Diferencia entre revisiones de «Seguridad»

De MoodleDocs
(tidy up)
(copied from 3.5 page)
 
(No se muestran 18 ediciones intermedias del mismo usuario)
Línea 1: Línea 1:
{{chafa}}
{{Gestionando un sitio Moodle}}
{{Gestionando un curso Moodle}}


*[https://docs.moodle.org/24/en/Security_recommendations Security recommendations] - Consejos sobre la mejor manera de mantener seguro su sitio
*[[Recomendaciones de Seguridad]] - Consejos sobre la mejor manera de mantener seguro su sitio
*[https://docs.moodle.org/24/en/Security_overview_report Security overview report] - Revisar todos los problemas potenciales de seguridad que usted podría tener en su configuración
*[[Reporte Vista general de Seguridad]] - Revisar todos los problemas potenciales de seguridad que usted podría tener en su configuración
*[https://docs.moodle.org/24/en/Site_policies Site policies] -Configuraciones que afectan la seguridad y privacidad de su sitio
*[[Configuraciones de seguridad del sitio]] -Configuraciones que afectan la seguridad y privacidad de su sitio
*[[Notificaciones]] - Información sobre notificaciones de fallas en actualización y entrada al sitio
*[[Notificaciones]] - Información sobre notificaciones de fallas en actualización y entrada al sitio
*[[report/security/report_security_check_passwordsaltmain]] - Detalles de la forma para hacer las contraseñas más seguras al añadirles una cadena aleatoria de caracteres antes de calcular su ''hash''' MD5
*[[report/security/report_security_check_passwordsaltmain|Salado de contraseña]] - Detalles de la forma para hacer las contraseñas más seguras al añadirles una cadena aleatoria de caracteres antes de calcular su ''hash''' MD5
*[https://docs.moodle.org/24/en/Moodle_security_procedures Moodle security procedures] - Reportar un incidente de seguridad
*[[Aumentando la privacidad en Moodle]] - Sugerencias para cambios en la configuración para aumentar la privacidad de usuarios
*[https://docs.moodle.org/24/en/Increasing_privacy_in_Moodle Increasing privacy in Moodle] - Sugerencias para cambios en la configuración para aumentar la privacidad de usuarios
*[[Minimizar el spam en Moodle]] - Consejo sobre cómo minimizar el riesgo de ''spam'' en su sitio
*[[Minimizar el spam en Moodle]] - Consejo sobre cómo minimizar el riesgo de ''spam'' en su sitio


 
==Vea también==
 
* [[Seguridad FAQ]]
Todo el ''software'' de aplicación web es altamente complejo, y en todas las aplicaciones se encuentran ocasionalmente aspectos relacionados con la seguridad, que por lo general implican alguna combinación de entrada que los programadores no anticiparon. Desde el proyecto Moodle tomamos en serio la seguridad, y estamos continuamente mejorando el programa para cerrar cada agujero tan pronto como lo encontramos.
* [https://moodle.org/security/ Anuncios de Moodle acerca de seguridad] en idioma Inglés
 
* [https://docs.moodle.org/dev/Moodle_security_procedures Moodle security procedures] en la documentación en idioma inglés para desarrolladores
==Preliminares==
*[[Procedimientos de seguridad en Moodle]] - Reportar un incidente de seguridad
*Usted encontrará en este artículo importantes medidas de seguridad para su instalación de Moodle.
* Foro de discusión ''Using Moodle'' [http://moodle.org/mod/forum/discuss.php?d=39404 Guide to Securing your Moodle Server]
*Usted debería informar sobre problemas de seguridad directamente a http://security.moodle.org - dado que en cualquier otro lugar los desarrolladores podrían pasarlos por alto. Por otra parte, con el fin de prevenir ataques, los desarrolladores no deberían hacer públicos los problemas hasta que estuvieran resueltos.
* [https://docs.moodle.org/28/en/Why_porn_spam_has_been_appearing_in_Moodle_sites https://docs.moodle.org/28/en/Why_porn_spam_has_been_appearing_in_Moodle_sites]
*Por idénticas razones, usted no debería publicar los ''exploits'' (i.e., códigos escritos con el fin de aprovechar un error de programación para obtener privilegios) ni en el rastreador de errores (''bugs'') ni en los foros.
* [[Recuperación_de_un_sitio_hackeado]]
 
==Medidas de seguridad simples==
*¡La mejor estrategia de seguridad es una buena copia de seguridad! Pero su copia de seguridad no será buena a menos que pueda restaurarla. ¡Compruebe sus procedimientos de restauración!
*Cargue únicamente el software o los servicios que vaya a usar.
*Actualícese con regularidad.
*Diseñe su seguridad en diferentes capas (exterior, intermedia e interior como mínimo) como se abrigaría un día frío de invierno superponiendo diferentes prendas de ropa.
 
==Recomendaciones básicas==
*Actualice Moodle regularmente en cada lanzamiento.
:Los agujeros de seguridad publicados atraen la atención de los ''crakers'' después del lanzamiento. Cuanto más antigua sea la versión, tanto más probable es que sea vulnerable.
*Desactive Registros globales.
:Esto ayudará a prevenir contra posibles problemas XSS en ''scripts'' de terceras partes.
*Use contraseñas complejas para el administrador y los profesores.
:Elegir contraseñas "difíciles" es una práctica de seguridad básica para proteger contra el ''cracking'' por "fuerza bruta" de las cuentas.
*Abra cuentas de profesor únicamente a usuarios dignos de confianza. Evite crear cajas de arena (''sandboxes'') públicas con cuentas gratuitas de profesor en servidores de producción.
:Las cuentas de profesor tienen permisos mucho más libres y es más fácil crear situaciones donde es posible abusar de los datos o robarlos.
*Separe sus sistemas todo lo que le sea posible
:Otra técnica básica de seguridad es usar diferentes contraseñas en diferentes sistemas, usar diversas máquinas para diversos servicios, etc.  Esto impedirá que el daño se extienda incluso si una cuenta o un servidor son atacados.
 
==Ejecute actualizaciones regulares==
*Utilice sistemas de actualización automática
*Windows Update
*Linux: up2date, yum, apt-get
:Considere automatizar las actualizaciones mediante un ''scritp'' programado vía ''cron''
*Sistema de actualización Mac OSX
*Manténgase al día en php, apache y moodle
 
==Utilice listas de correo para mantenerse actualizado==
*CERT - http://www.us-cert.gov/cas/signup.html
*PHP - http://www.php.net/mailing-lists.php - suscríbase a la lista ''Announcements''
*MySQL - http://lists.mysql.com - suscríbase a ''MySQL Announcements''
 
==Cortafuegos==
*Los expertos en seguridad recomiendan un cortafuegos dual
:Existen diferentes combinaciones ''hardware/software''
*Desactivar servicios no usados es a menudo tan efectivo como un cortafuegos
:Use netstat -a para revisar puertos de red abiertos
*No es una garantía de protección
*Permita los puertos
:80, 443(ssl), y 9111 (para el chat),
:Admin remoto: ssh 22, o rpd 3389
 
==Esté preparado para lo peor==
*Tenga copias de seguridad disponibles
*Practique con antelación procedimientos de recuperación
*Utilice regularmente un detector ''rootkit''
**Linux/MacOSX - http://www.chkrootkit.org/
**Windows - http://www.sysinternals.com/Utilities/RootkitRevealer.html
 
==Alertas de seguridad de Moodle==
*Registre su sitio en Moodle.org
:Los usuarios registrados recibirán alertas por correo electrónico
*Las alertas de seguridad se pondrán también en línea
*Web - http://security.moodle.org/  
*Canal RSS - http://security.moodle.org/rss/file.php/1/1/forum/1/rss.xml
 
==Otras consideraciones==
He aquí algunas otras otras consideraciones que favorecen su seguridad general:
*Desactive ''opentogoogle'', especialmente en sitios K12
*Utilice SSL, httpslogins=yes
*Desactive el acceso de invitados
*Incluya claves de matriculación en todos los cursos
*Utilice buenas contraseñas
*Utilice el ajuste de formularios seguros
*Ajuste la contraseña de usuario ''root'' en mysql
*Desactive el acceso de red mysql
 
==Permisos de archivo más seguros/''paranoides''==
Suponiendo que ejecute el programa en un servidor sellado (i.e., en la máquina no se permiten entradas a usuarios) y que el ''root'' cuida de las modificaciones tanto del código de Moodle como de la configuración de Moodle (config.php), los siguientes son los permisos más restrictivos en los que podemos pensar:
 
1. directorio moodledata y todo su contenido (y subdirectorios, incluyendo sesiones):
owner: apache user (apache, httpd, www-data, whatever)
group: apache group (apache, httpd, www-data, whatever)
perms: 700 en directorios, 600 en archivos
 
2. directorio moodle y todo su contenido y subdirectorios (incluyendo config.php):
owner: root
group: root
perms: 755 en directorios, 644 en archivos.
 
Si usted permite entradas (''logins'') locales, entonces 2. debería ser:
owner: root
group: apache group
perms: 750 en directorios, 640 en archivos
 
Considere estos permisos como los más ''paranoides''. Debería tener suficiente seguridad con permisos menos restrictivos, tanto el directorio de moodle como en el de moodledata (junto con todos sus subdirectorios).
 
==Ver también==
*Foro de discusión ''Using Moodle'' [http://moodle.org/mod/forum/discuss.php?d=39404 Guide to Securing your Moodle Server]


[[Category:Administrador]]
[[Category:Administrador]]
[[Category:Seguridad]]


[[en:Security]]
[[en:Security]]

Revisión actual - 02:24 16 may 2018


Vea también