Segurtasuna

Hona jo: nabigazioa, bilatu

Web-aplikaziorako software guztia oso konplexua da eta aplikazio guztietan izaten dira segurtasunarekin lotutako alderdiak. Orokorrean, programatzaileek aurreikusi ez zuten sarbide-konbinazioren bat izaten dute. Moodle proiektuan oso serio hartzen dugu segurtasuna eta etengabe ari gara programa hobetzen "zulo" bat aurkitu orduko estaltzeko.

Aurrekariak

  • Artikulu honetan zure Moodle instalaziorako segurtasun-neurri garrantzitsuak dituzu.
  • Segurtasun-arazoen berri http://security.moodle.org-en eman beharko zenuke zuzenean - beste edozein tokitan ez bailiekete garatzaileek jaramonik egingo. Bestalde, erasoei aurre egiteko, garatzaileek ez lukete arazoen berri eman beharko ahalik eta konpondu arte.
  • Arrazoi beragatik, zuk ez zenuke exploit-ik argitaratu behar (hau da, programazio-errore bat baliatuta baimenak lortzeko idatzitako kodeak) ez errore-arakatzailean (bug-ak) ezta foroetan ere.

Oinarrizko segurtasun-neurriak

  • Segurtasun-estrategi onena segurtasun-kopia ona izatea da! Baina zure segurtasun-kopia ez da ona izango ezin baduzu berreskuratu. Konproba itzazu berreskuratzeko prozedurak!
  • Kargatu erabiliko dituzun softwarea eta zerbitzuak bakarrik.
  • Eguneratu aldiro-aldiro.
  • Diseinatu zure segurtasuna hainbat mailatan (kanpokoa, berehalakoa eta barrukoa, gutxienez) neguko egun hotz batean hainbat jantzi bata bestearen gainetik erabilita babestuko zinatekeen bezalaxe.

Oinarrizko gomendioak

  • Eguneratu Moodle aldiro berritzen den bakoitzean.
Argitaratutako segurtasun-zuloek crakers-ak erakartzen dituzte berrikuntzaren ondoren. Zenbat eta bertsio zaharragoa izan, orduan eta errazagoa da kaltea sortzea.
  • Desgaitu Erregistro Orokorrak.
Honek Esto beste inoren script-etako XSS arazoei aurre egiten lagunduko du.
  • Kudeatzaile eta irakasleentzat, erabili pasahitz konplexuak.
Pasahitz "zailak" erabiltzea oinarrizko segurtasun-neurria da kontuen "indarrezko" cracking-aren kontra.
  • Konfidantzazkoei bakarrik ireki irakasle-kontuak. Saiatu doaneko irakasle-kontuak dituzten are-kutxak (sandboxes) ez sortzen produkzio-zerbitzarietan.
Irakasle-kontuek askoz baimen libreagoak dituzte eta errazagoa da datuak bortxatu edo lapurtzeko moduko egoerak sortzea.
  • Banatu ahalik eta gehien zure sistemak.
Oinarrizko beste segurtasun-teknika bat sistema bakoitzean pasahitz ezberdina erabiltzea da, zerbitzu bakoitzerako makina bat erabiltzea, e.a. Horrela nahiz eta kontu bat edo zerbitzari bat erasotu, kaltea ez da zabalduko.

Exekutatu eguneraketak aldiro

  • Erabili eguneratze sistema automatikoak
  • Windows Update
  • Linux: up2date, yum, apt-get
Aztertu eguneraketak cron bidez programatutako scritp'a erabilita automatizatzeko aukera
  • Mac OSX eguneraketa-sistema
  • Mantendu egunean php, apache eta moodle

Erabili posta-zerrenda egunean egoteko

Suebakiak

  • Segurtasun adituek suebaki bikoitza gomendatzen dute
hardware/software konbinazio ezberdinak daude
  • Erabiltzen ez diren zerbitzuak ezgaitzea askotan suebakia bezain eraginkorra izaten da
Erabili netstat-a irekitako sare-portuak aztertzeko
  • Ez da babeserako bermea
  • Baimendu portu hauek
80, 443(ssl), eta 9111 (txaterako),
Urrutiko Admin: ssh 22, edo rpd 3389

Jarri txarrenean

Moodle-ren segurtasun-deiak

  • Erregistratu zure gunea Moodle.org-en
Erregistratutako erabiltzaileek e-postaz jasoko dituzte deiak

Bestelakoak

Hona hemen zure segurtasun orokorra hobetuko duten beste ohar batzuk:

  • Desgaitu opentogoogle-a, betez ere K12 guneetan
  • Erabili SSL, httpslogins=yes
  • Bisitarien sarbidea desgaitu
  • Erabili matrikulazio-giltzak ikastaro guztietan
  • Erabili pasahitz egokiak
  • Erabili formulario seguruen ezarpena
  • Ezarri root erabiltzailearen pasahitza mysql-en
  • Desgaitu mysql-erako sareko sarbidea

Segurtasun handiagoko fitxategi-baimenak/paranoideak

Programa itxitako zerbitzarian (hau da, makinak ez diren erabiltzaileei sartzen uzten) exekutatzen baduzu eta root-ak Moodle-ren kodearen eta Moodle-en ezarpenen (config.php) aldaketak zaintzen baditu, ondorengoak dira muga gehien sortzen dituzten baimenak:

1. moodledata direktorioa eta bere eduki osoa (eta azpidirektorioak, saioak barne):

owner: apache user (apache, httpd, www-data, whatever)
group: apache group (apache, httpd, www-data, whatever)
perms: 700 direktorioetan, 600 fitxategietan

2. moodle direktorioa eta bere eduki osoa eta azpidirektorioak (config.php barne):

owner: root
group: root
perms: 755 direktorioetan, 644 fitxategietan.

Sarbide (login) lokalak baimentzen badituzu, 2.ak horrela behar luke:

owner: root
group: apache group
perms: 750 direktorioetan, 640 fitxategietan

Pentsa ezazu baimen hauek paranoideenak direla. Nahikoa izan beharko luke muga gutxiagoko baimenak, bai moodle direktorioan baita moodledatan ere (eta hauen azpidirektorio guztietan).

Ikusi halaber