Zum Inhalt springen

Moodle/Sicherheit: Unterschied zwischen den Versionen

Aus Foxwiki
Versionsgeschichte interaktiv durchsuchen
← Zum vorherigen Versionsunterschied
VisuellWikitext
Keine Bearbeitungszusammenfassung
K Textersetzung - „z. B. “ durch „beispielsweise “
 
(66 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
== Sicherheit ==
'''Moodle/Sicherheit''' - Sicherheitsmaßnahmen für eine Moodle-Installation
Nutzer von Moodle, die ihr System haben registrieren lassen, erhalten sicherheitsrelevante Informationen automatisch und vorab.
* Damit haben sie die Möglichkeit, ihr System zu aktualisieren.
* Informationen hierzu werden in den ''Security Announcements'' veröffentlicht.
* Die Meldung von Sicherheitsproblemen erfolgt im [[Bugtracker|Tracker]].
* Sofern Einträge als „Serious security issue“ gekennzeichnet werden, werden sie nicht veröffentlicht, bevor das „security team“ diese geprüft hat.


== Beschreibung ==
== Registrierung ==
<blockquote>
Nutzer von Moodle, die ihr System haben registrieren lassen, erhalten sicherheitsrelevante Informationen automatisch und vorab
* Damit haben sie die Möglichkeit, ihr System zu aktualisieren
* Informationen hierzu werden in den ''Security Announcements'' veröffentlicht
</blockquote>
== Erste Sicherheitsmaßnahmen ==
{| class="wikitable options"
| Backup || Die beste Sicherheitsstrategie ist ein gutes Backup!
* Aber Sie haben kein gutes Backup, wenn Sie es nicht wiederherstellen können
* Testen Sie Ihre Wiederherstellungsverfahren!
|-
| Dienste || Laden Sie nur Software oder Dienste, die Sie verwenden werden
|-
| Updates || Führen Sie regelmäßige Updates durch
|-
| Informationen ||
|}
== Empfehlungen ==
{| class="wikitable options"
|-
| Aktualisieren || Sie Moodle regelmäßig bei jeder Veröffentlichung
* Veröffentlichte Sicherheitslücken ziehen nach der Veröffentlichung die Aufmerksamkeit von Crackern auf sich
* Je älter die Version, desto mehr Schwachstellen enthält sie wahrscheinlich
|-
| [[HTTPS]] verwenden || Um alle Seiten (nicht nur die Anmeldeseite) zu sichern
* Schützen Sie den gesamten Datenverkehr von Ihrer Moodle-Instanz und Ihren Benutzern, indem Sie alle Seiten nur über https zugänglich machen
* Dies schützt nicht nur die Passwörter bei der Anmeldung, sondern gewährleistet auch die Privatsphäre Ihrer Benutzer, sodass alle Benutzerdaten nicht von Dritten, wie beispielsweise WLAN-Anbietern, abgefangen oder manipuliert werden können ("Ad Injection")
* Kostenlose https-Zertifikate sind unter <nowiki>https://letsencrypt.org/</nowiki> erhältlich
* Setzen Sie außerdem httpslogin=yes in Ihrer Moodle-Konfiguration, um eine zusätzliche Schutzebene für die Übermittlung von Anmeldedaten hinzuzufügen
|-
| Register globals || '''MÜSSEN''' deaktiviert werden
* Dies hilft, mögliche XSS-Probleme in Skripten von Drittanbietern zu verhindern
|-
| Security Overview Report || Führen Sie den Security Overview Report aus
* Dieser identifiziert verschiedene Konfigurationen innerhalb Ihrer Moodle-Website, die ein Sicherheitsrisiko darstellen können
* Daher sollten alle in diesem Bericht angesprochenen Probleme untersucht und gegebenenfalls Maßnahmen ergriffen werden
|-
| Sichere Passwörter || Verwenden Sie sichere Passwörter für Administratoren und Lehrkräfte
*  Die Wahl "schwieriger" Passwörter ist eine grundlegende Sicherheitsmaßnahme zum Schutz vor "Brute-Force"-Angriffen auf Konten
|-
| Lehrerkonten || Geben Sie Lehrerkonten nur an vertrauenswürdige Benutzer weiter
* Vermeiden Sie die Erstellung öffentlicher Sandkästen mit kostenlosen Lehrerkonten auf Produktionsservern || Lehrerkonten haben viel liberalere Berechtigungen und es ist einfacher, Situationen zu schaffen, in denen Daten missbraucht oder gestohlen werden können
|-
| Systemtrennung || Trennen Sie Ihre Systeme so weit wie möglich
*  Eine weitere grundlegende Sicherheitstechnik besteht darin, unterschiedliche Passwörter auf verschiedenen Systemen zu verwenden, unterschiedliche Maschinen für unterschiedliche Dienste zu verwenden und so weiter
* Dadurch wird verhindert, dass sich Schäden ausbreiten, selbst wenn ein Konto oder ein Server kompromittiert wird
|}
{| class="wikitable options"
! Option !! Beschreibung
|-
| [[Sichere Formulare]] || Verwenden Sie die Einstellung [[Sichere Formulare]]
|-
| [[mysql/root]] || Legen Sie immer ein mysql-Root-Benutzerkennwort fest
|-
| [[mysql-Netzwerkzugriff]] ||Deaktivieren Sie den mysql-Netzwerkzugriff
|-
| [[SSL]] || Verwenden Sie SSL, httpslogins=yes
|-
| [[Passwörter]] || Verwenden Sie gute Passwörter, Passwortrichtlinie einrichten (Einstellungen > Website-Administration > Sicherheit > Website-Richtlinien''
|-
| [[opentowebcrawlers]] ||Aktivieren Sie nicht die Einstellung ''opentowebcrawlers'' (unter ''Einstellungen > Website-Administration > Sicherheit > Website-Richtlinien'')
|-
| [[Gastzugriff]] || Deaktivieren Sie den Gastzugriff
|-
| Registrierungsschlüssel || Fügen Sie Registrierungsschlüssel zu allen Kursen hinzu oder setzen Sie Kursregistrierung = Nein für alle Kurse
* Stellen Sie sicher, dass der Registrierungsschlüssel-Hinweis unter ''Administration > Site-Administration > Plugins > Registrierung > Selbstregistrierung deaktiviert ist (was standardmäßig der Fall ist).''
|}
== Mailinglisten==
Verwenden Sie Mailinglisten, um auf dem Laufenden zu bleiben
{| class="wikitable options"
| CISA-Empfehlungen ||  zur Internetsicherheit: https://www.cisa.gov/news-events/cybersecurity-advisories
|-
| PHP || https://www.php.net/mailing-lists.php
* Tragen Sie sich in die Ankündigungsliste ein
|-
| MySQL || https://lists.mysql.com
* Tragen Sie sich in die MySQL-Ankündigungsliste ein
|}
== Sicherheitswarnungen ==
; Moodle-Sicherheitswarnungen
* Registrieren Sie Ihre Website bei Moodle.org
: Registrierte Benutzer erhalten E-Mail-Benachrichtigungen
* Sicherheitswarnungen werden auch online veröffentlicht
* Web - <nowiki>https://moodle.org/security</nowiki>
* RSS-Feed - <nowiki>https://moodle.org/rss/file.php/1/1/forum/996/rss.xml</nowiki>
== Anhang ==
=== Siehe auch ===
{{Special:PrefixIndex/{{BASEPAGENAME}}/}}
=== Links ===
==== Weblinks ====
# https://docs.moodle.org/405/en/Security_recommendations


[[Kategorie:Moodle]]
[[Kategorie:Moodle]]
</noinclude>

Aktuelle Version vom 28. April 2025, 10:36 Uhr

Moodle/Sicherheit - Sicherheitsmaßnahmen für eine Moodle-Installation

Beschreibung

Registrierung

Nutzer von Moodle, die ihr System haben registrieren lassen, erhalten sicherheitsrelevante Informationen automatisch und vorab

  • Damit haben sie die Möglichkeit, ihr System zu aktualisieren
  • Informationen hierzu werden in den Security Announcements veröffentlicht

Erste Sicherheitsmaßnahmen

Backup Die beste Sicherheitsstrategie ist ein gutes Backup!
  • Aber Sie haben kein gutes Backup, wenn Sie es nicht wiederherstellen können
  • Testen Sie Ihre Wiederherstellungsverfahren!
Dienste Laden Sie nur Software oder Dienste, die Sie verwenden werden
Updates Führen Sie regelmäßige Updates durch
Informationen

Empfehlungen

Aktualisieren Sie Moodle regelmäßig bei jeder Veröffentlichung
  • Veröffentlichte Sicherheitslücken ziehen nach der Veröffentlichung die Aufmerksamkeit von Crackern auf sich
  • Je älter die Version, desto mehr Schwachstellen enthält sie wahrscheinlich
HTTPS verwenden Um alle Seiten (nicht nur die Anmeldeseite) zu sichern
  • Schützen Sie den gesamten Datenverkehr von Ihrer Moodle-Instanz und Ihren Benutzern, indem Sie alle Seiten nur über https zugänglich machen
  • Dies schützt nicht nur die Passwörter bei der Anmeldung, sondern gewährleistet auch die Privatsphäre Ihrer Benutzer, sodass alle Benutzerdaten nicht von Dritten, wie beispielsweise WLAN-Anbietern, abgefangen oder manipuliert werden können ("Ad Injection")
  • Kostenlose https-Zertifikate sind unter https://letsencrypt.org/ erhältlich
  • Setzen Sie außerdem httpslogin=yes in Ihrer Moodle-Konfiguration, um eine zusätzliche Schutzebene für die Übermittlung von Anmeldedaten hinzuzufügen
Register globals MÜSSEN deaktiviert werden
  • Dies hilft, mögliche XSS-Probleme in Skripten von Drittanbietern zu verhindern
Security Overview Report Führen Sie den Security Overview Report aus
  • Dieser identifiziert verschiedene Konfigurationen innerhalb Ihrer Moodle-Website, die ein Sicherheitsrisiko darstellen können
  • Daher sollten alle in diesem Bericht angesprochenen Probleme untersucht und gegebenenfalls Maßnahmen ergriffen werden
Sichere Passwörter Verwenden Sie sichere Passwörter für Administratoren und Lehrkräfte
  • Die Wahl "schwieriger" Passwörter ist eine grundlegende Sicherheitsmaßnahme zum Schutz vor "Brute-Force"-Angriffen auf Konten
Lehrerkonten Geben Sie Lehrerkonten nur an vertrauenswürdige Benutzer weiter
  • Vermeiden Sie die Erstellung öffentlicher Sandkästen mit kostenlosen Lehrerkonten auf Produktionsservern || Lehrerkonten haben viel liberalere Berechtigungen und es ist einfacher, Situationen zu schaffen, in denen Daten missbraucht oder gestohlen werden können
Systemtrennung Trennen Sie Ihre Systeme so weit wie möglich
  • Eine weitere grundlegende Sicherheitstechnik besteht darin, unterschiedliche Passwörter auf verschiedenen Systemen zu verwenden, unterschiedliche Maschinen für unterschiedliche Dienste zu verwenden und so weiter
  • Dadurch wird verhindert, dass sich Schäden ausbreiten, selbst wenn ein Konto oder ein Server kompromittiert wird
Option Beschreibung
Sichere Formulare Verwenden Sie die Einstellung Sichere Formulare
mysql/root Legen Sie immer ein mysql-Root-Benutzerkennwort fest
mysql-Netzwerkzugriff Deaktivieren Sie den mysql-Netzwerkzugriff
SSL Verwenden Sie SSL, httpslogins=yes
Passwörter Verwenden Sie gute Passwörter, Passwortrichtlinie einrichten (Einstellungen > Website-Administration > Sicherheit > Website-Richtlinien
opentowebcrawlers Aktivieren Sie nicht die Einstellung opentowebcrawlers (unter Einstellungen > Website-Administration > Sicherheit > Website-Richtlinien)
Gastzugriff Deaktivieren Sie den Gastzugriff
Registrierungsschlüssel Fügen Sie Registrierungsschlüssel zu allen Kursen hinzu oder setzen Sie Kursregistrierung = Nein für alle Kurse
  • Stellen Sie sicher, dass der Registrierungsschlüssel-Hinweis unter Administration > Site-Administration > Plugins > Registrierung > Selbstregistrierung deaktiviert ist (was standardmäßig der Fall ist).

Mailinglisten

Verwenden Sie Mailinglisten, um auf dem Laufenden zu bleiben

CISA-Empfehlungen zur Internetsicherheit: https://www.cisa.gov/news-events/cybersecurity-advisories
PHP https://www.php.net/mailing-lists.php
  • Tragen Sie sich in die Ankündigungsliste ein
MySQL https://lists.mysql.com
  • Tragen Sie sich in die MySQL-Ankündigungsliste ein

Sicherheitswarnungen

Moodle-Sicherheitswarnungen
  • Registrieren Sie Ihre Website bei Moodle.org
Registrierte Benutzer erhalten E-Mail-Benachrichtigungen
  • Sicherheitswarnungen werden auch online veröffentlicht
  • Web - https://moodle.org/security
  • RSS-Feed - https://moodle.org/rss/file.php/1/1/forum/996/rss.xml

Anhang

Siehe auch

Links

Weblinks

  1. https://docs.moodle.org/405/en/Security_recommendations


Abgerufen von „https://wiki.foxtom.de/index.php?title=Moodle/Sicherheit&oldid=139199