Segurtasuna: berrikuspenen arteko aldeak
(Beste erabiltzaile batek tartean egindako berrikusketa bat ez da erakusten) | |||
73. lerroa: | 73. lerroa: | ||
==Segurtasun handiagoko fitxategi-baimenak/''paranoideak''== | ==Segurtasun handiagoko fitxategi-baimenak/''paranoideak''== | ||
Programa itxitako zerbitzarian (hau da, makinak ez | Programa itxitako zerbitzarian (hau da, makinak ez diren erabiltzaileei sartzen uzten) exekutatzen baduzu eta ''root''-ak Moodle-ren kodearen eta Moodle-en ezarpenen (config.php) aldaketak zaintzen baditu, ondorengoak dira muga gehien sortzen dituzten baimenak: | ||
1. moodledata direktorioa eta bere eduki osoa (eta azpidirektorioak, saioak barne): | 1. moodledata direktorioa eta bere eduki osoa (eta azpidirektorioak, saioak barne): | ||
owner: apache user (apache, httpd, www-data, whatever) | owner: apache user (apache, httpd, www-data, whatever) | ||
group: apache group (apache, httpd, www-data, whatever) | group: apache group (apache, httpd, www-data, whatever) | ||
perms: 700 | perms: 700 direktorioetan, 600 fitxategietan | ||
2. moodle direktorioa eta bere eduki osoa eta azpidirektorioak (config.php barne): | 2. moodle direktorioa eta bere eduki osoa eta azpidirektorioak (config.php barne): | ||
90. lerroa: | 90. lerroa: | ||
perms: 750 direktorioetan, 640 fitxategietan | perms: 750 direktorioetan, 640 fitxategietan | ||
Pentsa ezazu baimen hauek ''paranoideenak'' direla. Nahikoa izan beharko luke muga gutxiagoko baimenak, bai moodle direktorioan | Pentsa ezazu baimen hauek ''paranoideenak'' direla. Nahikoa izan beharko luke muga gutxiagoko baimenak, bai moodle direktorioan baita moodledatan ere (eta hauen azpidirektorio guztietan). | ||
==Ikusi halaber== | ==Ikusi halaber== | ||
96. lerroa: | 96. lerroa: | ||
[[Category:Kudeatzaileak]] | [[Category:Kudeatzaileak]] | ||
[[Category:Segurtasuna]] | |||
[[en:Security]] | [[en:Security]] |
Hauxe da oraingo bertsioa, 14:53, 13 Urria 2008 data duena
Web-aplikaziorako software guztia oso konplexua da eta aplikazio guztietan izaten dira segurtasunarekin lotutako alderdiak. Orokorrean, programatzaileek aurreikusi ez zuten sarbide-konbinazioren bat izaten dute. Moodle proiektuan oso serio hartzen dugu segurtasuna eta etengabe ari gara programa hobetzen "zulo" bat aurkitu orduko estaltzeko.
Aurrekariak
- Artikulu honetan zure Moodle instalaziorako segurtasun-neurri garrantzitsuak dituzu.
- Segurtasun-arazoen berri http://security.moodle.org-en eman beharko zenuke zuzenean - beste edozein tokitan ez bailiekete garatzaileek jaramonik egingo. Bestalde, erasoei aurre egiteko, garatzaileek ez lukete arazoen berri eman beharko ahalik eta konpondu arte.
- Arrazoi beragatik, zuk ez zenuke exploit-ik argitaratu behar (hau da, programazio-errore bat baliatuta baimenak lortzeko idatzitako kodeak) ez errore-arakatzailean (bug-ak) ezta foroetan ere.
Oinarrizko segurtasun-neurriak
- Segurtasun-estrategi onena segurtasun-kopia ona izatea da! Baina zure segurtasun-kopia ez da ona izango ezin baduzu berreskuratu. Konproba itzazu berreskuratzeko prozedurak!
- Kargatu erabiliko dituzun softwarea eta zerbitzuak bakarrik.
- Eguneratu aldiro-aldiro.
- Diseinatu zure segurtasuna hainbat mailatan (kanpokoa, berehalakoa eta barrukoa, gutxienez) neguko egun hotz batean hainbat jantzi bata bestearen gainetik erabilita babestuko zinatekeen bezalaxe.
Oinarrizko gomendioak
- Eguneratu Moodle aldiro berritzen den bakoitzean.
- Argitaratutako segurtasun-zuloek crakers-ak erakartzen dituzte berrikuntzaren ondoren. Zenbat eta bertsio zaharragoa izan, orduan eta errazagoa da kaltea sortzea.
- Desgaitu Erregistro Orokorrak.
- Honek Esto beste inoren script-etako XSS arazoei aurre egiten lagunduko du.
- Kudeatzaile eta irakasleentzat, erabili pasahitz konplexuak.
- Pasahitz "zailak" erabiltzea oinarrizko segurtasun-neurria da kontuen "indarrezko" cracking-aren kontra.
- Konfidantzazkoei bakarrik ireki irakasle-kontuak. Saiatu doaneko irakasle-kontuak dituzten are-kutxak (sandboxes) ez sortzen produkzio-zerbitzarietan.
- Irakasle-kontuek askoz baimen libreagoak dituzte eta errazagoa da datuak bortxatu edo lapurtzeko moduko egoerak sortzea.
- Banatu ahalik eta gehien zure sistemak.
- Oinarrizko beste segurtasun-teknika bat sistema bakoitzean pasahitz ezberdina erabiltzea da, zerbitzu bakoitzerako makina bat erabiltzea, e.a. Horrela nahiz eta kontu bat edo zerbitzari bat erasotu, kaltea ez da zabalduko.
Exekutatu eguneraketak aldiro
- Erabili eguneratze sistema automatikoak
- Windows Update
- Linux: up2date, yum, apt-get
- Aztertu eguneraketak cron bidez programatutako scritp'a erabilita automatizatzeko aukera
- Mac OSX eguneraketa-sistema
- Mantendu egunean php, apache eta moodle
Erabili posta-zerrenda egunean egoteko
- CERT - http://www.us-cert.gov/cas/signup.html
- PHP - http://www.php.net/mailing-lists.php - harpidetu Announcements zerrendan
- MySQL - http://lists.mysql.com - harpidetu MySQL Announcements-n
Suebakiak
- Segurtasun adituek suebaki bikoitza gomendatzen dute
- hardware/software konbinazio ezberdinak daude
- Erabiltzen ez diren zerbitzuak ezgaitzea askotan suebakia bezain eraginkorra izaten da
- Erabili netstat-a irekitako sare-portuak aztertzeko
- Ez da babeserako bermea
- Baimendu portu hauek
- 80, 443(ssl), eta 9111 (txaterako),
- Urrutiko Admin: ssh 22, edo rpd 3389
Jarri txarrenean
- Izan eskura segurtasun-kopiak
- Praktikatu aldez aurretik berreskuratzeko prozedurak
- Erabili aldiro rootkit detektatzailea
- Linux/MacOSX - http://www.chkrootkit.org/
- Windows - http://www.sysinternals.com/Utilities/RootkitRevealer.html
Moodle-ren segurtasun-deiak
- Erregistratu zure gunea Moodle.org-en
- Erregistratutako erabiltzaileek e-postaz jasoko dituzte deiak
- Segurtasun-deiak on-line ere zabalduko dira
- Weba - http://security.moodle.org/
- RSS jarioa- http://security.moodle.org/rss/file.php/1/1/forum/1/rss.xml
Bestelakoak
Hona hemen zure segurtasun orokorra hobetuko duten beste ohar batzuk:
- Desgaitu opentogoogle-a, betez ere K12 guneetan
- Erabili SSL, httpslogins=yes
- Bisitarien sarbidea desgaitu
- Erabili matrikulazio-giltzak ikastaro guztietan
- Erabili pasahitz egokiak
- Erabili formulario seguruen ezarpena
- Ezarri root erabiltzailearen pasahitza mysql-en
- Desgaitu mysql-erako sareko sarbidea
Segurtasun handiagoko fitxategi-baimenak/paranoideak
Programa itxitako zerbitzarian (hau da, makinak ez diren erabiltzaileei sartzen uzten) exekutatzen baduzu eta root-ak Moodle-ren kodearen eta Moodle-en ezarpenen (config.php) aldaketak zaintzen baditu, ondorengoak dira muga gehien sortzen dituzten baimenak:
1. moodledata direktorioa eta bere eduki osoa (eta azpidirektorioak, saioak barne):
owner: apache user (apache, httpd, www-data, whatever) group: apache group (apache, httpd, www-data, whatever) perms: 700 direktorioetan, 600 fitxategietan
2. moodle direktorioa eta bere eduki osoa eta azpidirektorioak (config.php barne):
owner: root group: root perms: 755 direktorioetan, 644 fitxategietan.
Sarbide (login) lokalak baimentzen badituzu, 2.ak horrela behar luke:
owner: root group: apache group perms: 750 direktorioetan, 640 fitxategietan
Pentsa ezazu baimen hauek paranoideenak direla. Nahikoa izan beharko luke muga gutxiagoko baimenak, bai moodle direktorioan baita moodledatan ere (eta hauen azpidirektorio guztietan).
Ikusi halaber
- Using Moodle Zure Moodle-zerbitzarirako Segurtasun-gida eztabaida-foroa