Todas as aplicações web software é muito complexo, e cada aplicação tem as questões de segurança que são encontrados ao longo do tempo, geralmente envolvendo uma combinação de entrada que os programadores não antecipar. O Moodle projeto leva segurança a sério, e está constantemente melhorando Moodle para fechar esses buracos como nós encontrá-los.

Introdução

• Esta página contém importantes medidas de segurança para a sua instalação Moodle.
• Você deve relatar problemas de segurança diretamente no http://security.moodle.org - porque desenvolvedores podem ignorar-lo em outro lugar, e que eles não devem ser liberados para grande público até que sejam resolvidos (para evitar ataques).
• Você não deve publicar real explora no tracker ou fóruns, para exactamente pelas mesmas razões.

Simple medidas de segurança

• A melhor estratégia de segurança é um bom backup! Mas você não tem um bom backup não ser que você tenha a possibilidade de restaurá-lo. Teste seu restabelecimento procedimentos!
• Coloque apenas software ou serviços que você usará
• Execute actualizações regulares
• Modelo sua segurança após a camadas de roupas que veste em um dia frio no inverno

Basic recomendações

• Atualização Moodle regularmente em cada liberação

Publicado segurança buracos crackers chamar atenção após liberação. Os mais velhos a versão, o mais vulnerabilidades é provável que contêm.

• Desativar registrar Globals

Isto ajudará a prevenir contra eventuais problemas na XSS third-party scripts.

• Use senhas fortes para admin e professores

Escolhendo "difícil" passwords é uma prática básicas de segurança para proteger contra a "força bruta" cracking de contas.

• Somente professor dar contas a usuários confiáveis. Evitar a criação de sandboxes público com livre professor contas sobre a produção servidores.

Professores contas têm muito livre permissões e é mais fácil de criar situações em que os dados podem ser violados ou roubado.

• Separe os seus sistemas, tanto quanto possível,

Outra básicas de segurança técnica é usar senhas diferentes em diferentes sistemas, utilização de máquinas diferentes para diferentes serviços e assim por diante. Isto irá prevenir danos generalizados, mesmo sendo uma conta ou um servidor está comprometida.

Run actualizações regulares

• Use sistemas de atualização automática
• Windows Update
• Linux: up2date, yum, apt-get

Considere automatizar atualizações com um script programado via cron

• Mac OSX atualizar sistema
• Fique atualizado com php, apache, e moodle

Use mailing lists para manter-se atualizado

• CERT - http://www.us-cert.gov/cas/signup.html
• PHP - http://www.php.net/mailing-lists.php - inscrever-se para Comunicações lista
• MySQL - http://lists.mysql.com - inscrever-se para o MySQL Anúncios

Firewalls

• Segurança especialistas recomendam uma dupla firewall

Diferentes hardware / software combinações

• A desativação de serviços não utilizados freqüentemente é tão eficaz como um firewall

Use netstat-a para rever rede aberta portos

• Não é uma garantia de protecção
• Permitir portos

80, 443 (ssl), e 9111 (para conversar),

Admin remota: ssh 22 3389

Senha política

((1,9)) Em Moodle Moodle 1.9 a partir de uma senha política pode ser configurado viaAdministração> Segurança> Site políticas .

Há uma caixa para determinar se senha complexidade deve ser aplicada ou não, a opção de definir a duração mínima da senha, o número mínimo de dígitos, o número mínimo de caracteres minúsculos, o número mínimo de caracteres maiúsculos e do número mínimo Da não caracteres alfanuméricos.

Se o usuário digitar uma senha que não preenche os requisitos, que são dada uma mensagem de erro indicando a natureza do problema com a senha entrou.

Fazer valer senha complexidade junto com os usuários exigindo a alterar a sua senha inicial percorrer um longo caminho em ajudar a garantir que os usuários escolhem e são, de facto, usando "boas senhas".

Esteja preparado para o pior

• Tenha backups pronto
• Prática recuperação procedimentos antes do tempo
• Use um rootkit detector numa base regular
  • Linux / MacOSX - http://www.chkrootkit.org/
  • Windows - http://www.sysinternals.com/Utilities/RootkitRevealer.html

Moodle alertas de segurança

• Registre seu site com Moodle.org

Usuários registrados receber alertas e-mail

• Segurança alertas também postada online
• Web - http://security.moodle.org/
• Feed RSS - http://security.moodle.org/rss/file.php/1/1/forum/1/rss.xml

Miscellaneous considerações

Essas são todas as coisas que você pode considerar que seu impacto global de segurança:

• Desligue opentogoogle, esp para K12 sites
• Use SSL, httpslogins = yes
• Guest Desativar acesso
• Place matrícula chaves em todos os cursos
• Use boas senhas (Moodle para 1,9 em diante, configurar uma senha política)
• Use o seguro formas configuração
• Definir o usuário mysql root password
• Desligue mysql acesso à rede

Mais segura / paranóico arquivo permissões

Assumindo que você está executando esta em um servidor fechados (isto é, qualquer usuário logins permitidos na máquina) e raiz que cuida das alterações ao código tanto moodle e moodle config (config.php), então esse é o mais apertado permissões posso pensar De:

1. Moodledata diretório e todo o seu conteúdo (e subdirs, inclui sessões):

 Proprietário: apache user (apache, httpd, www-data, qualquer que seja)
 Grupo: grupo apache (apache, httpd, www-data, qualquer que seja)
 Perms: 700 em diretórios, 600 em arquivos

2. Moodle diretório e todo o seu conteúdo e subdirs (incluindo config.php):

 Proprietário: raiz
 Group: root
 Perms: 755 em diretórios, 644 nos arquivos.

Se você permitir local logins e, em seguida, 2. Deve ser:

 Proprietário: raiz
 Grupo: Apache grupo
 Perms: 750 em diretórios, 640 em arquivos

Pense destas permissões como o mais paranóico. Pode ser suficientemente seguras com menos permissões mais rigorosa, tanto em moodledata e moodle diretórios (e subdiretórios).

Ver também

• Usando Moodle Guide to Securing seu Moodle Server fórum discussão

Categoria: Administrador