「セキュリティオーバービュー」の版間の差分
提供:MoodleDocs
Mitsuhiro Yoshida (トーク | 投稿記録) 編集の要約なし |
Mitsuhiro Yoshida (トーク | 投稿記録) (done.) |
||
| (同じ利用者による、間の30版が非表示) | |||
| 1行目: | 1行目: | ||
{{Moodle 1.8}} | {{Moodle 1.8}} | ||
ロケーション: サイト管理 > レポート > セキュリティオーバービュー | ロケーション: サイト管理 > レポート > セキュリティオーバービュー | ||
セキュリティオーバービューレポートは、Moodle 1.8.9および1.9.4以降のバージョンで使用することができます。 | セキュリティオーバービューレポートは、Moodle 1.8.9および1.9.4以降のバージョンで使用することができます。 | ||
[[Image:Security overview.png|thumb|right| | [[Image:Security overview.png|thumb|right|セキュリティオーバービュー]] | ||
*[[レポート/セキュリティ/ | *[[レポート/セキュリティ/report_security_check_globals|Register globals]] | ||
:Moodleを安全に運用するには、PHP設定register_globalsを無効にする必要があります。 | :Moodleを安全に運用するには、PHP設定register_globalsを無効にする必要があります。 | ||
*[[レポート/セキュリティ/ | *[[レポート/セキュリティ/report_security_check_unsecuredataroot|安全でないdataroot]] | ||
:datarootは、Moodleがユーザのファイルを保存するディレクトリです。ウェブ経由で直接アクセスできないようにする必要があります。 | :datarootは、Moodleがユーザのファイルを保存するディレクトリです。ウェブ経由で直接アクセスできないようにする必要があります。 | ||
*[[ | *[[レポート/セキュリティ/report_security_check_displayerrors|PHPエラーを表示する]] | ||
: | :PHPがエラーを表示するように設定されている場合、正しくないURIを入力することで、PHPエラー引き起こし、誰でもディレクトリ構造等に関する重要な情報を取得することができます。 | ||
*[[ | *[[レポート/セキュリティ/report_security_check_noauth|認証なし]] | ||
: | :認証を使わずにユーザのサイトアクセスを許可するため、「認証なし」プラグインの使用は危険です。 | ||
*[[ | *[[レポート/セキュリティ/report_security_check_embed|EMBEDおよびOBJECTを許可する]] | ||
: | :仮にメディアが他のサーバに置かれていたとしても、リッチメディアオブジェクトにより、管理者または教師のアクセス権限を取得される可能性があるため、一般的なユーザがFlashおよび他のメディアをテキスト内 (例 フォーラム投稿) に埋め込むことには、危険性があります。 | ||
*[[ | *[[レポート/セキュリティ/report_security_check_mediafilterswf|.swfメディアフィルタを有効にする]] | ||
: | :Flashメディアフィルタでさえ、悪意のあるFlashファイルを含んで、不正利用される可能性があります。 | ||
*[[ | *[[レポート/セキュリティ/report_security_check_openprofiles|ユーザプロファイルを公開する]] | ||
: | :プライバシーの理由およびスパム発信者があなたのサイトをスパム発信のプラットフォームとする理由から、認証無しで、ユーザプロファイルをウェブに公開すべきではありません。 | ||
*[[ | *[[レポート/セキュリティ/report_security_check_google|Googleに公開する]] | ||
: | :あなたのサイトにGoogleが入ることを許可することで、すべてにコンテンツが世界中で利用可能な状態となります。実際にパブリックなサイトでない限り、有効にしないでください。 | ||
*[[ | *[[レポート/セキュリティ/report_security_check_passwordpolicy|パスワードポリシー]] | ||
: | :パスワードポリシーを使用することで、侵入者によりクラッキングされないよう、あなたのユーザによる強いパスワードの使用を強制します。 | ||
*[[ | *[[パスワードSALT]] | ||
: | :パスワードSALTを設定することで、パスワード窃盗のリスクを大幅に減らすことができます。 | ||
*[[ | *[[レポート/セキュリティ/report_security_check_emailchangeconfirmation|メール変更確認]] | ||
: | :通常、あなたは常に確認メールがユーザに送信される追加的なステップを経由して、ユーザにメール変更の確認を強制すべきです。 | ||
*[[ | *[[レポート/セキュリティ/report_security_check_configrw|書き込み可能なconfig.php]] | ||
: | :config.phpファイルは、ウェブサーバプロセスによる書き込みが可能な状態ではないようにしてください。config.phpが書き込み可能な場合、脆弱性により、攻撃者がMoodleコードを書き換えて、好きな情報を表示させてしまう可能性があります。 | ||
*[[ | *[[レポート/セキュリティ/report_security_check_riskxss|XSS信頼ユーザ]] | ||
: | :このリストすべてのユーザを信頼できることを確認してください。これらのユーザは、潜在的にフォーラム等にXSS攻撃ツールを書くことが可能です。 | ||
*[[ | *[[レポート/セキュリティ/report_security_check_riskadmin|管理者]] | ||
: | :あなたが必要とするだけ管理者アカウントが割り当てられているか、レビューすることができます。 | ||
*[[ | *[[ユーザデータのバックアップ]] | ||
: | :ユーザデータのバックアップに必要なロールのみ、バックアップを実行できることを確認してください。また、それらすべてのユーザのケイパビリティが信頼されていることも確認してください。 | ||
*[[ | *[[レポート/セキュリティ/report_security_check_defaultuserrole|すべてのユーザのデフォルトロール]] | ||
: | :登録ユーザのロールに正しいパーミッションが定義されているかどうか確認します。 | ||
*[[ | *[[レポート/セキュリティ/report_security_check_guestrole|ゲストロール]] | ||
: | :ゲストロールに正しいパーミッションが定義されているかどうか確認します。 | ||
*[[ | *[[レポート/セキュリティ/report_security_check_frontpagerole|フロントページロール]] | ||
: | :フロントページユーザロールに正しいパーミッションが定義されているかどうか確認します。 | ||
*[[ | *[[レポート/セキュリティ/report_security_check_defaultcourserole|デフォルトコースロール (グローバル)]] | ||
: | :デフォルトコースロールに対して、グローバルに正しいパーミッションが定義されているかどうか確認します。 | ||
*[[ | *[[レポート/セキュリティ/report_security_check_courserole|デフォルトトール (コース)]] | ||
: | :コースが変なデフォルトコースロールを使用している場合、あなたに警告を発します。 | ||
==関連情報== | ==関連情報== | ||
* Using Moodle [http://moodle.org/mod/forum/view.php?id=7301 | * Using Moodle [http://moodle.org/mod/forum/view.php?id=7301 セキュリティおよびプライバシーフォーラム] - 英語 | ||
[[Category:セキュリティ]] | [[Category:セキュリティ]] | ||
2010年3月18日 (木) 16:16時点における最新版
Moodle 1.8
ロケーション: サイト管理 > レポート > セキュリティオーバービュー
セキュリティオーバービューレポートは、Moodle 1.8.9および1.9.4以降のバージョンで使用することができます。
- Moodleを安全に運用するには、PHP設定register_globalsを無効にする必要があります。
- datarootは、Moodleがユーザのファイルを保存するディレクトリです。ウェブ経由で直接アクセスできないようにする必要があります。
- PHPがエラーを表示するように設定されている場合、正しくないURIを入力することで、PHPエラー引き起こし、誰でもディレクトリ構造等に関する重要な情報を取得することができます。
- 認証を使わずにユーザのサイトアクセスを許可するため、「認証なし」プラグインの使用は危険です。
- 仮にメディアが他のサーバに置かれていたとしても、リッチメディアオブジェクトにより、管理者または教師のアクセス権限を取得される可能性があるため、一般的なユーザがFlashおよび他のメディアをテキスト内 (例 フォーラム投稿) に埋め込むことには、危険性があります。
- Flashメディアフィルタでさえ、悪意のあるFlashファイルを含んで、不正利用される可能性があります。
- プライバシーの理由およびスパム発信者があなたのサイトをスパム発信のプラットフォームとする理由から、認証無しで、ユーザプロファイルをウェブに公開すべきではありません。
- あなたのサイトにGoogleが入ることを許可することで、すべてにコンテンツが世界中で利用可能な状態となります。実際にパブリックなサイトでない限り、有効にしないでください。
- パスワードポリシーを使用することで、侵入者によりクラッキングされないよう、あなたのユーザによる強いパスワードの使用を強制します。
- パスワードSALTを設定することで、パスワード窃盗のリスクを大幅に減らすことができます。
- 通常、あなたは常に確認メールがユーザに送信される追加的なステップを経由して、ユーザにメール変更の確認を強制すべきです。
- config.phpファイルは、ウェブサーバプロセスによる書き込みが可能な状態ではないようにしてください。config.phpが書き込み可能な場合、脆弱性により、攻撃者がMoodleコードを書き換えて、好きな情報を表示させてしまう可能性があります。
- このリストすべてのユーザを信頼できることを確認してください。これらのユーザは、潜在的にフォーラム等にXSS攻撃ツールを書くことが可能です。
- あなたが必要とするだけ管理者アカウントが割り当てられているか、レビューすることができます。
- ユーザデータのバックアップに必要なロールのみ、バックアップを実行できることを確認してください。また、それらすべてのユーザのケイパビリティが信頼されていることも確認してください。
- 登録ユーザのロールに正しいパーミッションが定義されているかどうか確認します。
- ゲストロールに正しいパーミッションが定義されているかどうか確認します。
- フロントページユーザロールに正しいパーミッションが定義されているかどうか確認します。
- デフォルトコースロールに対して、グローバルに正しいパーミッションが定義されているかどうか確認します。
- コースが変なデフォルトコースロールを使用している場合、あなたに警告を発します。
関連情報
- Using Moodle セキュリティおよびプライバシーフォーラム - 英語
