Web-aplikaziorako software guztia oso konplexua da eta aplikazio guztietan izaten dira segurtasunarekin lotutako alderdiak. Orokorrean, programatzaileek aurreikusi ez zuten sarbide-konbinazioren bat izaten dute. Moodle proiektuan oso serio hartzen dugu segurtasuna eta etengabe ari gara programa hobetzen "zulo" bat aurkitu orduko estaltzeko.

Aurrekariak

• Artikulu honetan zure Moodle instalaziorako segurtasun-neurri garrantzitsuak dituzu.
• Segurtasun-arazoen berri http://security.moodle.org-en eman beharko zenuke zuzenean - beste edozein tokitan ez bailiekete garatzaileek jaramonik egingo. Bestalde, erasoei aurre egiteko, garatzaileek ez lukete arazoen berri eman beharko ahalik eta konpondu arte.
• Arrazoi beragatik, zuk ez zenuke exploit-ik argitaratu behar (hau da, programazio-errore bat baliatuta baimenak lortzeko idatzitako kodeak) ez errore-arakatzailean (bug-ak) ezta foroetan ere.

Oinarrizko segurtasun-neurriak

• Segurtasun-estrategi onena segurtasun-kopia ona izatea da! Baina zure segurtasun-kopia ez da ona izango ezin baduzu berreskuratu. Konproba itzazu berreskuratzeko prozedurak!
• Kargatu erabiliko dituzun softwarea eta zerbitzuak bakarrik.
• Eguneratu aldiro-aldiro.
• Diseinatu zure segurtasuna hainbat mailatan (kanpokoa, berehalakoa eta barrukoa, gutxienez) neguko egun hotz batean hainbat jantzi bata bestearen gainetik erabilita babestuko zinatekeen bezalaxe.

Oinarrizko gomendioak

• Eguneratu Moodle aldiro berritzen den bakoitzean.

Argitaratutako segurtasun-zuloek crakers-ak erakartzen dituzte berrikuntzaren ondoren. Zenbat eta bertsio zaharragoa izan, orduan eta errazagoa da kaltea sortzea.

• Desgaitu Erregistro Orokorrak.

Honek Esto beste inoren script-etako XSS arazoei aurre egiten lagunduko du.

• Kudeatzaile eta irakasleentzat, erabili pasahitz konplexuak.

Pasahitz "zailak" erabiltzea oinarrizko segurtasun-neurria da kontuen "indarrezko" cracking-aren kontra.

• Konfidantzazkoei bakarrik ireki irakasle-kontuak. Saiatu doaneko irakasle-kontuak dituzten are-kutxak (sandboxes) ez sortzen produkzio-zerbitzarietan.

Irakasle-kontuek askoz baimen libreagoak dituzte eta errazagoa da datuak bortxatu edo lapurtzeko moduko egoerak sortzea.

• Banatu ahalik eta gehien zure sistemak.

Oinarrizko beste segurtasun-teknika bat sistema bakoitzean pasahitz ezberdina erabiltzea da, zerbitzu bakoitzerako makina bat erabiltzea, e.a. Horrela nahiz eta kontu bat edo zerbitzari bat erasotu, kaltea ez da zabalduko.

Exekutatu eguneraketak aldiro

• Erabili eguneratze sistema automatikoak
• Windows Update
• Linux: up2date, yum, apt-get

Aztertu eguneraketak cron bidez programatutako scritp'a erabilita automatizatzeko aukera

• Mac OSX eguneraketa-sistema
• Mantendu egunean php, apache eta moodle

Erabili posta-zerrenda egunean egoteko

• CERT - http://www.us-cert.gov/cas/signup.html
• PHP - http://www.php.net/mailing-lists.php - harpidetu Announcements zerrendan
• MySQL - http://lists.mysql.com - harpidetu MySQL Announcements-n

Suebakiak

• Segurtasun adituek suebaki bikoitza gomendatzen dute

hardware/software konbinazio ezberdinak daude

• Erabiltzen ez diren zerbitzuak ezgaitzea askotan suebakia bezain eraginkorra izaten da

Erabili netstat-a irekitako sare-portuak aztertzeko

• Ez da babeserako bermea
• Baimendu portu hauek

80, 443(ssl), eta 9111 (txaterako),

Urrutiko Admin: ssh 22, edo rpd 3389

Jarri txarrenean

• Izan eskura segurtasun-kopiak
• Praktikatu aldez aurretik berreskuratzeko prozedurak
• Erabili aldiro rootkit detektatzailea
  • Linux/MacOSX - http://www.chkrootkit.org/
  • Windows - http://www.sysinternals.com/Utilities/RootkitRevealer.html

Moodle-ren segurtasun-deiak

• Erregistratu zure gunea Moodle.org-en

Erregistratutako erabiltzaileek e-postaz jasoko dituzte deiak

• Segurtasun-deiak on-line ere zabalduko dira
• Weba - http://security.moodle.org/
• RSS jarioa- http://security.moodle.org/rss/file.php/1/1/forum/1/rss.xml

Bestelakoak

Hona hemen zure segurtasun orokorra hobetuko duten beste ohar batzuk:

• Desgaitu opentogoogle-a, betez ere K12 guneetan
• Erabili SSL, httpslogins=yes
• Bisitarien sarbidea desgaitu
• Erabili matrikulazio-giltzak ikastaro guztietan
• Erabili pasahitz egokiak
• Erabili formulario seguruen ezarpena
• Ezarri root erabiltzailearen pasahitza mysql-en
• Desgaitu mysql-erako sareko sarbidea

Segurtasun handiagoko fitxategi-baimenak/paranoideak

Programa itxitako zerbitzarian (hau da, makinak ez diren erabiltzaileei sartzen uzten) exekutatzen baduzu eta root-ak Moodle-ren kodearen eta Moodle-en ezarpenen (config.php) aldaketak zaintzen baditu, ondorengoak dira muga gehien sortzen dituzten baimenak:

1. moodledata direktorioa eta bere eduki osoa (eta azpidirektorioak, saioak barne):

owner: apache user (apache, httpd, www-data, whatever)
group: apache group (apache, httpd, www-data, whatever)
perms: 700 direktorioetan, 600 fitxategietan

2. moodle direktorioa eta bere eduki osoa eta azpidirektorioak (config.php barne):

owner: root
group: root
perms: 755 direktorioetan, 644 fitxategietan.

Sarbide (login) lokalak baimentzen badituzu, 2.ak horrela behar luke:

owner: root
group: apache group
perms: 750 direktorioetan, 640 fitxategietan

Pentsa ezazu baimen hauek paranoideenak direla. Nahikoa izan beharko luke muga gutxiagoko baimenak, bai moodle direktorioan baita moodledatan ere (eta hauen azpidirektorio guztietan).

Ikusi halaber

• Using Moodle Zure Moodle-zerbitzarirako Segurtasun-gida eztabaida-foroa