Sicherheitsbericht: Unterschied zwischen den Versionen

Aus MoodleDocs
Wechseln zu:Navigation, Suche
Zeile 2: Zeile 2:
  
 
{{Zum Übersetzen}}
 
{{Zum Übersetzen}}
Als Administrator/in haben Sie auf der Seite ''[[Einstellungen-Block|Einstellungen]] > Website-Administration > Berichte > Sicherheit'' Zugriff auf einen Sicherheitsbericht.
+
Als Administrator/in haben Sie auf der Seite ''[[Einstellungen-Block|Einstellungen]] > Website-Administration > Berichte > Sicherheit'' Zugriff auf einen Sicherheitsbericht. Der Bericht gibt Auskunft darüber, wie sicher Ihr System ist. Wenn der Sicherheitsbericht in der Spalte ''Status'' überall ''OK'' anzeigt, dann ist Ihr System sicher konfiguriert.
  
Dieser Bericht enthält folgende Einträge:
+
Im einzelnen enthält der Bericht folgende Einträge:
 
;register_globals
 
;register_globals
 
:Diese PHP-Einstellung muss in der PHP-Konfiguration Ihres Moodle-Servers deaktiviert sein, damit Moodle sicher funktioniert.
 
:Diese PHP-Einstellung muss in der PHP-Konfiguration Ihres Moodle-Servers deaktiviert sein, damit Moodle sicher funktioniert.
Zeile 12: Zeile 12:
  
 
;Anzeige von PHP-Fehlern
 
;Anzeige von PHP-Fehlern
:If PHP is set to display errors, then anyone can enter a faulty URL causing PHP to give up valuable information about directory structures and so on.
+
:Wenn diese Einstellung in der PHP-Konfiguration Ihres Moodle-Servers aktiviert ist, kann jeder eine falsche URL im Browser eingeben und damit Ausgaben produzieren, die Auskunft über Ihren Server geben. Aus Sicherheitsgründen sollte diese PHP-Einstellung deaktiviert sein.
  
*[[report/security/report security check noauth|No authentication]]
+
;Ohne Authentifizierung
:Use of the "no authentication" plugin can be dangerous, allowing people to access the site without authenticating.  
+
:Die Verwendung dieser [[Ohne Authentifizierung|Authentifizierungsmethode]] darf aus Sicherheitsgründen nicht verwendet werden, da sonst jeder ohne Anmeldung auf Ihr Moodle zugreifen kann.  
  
*[[report/security/report security check embed|Allow EMBED and OBJECT]]
+
;EMBED/OBJECT
 
:Allowing ordinary users to embed Flash and other media in their texts (eg forum posts) can be a problem because those rich media objects can be used to steal admin or teacher access, even if the media object is on another server.
 
:Allowing ordinary users to embed Flash and other media in their texts (eg forum posts) can be a problem because those rich media objects can be used to steal admin or teacher access, even if the media object is on another server.
  
*[[report/security/report security check mediafilterswf‎|Enabled .swf media filter]]
+
;Mediafilter .swf
 
:Even the flash media filter can be abused to include malicious flash files.
 
:Even the flash media filter can be abused to include malicious flash files.
  
*[[report/security/report security check openprofiles|Open user profiles]]
+
;Offene Nutzerprofile
 
:User profiles should not be open to the web without authentication, both for privacy reasons and because spammers then have a platform to publish spam on your site.
 
:User profiles should not be open to the web without authentication, both for privacy reasons and because spammers then have a platform to publish spam on your site.
  
*[[report/security/report security check google|Open to Google]]
+
;Offen für Google
 
:Allowing Google to enter your site means that all the contents become available to the world.  Don't use this unless it's a really public site.
 
:Allowing Google to enter your site means that all the contents become available to the world.  Don't use this unless it's a really public site.
  
*[[report/security/report security check passwordpolicy|Password policy]]
+
;Kennwortregeln
 
:Using a password policy will force your users to use stronger passwords that are less susceptible to being cracked by a intruder.
 
:Using a password policy will force your users to use stronger passwords that are less susceptible to being cracked by a intruder.
  
*[[Password salting|Password salt]]
+
;Kennwortverschlüsselung
 
:Setting a password salt greatly reduces the risk of password theft.
 
:Setting a password salt greatly reduces the risk of password theft.
  
*[[report/security/report security check emailchangeconfirmation‎|Email change confirmation]]
+
;E-Mail-Adressänderung
 
:You should generally always force users to confirm email address changes via an extra step where a confirmation link is sent to the user.
 
:You should generally always force users to confirm email address changes via an extra step where a confirmation link is sent to the user.
  
*[[report/security/report security check configrw|Writable config.php]]
+
;Sichere Cookies
 +
:
 +
 
 +
;config.php
 
:The config.php file must not be writeable by the web server process.  If it is, then it is possible for another vulnerability to allow attackers to rewrite the Moodle code and display whatever they want.
 
:The config.php file must not be writeable by the web server process.  If it is, then it is possible for another vulnerability to allow attackers to rewrite the Moodle code and display whatever they want.
  
*[[report/security/report security check riskxss|XSS trusted users]]
+
;XSS-vertrauenswürdige Nutzer
 
:Make sure that you trust all the people on this list:  they are the ones with permissions to potentially write XSS exploits in forums etc.
 
:Make sure that you trust all the people on this list:  they are the ones with permissions to potentially write XSS exploits in forums etc.
  
*[[report/security/report security check riskadmin|Administrators]]
+
;Administratoren
 
:Review your administrator accounts and make sure you only have what you need.
 
:Review your administrator accounts and make sure you only have what you need.
  
*[[Backup of user data]]
+
;Sicherung von Nutzerdaten
 
:Make sure that only roles that need to backup user data can do so and that all users who have the capability are trusted.
 
:Make sure that only roles that need to backup user data can do so and that all users who have the capability are trusted.
  
*[[report/security/report security check defaultuserrole‎ |Default role for all users]]
+
;Standardrolle für alle Nutzer
 
:This checks that the registered user role is defined with sane permissions.
 
:This checks that the registered user role is defined with sane permissions.
  
*[[report/security/report security check guestrole|Guest role]]
+
;Gastrole
 
:This checks that the guest role is defined with sane permissions.
 
:This checks that the guest role is defined with sane permissions.
  
*[[report/security/report security check frontpagerole‎|Frontpage role]]
+
;Rolle für die Startseite
 
:This checks that the frontpage user role is defined with sane permissions.
 
:This checks that the frontpage user role is defined with sane permissions.
  

Version vom 4. Mai 2012, 17:52 Uhr


Baustelle.png Diese Seite ist noch nicht vollständig übersetzt.

Als Administrator/in haben Sie auf der Seite Einstellungen > Website-Administration > Berichte > Sicherheit Zugriff auf einen Sicherheitsbericht. Der Bericht gibt Auskunft darüber, wie sicher Ihr System ist. Wenn der Sicherheitsbericht in der Spalte Status überall OK anzeigt, dann ist Ihr System sicher konfiguriert.

Im einzelnen enthält der Bericht folgende Einträge:

register_globals
Diese PHP-Einstellung muss in der PHP-Konfiguration Ihres Moodle-Servers deaktiviert sein, damit Moodle sicher funktioniert.
dataroot
Das ist das Moodle-Datenverzeichnis, in dem Moodle hochgeladene Dateien speichert. Dieses Verzeichnis sollte nicht über das Web zugreifbar sein.
Anzeige von PHP-Fehlern
Wenn diese Einstellung in der PHP-Konfiguration Ihres Moodle-Servers aktiviert ist, kann jeder eine falsche URL im Browser eingeben und damit Ausgaben produzieren, die Auskunft über Ihren Server geben. Aus Sicherheitsgründen sollte diese PHP-Einstellung deaktiviert sein.
Ohne Authentifizierung
Die Verwendung dieser Authentifizierungsmethode darf aus Sicherheitsgründen nicht verwendet werden, da sonst jeder ohne Anmeldung auf Ihr Moodle zugreifen kann.
EMBED/OBJECT
Allowing ordinary users to embed Flash and other media in their texts (eg forum posts) can be a problem because those rich media objects can be used to steal admin or teacher access, even if the media object is on another server.
Mediafilter .swf
Even the flash media filter can be abused to include malicious flash files.
Offene Nutzerprofile
User profiles should not be open to the web without authentication, both for privacy reasons and because spammers then have a platform to publish spam on your site.
Offen für Google
Allowing Google to enter your site means that all the contents become available to the world. Don't use this unless it's a really public site.
Kennwortregeln
Using a password policy will force your users to use stronger passwords that are less susceptible to being cracked by a intruder.
Kennwortverschlüsselung
Setting a password salt greatly reduces the risk of password theft.
E-Mail-Adressänderung
You should generally always force users to confirm email address changes via an extra step where a confirmation link is sent to the user.
Sichere Cookies
config.php
The config.php file must not be writeable by the web server process. If it is, then it is possible for another vulnerability to allow attackers to rewrite the Moodle code and display whatever they want.
XSS-vertrauenswürdige Nutzer
Make sure that you trust all the people on this list: they are the ones with permissions to potentially write XSS exploits in forums etc.
Administratoren
Review your administrator accounts and make sure you only have what you need.
Sicherung von Nutzerdaten
Make sure that only roles that need to backup user data can do so and that all users who have the capability are trusted.
Standardrolle für alle Nutzer
This checks that the registered user role is defined with sane permissions.
Gastrole
This checks that the guest role is defined with sane permissions.
Rolle für die Startseite
This checks that the frontpage user role is defined with sane permissions.

Siehe auch