Eu acho, mas não tenho certeza, que impedir usuários comuns de qualquer controle sobre as funções do Network Manager também impede que eles vejam a senha. Essa é uma configuração que uso em meu laboratório e acho que verifiquei se as senhas podem ser visíveis, mas isso foi há muito tempo e não me lembro com certeza:
# cat /etc/polkit-1/localauthority/50-local.d/disable-network-control.pkla
[Wifi management]
Identity=unix-user:*
Action=org.freedesktop.NetworkManager.settings.*
ResultAny=no
ResultInactive=no
ResultActive=no
[Wifi sysad management]
Identity=unix-group:sudo;unix-user:root
Action=org.freedesktop.NetworkManager.settings.*
ResultAny=yes
ResultInactive=yes
ResultActive=yes
A configuração é muito legível - ela nega acesso a todos os usuários para qualquer ação relacionada ao Network Manager e, em seguida, permite a eles membros do grupo sudo e do usuário root .
Então (supondo que seus alunos usem contas sem privilégios), você pode aplicar a mesma restrição a suas contas, isentando suas contas de administrador.