「セキュリティオーバービュー」の版間の差分

提供:MoodleDocs
移動先:案内検索
編集の要約なし
(done.)
 
(同じ利用者による、間の14版が非表示)
1行目: 1行目:
作成中です - [[利用者:Mitsuhiro Yoshida|Mitsuhiro Yoshida]] 2010年2月16日 (火) 16:26 (UTC)
{{Moodle 1.8}}
{{Moodle 1.8}}
ロケーション: サイト管理 > レポート > セキュリティオーバービュー
ロケーション: サイト管理 > レポート > セキュリティオーバービュー


セキュリティオーバービューレポートは、Moodle 1.8.9および1.9.4以降のバージョンで使用することができます。
セキュリティオーバービューレポートは、Moodle 1.8.9および1.9.4以降のバージョンで使用することができます。
[[Image:Security overview.png|thumb|right|Security overview]]
[[Image:Security overview.png|thumb|right|セキュリティオーバービュー]]




*[[レポート/セキュリティ/レポートセキュリティチェック report_security_check_globals|Register globals]]
*[[レポート/セキュリティ/report_security_check_globals|Register globals]]
:Moodleを安全に運用するには、PHP設定register_globalsを無効にする必要があります。
:Moodleを安全に運用するには、PHP設定register_globalsを無効にする必要があります。


*[[レポート/セキュリティ/レポートセキュリティチェック report_security_check_unsecuredataroot|安全でないdataroot]]
*[[レポート/セキュリティ/report_security_check_unsecuredataroot|安全でないdataroot]]
:datarootは、Moodleがユーザのファイルを保存するディレクトリです。ウェブ経由で直接アクセスできないようにする必要があります。
:datarootは、Moodleがユーザのファイルを保存するディレクトリです。ウェブ経由で直接アクセスできないようにする必要があります。


*[[レポート/セキュリティ/レポートセキュリティチェック PHPエラーの表示|PHPエラーの表示]]
*[[レポート/セキュリティ/report_security_check_displayerrors|PHPエラーを表示する]]
:PHPがエラーを表示するように設定されている場合、正しくないURIを入力することで、PHPエラー引き起こして、誰でもディレクトリ構造等に関する重要な情報を取得することができます。
:PHPがエラーを表示するように設定されている場合、正しくないURIを入力することで、PHPエラー引き起こし、誰でもディレクトリ構造等に関する重要な情報を取得することができます。


*[[レポート/セキュリティ/レポートセキュリティチェック 認証なし|認証なし]]
*[[レポート/セキュリティ/report_security_check_noauth|認証なし]]
:認証を使わずにユーザのサイトアクセスを許可するため、「認証なし」プラグインの使用は危険です。
:認証を使わずにユーザのサイトアクセスを許可するため、「認証なし」プラグインの使用は危険です。


*[[レポート/セキュリティ/レポートセキュリティチェック 埋め込み|EMBEDおよびOBJECTを許可する]]
*[[レポート/セキュリティ/report_security_check_embed|EMBEDおよびOBJECTを許可する]]
:仮にメディアが他のサーバに置かれていたとしても、リッチメディアオブジェクトにより、管理者または教師のアクセス権限を取得される可能性があるため、一般的なユーザがFlashおよび他のメディアをテキスト内 (例 フォーラム投稿) に埋め込むことには、危険性があります。
:仮にメディアが他のサーバに置かれていたとしても、リッチメディアオブジェクトにより、管理者または教師のアクセス権限を取得される可能性があるため、一般的なユーザがFlashおよび他のメディアをテキスト内 (例 フォーラム投稿) に埋め込むことには、危険性があります。


*[[レポート/セキュリティ/レポートセキュリティチェック swf‎メディアフィルタ|.swfメディアフィルタを有効にする]]
*[[レポート/セキュリティ/report_security_check_mediafilterswf|.swfメディアフィルタを有効にする]]
:Flashメディアフィルタでさえ、悪意のあるFlashファイルを含んで、不正利用される可能性があります。
:Flashメディアフィルタでさえ、悪意のあるFlashファイルを含んで、不正利用される可能性があります。


*[[レポート/セキュリティ/レポートセキュリティチェック オープンユーザプロファイル|オープンユーザプロファイル]]
*[[レポート/セキュリティ/report_security_check_openprofiles|ユーザプロファイルを公開する]]
:プライバシーの理由およびスパム発信者があなたのサイトをスパム発信のプラットフォームとする理由から、認証無しで、ユーザプロファイルをウェブに公開すべきではありません。
:プライバシーの理由およびスパム発信者があなたのサイトをスパム発信のプラットフォームとする理由から、認証無しで、ユーザプロファイルをウェブに公開すべきではありません。


*[[レポート/セキュリティ/レポートセキュリティチェック google|Googleに公開する]]
*[[レポート/セキュリティ/report_security_check_google|Googleに公開する]]
:あなたのサイトにGoogleが入ることを許可することで、すべてにコンテンツが世界中で利用可能な状態となります。実際にパブリックなサイトでない限り、有効にしないでください。
:あなたのサイトにGoogleが入ることを許可することで、すべてにコンテンツが世界中で利用可能な状態となります。実際にパブリックなサイトでない限り、有効にしないでください。


*[[レポート/セキュリティ/レポートセキュリティチェック パスワードポリシー|パスワードポリシー]]
*[[レポート/セキュリティ/report_security_check_passwordpolicy|パスワードポリシー]]
:パスワードポリシーを使用することで、侵入者によりクラッキングされないように、あなたのユーザによる強いパスワードの使用を強制します。
:パスワードポリシーを使用することで、侵入者によりクラッキングされないよう、あなたのユーザによる強いパスワードの使用を強制します。


*[[パスワードSALT]]
*[[パスワードSALT]]
:パスワードSALTを設定することで、パスワード窃盗のリスクを大幅に減らすことができます。
:パスワードSALTを設定することで、パスワード窃盗のリスクを大幅に減らすことができます。


*[[レポート/セキュリティ/レポートセキュリティチェック メール変更確認|メール変更確認]]
*[[レポート/セキュリティ/report_security_check_emailchangeconfirmation|メール変更確認]]
:通常、あなたは常に確認メールがユーザに送信される追加的なステップを経由して、ユーザにメール変更の確認を強制してください。
:通常、あなたは常に確認メールがユーザに送信される追加的なステップを経由して、ユーザにメール変更の確認を強制すべきです。


*[[レポート/セキュリティ/レポートセキュリティチェック configrw|書き込み可能なconfig.php]]
*[[レポート/セキュリティ/report_security_check_configrw|書き込み可能なconfig.php]]
:The config.php file must not be writeable by the web server process.  If it is, then it is possible for another vulnerability to allow attackers to rewrite the Moodle code and display whatever they want.
:config.phpファイルは、ウェブサーバプロセスによる書き込みが可能な状態ではないようにしてください。config.phpが書き込み可能な場合、脆弱性により、攻撃者がMoodleコードを書き換えて、好きな情報を表示させてしまう可能性があります。


*[[report/security/report security check riskxss|XSS trusted users]]
*[[レポート/セキュリティ/report_security_check_riskxss|XSS信頼ユーザ]]
:Make sure that you trust all the people on this list:  they are the ones with permissions to potentially write XSS exploits in forums etc.
:このリストすべてのユーザを信頼できることを確認してください。これらのユーザは、潜在的にフォーラム等にXSS攻撃ツールを書くことが可能です。


*[[report/security/report security check riskadmin|Administrators]]
*[[レポート/セキュリティ/report_security_check_riskadmin|管理者]]
:Review your administrator accounts and make sure you only have what you need.
:あなたが必要とするだけ管理者アカウントが割り当てられているか、レビューすることができます。


*[[Backup of user data]]
*[[ユーザデータのバックアップ]]
:Make sure that only roles that need to backup user data can do so and that all users who have the capability are trusted.
:ユーザデータのバックアップに必要なロールのみ、バックアップを実行できることを確認してください。また、それらすべてのユーザのケイパビリティが信頼されていることも確認してください。


*[[report/security/report security check defaultuserrole‎ |Default role for all users]]
*[[レポート/セキュリティ/report_security_check_defaultuserrole|すべてのユーザのデフォルトロール]]
:This checks that the registered user role is defined with sane permissions.
:登録ユーザのロールに正しいパーミッションが定義されているかどうか確認します。


*[[report/security/report security check guestrole|Guest role]]
*[[レポート/セキュリティ/report_security_check_guestrole|ゲストロール]]
:This checks that the guest role is defined with sane permissions.
:ゲストロールに正しいパーミッションが定義されているかどうか確認します。


*[[report/security/report security check frontpagerole‎|Frontpage role]]
*[[レポート/セキュリティ/report_security_check_frontpagerole‎|フロントページロール]]
:This checks that the frontpage user role is defined with sane permissions.
:フロントページユーザロールに正しいパーミッションが定義されているかどうか確認します。


*[[report/security/report security check defaultcourserole|Default course role (global)]]
*[[レポート/セキュリティ/report_security_check_defaultcourserole|デフォルトコースロール (グローバル)]]
:This checks that the default course role globally is defined with sane permissions.
:デフォルトコースロールに対して、グローバルに正しいパーミッションが定義されているかどうか確認します。


*[[report/security/report security check courserole‎|Default roles (courses)]]
*[[レポート/セキュリティ/report_security_check_courserole|デフォルトトール (コース)]]
:This check alerts you if any courses are using an odd default course role.
:コースが変なデフォルトコースロールを使用している場合、あなたに警告を発します。


==関連情報==
==関連情報==


* Using Moodle [http://moodle.org/mod/forum/view.php?id=7301 Security and Privacy forum]
* Using Moodle [http://moodle.org/mod/forum/view.php?id=7301 セキュリティおよびプライバシーフォーラム] - 英語


[[Category:セキュリティ]]
[[Category:セキュリティ]]

2010年3月18日 (木) 16:16時点における最新版

Moodle 1.8

ロケーション: サイト管理 > レポート > セキュリティオーバービュー

セキュリティオーバービューレポートは、Moodle 1.8.9および1.9.4以降のバージョンで使用することができます。

セキュリティオーバービュー


Moodleを安全に運用するには、PHP設定register_globalsを無効にする必要があります。
datarootは、Moodleがユーザのファイルを保存するディレクトリです。ウェブ経由で直接アクセスできないようにする必要があります。
PHPがエラーを表示するように設定されている場合、正しくないURIを入力することで、PHPエラー引き起こし、誰でもディレクトリ構造等に関する重要な情報を取得することができます。
認証を使わずにユーザのサイトアクセスを許可するため、「認証なし」プラグインの使用は危険です。
仮にメディアが他のサーバに置かれていたとしても、リッチメディアオブジェクトにより、管理者または教師のアクセス権限を取得される可能性があるため、一般的なユーザがFlashおよび他のメディアをテキスト内 (例 フォーラム投稿) に埋め込むことには、危険性があります。
Flashメディアフィルタでさえ、悪意のあるFlashファイルを含んで、不正利用される可能性があります。
プライバシーの理由およびスパム発信者があなたのサイトをスパム発信のプラットフォームとする理由から、認証無しで、ユーザプロファイルをウェブに公開すべきではありません。
あなたのサイトにGoogleが入ることを許可することで、すべてにコンテンツが世界中で利用可能な状態となります。実際にパブリックなサイトでない限り、有効にしないでください。
パスワードポリシーを使用することで、侵入者によりクラッキングされないよう、あなたのユーザによる強いパスワードの使用を強制します。
パスワードSALTを設定することで、パスワード窃盗のリスクを大幅に減らすことができます。
通常、あなたは常に確認メールがユーザに送信される追加的なステップを経由して、ユーザにメール変更の確認を強制すべきです。
config.phpファイルは、ウェブサーバプロセスによる書き込みが可能な状態ではないようにしてください。config.phpが書き込み可能な場合、脆弱性により、攻撃者がMoodleコードを書き換えて、好きな情報を表示させてしまう可能性があります。
このリストすべてのユーザを信頼できることを確認してください。これらのユーザは、潜在的にフォーラム等にXSS攻撃ツールを書くことが可能です。
あなたが必要とするだけ管理者アカウントが割り当てられているか、レビューすることができます。
ユーザデータのバックアップに必要なロールのみ、バックアップを実行できることを確認してください。また、それらすべてのユーザのケイパビリティが信頼されていることも確認してください。
登録ユーザのロールに正しいパーミッションが定義されているかどうか確認します。
ゲストロールに正しいパーミッションが定義されているかどうか確認します。
フロントページユーザロールに正しいパーミッションが定義されているかどうか確認します。
デフォルトコースロールに対して、グローバルに正しいパーミッションが定義されているかどうか確認します。
コースが変なデフォルトコースロールを使用している場合、あなたに警告を発します。

関連情報

https://docs.moodle.org/2x/ja/index.php?title=セキュリティオーバービュー&oldid=9981」から取得
Powered by MediaWiki