Moodle/Sicherheit/Dateiberechtigungen
Moodle/Sicherheit/Dateiberechtigungen - Sichere Dateiberechtigungen
Beschreibung
Je nach Serverkonfiguration gibt es zwei verschiedene Szenarien
- Sie betreiben Moodle auf Ihrem eigenen dedizierten Server
- Sie betreiben Moodle auf einer gemeinsam genutzten Hosting-Umgebung
In den folgenden Abschnitten müssen Sie das Webdienst-Benutzerkonto und die Webdienst-Gruppe verwenden, um die Berechtigungen festzulegen. Sie müssen diese also kennen. Dies kann von Server zu Server sehr unterschiedlich sein, aber wenn diese Funktion auf Ihrem Server nicht deaktiviert wurde, können Sie zu http://your.moodle.site/admin/phpinfo.php gehen (sich als admin anmelden) und dann in der Tabelle „apache“ nach der Zeile „User/Group“ suchen. Ich erhalte zum Beispiel „www-data“ für das Benutzerkonto und „www-data“ auch für die Gruppe.
Dedizierter Server
- Ausführen von Moodle auf einem dedizierten Server
Angenommen, Sie führen Moodle auf einem versiegelten Server aus (d. h. keine Benutzeranmeldungen auf dem Computer zulässig) und root kümmert sich um die Änderungen sowohl am Moodle-Code als auch an der Moodle-Konfiguration (config.php), dann sind dies die strengsten Berechtigungen, die ich mir vorstellen kann:
1. moodledata-Verzeichnis und alle seine Inhalte (und Unterverzeichnisse, einschließlich Sitzungen):
Besitzer: apache-Benutzer (apache, httpd, www-data, was auch immer; siehe oben) Gruppe: apache-Gruppe (apache, httpd, www-data, was auch immer; siehe oben) Berechtigungen: 700 für Verzeichnisse, 600 für Dateien
2. moodle-Verzeichnis und alle seine Inhalte und Unterverzeichnisse (einschließlich config.php):
Besitzer: root Gruppe: root Berechtigungen: 755 für Verzeichnisse, 644 für Dateien.
Wenn Sie lokale Anmeldungen für reguläre Benutzer zulassen, sollte 2. wie folgt aussehen:
Besitzer: root Gruppe: apache-Gruppe (apache, httpd, www-data, was auch immer; siehe oben) Berechtigungen: 750 für Verzeichnisse, 640 für Dateien.
Diese Berechtigungen sind die strengsten. Mit weniger strengen Berechtigungen können Sie sowohl in den moodledata- als auch in den moodle-Verzeichnissen (und Unterverzeichnissen) ausreichend sicher sein.
Wenn Sie Moodle auf einer gemeinsam genutzten Hosting-Umgebung betreiben, sind die oben genannten Berechtigungen wahrscheinlich falsch
- Wenn Sie 700 als Berechtigung für Verzeichnisse (und 600 für Dateien) festlegen, verweigern Sie dem Webdienst-Benutzerkonto wahrscheinlich den Zugriff auf Ihre Verzeichnisse und Dateien
Wenn Sie Ihre Berechtigungen so weit wie möglich einschränken möchten, müssen Sie Folgendes wissen
- das Benutzerkonto und die Gruppe, unter denen der Webservice läuft (siehe oben)
- den Eigentümer der Verzeichnisse/Dateien von moodledata und dem moodle-Verzeichnis
- dies sollte normalerweise Ihr Client-Benutzerkonto sein
- die Gruppe der Verzeichnisse/Dateien
Diese Informationen erhalten Sie normalerweise über den Dateimanager Ihres Hosting-Control-Panels
- Gehen Sie zum Moodle-Ordner und wählen Sie ein beliebiges Verzeichnis oder eine Datei aus und versuchen Sie, die Berechtigungen, den Eigentümer und die Gruppe dieser Datei anzuzeigen/zu ändern
- Normalerweise werden die aktuellen Berechtigungen, der Eigentümer und die Gruppe angezeigt
- Führen Sie den gleichen Vorgang für das Verzeichnis „moodle-data“ aus
Verzeichnisse
- moodle-data
Je nach den folgenden Szenarien sollten Sie dann unterschiedliche Berechtigungen (aufgelistet von sicherer bis weniger sicher) für Ihr Verzeichnis „moodle-data“ verwenden
- Wenn das Webdienstkonto und der Eigentümer der Verzeichnisse/Dateien identisch sind, sollten Sie 700 für Verzeichnisse und 600 für Dateien verwenden
- Wenn die Webdienstgruppe und die Gruppe der Verzeichnisse/Dateien identisch sind, sollten Sie 770 für Verzeichnisse und 660 für Dateien verwenden
- Wenn keine der oben genannten Optionen zutrifft, müssen Sie 777 für Verzeichnisse und 666 für Dateien verwenden, was weniger sicher ist, aber Ihre einzige Option darstellt. 707 und 606 wären sicherer, aber je nach Ihrer speziellen Konfiguration kann es funktionieren oder auch nicht
Tatsächlich müssen Sie moodledata nur die oben angegebenen Berechtigungen zuweisen, da alle darin enthaltenen Verzeichnisse und Dateien vom Webservice selbst erstellt werden und über die richtigen Berechtigungen verfügen
- moodle
Was das Moodle-Verzeichnis betrifft, so sollte es ausreichen, solange das Webservice-Benutzerkonto die Dateien lesen und die Verzeichnisse lesen und ausführen kann
- Es ist nicht erforderlich, dem Webservice-Konto/der Webservice-Gruppe Schreibberechtigungen für Dateien oder Unterverzeichnisse zu erteilen
- Der einzige Nachteil ist, dass Sie die Datei config.php während des Installationsprozesses manuell erstellen müssen, da Moodle sie nicht erstellen kann
- Dies sollte jedoch kein großes Problem darstellen
Anhang
Siehe auch
Links
Weblinks