Sicherheitsbericht
Aus MoodleDocs
Als Administrator/in haben Sie auf der Seite Einstellungen > Website-Administration > Berichte > Sicherheitsbericht Zugriff auf einen Sicherheitsbericht. Der Bericht gibt Auskunft darüber, wie sicher Ihr System ist. Wenn der Sicherheitsbericht in der Spalte Status überall OK anzeigt, dann ist Ihr System sicher konfiguriert.
Im einzelnen enthält der Bericht folgende Einträge:
- register_globals
- Diese PHP-Einstellung muss in der PHP-Konfiguration Ihres Moodle-Servers deaktiviert sein, damit Moodle sicher funktioniert.
- dataroot
- Das ist das Moodle-Datenverzeichnis, in dem Moodle hochgeladene Dateien speichert. Dieses Verzeichnis sollte nicht über das Web zugreifbar sein.
- Anzeige von PHP-Fehlern
- Wenn diese Einstellung in der PHP-Konfiguration Ihres Moodle-Servers aktiviert ist, kann jeder eine falsche URL im Browser eingeben und damit Ausgaben produzieren, die Auskunft über Ihren Server geben. Aus Sicherheitsgründen sollte diese PHP-Einstellung deaktiviert sein.
- Ohne Authentifizierung
- Die Verwendung dieser Authentifizierungsmethode darf aus Sicherheitsgründen nicht verwendet werden, da sonst jeder ohne Anmeldung auf Ihr Moodle zugreifen kann.
- EMBED/OBJECT
- Es kann ein Sicherheitsrisiko sein, wenn Sie Nutzer/innen erlauben, Flash oder andere Multimedia-Dateien in Texten einzubetten (z.B. in Forumsbeiträgen). Das liegt daran, dass solche Media-Objekte verwenden werden können und Admin- oder Trainer-Zugänge auszuspionieren selbst dann, wenn das Media-Objekt auf einem anderen Server liegt.
- Mediafilter .swf
- Selbst der Flash-Multimedia-Filter kann dazu missbraucht werden, infizierte Flash-Dateien in Moodle einzubinden.
- Offene Nutzerprofile
- Nutzerprofile sollten nicht ohne Anmeldung zugänglich sein, sowohl aus Datenschutzgründen, als auch um das Spam-Risiko in Moodle zu reduzieren.
- Offen für Google
- Wenn Sie Google den Zugriff auf Ihre Moodle-Site erlauben, bedeutet das, dass alle Inhalte öffentlich zugänglich werden. Verwenden Sie das ausschließlich für Moodle-Sites, die tatsächlich vollständig öffentlich sind.
- Kennwortregeln
- Wenn Sie Kennwortregeln verwenden, zwingen Sie Ihre Nutzer/innen, sichere Kennwörter zu benutzen, die schwerer zu entschlüsseln sind.
- Kennwortverschlüsselung
- Die Kennwortverschlüsselung reduziert noch einmal die Gefahr, das Kennwörter ausspioniert werden.
- E-Mail-Adressänderung
- Sie sollten Ihre Nutzer/innen generell zwingen, Änderungen in der E-Mail-Adresse zu bestätigen. D.h. zur Änderung der E-Mail-Adresse ist ein zusätzlicher Schritt erforderlich, d.h. die Nutzer/innen müssen einen Bestätigungslink anzuklicken, der an die geänderte E-Mail-Adresse verschickt wird.
- Sichere Cookies
- Zusätzlich zur Aktivierung der Datenübertragung über https sollte auch die Funktion Sichere Cookies aktiviert werden. Die permanenete Umleitung von http nach https sollte ebenfalls eingerichtet werden.
- config.php
- Die Moodle-Konfigurationsdatei config.php darf nicht für den Webserver-Nutzer (apache, www-data o.ä.) schreibbar sein. Wenn das der Fall wäre, dann könnten Angreifer/innen die Datei verändern und damit den Moodle-Code manipulieren.
- XSS-vertrauenswürdige Nutzer
- Prüfen Sie, ob Sie allen Nutzer/innen die hier aufgelistet sind, vertrauen: Es handelt sich um Nutzer/innen mit Rechten, die ein XSS-Risiko haben.
- Administratoren
- Prüfen Sie die Liste Ihrer Administrator/innen und stellen Sie sicher, dass nur vertrauenswürdige Personen Admin-Rechte haben.
- Sicherung von Nutzerdaten
- Stellen Sie sicher, dass nur die Rollen Nutzerdaten sichern dürfen, die das wirklich brauchen und dass alle diese Nutzer/innen vertrauenswürdig sind.
- Standardrolle für alle Nutzer
- Hier wird geprüft, dass diese Rolle ausschließlich vernünftige Rechte haben.
- Gastrolle
- Hier wird geprüft, dass die Gast-Rolle ausschließlich vernünftige Rechte hat.
- Rolle für die Startseite
- Hier wird geprüft, dass die Rolle für die Startseite ausschließlich vernünftige Rechte hat.
Siehe auch
- Security and Privacy forum - Diskussionsforum im Kurs Using Moodle auf moodle.org