Zum Inhalt springen

Moodle/Sicherheit

Aus Foxwiki

Moodle/Sicherheit - Sicherheitsmaßnahmen für eine Moodle-Installation

Beschreibung

Registrierung

Nutzer von Moodle, die ihr System haben registrieren lassen, erhalten sicherheitsrelevante Informationen automatisch und vorab

  • Damit haben sie die Möglichkeit, ihr System zu aktualisieren
  • Informationen hierzu werden in den Security Announcements veröffentlicht

Erste Sicherheitsmaßnahmen

Backup Die beste Sicherheitsstrategie ist ein gutes Backup!
  • Aber Sie haben kein gutes Backup, wenn Sie es nicht wiederherstellen können
  • Testen Sie Ihre Wiederherstellungsverfahren!
Dienste Laden Sie nur Software oder Dienste, die Sie verwenden werden
Updates Führen Sie regelmäßige Updates durch
Informationen

Empfehlungen

Aktualisieren Sie Moodle regelmäßig bei jeder Veröffentlichung
  • Veröffentlichte Sicherheitslücken ziehen nach der Veröffentlichung die Aufmerksamkeit von Crackern auf sich
  • Je älter die Version, desto mehr Schwachstellen enthält sie wahrscheinlich
HTTPS verwenden Um alle Seiten (nicht nur die Anmeldeseite) zu sichern
  • Schützen Sie den gesamten Datenverkehr von Ihrer Moodle-Instanz und Ihren Benutzern, indem Sie alle Seiten nur über https zugänglich machen
  • Dies schützt nicht nur die Passwörter bei der Anmeldung, sondern gewährleistet auch die Privatsphäre Ihrer Benutzer, sodass alle Benutzerdaten nicht von Dritten, wie z. B. WLAN-Anbietern, abgefangen oder manipuliert werden können („Ad Injection“)
  • Kostenlose https-Zertifikate sind unter https://letsencrypt.org/ erhältlich
  • Setzen Sie außerdem httpslogin=yes in Ihrer Moodle-Konfiguration, um eine zusätzliche Schutzebene für die Übermittlung von Anmeldedaten hinzuzufügen
Register globals MÜSSEN deaktiviert werden
  • Dies hilft, mögliche XSS-Probleme in Skripten von Drittanbietern zu verhindern
Security Overview Report Führen Sie den Security Overview Report aus
  • Dieser identifiziert verschiedene Konfigurationen innerhalb Ihrer Moodle-Website, die ein Sicherheitsrisiko darstellen können
  • Daher sollten alle in diesem Bericht angesprochenen Probleme untersucht und gegebenenfalls Maßnahmen ergriffen werden
Sichere Passwörter Verwenden Sie sichere Passwörter für Administratoren und Lehrkräfte
  • Die Wahl „schwieriger“ Passwörter ist eine grundlegende Sicherheitsmaßnahme zum Schutz vor „Brute-Force“-Angriffen auf Konten
Lehrerkonten Geben Sie Lehrerkonten nur an vertrauenswürdige Benutzer weiter
  • Vermeiden Sie die Erstellung öffentlicher Sandkästen mit kostenlosen Lehrerkonten auf Produktionsservern || Lehrerkonten haben viel liberalere Berechtigungen und es ist einfacher, Situationen zu schaffen, in denen Daten missbraucht oder gestohlen werden können
Systemtrennung Trennen Sie Ihre Systeme so weit wie möglich
  • Eine weitere grundlegende Sicherheitstechnik besteht darin, unterschiedliche Passwörter auf verschiedenen Systemen zu verwenden, unterschiedliche Maschinen für unterschiedliche Dienste zu verwenden und so weiter
  • Dadurch wird verhindert, dass sich Schäden ausbreiten, selbst wenn ein Konto oder ein Server kompromittiert wird
Option Beschreibung
Sichere Formulare Verwenden Sie die Einstellung Sichere Formulare
mysql/root Legen Sie immer ein mysql-Root-Benutzerkennwort fest
mysql-Netzwerkzugriff Deaktivieren Sie den mysql-Netzwerkzugriff
SSL Verwenden Sie SSL, httpslogins=yes
Passwörter Verwenden Sie gute Passwörter, Passwortrichtlinie einrichten (Einstellungen > Website-Administration > Sicherheit > Website-Richtlinien
opentowebcrawlers Aktivieren Sie nicht die Einstellung opentowebcrawlers (unter Einstellungen > Website-Administration > Sicherheit > Website-Richtlinien)
Gastzugriff Deaktivieren Sie den Gastzugriff
Registrierungsschlüssel Fügen Sie Registrierungsschlüssel zu allen Kursen hinzu oder setzen Sie Kursregistrierung = Nein für alle Kurse
  • Stellen Sie sicher, dass der Registrierungsschlüssel-Hinweis unter Administration > Site-Administration > Plugins > Registrierung > Selbstregistrierung deaktiviert ist (was standardmäßig der Fall ist).

Mailinglisten

Verwenden Sie Mailinglisten, um auf dem Laufenden zu bleiben

CISA-Empfehlungen zur Internetsicherheit: https://www.cisa.gov/news-events/cybersecurity-advisories
PHP http://www.php.net/mailing-lists.php
  • Tragen Sie sich in die Ankündigungsliste ein
MySQL http://lists.mysql.com
  • Tragen Sie sich in die MySQL-Ankündigungsliste ein

Sicherheitswarnungen

Moodle-Sicherheitswarnungen
  • Registrieren Sie Ihre Website bei Moodle.org
Registrierte Benutzer erhalten E-Mail-Benachrichtigungen
  • Sicherheitswarnungen werden auch online veröffentlicht
  • Web - http://moodle.org/security
  • RSS-Feed - http://moodle.org/rss/file.php/1/1/forum/996/rss.xml

Anhang

Siehe auch

Links

Weblinks
  1. https://docs.moodle.org/405/en/Security_recommendations