Segurança

From MoodleDocs
The printable version is no longer supported and may have rendering errors. Please update your browser bookmarks and please use the default browser print function instead.

Todas as aplicações web software é muito complexo, e cada aplicação tem as questões de segurança que são encontrados ao longo do tempo, geralmente envolvendo uma combinação de entrada que os programadores não antecipar. O Moodle projeto leva segurança a sério, e está constantemente melhorando Moodle para fechar esses buracos como nós encontrá-los.


Introdução

  • Esta página contém importantes medidas de segurança para a sua instalação Moodle.
  • Você deve relatar problemas de segurança diretamente no http://security.moodle.org - porque desenvolvedores podem ignorar-lo em outro lugar, e que eles não devem ser liberados para grande público até que sejam resolvidos (para evitar ataques).
  • Você não deve publicar real explora no tracker ou fóruns, para exactamente pelas mesmas razões.

Simple medidas de segurança

  • A melhor estratégia de segurança é um bom backup! Mas você não tem um bom backup não ser que você tenha a possibilidade de restaurá-lo. Teste seu restabelecimento procedimentos!
  • Coloque apenas software ou serviços que você usará
  • Execute actualizações regulares
  • Modelo sua segurança após a camadas de roupas que veste em um dia frio no inverno

Basic recomendações

  • Atualização Moodle regularmente em cada liberação
Publicado segurança buracos crackers chamar atenção após liberação. Os mais velhos a versão, o mais vulnerabilidades é provável que contêm.
  • Desativar registrar Globals
Isto ajudará a prevenir contra eventuais problemas na XSS third-party scripts.
  • Use senhas fortes para admin e professores
Escolhendo "difícil" passwords é uma prática básicas de segurança para proteger contra a "força bruta" cracking de contas.
  • Somente professor dar contas a usuários confiáveis. Evitar a criação de sandboxes público com livre professor contas sobre a produção servidores.
Professores contas têm muito livre permissões e é mais fácil de criar situações em que os dados podem ser violados ou roubado.
  • Separe os seus sistemas, tanto quanto possível,
Outra básicas de segurança técnica é usar senhas diferentes em diferentes sistemas, utilização de máquinas diferentes para diferentes serviços e assim por diante. Isto irá prevenir danos generalizados, mesmo sendo uma conta ou um servidor está comprometida.

Run actualizações regulares

  • Use sistemas de atualização automática
  • Windows Update
  • Linux: up2date, yum, apt-get
Considere automatizar atualizações com um script programado via cron
  • Mac OSX atualizar sistema
  • Fique atualizado com php, apache, e moodle

Use mailing lists para manter-se atualizado

Firewalls

  • Segurança especialistas recomendam uma dupla firewall
Diferentes hardware / software combinações
  • A desativação de serviços não utilizados freqüentemente é tão eficaz como um firewall
Use netstat-a para rever rede aberta portos
  • Não é uma garantia de protecção
  • Permitir portos
80, 443 (ssl), e 9111 (para conversar),
Admin remota: ssh 22 3389

Senha política

((1,9)) Em Moodle Moodle 1.9 a partir de uma senha política pode ser configurado viaAdministração> Segurança> Site políticas .

Há uma caixa para determinar se senha complexidade deve ser aplicada ou não, a opção de definir a duração mínima da senha, o número mínimo de dígitos, o número mínimo de caracteres minúsculos, o número mínimo de caracteres maiúsculos e do número mínimo Da não caracteres alfanuméricos.

Se o usuário digitar uma senha que não preenche os requisitos, que são dada uma mensagem de erro indicando a natureza do problema com a senha entrou.

Fazer valer senha complexidade junto com os usuários exigindo a alterar a sua senha inicial percorrer um longo caminho em ajudar a garantir que os usuários escolhem e são, de facto, usando "boas senhas".

Esteja preparado para o pior

Moodle alertas de segurança

  • Registre seu site com Moodle.org
Usuários registrados receber alertas e-mail

Miscellaneous considerações

Essas são todas as coisas que você pode considerar que seu impacto global de segurança:

  • Desligue opentogoogle, esp para K12 sites
  • Use SSL, httpslogins = yes
  • Guest Desativar acesso
  • Place matrícula chaves em todos os cursos
  • Use boas senhas (Moodle para 1,9 em diante, configurar uma senha política)
  • Use o seguro formas configuração
  • Definir o usuário mysql root password
  • Desligue mysql acesso à rede

Mais segura / paranóico arquivo permissões

Assumindo que você está executando esta em um servidor fechados (isto é, qualquer usuário logins permitidos na máquina) e raiz que cuida das alterações ao código tanto moodle e moodle config (config.php), então esse é o mais apertado permissões posso pensar De:

1. Moodledata diretório e todo o seu conteúdo (e subdirs, inclui sessões):

 Proprietário: apache user (apache, httpd, www-data, qualquer que seja)
 Grupo: grupo apache (apache, httpd, www-data, qualquer que seja)
 Perms: 700 em diretórios, 600 em arquivos

2. Moodle diretório e todo o seu conteúdo e subdirs (incluindo config.php):

 Proprietário: raiz
 Group: root
 Perms: 755 em diretórios, 644 nos arquivos.

Se você permitir local logins e, em seguida, 2. Deve ser:

 Proprietário: raiz
 Grupo: Apache grupo
 Perms: 750 em diretórios, 640 em arquivos

Pense destas permissões como o mais paranóico. Pode ser suficientemente seguras com menos permissões mais rigorosa, tanto em moodledata e moodle diretórios (e subdiretórios).

Ver também

Categoria: Administrador