Hallo.
Seitdem ein Client (mit dem Standard-LINBO-Image) im Büro des Schülerrates steht, kommt öfter die Frage, ob die Schüler auf diesem Client root-Rechte erhalten können (um alles selbst einstellen zu können; Software, Drucker …).
Wie seht ihr das? Stellt das ein Problem dar, wenn man auf diesem einen Client einen User mit root-Rechten hinzufügt oder aber dem default-User ein anderes Passwort verpasst und das preis gibt? Oder gelangen die Schüler dadurch uU an sensible Infos, die noch irgendwo in den Tiefen von diversen .config-Dateien versteckt sind?
das käme seeehr darauf an, wie weit ich der- oder (meistens) demjenigen
vertraute, der einen lokalen Account mit sudo-Recht bekäme …
Eigentlich sollte es auf einem Schulrechner nichts “selbst einzustellen”
geben!
Ich würde ggf. wissen wollen, was zusätzlich installiert wird. Nur in
einem speziellen Fall, in dem ich genau mit dem Schüler besprochen
hatte, was mit sudo gemacht werden soll, habe ich ihm die erforderlichen
Rechte temporär gewährt.
Suchen Deine Schüler vielleicht nur einen Vorwand, um “spielen” zu
können? Oder geht es ihnen um die “Ehre”, root-Rechte zu haben?
Sicherlich hat das aus ihrer Sicht etwas mit Wertschätzung zu tun, aber
da gilt es klar zu machen, dass ein System, welches in diesen
Dimensionen “geschützt” wird, potentiell als unsicher zu sehen ist.
Auf einem eigenen Gerät im WLAN (BYOD) können die Schüler installieren,
was sie für richtig halten. Da bin ich aber auch nicht dafür zuständig,
wenn etwas darauf nicht funktioniert.
Ja, es ging dem Schüler sicher auch um die “Ehre root sein zu dürfen” – aber nicht nur.
In diesem Fall ging es um das Hinzufügen von Druckertreibern … einmalige Sache.
Aber da man so eine Linux ja mit einem Klick synchronisieren kann, wären alle Änderungen nach jedem Sync eh wieder futsch. Von daher ist es fraglich, ob das alles Sinn macht oder ob sie sich nicht ein ganz eigenes System auf ihren Rechner ziehen sollten, den der Schülerrat selbst verwaltet und fertig!?
ich habe eine Gruppe mit dem Namen sudo eingerichtet. Diese Gruppe habe ich in die sudoers gesteckt (ist meine ich sogar schon voreingestellt). Jeder der in die Gruppe aufgenommen wurde hatte das Recht am Rechner als sudoer zu arbeiten. Alle Änderungen wurden aber mit dem zurück Setzen des Rechners zurück gestellt.
Du kannst ja den SV-Rechner aus Linbo heraus nehmen. Wenn die entsprechenden Schüler weg sind nimmst Du ihn wieder in Linbo auf und machst alles rückgängig.
Diese Option würde ich mir auf alle Fälle offen halten.
wenn es ein USB-Drucker ist, sollte das Backend so mit ins Image, dass
er automatisch erkannt wird.
Wenn es ein Netzwerkdrucker ist, sollte er auf dem Server eingerichtet
werden und würde dann automatich gefunden.
Ansonsten würde ich den Druckertreiber einmalig von Hand installieren.
Wer einen sync auslöst, verliert den Drucker und muss eine Störung
melden. Das kann man den wenigen BenutzerInnen verklaren.
Den Rechner ganz aus der Verwaltung zu nehmen und die Administration
dieses Schülers zu überlassen, wäre natürlich auch ein Weg - aus meiner
Sicht jedoch nur, wenn Du ihn dann wie ein BYOD behandeln kannst. In HH
müsste er dafür in ein separates Subnetz mit client isolation …
Er ist im gleichen Subnetz wie die Clients der Bib … da können die Schüler also nicht besonders viel anderes sehen – allerdings ist CI nicht aktiv. Auf’s Servernetz können ja immer alle (was man auf dem Layer3-Switch aber auch ändern könnte – dann jedoch wäre kein Login mehr mit den Schul-Logins möglich)
unsere Schüler dürfen root werden. Warum? Weil ich sie an den Rechnern ausbilden will und dazu gehört auch neue Programme installieren (ich habe einen apt-cacher), “rumschrauben”, konfigurieren usw. dazu. Ich synce bei jedem Start.
Wenn jemand etwas “böses” tun will, müsste er einen Keylogger installieren und unsynchronisiert starten. An allen anderen Enden sehe ich als root nicht mehr Angriffspotential als als normaler User, dafür viel mehr Flexibilität.
Ok, man könnte während einer Klassenarbeit den ssh-daemon so umbiegen, dass sich Kollege xy vom Nachbarrechner doch einwählen kann, aber das bekommt keiner meiner Schüler auch nur annhäernd hin.
Da spielen sie lieber Tuxracer
