Bezpieczeństwo

Z MoodleDocs
Skocz do:nawigacja, szukaj

Wszystkie aplikacje internetowe są wysoce złożone i każda z nich posiada znajdowane od czasu do czasu problemy bezpieczeństwa, zazwyczaj będące wynikiem pewnych kombinacji, których programiści nie przewidzieli. Moodle traktuje kwestię bezpieczeństwa bardzo poważnie i nieustannie ulepsza Moodle łatając dziury zaraz po znalezieniu ich.

Wprowadzenie

  • Ta strona zawiera ważne informacje o środkach bezpieczeństwa Moodle.
  • Każdy problem związany z bezpieczeństwem powinieneś raportować bezpośrednio na stronie http://security.moodle.org - ponieważ gdzieś indziej deweloperzy mogliby przeoczyć, poza tym raport nie może być upubliczniony przed jego sprawdzeniem (aby zapobiec atakom).
  • Nie powinieneś zamieszczać działających exploits na trackerze bądź forum z dokładnie tych samych powodów.

Proste środki bezpieczeństwa

  • Najlepszą strategią w kwestii bezpieczeństwa jest dobra kopia zapasowa! Jedak dopóki nie jesteś w stanie odzyskać danych kopia jest bezużyteczna. Sprawdź proces przywracania bazy!
  • Ładuj tylko to oprogramowanie i usługi, których będziesz używał
  • Dokonuj regularnych aktualizacji
  • Wzoruj bezpieczeństwo na warstwach ubrania, które nosisz w zimny i deszczowy dzień

Podstawowe zalecenia

  • Aktualizuj Moodle regularnie po każdym nowych wydaniu
Opublikowane po wydaniu dziury w skrypcie przyciągają uwagę hackerów. Im starsza wersja tym większa podatność na ataki.
  • Wyłącz register globals
To pomoże w zapobieganiu atakom XSS na zewnętrzne skrypty.
  • Uzywaj skomplikowanych haseł dla administratorów oraz nauczycieli
Wybieranie trudnych haseł jest fundamentem bezpieczeństwa, chroni przez atakami typu "brute force".
  • Konta nauczycieli dawaj tylko zaufanm osobom. Strzeż się tworzenia publicznych piaskownic z otwartymi kontami nauczycieli na stronach produkcyjnych.
Konto nauczyciela powiada bardzo szerokie uprawnienia i jest bardziej podatne na sytuacje, w których może dojść do nadużyć oraz kradzieży danych.
  • Dziel swój system tak daleko, jak to możliwe
Kolejną podstawową techniką jest używanie różnych haseł dla każdego systemu, używanie różnych maszyn do różnych usług itd. Ma to na celu zapobieganie rozszerzaniu się zniszczeń nawet w sytuacji, gdy jedno z kont lub jeden z serwerów padł ofiarą ataku.

Dokonuj regularnych aktualizacji

  • Uzywaj systemów automatycznej aktualizacji
  • Windows Update
  • Linux: up2date, yum, apt-get
Przemyśl automatyczne aktualizacje przy pomocy crona
  • System aktualizacji Mac OSX
  • Bądź na bieżąco z wersjami php, apache, oraz moodle

Używaj list dyskusyjnych aby być na biężąco

Firewall

  • Eksperci ds. bezpieczeństwa zalecają używanie podwójnej zapory
Rózne kombinacje hardware/software
  • Wyłączenie nieużywanych procesów jest często samo w sobie tak efektywne jak firewall
Używaj netstat - aby mieć wgląd do otwartych portów sieciowych
  • Zwróć uwagę na zagwarantowanie ochrony
  • Otwórz porty
80, 443(ssl), oraz 9111 (dla czatu),
Zdalna administracja: ssh 22, lub rpd 3389

Polityka haseł

Szablon:Moodle 1.9Od Moodle 1.9 polityka haseł może być ustawiona w Administracja > Bezpieczeństwo > Site policies.

Znajdują się tam ustawienia definiujące moc hasła, jego minimalna długość, minimalna liczba cyfr, minimalna liczba małych/dużych znaków, oraz minimalna liczba znaków niealfanumerycznych.

W sytuacji, gdy użytkownik wprowadzi hasło, które nie spełnia wymagań, wyświetlany zostaje błąd odpowiedni natury do problemu.

Działania takie jak wymuszanie skomplikowanych haseł oraz wymaganie od użytkowników zmiany swoich pierwotnych haseł upewniają nas, że użytkownicy wybierają i używają "dobre hasła".

Bądź przygotowany na najgorsze

Alerty bezpieczeństwa Moodle

  • Zarejestruj swoją stronę na Moodle.org
Zarejestrowani użytkownicy otrzymują alerty emailem

Rozmaite przemyślenia

Oto lista rzeczy, które możesz wprowadzić w życie w celu podniesienia ogólnego bezpieczeństwa:

  • Wyłącz opentogoogle, esp dla stron K12
  • Używaj SSL, httpslogins=yes
  • Wyłącz dostęp dla gości (anonimów)
  • Umieść klucz rekrytacyjny we wszystkich kursach
  • Używaj bezpiecznych haseł (od Moodle 1.9 ustaw politykę haseł)
  • Używaj opcji bezpiecznych formularzy
  • Ustaw hasło roota dla bazy MySQL
  • Wyłącz dostęp sieciowy do MySQL

Najbardziej restrykcyjne uprawnienia dla plików

Przypuśćmy, że Moodle działa zaplombowanym serwerze (np. zabronione logowanie użytkowników na maszyne) i że root jest odpowiedzialny za modyfikowanie kodu Moodle oraz konfigurację (config.php), wtedy to są najbardziej szczelne uprawnienia:

1. katalog moodledata i jego zawartość (podkatalogi, includes sessions):

właściciel: użytkownik apache (apache, httpd, www-data, cokolwiek)
grupa: grupa apache (apache, httpd, www-data, cokolwiek)
chmod: 700 dla katalogów, 600 dla plików

2. katalog moodle i jego zawartość z podkatalogami (włączają config.php):

właściciel: root
grupa: root
chmod: 755 dla katalogów, 644 dla plików

Jeżeli dopuszczasz lokalne logowanie, wtedy punkt 2. powinien wyglądać tak:

właściciel: root
grupa: grupa apache
chmod: 750 dla katalogów, 640 dla plików

Traktuj te uprawnienia jako najbardziej restrykcyjne. Możesz być wystarczając bezpieczny także używając łagodniejszych dla katalogu moodledata oraz moodle (i podkatalogów).

Zobacz także