Security

Матеріал з Moodle Docs
Перейти до: навігація, пошук
Оригінал: https://docs.moodle.org/31/en/Security

Всі веб-додаткі програмного забезпечення є дуже складним, і кожен додаток має проблеми з безпекою, які знаходяться час від часу,

як правило, за участю деякої комбінації вхідних що програмістів не передбачити.
Проект Moodle відноситься до безпеки серйозно, і постійно вдосконалює Moodle закрити такі отвори, як ми знаходимо їх.


Введення

  • Ця сторінка містить важливі заходи безпеки для вашої установки Moodle.
  • Ви повинні повідомити про проблеми безпеки на Moodle трекер (і позначити його як питання безпеки!), Так що розробники можуть побачити його і повідомити зареєстрованих сайтів Moodle яке фіксує якомога швидше.
  • Ви не повинні розміщувати актуальні уразливості в форумах або в іншому місці в Інтернеті (для захисту Moodle адміністраторів, які ще не оновлені).

Прості заходи безпеки

  • Краща стратегія безпеки є хорошим резервного копіювання! Але у вас немає хорошого резервного копіювання, якщо ви не в змозі відновити його. Перевірте свої процедури відновлення!
  • Не завантажуйте програмне забезпечення або послуги які ви будете використовувати
  • Регулярно оновлюйте
  • Модель вашої безпеки після шарів одягу ви носите на холодний зимовий день

Основні рекомендації

  • Оновлення Moodle регулярно на кожному релізі
Опубліковані діри в безпеці звернути увагу після звільнення. Чим старше версія, тим більше вразливостей це, ймовірно, утримувати.
  • Реєстрація глобальні'повинен' бути відключена!
Це допоможе запобігти від можливих проблем XSS в сторонні скрипти.
  • Використовуйте надійні паролі для адміністратора і вчителів
Вибір «важких» паролей є одним з основних точок зору безпеки для захисту від "грубої сили" рахунків.
  • Тільки дайте рахунки вчителів довіреним користувачам. Уникайте створення громадських пісочниці з безкоштовних акаунтів вчителів на виробничих серверах.
Рахунки учителів є набагато вільніше дозволу і легше створювати ситуації, в яких дані можуть бути жертвами насильства або вкрадених.
  • Розділіть ваші системи якомога більше
Ще одна основна техніка безпеки є використовувати різні паролі на різних системах, використовують різні машини для різних служб і так далі. Це запобіжить пошкодження будучи поширеним, навіть якщо один обліковий запис або один сервер знаходиться під загрозою.

Запуск регулярні оновлення

  • Використання автоматичне оновлення системи
  • Центр оновлення Windows
  • Linux: up2date, yum ,apt-get
Розглянемо автоматизації поновлення зі сценарієм запланованої через хрон
  • Оновлення системи Mac OSX
  • Будьте в курсі PHP, Apache, і Moodle

Використовуйте списки розсилки, щоб залишатися в курсі

Міжмережеві екрани

  • Експерти з безпеки рекомендують подвійну брандмауер
На відміну комбінації апаратного / програмного забезпечення
  • Відключення невикористовуваних служб часто настільки ж ефективним, як брандмауер

Використання NetStat-переглянути відкриті мережеві порти

  • Це не є гарантією захисту
  • Дозволити порти
80, 443 (SSL), і 9111 (для чату),
Віддалене адміністрування: SSH 22 або RDP 3389

Пароль політика

Політика паролів може бути створена в Настройки> Адміністрування сайту> Безпека> політики сайту.

Існує прапорець, щоб визначити чи є складності, пароль повинен бути виконен чи ні, можливість встановити мінімальну довжину пароля, мінімальну кількість цифр, мінімальна кількість символів у нижньому регістрі, мінімальна кількість великих літер і мінімального числа осіб, які не є алфавітно-цифрових символів.

Якщо користувач вводить пароль, який не відповідає цим вимогам, вони отримують повідомлення про помилку з зазначенням характеру проблеми з введенням паролем.

Забезпечення складності пароля разом з вимагаючим користувачем змінювати свої первинні паролі пройти довгий шлях, допомагаючи гарантувати, що користувачі вибирають і насправді з допомогою «хороші паролі".

Однак, роблячи чек занадто обтяжливими просто приводить в них записати його так бути реалістами.

Будьте готові до гіршого

Сповіщення безпеки Moodle

  • Реєстрація вашого сайту з Moodle.org
Зареєстровані користувачі отримують повідомлення по електронній пошті

Різне міркування

Всі ці речі, ви могли б розглянути, які впливають на загальний рівень безпеки:

  • Використовуйте параметр безпечної форми
  • Завжди встановлювати MySQL пароль користувача корінь
  • Вимкніть MySQL доступ до мережі
  • Використовувати SSL, httpslogins = так
  • Використовуйте хороші паролі - налаштувати політику паролів в налаштуваннях> Адміністрація сайту> Безпека> політики сайту
  • Не включайте opentogoogle' настройки (Налаштування> Адміністрація сайту> Безпека> політика сайту)
  • Відключити гостьовий доступ
  • Місце охоплення клавіші на всіх курсах або встановити курс Enrollable = Немає для всіх курсів
  • Переконайтеся, що натяк кодове слово відключена (що це за замовчуванням) в Адміністрування> Адміністрація сайту> Плагіни> Прийом> Самостійна реєстрація.

Найбезпечніший параноїдальні дозволу / файлів

'Примітка: Наступна інформація відноситься до установок на базі Linux / Unix тільки, як система доступу MS Windows досить сильно відрізняється </ U>.

Залежно від вашого сервера налаштованні є два різних сценарії:

  1. Ви працюєте Moodle на вашому власному виділеному сервері.
  2. Ви працюєте Moodle на середовищі віртуального хостингу.

У наступних розділах ви повинні використовувати обліковий запис веб-служби і групу, щоб встановити права доступу, так що ви повинні знати їх. Це може варіюватися зовсім трохи від сервера до сервера, але якщо ця функція не відключена на сервері, ви можете піти в http://your.moodle.site/admin/phpinfo.php (увійти в систему як адміністратор), а потім пошук лінії, яка читає "користувач / група», всередині "Апач" таблиці. Наприклад, я отримую 'WWW-дані' для облікового запису користувача і "WWW-даних» для групи теж.

Запуск Moodle на виділеному сервері

Припускаючи, що ви працюєте в Moodle на запечатаному сервері (тобто без логіну дозволили на машині) і що корінь піклується про модифікації як Moodle коду і Moodle конфігурації (config.php), то це найжорсткіші вимоги я можу думати з:

. 1 Каталог moodledata і весь його вміст (і підкаталогів, включає в себе сесії):

 Власник: Apache користувач (Apache, то цей демон, WWW-даних, що, див. вище)
 Група: Apache Group (Apache, то цей демон, WWW-даних, що, див. вище)
 вимоги: 700 в каталогах, 600 з файлами

2 Moodle каталог і весь його вміст і підкаталогів (у тому числі config.php).:

 Власник: корінь
 Група: корінь
 вимоги: 755 в каталогах, 644 на файли.

. Якщо ви дозволите місцевий логін для звичайних користувачів, то 2 повинно бути:

 Власник: корінь
 Група: Apache Group (Apache, то цей демон, WWW-даних, що, див. вище)
 вимоги: 750 в каталогах, 640 на файли.

Думайте про ці дозволи в якості найбільш параноїдальних них. Ви можете бути в достатній безпеці, з менш жорстких дозволів, як в moodledata і Moodle каталогів (і підкаталогів).

Запуск Moodle на загальному середовищі розміщення

Якщо ви працюєте в Moodle на середовищі віртуального хостингу, то вище дозволу, ймовірно, невірно. Якщо ви встановите 700, як дозволи на каталоги (і 600 для файлів), ви, ймовірно, заперечуючи веб-служби доступ до облікового запису користувача в ваш каталогів і файлів.

Якщо ви хочете напружити дозвіл якомога більше, ви повинні знати:

  1. Обліковий запис користувача і група веб-служба працює під (див. вище).
  2. Власником каталогів / файлів обох moodledata і Moodle каталозі (це зазвичай має бути обліковий запис користувача клієнт), і групи з каталогів / файлів. Зазвичай ви можете отримати цю інформацію з файлового менеджеру панелі управління хостингом. Перейти в Moodle папку і вибрати будь-який каталог або файл і спробі перегляду / змінити права доступу, власника і групу цього файлу. Це, як правило, показують поточні дозволу, власника і групи. Зробіть те ж саме для каталогу moodledata.

Потім, залежно від наступних сценаріїв ви повинні використовувати інший набір дозволу (перераховані від більш безпечно менш безпечним) для каталогу moodledata:

  1. Якщо обліковий запис служби веб і власник з каталогів / файлів те ж саме, ви повинні використовувати 700 для каталогів і 600 файлів.
  2. Якщо група обслуговування веб і група з каталогів / файлів те ж саме, ви повинні використовувати 770 для каталогів і 660 для файлів.
  3. Якщо жоден вище з них, ви не повинні будете використовувати 777 для каталогів і 666 для файлів, що є менш безпечним, але це ваш єдиний вибір. 707 і 606 буде більш безпечним, але це може або не може працювати, залежно від настройки.

Насправді, потрібно просто встановити moodledata дозволів зазначено вище, так як всі каталоги та файли всередині створюються самими веб-службами, і матиме права доступу.

Що стосується Moodle каталозі, за умови, що обліковий запис користувача веб-служби може читати файли плюс читання і виконання каталога, які повинні бути достатньою. Там немає необхідності у видачі дозволу на запис у веб-служби рахунки / групи з будь-якої з файлів або каталогів. Єдиним недоліком є ​​те, що вам потрібно, щоб створити config.php вручну в процесі установки, а Moodle не зможе його створити. Але це не повинно бути великою проблемою.

Див також

Використання Moodle обговорення форуму:

  • [Http :/ / moodle.org / mod / forum / discuss.php? d = 39 404 Керівництво по убезпечили свій сервер Moodle]
  • [Http :/ / moodle.org / mod / forum / discuss.php? d = 93561 Як убезпечити сайт Moodle від злому] включаючи рекомендації з аварійно-відбудовних

Ес: Seguridad Фр: Sécurité