NFSルートファイルシステム

NFSルートファイルシステム

私はLinuxを含むliveCDを作成しようとしています。このディストリビューション(テストOSと呼ぶ)は、学生が試験中に使用するように設計されており、少なくともバイパスしてはいけません。学生は自分のラップトップをインポートでき、CDで起動可能なテストオペレーティングシステムを受け取ることができると仮定します。

分布には次の特性が必要です。

  • 制限付きネットワークアクセス(Wolframalpha.comおよび/またはOverlordサーバー[認証済みユーザー]にのみアクセスすることをお勧めします) - 他の学生や外部ネットワークと通信することはできません。
  • 制限されたパッケージ(一方、Maximaなどのいくつかの追加があります)

私は2番目のポイントが最も簡単だと思います。 CDをいくら長く分析しても(HDDに保存できませんか?)、制限を迂回できないことを確認したい場合は、最初の方が難しいようです。さらに重要なのは、システムが検証しやすくなければならないことです(学生は私と同じシステムを作成することもできます)。オーバーロードにログインして会員登録をしてログインしたコンピュータの数とどんな名前で登録されているか(本名を意味します)見てみたいです。サーバーはまた、生徒が自分の紙に入力する必要があるいくつかのキーをユーザーに提供することができます(例えば、実際にはすべてが文書作業なので、PCはただ助けるためのものです)。

私の質問は次のとおりです

  • テストOSはどのディストリビューションに基づいているべきですか?
  • 生徒のバイパスの試みにどのように対応すべきですか?

この問題についてどんな意見でも送っていただきありがとうございます。

答え1

少なくとも害を及ぼすリスクがなければ、生徒にテストオペレーティングシステムを起動するように強制することはできません。レベルルールにスキップして、全体的な目標を達成する方法を確認します。これが私があなたのシステムをだます方法です。

私はいつもrootアクセスと必要なものすべてを持つことができるLinuxを起動しました。次に、Exam OSのルートファイルシステムをマウントします。ファイルシステムはあなたが私に与えたCDにあり、私はいつもそれをマウントできました。次に、新しい端末を開き、chrootExam OSに移動してchroot-jail内でExam OSを起動します。あなたのテストオペレーティングシステムがDebianまたはその派生製品のいずれかに基づいている場合

/etc/init.d/rc S
/etc/init.d/rc 2

私は実際にあなたのテストオペレーティングシステムを持っています。言い換えれば、あなたが私に与えたいすべてのものを持つことになり、あなたが私に与えたくないすべてのもののための独自のLinuxも持っています。

たぶん私は走りすぎているので、/etc/init.d/rc S単に走ることに制限する必要があります/etc/init.d/rc 2。すべてのディストリビューションには、見つけやすい類似の魔法の表現があります。

はい、あなたは戦争を引き起こし、貴重なテスト時間を無駄にすることができます。しかし、あなたが私に費やす瞬間ごとに数時間を費やす必要があります!また、テストオペレーティングシステムが仮想マシンの内部起動を拒否するようにする必要があります。これは、システムを欺くもう一つのオプションだからです。


破壊的な部分は今や、建設的な部分について話しましょう。 :-)

生徒が何かをしたくない場合は、ルールを破ったらクラスで落とすように言います。これは何世紀にもわたって効果がありました!私はテストオペレーティングシステムCDを配布し、テスト中に他のオペレーティングシステムを使用することは不正行為と見なされると言います。今、私たちはこの問題を解決しました。今私たちがしなければならないことは彼らの不正行為をつかむことだけです(ほとんど彼らは二度とそのようなことをしません)。

テストオペレーティングシステムを作成するために、既存のLive-CDのいくつかを修正します。ほとんど重要ではありませんが、「完全な」Linuxであれば最も簡単になるので、UbuntuとFedoraが最初に登場します。非常に多様な代替リスト。私はライブCDを作成/再構築する方法についての最高の文書があることを選びます!完了したテストオペレーティングシステムは、次の要件を満たす必要があります。

  1. 学生は私が望むすべてのコースにすばやくアクセスできます。
  2. デスクトップには独自のデザイン/スキンがあるため、誰かがExam OSを使用していないかどうかにかかわらず、80%確実に知ることができます。
  3. デフォルトでは、ユーザー名とパスワード認証は必要ありません。
  4. 他のユーザーであるsuまたはsudoとしてログインするには、認証にUSBスティック(キーチェーン上のもの)が必要です。
  5. インターネットとローカル通信が自分のニーズに合わせて制限されるように、ファンキーなネットワーク設定を行います。
  6. Bluetooth、irda、または通信を可能にするイーサネット以外の他のサブシステムもサポートしていないカスタムカーネルがあります。 USBにも制限が必要です!

1は基本的に彼らが使用できるようにしたいすべてにデスクトップショートカットを置くことを意味します。これにより、すべてが正しく機能しているかどうかを簡単にテストできます。

2を実装するには、テストOSデスクトップを表示するときに認識できるように、学校の色と一時的なロゴを使用してデスクトップにスキンを適用します。テスト中に奇妙な色や絵が見えたり、必要なものを見逃した場合は、さらに詳しく調べることができます。

3はシンプルで、テストオペレーティングシステムをシンプルにします。誰かが不正行為をしていると思われる場合は、ラップトップを閉じて裏返して開くことができます。私が申請したテストOSが見えない、またはロックされた画面だけが表示された場合、誰かが不正行為をしていることがわかります。

4は、USBキーがある場合にのみルートになるようにシステムを強化することを意味します。 pamモジュールがあるため、USBスティック認証は難しくありません(google pam_usb)。 Live CDのネイティブオペレーティングシステムとスーパーユーザー権限を取得するために使用できるすべてのサービス(ログイン、su、sudo、一部のデスクトップマネージャ、sshdなど)に使用できるpamモジュールを使用すると、rootになるのが十分に困難になります。 。その後も、一般ユーザーが重要な構成ファイルとディレクトリを編集できないようにする必要があります。

5は、ネームサーバーエントリはありませんが、/etc/resolv.confユーザーがアクセスできるすべてのサイトにいくつかのエントリが必要であることを意味します。/etc/hostsまた、着信および発信するすべてのパケットを破棄するための限られたファイアウォールがあり、各ホストに対して生徒が定義する必要があるIPアドレスを介して例外に到達できることを願っています。

これが6の意味です。選択した live-cd の共通カーネルから設定をインポートし、不要なサブシステムを削除します。サウンド、Linuxビデオ、Bluetoothなど、テスト中に必要とされなかったすべて。 usb-hidおよびusb-storageを除くすべてのUSBデバイスを取り外します。 USBスティックに関して非常に重要なのは、不要なファイルシステムをすべて削除し、必要なファイルシステムのみを維持することです。認証スティックの場合、もう誰も持っていない奇妙なFSを使用します。たぶん、標準のLinuxの一部ではなく、実験的なバージョンかもしれません。

これはおおよそのガイドです。申し訳ありません:D

答え2

彼らにCDを使用させることはかなり侵害的なようです。また、一部のネットブックにはCDドライブがまったく含まれていない場合があります。

見る1:賢人。それはバンドル多くのオープンソース数学ソフトウェア(例:Maxima、GAP、SymPy、NumPy)Webベース(ノートブック中心)インターフェース。また、人々はコンピュータテストのためにそれを使用してきました。sage-eduメーリングリストで自分の経験と設定のアイデアを共有しましょう。

ローカルネットワークにSageサーバーがある場合(ロックされたワークシート共有はありますか?可能かどうかわからない)、正しくシャットダウンするとインターネットアクセスを完全に無効にできます。

1:私は持っていますいいえこれを徹底的に考えましたが、とにかく役に立つかもしれません。

答え3

仕事をより困難にするいくつかの提案。これらの多くはCDを家に送るのではなく、学校のどこかでこれをやっていると仮定しています。 (そうであれば、あきらめてください。生徒は不正行為のために他のコンピュータ、携帯電話、タブレットなどを使用できます。)

NFSルートファイルシステム

オペレーティングシステム全体をCDに入れるのではなく、最小限のシステムのみを挿入してください。 initramfsを通過する方が良いです。あなた/学校が管理し、試験当日にのみアクセスできるサーバーでNFSルートファイルシステムを使用するようにしてください。

これにより、受験者が試験中にシステムを確認するのが難しくなります。もちろん、テスターはルートアクセス権を持ってはいけませんし、tar永続的で書き込み可能なメディアをマウントしないでください。

また、更新が簡単になります。毎回200枚のCDを焼く必要はありません。

さらに進む

すべてのシステムがネットワークブートをサポートしている場合は、ネットワークブートを実行します。 CDはまったく配布されません。

違うように見える

Linuxデスクトップ環境はカスタマイズが非常に簡単です。 (いずれに応じて)ウィンドウの色、タイトルバー、使用されているフォント、メニュー、タスクバーの外観、デスクトップの背景などを変更できます。奇妙なことはしないでください(システムがあまりにも見慣れないようにすることができます)、デフォルトではありません。これにより、画面をすばやくスキャンして、正しく見えない部分を見つけることができます。

小さなこともできます。たとえば、デスクトップにいくつかのアイコンを配置したり、メニューバーにアナログ時計を配置したりします。画面を詳しく見るとこれを確認できます。

...すべてのテスト

誰かがあなたの外観に従い、次の試験を準備することができます。それとも、少なくとも近くで見なければならないほど近いはずです。

画像を再記録する必要がない場合は、各検査の外観を簡単に変更できます。学生は試験を始める前に、今日のExamOSがどのように見えるかを知りません。

VNCサーバーの設定

デスクトップを見ることができるようにVNCを設定することができるので、机に座って快適に人々を見ることができます。倫理的には、人々にこのようなことができるという事実を知らなければならないと思います。

記録試験

ファイルサーバースペースと帯域幅がある場合は、テスト全体を画面に記録してください。 (画面録画プログラムはいくつかあります。)疑わしい場合および/またはランダムサンプルの場合にのみ確認してください。倫理的には学生に別の事実を知らせなければならないと思います。

メディアコントロール

試験の開始時にExamOS CDを配布し、試験が完了したら収集する必要があります。人々に返すように依頼してください。


ネットワーク制御

iptables

iptables を使用すると、目的のトラフィックを除くすべての発信トラフィックをブロックできます。 HTTPプロキシを使用するようにWebブラウザを設定し、発信トラフィックのみがそのプロキシを介してのみ許可されるように設定することをお勧めします。プロキシに接続する必要がある場合は、DNSを許可することもできます(ただし、DNSサーバーのみ)。

代理人

許可および禁止されたU​​RLのリストを使用して、イカ、Apacheなどを設定できます。制御するサーバーまたは各ローカルコンピュータで実行できます。

外部ファイアウォール

すべてのテストマシンがあなたが制御するファイアウォールの背後にある場合は、ファイアウォールからアイテムをブロックすることもできます。自分のつながりを持たないと、生徒はそれをバイパスできません。

関連情報