Moodle/Sicherheit: Unterschied zwischen den Versionen

Version vom 31. Januar 2025, 12:58 Uhr

Moodle/Sicherheit - Sicherheitsmaßnahmen für eine Moodle-Installation

Beschreibung

Registrierung

Nutzer von Moodle, die ihr System haben registrieren lassen, erhalten sicherheitsrelevante Informationen automatisch und vorab

Damit haben sie die Möglichkeit, ihr System zu aktualisieren

Informationen hierzu werden in den Security Announcements veröffentlicht

Die Meldung von Sicherheitsproblemen erfolgt im Tracker

Sofern Einträge als „Serious security issue“ gekennzeichnet werden, werden sie nicht veröffentlicht, bevor das „security team“ diese geprüft hat

Melden von Sicherheitsproblemen im Moodle-Tracker

Als Sicherheitsproblem markieren

Keine Exploits veröffentlichen

Schutz von Installationen, die nicht auf dem aktuellen Stand sind

Einfache Sicherheitsmaßnahmen

Backup

Die beste Sicherheitsstrategie ist ein gutes Backup!

Aber Sie haben kein gutes Backup, wenn Sie es nicht wiederherstellen können
Testen Sie Ihre Wiederherstellungsverfahren!

Dienste

Laden Sie nur Software oder Dienste, die Sie verwenden werden

Updates

Führen Sie regelmäßige Updates durch

Grundlegende Empfehlungen

Aktualisieren	Sie Moodle regelmäßig bei jeder Veröffentlichung Veröffentlichte Sicherheitslücken ziehen nach der Veröffentlichung die Aufmerksamkeit von Crackern auf sich Je älter die Version, desto mehr Schwachstellen enthält sie wahrscheinlich
HTTPS verwenden	Um alle Seiten (nicht nur die Anmeldeseite) zu sichern Schützen Sie den gesamten Datenverkehr von Ihrer Moodle-Instanz und Ihren Benutzern, indem Sie alle Seiten nur über https zugänglich machen Dies schützt nicht nur die Passwörter bei der Anmeldung, sondern gewährleistet auch die Privatsphäre Ihrer Benutzer, sodass alle Benutzerdaten nicht von Dritten, wie z. B. WLAN-Anbietern, abgefangen oder manipuliert werden können („Ad Injection“) Kostenlose https-Zertifikate sind unter https://letsencrypt.org/ erhältlich Setzen Sie außerdem httpslogin=yes in Ihrer Moodle-Konfiguration, um eine zusätzliche Schutzebene für die Übermittlung von Anmeldedaten hinzuzufügen
Register globals	MÜSSEN deaktiviert werden Dies hilft, mögliche XSS-Probleme in Skripten von Drittanbietern zu verhindern
Security Overview Report	Führen Sie den Security Overview Report aus Dieser identifiziert verschiedene Konfigurationen innerhalb Ihrer Moodle-Website, die ein Sicherheitsrisiko darstellen können Daher sollten alle in diesem Bericht angesprochenen Probleme untersucht und gegebenenfalls Maßnahmen ergriffen werden
Sichere Passwörter	Verwenden Sie sichere Passwörter für Administratoren und Lehrkräfte Die Wahl „schwieriger“ Passwörter ist eine grundlegende Sicherheitsmaßnahme zum Schutz vor „Brute-Force“-Angriffen auf Konten
Lehrerkonten	Geben Sie Lehrerkonten nur an vertrauenswürdige Benutzer weiter Vermeiden Sie die Erstellung öffentlicher Sandkästen mit kostenlosen Lehrerkonten auf Produktionsservern \|\| Lehrerkonten haben viel liberalere Berechtigungen und es ist einfacher, Situationen zu schaffen, in denen Daten missbraucht oder gestohlen werden können
Systemtrennung	Trennen Sie Ihre Systeme so weit wie möglich Eine weitere grundlegende Sicherheitstechnik besteht darin, unterschiedliche Passwörter auf verschiedenen Systemen zu verwenden, unterschiedliche Maschinen für unterschiedliche Dienste zu verwenden und so weiter Dadurch wird verhindert, dass sich Schäden ausbreiten, selbst wenn ein Konto oder ein Server kompromittiert wird

Mailinglisten

Verwenden Sie Mailinglisten, um auf dem Laufenden zu bleiben

CISA-Empfehlungen zur Internetsicherheit	https://www.cisa.gov/news-events/cybersecurity-advisories
PHP	http://www.php.net/mailing-lists.php Tragen Sie sich in die Ankündigungsliste ein
MySQL	http://lists.mysql.com Tragen Sie sich in die MySQL-Ankündigungsliste ein

Sicherheitswarnungen

Moodle-Sicherheitswarnungen

Registrieren Sie Ihre Website bei Moodle.org

Registrierte Benutzer erhalten E-Mail-Benachrichtigungen

Sicherheitswarnungen werden auch online veröffentlicht
Web - http://moodle.org/security
RSS-Feed - http://moodle.org/rss/file.php/1/1/forum/996/rss.xml

Empfehlungen

Aspekte, die sich auf die allgemeine Sicherheit auswirken

Option	Beschreibung
Sichere Formulare	Verwenden Sie die Einstellung Sichere Formulare
mysql/root	Legen Sie immer ein mysql-Root-Benutzerkennwort fest
mysql-Netzwerkzugriff	Deaktivieren Sie den mysql-Netzwerkzugriff
SSL	Verwenden Sie SSL, httpslogins=yes
Passwörter	Verwenden Sie gute Passwörter, Passwortrichtlinie einrichten (Einstellungen > Website-Administration > Sicherheit > Website-Richtlinien
opentowebcrawlers	Aktivieren Sie nicht die Einstellung opentowebcrawlers (unter Einstellungen > Website-Administration > Sicherheit > Website-Richtlinien)
Gastzugriff	Deaktivieren Sie den Gastzugriff
Registrierungsschlüssel	Fügen Sie Registrierungsschlüssel zu allen Kursen hinzu oder setzen Sie Kursregistrierung = Nein für alle Kurse Stellen Sie sicher, dass der Registrierungsschlüssel-Hinweis unter Administration > Site-Administration > Plugins > Registrierung > Selbstregistrierung deaktiviert ist (was standardmäßig der Fall ist).

Anhang

Siehe auch

Links

Weblinks

https://docs.moodle.org/405/en/Security_recommendations

@@ Zeile 7: / Zeile 7: @@
 * Damit haben sie die Möglichkeit, ihr System zu aktualisieren
 * Informationen hierzu werden in den ''Security Announcements'' veröffentlicht
-* Die Meldung von Sicherheitsproblemen erfolgt im [[Bugtracker|Tracker]]
+Die Meldung von Sicherheitsproblemen erfolgt im [[Bugtracker|Tracker]]
 * Sofern Einträge als „Serious security issue“ gekennzeichnet werden, werden sie nicht veröffentlicht, bevor das „security team“ diese geprüft hat
 </blockquote>