:30
-
4разделение домашнего раздела и сохранение в целости его решили бы ту проблему. – hayalci 3 September 2009 в 15:15
Во-первых, удостоверьтесь, что настроили резервные копии и изучили, как восстановить систему.
Тем не менее, пока Вы применяете обновления системы защиты без дальнейшего промедления (можно также проверить необслуживаемые обновления), необходимо быть в порядке. (Хотя, если можно ограничить внешние логины, например, только разрешение основанной на ключе аутентификации, Вы понизите риск далее).
Вы захотите квоты и ulimit, как предложено, а также контролирующий (намного более вероятно, что у Вас внезапно закончится диск, и люди будут расстроены из-за этого, чем кто-либо достаточно хорошо осведомленный для получения корневого доступа повреждает его).
Вы не хотите начинать бездельничать с полномочиями (не зная точно, что Вы делаете).
-
1Разрешение только основанных на ключе логинов для общей студенческой машины входа в систему далеко, намного больше лаваша, чем it' s ценность, ime. – Cian 3 September 2009 в 12:00
Что относительно того, чтобы настроить непривилегированный режим Linux с копией на файле записи в корневом каталоге каждого студента? Эта песочница дала бы каждую полностью полную свободу на их собственном экземпляре. Если что-то повреждается, просто зажмите файл COW, и Вы вернетесь к начальной точке.
scp/sftp мог использоваться для загрузки отправленной работы на центральный репозиторий.