Moodle/Sicherheit: Unterschied zwischen den Versionen
Keine Bearbeitungszusammenfassung |
|||
| Zeile 1: | Zeile 1: | ||
'''Moodle/Sicherheit''' - Wichtige Sicherheitsmaßnahmen für eine Moodle-Installation | '''Moodle/Sicherheit''' - Wichtige Sicherheitsmaßnahmen für eine Moodle-Installation | ||
== Beschreibung == | == Beschreibung == | ||
Nutzer von Moodle, die ihr System haben registrieren lassen, erhalten sicherheitsrelevante Informationen automatisch und vorab | Nutzer von Moodle, die ihr System haben registrieren lassen, erhalten sicherheitsrelevante Informationen automatisch und vorab | ||
* Damit haben sie die Möglichkeit, ihr System zu aktualisieren | * Damit haben sie die Möglichkeit, ihr System zu aktualisieren | ||
* Informationen hierzu werden in den ''Security Announcements'' veröffentlicht | * Informationen hierzu werden in den ''Security Announcements'' veröffentlicht | ||
* Die Meldung von Sicherheitsproblemen erfolgt im [[Bugtracker|Tracker]] | * Die Meldung von Sicherheitsproblemen erfolgt im [[Bugtracker|Tracker]] | ||
* Sofern Einträge als „Serious security issue“ gekennzeichnet werden, werden sie nicht veröffentlicht, bevor das „security team“ diese geprüft hat | * Sofern Einträge als „Serious security issue“ gekennzeichnet werden, werden sie nicht veröffentlicht, bevor das „security team“ diese geprüft hat | ||
== Einführung == | == Einführung == | ||
| Zeile 20: | Zeile 21: | ||
== Einfache Sicherheitsmaßnahmen == | == Einfache Sicherheitsmaßnahmen == | ||
; Backup | ; Backup | ||
Die beste Sicherheitsstrategie ist ein gutes Backup! | Die beste Sicherheitsstrategie ist ein gutes Backup! | ||
* Aber Sie haben kein gutes Backup, wenn Sie es nicht wiederherstellen können | * Aber Sie haben kein gutes Backup, wenn Sie es nicht wiederherstellen können | ||
* Testen Sie Ihre Wiederherstellungsverfahren! | |||
; Dienste | ; Dienste | ||
| Zeile 30: | Zeile 32: | ||
== Grundlegende Empfehlungen == | == Grundlegende Empfehlungen == | ||
; Aktualisieren Sie Moodle regelmäßig bei jeder Veröffentlichung | ; Aktualisieren Sie Moodle regelmäßig bei jeder Veröffentlichung | ||
: Veröffentlichte Sicherheitslücken ziehen nach der Veröffentlichung die Aufmerksamkeit von Crackern auf sich | : Veröffentlichte Sicherheitslücken ziehen nach der Veröffentlichung die Aufmerksamkeit von Crackern auf sich | ||
* Je älter die Version, desto mehr Schwachstellen enthält sie wahrscheinlich | |||
; Verwenden Sie https, um alle Seiten (nicht nur die Anmeldeseite) zu sichern | ; Verwenden Sie https, um alle Seiten (nicht nur die Anmeldeseite) zu sichern | ||
: Schützen Sie den gesamten Datenverkehr von Ihrer Moodle-Instanz und Ihren Benutzern, indem Sie alle Seiten nur über https zugänglich machen | : Schützen Sie den gesamten Datenverkehr von Ihrer Moodle-Instanz und Ihren Benutzern, indem Sie alle Seiten nur über https zugänglich machen | ||
* Dies schützt nicht nur die Passwörter bei der Anmeldung, sondern gewährleistet auch die Privatsphäre Ihrer Benutzer, sodass alle Benutzerdaten nicht von Dritten, wie z. B. WLAN-Anbietern, abgefangen oder manipuliert werden können („Ad Injection“) | |||
* Kostenlose https-Zertifikate sind unter <nowiki>https://letsencrypt.org/</nowiki> erhältlich | |||
* Setzen Sie außerdem httpslogin=yes in Ihrer Moodle-Konfiguration, um eine zusätzliche Schutzebene für die Übermittlung von Anmeldedaten hinzuzufügen | |||
; Register globals '''MÜSSEN''' deaktiviert werden | ; Register globals '''MÜSSEN''' deaktiviert werden | ||
: Dies hilft, mögliche XSS-Probleme in Skripten von Drittanbietern zu verhindern | : Dies hilft, mögliche XSS-Probleme in Skripten von Drittanbietern zu verhindern | ||
; Führen Sie den Security Overview Report aus | ; Führen Sie den Security Overview Report aus | ||
: Dieser identifiziert verschiedene Konfigurationen innerhalb Ihrer Moodle-Website, die ein Sicherheitsrisiko darstellen können | : Dieser identifiziert verschiedene Konfigurationen innerhalb Ihrer Moodle-Website, die ein Sicherheitsrisiko darstellen können | ||
* Daher sollten alle in diesem Bericht angesprochenen Probleme untersucht und gegebenenfalls Maßnahmen ergriffen werden | |||
; Verwenden Sie sichere Passwörter für Administratoren und Lehrkräfte | ; Verwenden Sie sichere Passwörter für Administratoren und Lehrkräfte | ||
: Die Wahl „schwieriger“ Passwörter ist eine grundlegende Sicherheitsmaßnahme zum Schutz vor „Brute-Force“-Angriffen auf Konten | : Die Wahl „schwieriger“ Passwörter ist eine grundlegende Sicherheitsmaßnahme zum Schutz vor „Brute-Force“-Angriffen auf Konten | ||
; Geben Sie Lehrerkonten nur an vertrauenswürdige Benutzer weiter | ; Geben Sie Lehrerkonten nur an vertrauenswürdige Benutzer weiter | ||
: Lehrerkonten haben viel liberalere Berechtigungen und es ist einfacher, Situationen zu schaffen, in denen Daten missbraucht oder gestohlen werden können | * Vermeiden Sie die Erstellung öffentlicher Sandkästen mit kostenlosen Lehrerkonten auf Produktionsservern | ||
: Lehrerkonten haben viel liberalere Berechtigungen und es ist einfacher, Situationen zu schaffen, in denen Daten missbraucht oder gestohlen werden können | |||
; Trennen Sie Ihre Systeme so weit wie möglich | ; Trennen Sie Ihre Systeme so weit wie möglich | ||
: Eine weitere grundlegende Sicherheitstechnik besteht darin, unterschiedliche Passwörter auf verschiedenen Systemen zu verwenden, unterschiedliche Maschinen für unterschiedliche Dienste zu verwenden und so weiter | : Eine weitere grundlegende Sicherheitstechnik besteht darin, unterschiedliche Passwörter auf verschiedenen Systemen zu verwenden, unterschiedliche Maschinen für unterschiedliche Dienste zu verwenden und so weiter | ||
* Dadurch wird verhindert, dass sich Schäden ausbreiten, selbst wenn ein Konto oder ein Server kompromittiert wird | |||
== Mailinglisten== | == Mailinglisten== | ||
| Zeile 53: | Zeile 61: | ||
== Moodle-Sicherheitswarnungen == | == Moodle-Sicherheitswarnungen == | ||
* Registrieren Sie Ihre Website bei Moodle.org | * Registrieren Sie Ihre Website bei Moodle.org | ||
: Registrierte Benutzer erhalten E-Mail-Benachrichtigungen | : Registrierte Benutzer erhalten E-Mail-Benachrichtigungen | ||
* Sicherheitswarnungen werden auch online veröffentlicht | * Sicherheitswarnungen werden auch online veröffentlicht | ||
* Web - <nowiki>http://moodle.org/security</nowiki> | * Web - <nowiki>http://moodle.org/security</nowiki> | ||
| Zeile 63: | Zeile 68: | ||
== Verschiedene Überlegungen == | == Verschiedene Überlegungen == | ||
Dies sind alles Dinge, die Sie in Betracht ziehen sollten und die sich auf Ihre allgemeine Sicherheit auswirken | Dies sind alles Dinge, die Sie in Betracht ziehen sollten und die sich auf Ihre allgemeine Sicherheit auswirken | ||
* Verwenden Sie die Einstellung „Sichere Formulare“ | * Verwenden Sie die Einstellung „Sichere Formulare“ | ||
* Legen Sie immer ein mysql-Root-Benutzerkennwort fest | * Legen Sie immer ein mysql-Root-Benutzerkennwort fest | ||
Version vom 31. Januar 2025, 12:15 Uhr
Moodle/Sicherheit - Wichtige Sicherheitsmaßnahmen für eine Moodle-Installation
Beschreibung
Nutzer von Moodle, die ihr System haben registrieren lassen, erhalten sicherheitsrelevante Informationen automatisch und vorab
- Damit haben sie die Möglichkeit, ihr System zu aktualisieren
- Informationen hierzu werden in den Security Announcements veröffentlicht
- Die Meldung von Sicherheitsproblemen erfolgt im Tracker
- Sofern Einträge als „Serious security issue“ gekennzeichnet werden, werden sie nicht veröffentlicht, bevor das „security team“ diese geprüft hat
Einführung
- Melden von Sicherheitsproblemen im Moodle-Tracker
Als Sicherheitsproblem markieren
- Keine Exploits veröffentlichen
Schutz von Installationen, die nicht auf dem aktuellen Stand sind
Einfache Sicherheitsmaßnahmen
- Backup
Die beste Sicherheitsstrategie ist ein gutes Backup!
- Aber Sie haben kein gutes Backup, wenn Sie es nicht wiederherstellen können
- Testen Sie Ihre Wiederherstellungsverfahren!
- Dienste
Laden Sie nur Software oder Dienste, die Sie verwenden werden
- Updates
- Führen Sie regelmäßige Updates durch
Grundlegende Empfehlungen
- Aktualisieren Sie Moodle regelmäßig bei jeder Veröffentlichung
- Veröffentlichte Sicherheitslücken ziehen nach der Veröffentlichung die Aufmerksamkeit von Crackern auf sich
- Je älter die Version, desto mehr Schwachstellen enthält sie wahrscheinlich
- Verwenden Sie https, um alle Seiten (nicht nur die Anmeldeseite) zu sichern
- Schützen Sie den gesamten Datenverkehr von Ihrer Moodle-Instanz und Ihren Benutzern, indem Sie alle Seiten nur über https zugänglich machen
- Dies schützt nicht nur die Passwörter bei der Anmeldung, sondern gewährleistet auch die Privatsphäre Ihrer Benutzer, sodass alle Benutzerdaten nicht von Dritten, wie z. B. WLAN-Anbietern, abgefangen oder manipuliert werden können („Ad Injection“)
- Kostenlose https-Zertifikate sind unter https://letsencrypt.org/ erhältlich
- Setzen Sie außerdem httpslogin=yes in Ihrer Moodle-Konfiguration, um eine zusätzliche Schutzebene für die Übermittlung von Anmeldedaten hinzuzufügen
- Register globals MÜSSEN deaktiviert werden
- Dies hilft, mögliche XSS-Probleme in Skripten von Drittanbietern zu verhindern
- Führen Sie den Security Overview Report aus
- Dieser identifiziert verschiedene Konfigurationen innerhalb Ihrer Moodle-Website, die ein Sicherheitsrisiko darstellen können
- Daher sollten alle in diesem Bericht angesprochenen Probleme untersucht und gegebenenfalls Maßnahmen ergriffen werden
- Verwenden Sie sichere Passwörter für Administratoren und Lehrkräfte
- Die Wahl „schwieriger“ Passwörter ist eine grundlegende Sicherheitsmaßnahme zum Schutz vor „Brute-Force“-Angriffen auf Konten
- Geben Sie Lehrerkonten nur an vertrauenswürdige Benutzer weiter
- Vermeiden Sie die Erstellung öffentlicher Sandkästen mit kostenlosen Lehrerkonten auf Produktionsservern
- Lehrerkonten haben viel liberalere Berechtigungen und es ist einfacher, Situationen zu schaffen, in denen Daten missbraucht oder gestohlen werden können
- Trennen Sie Ihre Systeme so weit wie möglich
- Eine weitere grundlegende Sicherheitstechnik besteht darin, unterschiedliche Passwörter auf verschiedenen Systemen zu verwenden, unterschiedliche Maschinen für unterschiedliche Dienste zu verwenden und so weiter
- Dadurch wird verhindert, dass sich Schäden ausbreiten, selbst wenn ein Konto oder ein Server kompromittiert wird
Mailinglisten
- Verwenden Sie Mailinglisten, um auf dem Laufenden zu bleiben
- CISA-Empfehlungen zur Internetsicherheit – https://www.cisa.gov/news-events/cybersecurity-advisories
- PHP - http://www.php.net/mailing-lists.php - Tragen Sie sich in die Ankündigungsliste ein
- MySQL - http://lists.mysql.com - Tragen Sie sich in die MySQL-Ankündigungsliste ein
Moodle-Sicherheitswarnungen
- Registrieren Sie Ihre Website bei Moodle.org
- Registrierte Benutzer erhalten E-Mail-Benachrichtigungen
- Sicherheitswarnungen werden auch online veröffentlicht
- Web - http://moodle.org/security
- RSS-Feed - http://moodle.org/rss/file.php/1/1/forum/996/rss.xml
Verschiedene Überlegungen
Dies sind alles Dinge, die Sie in Betracht ziehen sollten und die sich auf Ihre allgemeine Sicherheit auswirken
- Verwenden Sie die Einstellung „Sichere Formulare“
- Legen Sie immer ein mysql-Root-Benutzerkennwort fest
- Deaktivieren Sie den mysql-Netzwerkzugriff
- Verwenden Sie SSL, httpslogins=yes
- Verwenden Sie gute Passwörter – richten Sie eine Passwortrichtlinie unter Einstellungen > Website-Administration > Sicherheit > Website-Richtlinien ein
- Aktivieren Sie nicht die Einstellung opentowebcrawlers (unter Einstellungen > Website-Administration > Sicherheit > Website-Richtlinien)
- Deaktivieren Sie den Gastzugriff
- Fügen Sie Registrierungsschlüssel zu allen Kursen hinzu oder setzen Sie Kursregistrierung = Nein für alle Kurse
- Stellen Sie sicher, dass der Registrierungsschlüssel-Hinweis unter Administration > Site-Administration > Plugins > Registrierung > Selbstregistrierung deaktiviert ist (was standardmäßig der Fall ist).
Anhang
Siehe auch
Links
Weblinks