Segurança
Todas as aplicações web software é muito complexo, e cada aplicação tem as questões de segurança que são encontrados ao longo do tempo, geralmente envolvendo uma combinação de entrada que os programadores não antecipar. O Moodle projeto leva segurança a sério, e está constantemente melhorando Moodle para fechar esses buracos como nós encontrá-los.
Introdução
- Esta página contém importantes medidas de segurança para a sua instalação Moodle.
- Você deve relatar problemas de segurança diretamente no http://security.moodle.org - porque desenvolvedores podem ignorar-lo em outro lugar, e que eles não devem ser liberados para grande público até que sejam resolvidos (para evitar ataques).
- Você não deve publicar real explora no tracker ou fóruns, para exactamente pelas mesmas razões.
Simple medidas de segurança
- A melhor estratégia de segurança é um bom backup! Mas você não tem um bom backup não ser que você tenha a possibilidade de restaurá-lo. Teste seu restabelecimento procedimentos!
- Coloque apenas software ou serviços que você usará
- Execute actualizações regulares
- Modelo sua segurança após a camadas de roupas que veste em um dia frio no inverno
Basic recomendações
- Atualização Moodle regularmente em cada liberação
- Publicado segurança buracos crackers chamar atenção após liberação. Os mais velhos a versão, o mais vulnerabilidades é provável que contêm.
- Desativar registrar Globals
- Isto ajudará a prevenir contra eventuais problemas na XSS third-party scripts.
- Use senhas fortes para admin e professores
- Escolhendo "difícil" passwords é uma prática básicas de segurança para proteger contra a "força bruta" cracking de contas.
- Somente professor dar contas a usuários confiáveis. Evitar a criação de sandboxes público com livre professor contas sobre a produção servidores.
- Professores contas têm muito livre permissões e é mais fácil de criar situações em que os dados podem ser violados ou roubado.
- Separe os seus sistemas, tanto quanto possível,
- Outra básicas de segurança técnica é usar senhas diferentes em diferentes sistemas, utilização de máquinas diferentes para diferentes serviços e assim por diante. Isto irá prevenir danos generalizados, mesmo sendo uma conta ou um servidor está comprometida.
Run actualizações regulares
- Use sistemas de atualização automática
- Windows Update
- Linux: up2date, yum, apt-get
- Considere automatizar atualizações com um script programado via cron
- Mac OSX atualizar sistema
- Fique atualizado com php, apache, e moodle
Use mailing lists para manter-se atualizado
- CERT - http://www.us-cert.gov/cas/signup.html
- PHP - http://www.php.net/mailing-lists.php - inscrever-se para Comunicações lista
- MySQL - http://lists.mysql.com - inscrever-se para o MySQL Anúncios
Firewalls
- Segurança especialistas recomendam uma dupla firewall
- Diferentes hardware / software combinações
- A desativação de serviços não utilizados freqüentemente é tão eficaz como um firewall
- Use netstat-a para rever rede aberta portos
- Não é uma garantia de protecção
- Permitir portos
- 80, 443 (ssl), e 9111 (para conversar),
- Admin remota: ssh 22 3389
Senha política
((1,9)) Em Moodle Moodle 1.9 a partir de uma senha política pode ser configurado viaAdministração> Segurança> Site políticas .
Há uma caixa para determinar se senha complexidade deve ser aplicada ou não, a opção de definir a duração mínima da senha, o número mínimo de dígitos, o número mínimo de caracteres minúsculos, o número mínimo de caracteres maiúsculos e do número mínimo Da não caracteres alfanuméricos.
Se o usuário digitar uma senha que não preenche os requisitos, que são dada uma mensagem de erro indicando a natureza do problema com a senha entrou.
Fazer valer senha complexidade junto com os usuários exigindo a alterar a sua senha inicial percorrer um longo caminho em ajudar a garantir que os usuários escolhem e são, de facto, usando "boas senhas".
Esteja preparado para o pior
- Tenha backups pronto
- Prática recuperação procedimentos antes do tempo
- Use um rootkit detector numa base regular
- Linux / MacOSX - http://www.chkrootkit.org/
- Windows - http://www.sysinternals.com/Utilities/RootkitRevealer.html
Moodle alertas de segurança
- Registre seu site com Moodle.org
- Usuários registrados receber alertas e-mail
- Segurança alertas também postada online
- Web - http://security.moodle.org/
- Feed RSS - http://security.moodle.org/rss/file.php/1/1/forum/1/rss.xml
Miscellaneous considerações
Essas são todas as coisas que você pode considerar que seu impacto global de segurança:
- Desligue opentogoogle, esp para K12 sites
- Use SSL, httpslogins = yes
- Guest Desativar acesso
- Place matrícula chaves em todos os cursos
- Use boas senhas (Moodle para 1,9 em diante, configurar uma senha política)
- Use o seguro formas configuração
- Definir o usuário mysql root password
- Desligue mysql acesso à rede
Mais segura / paranóico arquivo permissões
Assumindo que você está executando esta em um servidor fechados (isto é, qualquer usuário logins permitidos na máquina) e raiz que cuida das alterações ao código tanto moodle e moodle config (config.php), então esse é o mais apertado permissões posso pensar De:
1. Moodledata diretório e todo o seu conteúdo (e subdirs, inclui sessões):
Proprietário: apache user (apache, httpd, www-data, qualquer que seja) Grupo: grupo apache (apache, httpd, www-data, qualquer que seja) Perms: 700 em diretórios, 600 em arquivos
2. Moodle diretório e todo o seu conteúdo e subdirs (incluindo config.php):
Proprietário: raiz Group: root Perms: 755 em diretórios, 644 nos arquivos.
Se você permitir local logins e, em seguida, 2. Deve ser:
Proprietário: raiz Grupo: Apache grupo Perms: 750 em diretórios, 640 em arquivos
Pense destas permissões como o mais paranóico. Pode ser suficientemente seguras com menos permissões mais rigorosa, tanto em moodledata e moodle diretórios (e subdiretórios).
Ver também
- Usando Moodle Guide to Securing seu Moodle Server fórum discussão