Segurança

Jump to: navigation, search

Todas as aplicações web software é muito complexo, e cada aplicação tem as questões de segurança que são encontrados ao longo do tempo, geralmente envolvendo uma combinação de entrada que os programadores não antecipar. O Moodle projeto leva segurança a sério, e está constantemente melhorando Moodle para fechar esses buracos como nós encontrá-los.


Introdução

  • Esta página contém importantes medidas de segurança para a sua instalação Moodle.
  • Você deve relatar problemas de segurança diretamente no http://security.moodle.org - porque desenvolvedores podem ignorar-lo em outro lugar, e que eles não devem ser liberados para grande público até que sejam resolvidos (para evitar ataques).
  • Você não deve publicar real explora no tracker ou fóruns, para exactamente pelas mesmas razões.

Simple medidas de segurança

  • A melhor estratégia de segurança é um bom backup! Mas você não tem um bom backup não ser que você tenha a possibilidade de restaurá-lo. Teste seu restabelecimento procedimentos!
  • Coloque apenas software ou serviços que você usará
  • Execute actualizações regulares
  • Modelo sua segurança após a camadas de roupas que veste em um dia frio no inverno

Basic recomendações

  • Atualização Moodle regularmente em cada liberação
Publicado segurança buracos crackers chamar atenção após liberação. Os mais velhos a versão, o mais vulnerabilidades é provável que contêm.
  • Desativar registrar Globals
Isto ajudará a prevenir contra eventuais problemas na XSS third-party scripts.
  • Use senhas fortes para admin e professores
Escolhendo "difícil" passwords é uma prática básicas de segurança para proteger contra a "força bruta" cracking de contas.
  • Somente professor dar contas a usuários confiáveis. Evitar a criação de sandboxes público com livre professor contas sobre a produção servidores.
Professores contas têm muito livre permissões e é mais fácil de criar situações em que os dados podem ser violados ou roubado.
  • Separe os seus sistemas, tanto quanto possível,
Outra básicas de segurança técnica é usar senhas diferentes em diferentes sistemas, utilização de máquinas diferentes para diferentes serviços e assim por diante. Isto irá prevenir danos generalizados, mesmo sendo uma conta ou um servidor está comprometida.

Run actualizações regulares

  • Use sistemas de atualização automática
  • Windows Update
  • Linux: up2date, yum, apt-get
Considere automatizar atualizações com um script programado via cron
  • Mac OSX atualizar sistema
  • Fique atualizado com php, apache, e moodle

Use mailing lists para manter-se atualizado

Firewalls

  • Segurança especialistas recomendam uma dupla firewall
Diferentes hardware / software combinações
  • A desativação de serviços não utilizados freqüentemente é tão eficaz como um firewall
Use netstat-a para rever rede aberta portos
  • Não é uma garantia de protecção
  • Permitir portos
80, 443 (ssl), e 9111 (para conversar),
Admin remota: ssh 22 3389

Senha política

((1,9)) Em Moodle Moodle 1.9 a partir de uma senha política pode ser configurado viaAdministração> Segurança> Site políticas .

Há uma caixa para determinar se senha complexidade deve ser aplicada ou não, a opção de definir a duração mínima da senha, o número mínimo de dígitos, o número mínimo de caracteres minúsculos, o número mínimo de caracteres maiúsculos e do número mínimo Da não caracteres alfanuméricos.

Se o usuário digitar uma senha que não preenche os requisitos, que são dada uma mensagem de erro indicando a natureza do problema com a senha entrou.

Fazer valer senha complexidade junto com os usuários exigindo a alterar a sua senha inicial percorrer um longo caminho em ajudar a garantir que os usuários escolhem e são, de facto, usando "boas senhas".

Esteja preparado para o pior

Moodle alertas de segurança

  • Registre seu site com Moodle.org
Usuários registrados receber alertas e-mail

Miscellaneous considerações

Essas são todas as coisas que você pode considerar que seu impacto global de segurança:

  • Desligue opentogoogle, esp para K12 sites
  • Use SSL, httpslogins = yes
  • Guest Desativar acesso
  • Place matrícula chaves em todos os cursos
  • Use boas senhas (Moodle para 1,9 em diante, configurar uma senha política)
  • Use o seguro formas configuração
  • Definir o usuário mysql root password
  • Desligue mysql acesso à rede

Mais segura / paranóico arquivo permissões

Assumindo que você está executando esta em um servidor fechados (isto é, qualquer usuário logins permitidos na máquina) e raiz que cuida das alterações ao código tanto moodle e moodle config (config.php), então esse é o mais apertado permissões posso pensar De:

1. Moodledata diretório e todo o seu conteúdo (e subdirs, inclui sessões):

 Proprietário: apache user (apache, httpd, www-data, qualquer que seja)
 Grupo: grupo apache (apache, httpd, www-data, qualquer que seja)
 Perms: 700 em diretórios, 600 em arquivos

2. Moodle diretório e todo o seu conteúdo e subdirs (incluindo config.php):

 Proprietário: raiz
 Group: root
 Perms: 755 em diretórios, 644 nos arquivos.

Se você permitir local logins e, em seguida, 2. Deve ser:

 Proprietário: raiz
 Grupo: Apache grupo
 Perms: 750 em diretórios, 640 em arquivos

Pense destas permissões como o mais paranóico. Pode ser suficientemente seguras com menos permissões mais rigorosa, tanto em moodledata e moodle diretórios (e subdiretórios).

Ver também

Categoria: Administrador