Diferencia entre revisiones de «Seguridad»
De MoodleDocs
m (Revertida a la última edición por Stronk7) |
Sin resumen de edición |
||
| Línea 1: | Línea 1: | ||
{{Template:Pendiente de traducir}} | {{Template:Pendiente de traducir}} | ||
Todo software de aplicación WEB es altamente complejo, y toda aplicación tiene confilctos de seguridad que son encontrados de tiempo en tiempo, usualmente comprendiendo alguna combinación de entrada que los programadores no anticiparon. El proyecto Moodle toma la seguridad seriamente, y está continuamente mejorando Moodle para cerrar cada hueco que encontremos. | |||
== | ==Antes que todo== | ||
* | *En este artículo, usted encontrará importantes medidas de seguridad para su instalación de Moodle. | ||
* | *Usted debe reportar problemas de seguridad directamente en http://security.moodle.org - porque los desarrolladores debe revisar por todos lados, y no deben liberarlo al publico en general hasta que esten todos resueltos. (para prevenir ataques). | ||
* | *Usted no deberia publicar hazañas reales en el bugtracker o los foros, por exactamente las mismas razones. | ||
== | ==Medidas de Seguridad Simples== | ||
* | *La mejor estrategia de seguridad es una buena copia de seguridad! Pero usted no tiene un buen backup a menos que este en la capacidad de restaurarlo. Pruebe sus procedimientos de restauración! | ||
* | *Cargue solo el software o los servicios que va a usar | ||
* | *Realice continuas actualizaciones | ||
* | *Modele su seguridad despues de las capas de ropa que usted usa en un día frío del invierno | ||
== | ==Recomendaciones Básicas== | ||
* | *Actualice Moodle regularmente en cada lanzamiento. | ||
: | :Los agujeros de seguridad publicados dibujan la atención de los crakers después del lanzamiento. Cuanto más antigua es la versión, más las vulnerabilidades es probable contener | ||
* | *Desactive Registros globales. | ||
: | :Esto ayudará a prevenir contra posibles problemas XSS en scripts de terceras personas. | ||
*Use | *Use contraseñas complejas para el administrador y tutores. | ||
: | :Escogiendo contraseñas "difíciles" es una práctica de seguridad básica para proteger contra la "fuerza bruta" cracking de las cuentas. | ||
* | *Solo dé cuentas de tutores a usuarios confiables. Evite crear cajas de arena públicos con cuentas de tutores grátis en servidores de producción. | ||
: | :Las cuentas del profesor tienen permisos mucho más libres y es más fácil crear las situaciones donde los datos pueden ser abusados o ser robados. | ||
* | *Separe sus sistemas todo lo que le sea posible | ||
: | :Otra técnica básica de seguridad es usar diferentes contraseñas en diferentes sistemas, use diversas máquinas para diversos servicios, etcétera. Esto prevendrá que el daño se extienda incluso si se compromete una cuenta o un servidor.. | ||
==Run regular updates== | ==Run regular updates== | ||
Revisión del 16:13 22 feb 2006
Nota: Pendiente de Traducir. ¡Anímese a traducir esta página!. ( y otras páginas pendientes)
Todo software de aplicación WEB es altamente complejo, y toda aplicación tiene confilctos de seguridad que son encontrados de tiempo en tiempo, usualmente comprendiendo alguna combinación de entrada que los programadores no anticiparon. El proyecto Moodle toma la seguridad seriamente, y está continuamente mejorando Moodle para cerrar cada hueco que encontremos.
Antes que todo
- En este artículo, usted encontrará importantes medidas de seguridad para su instalación de Moodle.
- Usted debe reportar problemas de seguridad directamente en http://security.moodle.org - porque los desarrolladores debe revisar por todos lados, y no deben liberarlo al publico en general hasta que esten todos resueltos. (para prevenir ataques).
- Usted no deberia publicar hazañas reales en el bugtracker o los foros, por exactamente las mismas razones.
Medidas de Seguridad Simples
- La mejor estrategia de seguridad es una buena copia de seguridad! Pero usted no tiene un buen backup a menos que este en la capacidad de restaurarlo. Pruebe sus procedimientos de restauración!
- Cargue solo el software o los servicios que va a usar
- Realice continuas actualizaciones
- Modele su seguridad despues de las capas de ropa que usted usa en un día frío del invierno
Recomendaciones Básicas
- Actualice Moodle regularmente en cada lanzamiento.
- Los agujeros de seguridad publicados dibujan la atención de los crakers después del lanzamiento. Cuanto más antigua es la versión, más las vulnerabilidades es probable contener
- Desactive Registros globales.
- Esto ayudará a prevenir contra posibles problemas XSS en scripts de terceras personas.
- Use contraseñas complejas para el administrador y tutores.
- Escogiendo contraseñas "difíciles" es una práctica de seguridad básica para proteger contra la "fuerza bruta" cracking de las cuentas.
- Solo dé cuentas de tutores a usuarios confiables. Evite crear cajas de arena públicos con cuentas de tutores grátis en servidores de producción.
- Las cuentas del profesor tienen permisos mucho más libres y es más fácil crear las situaciones donde los datos pueden ser abusados o ser robados.
- Separe sus sistemas todo lo que le sea posible
- Otra técnica básica de seguridad es usar diferentes contraseñas en diferentes sistemas, use diversas máquinas para diversos servicios, etcétera. Esto prevendrá que el daño se extienda incluso si se compromete una cuenta o un servidor..
Run regular updates
- Use auto update systems
- Windows Update
- Linux: up2date, yum, apt-get
- Consider automating updates with a script scheduled via cron
- Mac OSX update system
- Stay current with php, apache, and moodle
Use mailing lists to stay updated
- CERT - http://www.us-cert.gov/cas/signup.html
- PHP - http://www.php.net/mailing-lists.php - sign up for Announcements list
- MySQL - http://lists.mysql.com - sign up for MySQL Announcements
Firewalls
- Security experts recommend a dual firewall
- Differing hardware/software combinations
- Disabling unused services is often as effective as a firewall
- Use netstat -a to review open network ports
- Not a guarantee of protection
- Allow ports
- 80, 443(ssl), and 9111 (for chat),
- Remote admin: ssh 22, or rpd 3389
Be prepared for the worst
- Have backups ready
- Practice recovery procedures ahead of time
- Use a rootkit detector on a regular basis
- Linux/MacOSX - http://www.chkrootkit.org/
- Windows - http://www.sysinternals.com/Utilities/RootkitRevealer.html
Moodle security alerts
- Register your site with Moodle.org
- Registered users receive email alerts
- Security alerts also posted online
- Web - http://security.moodle.org/
- RSS feed - http://security.moodle.org/rss/file.php/1/1/forum/1/rss.xml
Miscellaneous considerations
These are all things you might consider that impact your overall security:
- Turn off opentogoogle, esp for K12 sites
- Use SSL, httpslogins=yes
- Disable guest access
- Place enrollment keys on all courses
- Use good passwords
- Use the secure forms setting
- Set the mysql root user password
- Turn off mysql network access
Most secure/paranoid file permissions
Assuming you are running this on a sealed server (i.e. no user logins allowed on the machine) and that root takes care of the modifications to both moodle code and moodle config (config.php), then this are the most tight permissions I can think of:
1. moodledata directory and all of its contents (and subdirs, includes sessions):
owner: apache user (apache, httpd, www-data, whatever) group: apache group (apache, httpd, www-data, whatever) perms: 700 on directories, 600 on files
2. moodle directory and all of its contents and subdirs (including config.php):
owner: root group: root perms: 755 on directories, 644 on files.
If you allow local logins, then 2. should be:
owner: root group: apache group perms: 750 on directories, 640 on files
Think of these permissions as the most paranoid ones. You can be secure enough with less tighter permissions, both in moodledata and moodle directories (and subdirectories).
See also
- Using Moodle Guide to Securing your Moodle Server forum discussion
