Просто ветвь Защита Конечной точки Symantec 12 и это работало вполне прилично. Интерфейс не плох вообще. Системный ресурс легок также.
Я выполнил примерно подобный проект, в то время как в колледже (у нас был больше чем один сервер, и не были действительно соответствующими никому компьютерные сервисы панели, но мы были полями Linux для студентов). С точки зрения безопасности главным образом это о хранении абсолютно актуального с патчами. Где необходимо, выключите вход в систему, если существуют локальные корневые уязвимости и никакой патч все же. Вы также хотите настроить ulimits. То, как разъединяют, это, вероятно, зависит от того, как мощный Ваши машины или, но наша наименее мощная машина использовала их:
-
t: cpu time (seconds) 18000
-f: file size (blocks) 307200
-d: data seg size (kbytes) 51200
-s: stack size (kbytes) 8192
-c: core file size (blocks) 0
-m: resident set size (kbytes) 51200
-u: processes 75
-n: file descriptors 300
-l: locked-in-memory size (kb) 175000
-v: address space (kb) 400000
-x: file locks unlimited
-i: pending signals 61440
-q: bytes in POSIX msg queues 819200
-e: max nice 0
-r: max rt priority 0
А также это, Вы захотите установить квоты, вероятно, и для способности и для студенческих учетных записей. То, насколько большой они, зависит от Вашего диска, но мы в настоящее время устанавливаем квоты на 1 ГБ по умолчанию. Я полагаю, что мои преемники, заботящиеся о машинах, обычно довольно рады они однако для людей, у которых есть любой своего рода допустимая причина.
А также это, я попросил бы/одолжил бы/украл бы второй машины если вообще возможный создать резервную копию Ваших данных конфигурации/пользователя. Идеально необходимо создавать резервную копию всех / и т.д./, список установленных пакетов, и и всех пользовательских данных (Если у Вас есть какие-либо пакеты, Вы соединили себя, необходимо создавать резервную копию полного .debs). Если бы у Вас есть пространство, я скопировал бы / var, (кроме/var/tmp) также.
Полномочия на корне / 755 по умолчанию. Вы захотите изменить их, так как Вы оставите чувствительные файлы там случайно в какой-то момент. Кроме того, стене и su (по крайней мере), нужно изменить их полномочия поэтому, только базируются/базируются, группа может использовать их (не стесняйтесь изменять корневую группу для некоторой другой группы, что только Вы находитесь в).
Наконец, я был бы системный журнал все к удаленному серверу без пользовательских логинов (даже если это не машина, которой Вы управляете). Я установил бы излишне любопытный на Вашей машине, таким образом, у Вас есть некоторый контрольный журнал для того, когда кто-то врывается.
Наши документы для большей части системного материала здесь. Большинство из них, вероятно, не относится к Вам, если Вы только выполняете единственную машину, но их может стоить ввести по абсолютному адресу через биты так или иначе.
Существует в основном два способа идти об этом:
Для первого Вы могли рассмотреть недавний дистрибутив Linux, который идет с очень трудным набором правил SELinux. Учитывая тот факт, что эти студенты должны узнать, что я ожидал бы, что они столкнутся с проблемами (как: Нельзя слушать сетевой порт), которые лишают возможности на них завершать их присвоения или просто идти вне их текущего уровня квалификации.
Вторая опция на самом деле намного более устойчива для понимания.
Побочные эффекты:
Во-первых, удостоверьтесь, что настроили резервные копии и изучили, как восстановить систему.
Тем не менее, пока Вы применяете обновления системы защиты без дальнейшего промедления (можно также проверить необслуживаемые обновления), необходимо быть в порядке. (Хотя, если можно ограничить внешние логины, например, только разрешение основанной на ключе аутентификации, Вы понизите риск далее).
Вы захотите квоты и ulimit, как предложено, а также контролирующий (намного более вероятно, что у Вас внезапно закончится диск, и люди будут расстроены из-за этого, чем кто-либо достаточно хорошо осведомленный для получения корневого доступа повреждает его).
Вы не хотите начинать бездельничать с полномочиями (не зная точно, что Вы делаете).
Что относительно того, чтобы настроить непривилегированный режим Linux с копией на файле записи в корневом каталоге каждого студента? Эта песочница дала бы каждую полностью полную свободу на их собственном экземпляре. Если что-то повреждается, просто зажмите файл COW, и Вы вернетесь к начальной точке.
scp/sftp мог использоваться для загрузки отправленной работы на центральный репозиторий.