• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

Prüfungsumgebung auf Linux-Basis

goeba

Hacker
Hallo,

es gibt ja viele Linux-Distributionen, die man von USB Sticks starten kann. Auf Basis solcher Distributionen gibt es auch so genannte Prüfungsumgebungen. Die Sticks werden dann vor der Prüfung ausgeteilt, die Schüler haben also in der Prüfung eine "definierte" Umgebung.

Ich war nun kürzlich auf einer Fortbildung zum Thema. In Niedersachsen gibt es einen Erlass (zunächst nur einen Entwurf dazu), der die Anforderungen an eine solche Umgebung definiert.

Eine davon ist, dass der Prüfungsmodus nur von der Schule gestartet und von der Schule beendet werden kann. Ich nehme daher an, dass solche Stick-Umgebungen kritisch gesehen werden, denn durch Ausschalten des Rechners (notfalls hartes Ausschalten) und Entfernen des Sticks kann man das ja ganz problemlos beenden, und da sehe ich auch keine Möglichkeit, das zu verhindern.

Ich möchte Euch daher bitten, meine Überlegungen zu einer Lösung ohne Stick zu kommentieren.

Ausgangspunkt: Einheitliche Notebooks, auf denen Linux (in diesem Fall OpenSuSE Leap 42.3, ich vermute aber, dass die meisten Überlegungen unabhängig vom verwendeten Linux anwendbar sein werden) installiert ist. Die Geräte werden von den Schülern in der Schule und zu Hause benutzt. Sie werden einen oder wenige Tage vor der Prüfung eingesammelt , um die Prüfung vorzubereiten (von der Schule aus). Dennoch ist zu bedenken, dass die Schüler alle Zeit der Welt haben, die Geräte vor der Abgabe zu modifizieren.

Folgendes schwebt mir vor zur Aktivierung eines Prüfungsmodus:
- bei den Geräten wird ein (neues) Bios-Passwort gesetzt, einzig zulässiges Boot-Device ist die Festplatte
- Boot-Auswahl beim Start wird deaktiviert (ebenfalls im Bios)
- ein neuer User wird angelegt, dieser wird auf Autologin gesetzt mit einer eigens erstellten x-Session, die ein einziges Programm startet, und zwar eine grafische Shell, von der aus dann Programme für die Prüfung gestartet und der Prüfungsmodus wieder beendet werden können
- das Beenden ist durch ein Passwort geschützt, welches erst vor der Prüfung gesetzt wird
- beim Beenden wird einfach das Autologin für den Prüfungsnutzer abgeschaltet sowie die virtuellen Konsolen wieder aktiviert
- die virtuellen Konsolen (ctrl-alt-f1 bis fn) werden abgeschaltet
- Netzwerkkarten deaktivieren nicht nötig, da die Netzwerkverbindung ja erst beim Einloggen in die Desktopumgebung (Network Manager) hergestellt wird
- usb-Abschalten ist vermutlich nicht nötig, denn Hotplug geschieht ja ohnehin auch über die Desktop-Umgebung
- wird der Rechner neu gestartet, so gelangt man wieder in den Prüfungsmodus (wegen Autologin und der grafischen Shell, die, so lange nicht beendet wurde, ebenfalls immer wieder neu startet)

Wenn ich nichts übersehen habe (vermutlich habe ich das), kommt man da nicht wieder raus, es sei denn, es gibt ein Bios-Masterpasswort oder man baut die Festplatte aus. Vermutlich gibt es Möglichkeiten, irgendwie auf eine Konsole zu gelangen, die ich übersehen habe (kann man die Eingabe von Kernel-Paramtern unterbinden? Das wäre wohl so eine Möglichkeit).

Eine Sache, die ich schon konzeptionell nicht gelöst bekomme, ist: Wenn der SChüler einen für alle lesbaren Ordner irgendwo versteckt, dann kann er da Spickzettel reinpacken und diese während der Prüfung öffnen (insbesondere dann, wenn das Prüfungsprogramm eine Textverarbeitung ist, was denkbar ist, z.B. für eine Deutschprüfung).

Spontan fiele mir dazu nur ein, dass die Prüfungsumgebung in einer virtuellen Maschine läuft. Diese könnte ebenfalls automatisch gestartet werden, das virtuelle Disk Image könnte beim Vorbereiten frisch auf den Rechner übertragen werden, sodass Modifikationen augeschlossen sind. Aus der virtuellen Maschine kommt man, wenn man das beim einrichten der virtuellen Maschine berücksichtigt, mit Dateizugriff ja nicht raus, oder? (na gut, mit root-Rechten und Spectre schon, aber ohne root-Rechte?).

Ich habe übrigens mit Absicht nicht eine Kiosk-Lösung (etwa KDE Kiosk) verwendet, da mir diese wenig ausgereift zu sein scheinen.

Für Eure Gedanken zum Thema (und gerne auch konkrete Hinweise, wie man die einzelnen Punkte effektiv umsetzt) freue ich mich!

Andreas
 

josef-wien

Ultimate Guru
Als vor vielen Jahrzehnten die Automation in die Lande zog, waren Rechenzentren Hochsicherheitsräume, die nur von ausgewählten Personen betreten werden durften. So wie damals gilt auch heute, daß jeder, der physischen Zugang zu einem Computer hat, diesen auch manipulieren kann. Wenn zuwenig Geld da ist, dezidierte Prüfungs-PC in abgeschlossenen Räumen zu haben, sodaß der Kandidat nur Bildschirm, Tastatur und sonstige Eingabegeräte zur Verfügung hat, bleiben alle Maßnahmen nur Stückwerk.

Wie man ein BIOS-Passwort entfernen kann, steht in besseren Handbüchern (entweder einen "Jumper" kurz umsetzen oder durch Ausbau von Batterie bzw. Akku kurze Zeit stromlos machen).
 
OP
G

goeba

Hacker
Die Computer werden ja vor der Prüfung eingesammelt. Während der Prüfung sollte es schon auffallen, wenn der Computer auseinandergeschraubt wird.
 
Oben