Zum Inhalt springen

Moodle/Sicherheit: Unterschied zwischen den Versionen

Aus Foxwiki
Versionsgeschichte interaktiv durchsuchen
← Zum vorherigen Versionsunterschied
VisuellWikitext
K Textersetzung - „z. B. “ durch „beispielsweise “
 
(47 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
'''Moodle/Sicherheit''' - Wichtige Sicherheitsmaßnahmen für eine Moodle-Installation
'''Moodle/Sicherheit''' - Sicherheitsmaßnahmen für eine Moodle-Installation
 
== Beschreibung ==
== Beschreibung ==
Nutzer von Moodle, die ihr System haben registrieren lassen, erhalten sicherheitsrelevante Informationen automatisch und vorab.
== Registrierung ==
* Damit haben sie die Möglichkeit, ihr System zu aktualisieren.
* Informationen hierzu werden in den ''Security Announcements'' veröffentlicht.
* Die Meldung von Sicherheitsproblemen erfolgt im [[Bugtracker|Tracker]].
* Sofern Einträge als „Serious security issue“ gekennzeichnet werden, werden sie nicht veröffentlicht, bevor das „security team“ diese geprüft hat.
 
== Einführung ==
; Melden von Sicherheitsproblemen im Moodle-Tracker
<blockquote>
Als Sicherheitsproblem markieren
</blockquote>
 
; Keine Exploits veröffentlichen
<blockquote>
<blockquote>
Schutz von Installationen, die nicht auf dem aktuellen Stand sind
Nutzer von Moodle, die ihr System haben registrieren lassen, erhalten sicherheitsrelevante Informationen automatisch und vorab
* Damit haben sie die Möglichkeit, ihr System zu aktualisieren
* Informationen hierzu werden in den ''Security Announcements'' veröffentlicht
</blockquote>
</blockquote>


== Einfache Sicherheitsmaßnahmen ==
== Erste Sicherheitsmaßnahmen ==
; Backup
{| class="wikitable options"
Die beste Sicherheitsstrategie ist ein gutes Backup!  
| Backup || Die beste Sicherheitsstrategie ist ein gutes Backup!
* Aber Sie haben kein gutes Backup, wenn Sie es nicht wiederherstellen können. Testen Sie Ihre Wiederherstellungsverfahren!
* Aber Sie haben kein gutes Backup, wenn Sie es nicht wiederherstellen können
* Testen Sie Ihre Wiederherstellungsverfahren!
|-
| Dienste || Laden Sie nur Software oder Dienste, die Sie verwenden werden
|-
| Updates || Führen Sie regelmäßige Updates durch
|-
| Informationen ||
|}


; Dienste
== Empfehlungen ==
Laden Sie nur Software oder Dienste, die Sie verwenden werden
{| class="wikitable options"
|-
| Aktualisieren || Sie Moodle regelmäßig bei jeder Veröffentlichung
* Veröffentlichte Sicherheitslücken ziehen nach der Veröffentlichung die Aufmerksamkeit von Crackern auf sich
* Je älter die Version, desto mehr Schwachstellen enthält sie wahrscheinlich
|-
| [[HTTPS]] verwenden || Um alle Seiten (nicht nur die Anmeldeseite) zu sichern
* Schützen Sie den gesamten Datenverkehr von Ihrer Moodle-Instanz und Ihren Benutzern, indem Sie alle Seiten nur über https zugänglich machen
* Dies schützt nicht nur die Passwörter bei der Anmeldung, sondern gewährleistet auch die Privatsphäre Ihrer Benutzer, sodass alle Benutzerdaten nicht von Dritten, wie beispielsweise WLAN-Anbietern, abgefangen oder manipuliert werden können ("Ad Injection")
* Kostenlose https-Zertifikate sind unter <nowiki>https://letsencrypt.org/</nowiki> erhältlich
* Setzen Sie außerdem httpslogin=yes in Ihrer Moodle-Konfiguration, um eine zusätzliche Schutzebene für die Übermittlung von Anmeldedaten hinzuzufügen
|-
| Register globals || '''MÜSSEN''' deaktiviert werden
* Dies hilft, mögliche XSS-Probleme in Skripten von Drittanbietern zu verhindern
|-
| Security Overview Report || Führen Sie den Security Overview Report aus
* Dieser identifiziert verschiedene Konfigurationen innerhalb Ihrer Moodle-Website, die ein Sicherheitsrisiko darstellen können
* Daher sollten alle in diesem Bericht angesprochenen Probleme untersucht und gegebenenfalls Maßnahmen ergriffen werden
|-
| Sichere Passwörter || Verwenden Sie sichere Passwörter für Administratoren und Lehrkräfte
*  Die Wahl "schwieriger" Passwörter ist eine grundlegende Sicherheitsmaßnahme zum Schutz vor "Brute-Force"-Angriffen auf Konten
|-
| Lehrerkonten || Geben Sie Lehrerkonten nur an vertrauenswürdige Benutzer weiter
* Vermeiden Sie die Erstellung öffentlicher Sandkästen mit kostenlosen Lehrerkonten auf Produktionsservern || Lehrerkonten haben viel liberalere Berechtigungen und es ist einfacher, Situationen zu schaffen, in denen Daten missbraucht oder gestohlen werden können
|-
| Systemtrennung || Trennen Sie Ihre Systeme so weit wie möglich
*  Eine weitere grundlegende Sicherheitstechnik besteht darin, unterschiedliche Passwörter auf verschiedenen Systemen zu verwenden, unterschiedliche Maschinen für unterschiedliche Dienste zu verwenden und so weiter
* Dadurch wird verhindert, dass sich Schäden ausbreiten, selbst wenn ein Konto oder ein Server kompromittiert wird
|}


; Updates
{| class="wikitable options"
* Führen Sie regelmäßige Updates durch
! Option !! Beschreibung
 
|-
== Grundlegende Empfehlungen ==
| [[Sichere Formulare]] || Verwenden Sie die Einstellung [[Sichere Formulare]]
 
|-
; Aktualisieren Sie Moodle regelmäßig bei jeder Veröffentlichung
| [[mysql/root]] || Legen Sie immer ein mysql-Root-Benutzerkennwort fest
: Veröffentlichte Sicherheitslücken ziehen nach der Veröffentlichung die Aufmerksamkeit von Crackern auf sich. Je älter die Version, desto mehr Schwachstellen enthält sie wahrscheinlich.
|-
; Verwenden Sie https, um alle Seiten (nicht nur die Anmeldeseite) zu sichern
| [[mysql-Netzwerkzugriff]] ||Deaktivieren Sie den mysql-Netzwerkzugriff
: Schützen Sie den gesamten Datenverkehr von Ihrer Moodle-Instanz und Ihren Benutzern, indem Sie alle Seiten nur über https zugänglich machen. Dies schützt nicht nur die Passwörter bei der Anmeldung, sondern gewährleistet auch die Privatsphäre Ihrer Benutzer, sodass alle Benutzerdaten nicht von Dritten, wie z. B. WLAN-Anbietern, abgefangen oder manipuliert werden können („Ad Injection“). Kostenlose https-Zertifikate sind unter <nowiki>https://letsencrypt.org/</nowiki> erhältlich. Setzen Sie außerdem httpslogin=yes in Ihrer Moodle-Konfiguration, um eine zusätzliche Schutzebene für die Übermittlung von Anmeldedaten hinzuzufügen.
|-
; Register globals '''MÜSSEN''' deaktiviert werden
| [[SSL]] || Verwenden Sie SSL, httpslogins=yes
: Dies hilft, mögliche XSS-Probleme in Skripten von Drittanbietern zu verhindern.
|-
; Führen Sie den Security Overview Report aus
| [[Passwörter]] || Verwenden Sie gute Passwörter, Passwortrichtlinie einrichten (Einstellungen > Website-Administration > Sicherheit > Website-Richtlinien''
: Dieser identifiziert verschiedene Konfigurationen innerhalb Ihrer Moodle-Website, die ein Sicherheitsrisiko darstellen können. Daher sollten alle in diesem Bericht angesprochenen Probleme untersucht und gegebenenfalls Maßnahmen ergriffen werden.
|-
; Verwenden Sie sichere Passwörter für Administratoren und Lehrkräfte
| [[opentowebcrawlers]] ||Aktivieren Sie nicht die Einstellung ''opentowebcrawlers'' (unter ''Einstellungen > Website-Administration > Sicherheit > Website-Richtlinien'')
: Die Wahl „schwieriger“ Passwörter ist eine grundlegende Sicherheitsmaßnahme zum Schutz vor „Brute-Force“-Angriffen auf Konten.
|-
; Geben Sie Lehrerkonten nur an vertrauenswürdige Benutzer weiter. Vermeiden Sie die Erstellung öffentlicher Sandkästen mit kostenlosen Lehrerkonten auf Produktionsservern.
| [[Gastzugriff]] || Deaktivieren Sie den Gastzugriff
: Lehrerkonten haben viel liberalere Berechtigungen und es ist einfacher, Situationen zu schaffen, in denen Daten missbraucht oder gestohlen werden können.
|-
; Trennen Sie Ihre Systeme so weit wie möglich
| Registrierungsschlüssel || Fügen Sie Registrierungsschlüssel zu allen Kursen hinzu oder setzen Sie Kursregistrierung = Nein für alle Kurse
: Eine weitere grundlegende Sicherheitstechnik besteht darin, unterschiedliche Passwörter auf verschiedenen Systemen zu verwenden, unterschiedliche Maschinen für unterschiedliche Dienste zu verwenden und so weiter. Dadurch wird verhindert, dass sich Schäden ausbreiten, selbst wenn ein Konto oder ein Server kompromittiert wird.
* Stellen Sie sicher, dass der Registrierungsschlüssel-Hinweis unter ''Administration > Site-Administration > Plugins > Registrierung > Selbstregistrierung deaktiviert ist (was standardmäßig der Fall ist).''
 
|}
== Regelmäßige Updates ==
Verwenden Sie automatische Updatesysteme
* Windows Update
* Linux: up2date, yum, apt-get
 
Erwägen Sie die Automatisierung von Updates mit einem über cron geplanten Skript
 
Bleiben Sie auf dem neuesten Stand bei PHP, Apache und Moodle
 
== Verwenden Sie Mailinglisten, um auf dem Laufenden zu bleiben ==
 
* CISA-Empfehlungen zur Internetsicherheit – <nowiki>https://www.cisa.gov/news-events/cybersecurity-advisories</nowiki>
* PHP - <nowiki>http://www.php.net/mailing-lists.php</nowiki> - Tragen Sie sich in die Ankündigungsliste ein
* MySQL - <nowiki>http://lists.mysql.com</nowiki> - Tragen Sie sich in die MySQL-Ankündigungsliste ein
 
== Firewalls ==
 
* Sicherheitsexperten empfehlen eine doppelte Firewall
 
: Unterschiedliche Hardware-/Software-Kombinationen
 
* Die Deaktivierung nicht verwendeter Dienste ist oft genauso effektiv wie eine Firewall
 
: Verwenden Sie netstat -a, um offene Netzwerkports zu überprüfen
 
* Keine Garantie für Schutz
* Ports zulassen
 
: 80, 443 (ssl) und 9111 (für Chat),
: Remote-Admin: ssh 22 oder rdp 3389
 
== Passwortrichtlinie ==
Eine Passwortrichtlinie kann unter ''Einstellungen > Website-Verwaltung > Sicherheit > Website-Richtlinien'' eingerichtet werden.
 
Es gibt ein Kontrollkästchen, mit dem festgelegt werden kann, ob die Kennwortkomplexität erzwungen werden soll oder nicht, sowie die Option, die Mindestlänge des Kennworts, die Mindestanzahl der Ziffern, die Mindestanzahl der Kleinbuchstaben, die Mindestanzahl der Großbuchstaben und die Mindestanzahl der nicht alphanumerischen Zeichen festzulegen.
 
Wenn ein Benutzer ein Kennwort eingibt, das diese Anforderungen nicht erfüllt, wird eine Fehlermeldung angezeigt, in der die Art des Problems mit dem eingegebenen Kennwort angegeben wird.
 
Die Durchsetzung der Passwortkomplexität und die Verpflichtung der Benutzer, ihr anfängliches Passwort zu ändern, tragen wesentlich dazu bei, dass Benutzer „gute Passwörter“ wählen und tatsächlich verwenden.
 
Wenn die Überprüfung jedoch zu aufwendig ist, schreiben sie das Passwort einfach auf. Seien Sie also realistisch.
 
== Seien Sie auf das Schlimmste vorbereitet ==
 
* Halten Sie Backups bereit
* Üben Sie Wiederherstellungsverfahren im Voraus
* Verwenden Sie regelmäßig einen Rootkit-Detektor
** Linux/MacOSX - <nowiki>http://www.chkrootkit.org/</nowiki>
** Windows - <nowiki>http://technet.microsoft.com/en-en/sysinternals/bb897445.aspx</nowiki> und <nowiki>http://technet.microsoft.com/de-de/sysinternals/bb897445.aspx</nowiki>


== Moodle-Sicherheitswarnungen ==
== Mailinglisten==
Verwenden Sie Mailinglisten, um auf dem Laufenden zu bleiben
{| class="wikitable options"
| CISA-Empfehlungen ||  zur Internetsicherheit: https://www.cisa.gov/news-events/cybersecurity-advisories
|-
| PHP || https://www.php.net/mailing-lists.php
* Tragen Sie sich in die Ankündigungsliste ein
|-
| MySQL || https://lists.mysql.com
* Tragen Sie sich in die MySQL-Ankündigungsliste ein
|}


== Sicherheitswarnungen ==
; Moodle-Sicherheitswarnungen
* Registrieren Sie Ihre Website bei Moodle.org
* Registrieren Sie Ihre Website bei Moodle.org
: Registrierte Benutzer erhalten E-Mail-Benachrichtigungen
: Registrierte Benutzer erhalten E-Mail-Benachrichtigungen
* Sicherheitswarnungen werden auch online veröffentlicht
* Sicherheitswarnungen werden auch online veröffentlicht
* Web - <nowiki>http://moodle.org/security</nowiki>
* Web - <nowiki>https://moodle.org/security</nowiki>
* RSS-Feed - <nowiki>http://moodle.org/rss/file.php/1/1/forum/996/rss.xml</nowiki>
* RSS-Feed - <nowiki>https://moodle.org/rss/file.php/1/1/forum/996/rss.xml</nowiki>
 
== Verschiedene Überlegungen ==
Dies sind alles Dinge, die Sie in Betracht ziehen sollten und die sich auf Ihre allgemeine Sicherheit auswirken:
 
* Verwenden Sie die Einstellung „Sichere Formulare“
* Legen Sie immer ein mysql-Root-Benutzerkennwort fest
* Deaktivieren Sie den mysql-Netzwerkzugriff
* Verwenden Sie SSL, httpslogins=yes
* Verwenden Sie gute Passwörter – richten Sie eine Passwortrichtlinie unter ''Einstellungen > Website-Administration > Sicherheit > Website-Richtlinien'' ein
* Aktivieren Sie nicht die Einstellung ''opentowebcrawlers'' (unter ''Einstellungen > Website-Administration > Sicherheit > Website-Richtlinien'')
* Deaktivieren Sie den Gastzugriff
* Fügen Sie Registrierungsschlüssel zu allen Kursen hinzu oder setzen Sie Kursregistrierung = Nein für alle Kurse
* Stellen Sie sicher, dass der Registrierungsschlüssel-Hinweis unter ''Administration > Site-Administration > Plugins > Registrierung > Selbstregistrierung deaktiviert ist (was standardmäßig der Fall ist).''


== Anhang ==
== Anhang ==
=== Siehe auch ===
=== Siehe auch ===
{{Special:PrefixIndex/{{BASEPAGENAME}}}}
{{Special:PrefixIndex/{{BASEPAGENAME}}/}}
==== Links ====
=== Links ===
===== Weblinks =====
==== Weblinks ====
# https://docs.moodle.org/405/en/Security_recommendations
# https://docs.moodle.org/405/en/Security_recommendations


Aktuelle Version vom 28. April 2025, 10:36 Uhr

Moodle/Sicherheit - Sicherheitsmaßnahmen für eine Moodle-Installation

Beschreibung

Registrierung

Nutzer von Moodle, die ihr System haben registrieren lassen, erhalten sicherheitsrelevante Informationen automatisch und vorab

  • Damit haben sie die Möglichkeit, ihr System zu aktualisieren
  • Informationen hierzu werden in den Security Announcements veröffentlicht

Erste Sicherheitsmaßnahmen

Backup Die beste Sicherheitsstrategie ist ein gutes Backup!
  • Aber Sie haben kein gutes Backup, wenn Sie es nicht wiederherstellen können
  • Testen Sie Ihre Wiederherstellungsverfahren!
Dienste Laden Sie nur Software oder Dienste, die Sie verwenden werden
Updates Führen Sie regelmäßige Updates durch
Informationen

Empfehlungen

Aktualisieren Sie Moodle regelmäßig bei jeder Veröffentlichung
  • Veröffentlichte Sicherheitslücken ziehen nach der Veröffentlichung die Aufmerksamkeit von Crackern auf sich
  • Je älter die Version, desto mehr Schwachstellen enthält sie wahrscheinlich
HTTPS verwenden Um alle Seiten (nicht nur die Anmeldeseite) zu sichern
  • Schützen Sie den gesamten Datenverkehr von Ihrer Moodle-Instanz und Ihren Benutzern, indem Sie alle Seiten nur über https zugänglich machen
  • Dies schützt nicht nur die Passwörter bei der Anmeldung, sondern gewährleistet auch die Privatsphäre Ihrer Benutzer, sodass alle Benutzerdaten nicht von Dritten, wie beispielsweise WLAN-Anbietern, abgefangen oder manipuliert werden können ("Ad Injection")
  • Kostenlose https-Zertifikate sind unter https://letsencrypt.org/ erhältlich
  • Setzen Sie außerdem httpslogin=yes in Ihrer Moodle-Konfiguration, um eine zusätzliche Schutzebene für die Übermittlung von Anmeldedaten hinzuzufügen
Register globals MÜSSEN deaktiviert werden
  • Dies hilft, mögliche XSS-Probleme in Skripten von Drittanbietern zu verhindern
Security Overview Report Führen Sie den Security Overview Report aus
  • Dieser identifiziert verschiedene Konfigurationen innerhalb Ihrer Moodle-Website, die ein Sicherheitsrisiko darstellen können
  • Daher sollten alle in diesem Bericht angesprochenen Probleme untersucht und gegebenenfalls Maßnahmen ergriffen werden
Sichere Passwörter Verwenden Sie sichere Passwörter für Administratoren und Lehrkräfte
  • Die Wahl "schwieriger" Passwörter ist eine grundlegende Sicherheitsmaßnahme zum Schutz vor "Brute-Force"-Angriffen auf Konten
Lehrerkonten Geben Sie Lehrerkonten nur an vertrauenswürdige Benutzer weiter
  • Vermeiden Sie die Erstellung öffentlicher Sandkästen mit kostenlosen Lehrerkonten auf Produktionsservern || Lehrerkonten haben viel liberalere Berechtigungen und es ist einfacher, Situationen zu schaffen, in denen Daten missbraucht oder gestohlen werden können
Systemtrennung Trennen Sie Ihre Systeme so weit wie möglich
  • Eine weitere grundlegende Sicherheitstechnik besteht darin, unterschiedliche Passwörter auf verschiedenen Systemen zu verwenden, unterschiedliche Maschinen für unterschiedliche Dienste zu verwenden und so weiter
  • Dadurch wird verhindert, dass sich Schäden ausbreiten, selbst wenn ein Konto oder ein Server kompromittiert wird
Option Beschreibung
Sichere Formulare Verwenden Sie die Einstellung Sichere Formulare
mysql/root Legen Sie immer ein mysql-Root-Benutzerkennwort fest
mysql-Netzwerkzugriff Deaktivieren Sie den mysql-Netzwerkzugriff
SSL Verwenden Sie SSL, httpslogins=yes
Passwörter Verwenden Sie gute Passwörter, Passwortrichtlinie einrichten (Einstellungen > Website-Administration > Sicherheit > Website-Richtlinien
opentowebcrawlers Aktivieren Sie nicht die Einstellung opentowebcrawlers (unter Einstellungen > Website-Administration > Sicherheit > Website-Richtlinien)
Gastzugriff Deaktivieren Sie den Gastzugriff
Registrierungsschlüssel Fügen Sie Registrierungsschlüssel zu allen Kursen hinzu oder setzen Sie Kursregistrierung = Nein für alle Kurse
  • Stellen Sie sicher, dass der Registrierungsschlüssel-Hinweis unter Administration > Site-Administration > Plugins > Registrierung > Selbstregistrierung deaktiviert ist (was standardmäßig der Fall ist).

Mailinglisten

Verwenden Sie Mailinglisten, um auf dem Laufenden zu bleiben

CISA-Empfehlungen zur Internetsicherheit: https://www.cisa.gov/news-events/cybersecurity-advisories
PHP https://www.php.net/mailing-lists.php
  • Tragen Sie sich in die Ankündigungsliste ein
MySQL https://lists.mysql.com
  • Tragen Sie sich in die MySQL-Ankündigungsliste ein

Sicherheitswarnungen

Moodle-Sicherheitswarnungen
  • Registrieren Sie Ihre Website bei Moodle.org
Registrierte Benutzer erhalten E-Mail-Benachrichtigungen
  • Sicherheitswarnungen werden auch online veröffentlicht
  • Web - https://moodle.org/security
  • RSS-Feed - https://moodle.org/rss/file.php/1/1/forum/996/rss.xml

Anhang

Siehe auch

Links

Weblinks

  1. https://docs.moodle.org/405/en/Security_recommendations


Abgerufen von „https://wiki.foxtom.de/index.php?title=Moodle/Sicherheit&oldid=139199