Zum Inhalt springen

Moodle/Sicherheit: Unterschied zwischen den Versionen

Aus Foxwiki
Versionsgeschichte interaktiv durchsuchen
← Zum vorherigen VersionsunterschiedZum nächsten Versionsunterschied →
VisuellWikitext
Zeile 87: Zeile 87:
* Web - <nowiki>http://moodle.org/security</nowiki>
* Web - <nowiki>http://moodle.org/security</nowiki>
* RSS-Feed - <nowiki>http://moodle.org/rss/file.php/1/1/forum/996/rss.xml</nowiki>
* RSS-Feed - <nowiki>http://moodle.org/rss/file.php/1/1/forum/996/rss.xml</nowiki>
== Empfehlungen ==
Aspekte, die sich auf die allgemeine Sicherheit auswirken
{| class="wikitable options"
! Option !! Beschreibung
|-
| [[Sichere Formulare]] || Verwenden Sie die Einstellung [[Sichere Formulare]]
|-
| [[mysql/root]] || Legen Sie immer ein mysql-Root-Benutzerkennwort fest
|-
| [[mysql-Netzwerkzugriff]] ||Deaktivieren Sie den mysql-Netzwerkzugriff
|-
| [[SSL]] || Verwenden Sie SSL, httpslogins=yes
|-
| [[Passwörter]] || Verwenden Sie gute Passwörter, Passwortrichtlinie einrichten (Einstellungen > Website-Administration > Sicherheit > Website-Richtlinien''
|-
| [[opentowebcrawlers]] ||Aktivieren Sie nicht die Einstellung ''opentowebcrawlers'' (unter ''Einstellungen > Website-Administration > Sicherheit > Website-Richtlinien'')
|-
| [[Gastzugriff]] || Deaktivieren Sie den Gastzugriff
|-
| Registrierungsschlüssel || Fügen Sie Registrierungsschlüssel zu allen Kursen hinzu oder setzen Sie Kursregistrierung = Nein für alle Kurse
* Stellen Sie sicher, dass der Registrierungsschlüssel-Hinweis unter ''Administration > Site-Administration > Plugins > Registrierung > Selbstregistrierung deaktiviert ist (was standardmäßig der Fall ist).''
|}


== Anhang ==
== Anhang ==

Version vom 31. Januar 2025, 13:01 Uhr

Moodle/Sicherheit - Sicherheitsmaßnahmen für eine Moodle-Installation

Beschreibung

Registrierung

Nutzer von Moodle, die ihr System haben registrieren lassen, erhalten sicherheitsrelevante Informationen automatisch und vorab

  • Damit haben sie die Möglichkeit, ihr System zu aktualisieren
  • Informationen hierzu werden in den Security Announcements veröffentlicht

Die Meldung von Sicherheitsproblemen erfolgt im Tracker

  • Sofern Einträge als „Serious security issue“ gekennzeichnet werden, werden sie nicht veröffentlicht, bevor das „security team“ diese geprüft hat
Melden von Sicherheitsproblemen im Moodle-Tracker

Als Sicherheitsproblem markieren

Keine Exploits veröffentlichen

Schutz von Installationen, die nicht auf dem aktuellen Stand sind

Einfache Sicherheitsmaßnahmen

Backup

Die beste Sicherheitsstrategie ist ein gutes Backup!

  • Aber Sie haben kein gutes Backup, wenn Sie es nicht wiederherstellen können
  • Testen Sie Ihre Wiederherstellungsverfahren!
Dienste

Laden Sie nur Software oder Dienste, die Sie verwenden werden

Updates
  • Führen Sie regelmäßige Updates durch
Informationen

Grundlegende Empfehlungen

Aktualisieren Sie Moodle regelmäßig bei jeder Veröffentlichung
  • Veröffentlichte Sicherheitslücken ziehen nach der Veröffentlichung die Aufmerksamkeit von Crackern auf sich
  • Je älter die Version, desto mehr Schwachstellen enthält sie wahrscheinlich
HTTPS verwenden Um alle Seiten (nicht nur die Anmeldeseite) zu sichern
  • Schützen Sie den gesamten Datenverkehr von Ihrer Moodle-Instanz und Ihren Benutzern, indem Sie alle Seiten nur über https zugänglich machen
  • Dies schützt nicht nur die Passwörter bei der Anmeldung, sondern gewährleistet auch die Privatsphäre Ihrer Benutzer, sodass alle Benutzerdaten nicht von Dritten, wie z. B. WLAN-Anbietern, abgefangen oder manipuliert werden können („Ad Injection“)
  • Kostenlose https-Zertifikate sind unter https://letsencrypt.org/ erhältlich
  • Setzen Sie außerdem httpslogin=yes in Ihrer Moodle-Konfiguration, um eine zusätzliche Schutzebene für die Übermittlung von Anmeldedaten hinzuzufügen
Register globals MÜSSEN deaktiviert werden
  • Dies hilft, mögliche XSS-Probleme in Skripten von Drittanbietern zu verhindern
Security Overview Report Führen Sie den Security Overview Report aus
  • Dieser identifiziert verschiedene Konfigurationen innerhalb Ihrer Moodle-Website, die ein Sicherheitsrisiko darstellen können
  • Daher sollten alle in diesem Bericht angesprochenen Probleme untersucht und gegebenenfalls Maßnahmen ergriffen werden
Sichere Passwörter Verwenden Sie sichere Passwörter für Administratoren und Lehrkräfte
  • Die Wahl „schwieriger“ Passwörter ist eine grundlegende Sicherheitsmaßnahme zum Schutz vor „Brute-Force“-Angriffen auf Konten
Lehrerkonten Geben Sie Lehrerkonten nur an vertrauenswürdige Benutzer weiter
  • Vermeiden Sie die Erstellung öffentlicher Sandkästen mit kostenlosen Lehrerkonten auf Produktionsservern || Lehrerkonten haben viel liberalere Berechtigungen und es ist einfacher, Situationen zu schaffen, in denen Daten missbraucht oder gestohlen werden können
Systemtrennung Trennen Sie Ihre Systeme so weit wie möglich
  • Eine weitere grundlegende Sicherheitstechnik besteht darin, unterschiedliche Passwörter auf verschiedenen Systemen zu verwenden, unterschiedliche Maschinen für unterschiedliche Dienste zu verwenden und so weiter
  • Dadurch wird verhindert, dass sich Schäden ausbreiten, selbst wenn ein Konto oder ein Server kompromittiert wird

Mailinglisten

Verwenden Sie Mailinglisten, um auf dem Laufenden zu bleiben

CISA-Empfehlungen zur Internetsicherheit https://www.cisa.gov/news-events/cybersecurity-advisories
PHP http://www.php.net/mailing-lists.php
  • Tragen Sie sich in die Ankündigungsliste ein
MySQL http://lists.mysql.com
  • Tragen Sie sich in die MySQL-Ankündigungsliste ein

Sicherheitswarnungen

Moodle-Sicherheitswarnungen
  • Registrieren Sie Ihre Website bei Moodle.org
Registrierte Benutzer erhalten E-Mail-Benachrichtigungen
  • Sicherheitswarnungen werden auch online veröffentlicht
  • Web - http://moodle.org/security
  • RSS-Feed - http://moodle.org/rss/file.php/1/1/forum/996/rss.xml

Anhang

Siehe auch

Links

Weblinks
  1. https://docs.moodle.org/405/en/Security_recommendations


Abgerufen von „https://wiki.foxtom.de/index.php?title=Moodle/Sicherheit&oldid=122554