Überblick über die Sicherheit

Nutzerdateien werden von Totara im Datenstamm gespeichert. Um die Sicherheit zu gewährleisten, sollte dies nicht über das Internet möglich sein.

Wenn das Datenstammverzeichnis verschoben wird, muss die $CFG->datarootsetting in der Datei config.php aktualisiert werden.

Dies sollte für alle Live-/Produktionsseiten deaktiviert werden, da es zu einer Sicherheitslücke führen könnte. Wenn PHP so eingestellt ist, dass Fehler angezeigt werden, kann jemand Informationen wie Verzeichnisstrukturen durch Eingabe einer fehlerhaften URL erhalten (PHP wird aufgefordert, Details zum Fehler und dem System anzuzeigen).

Dies kann in der Datei php.ini geändert werden. Öffnen Sie die Datei und setzen Sie display_errors auf display_errors=Aus.

Das Anbieterverzeichnis enthält verschiedene Bibliotheken von Drittanbietern und deren Abhängigkeiten, die normalerweise vom PHP Composer installiert werden. Dies kann für die lokale Entwicklung erforderlich sein, z. B. für die Installation des PHPUnit-Frameworks. Es kann aber auch potenziell gefährlichen Code enthalten, der Ihre Website Remote-Angriffen aussetzt.

Es wird dringend empfohlen, das Verzeichnis zu entfernen, wenn die Website über eine öffentliche URL verfügbar ist, oder zumindest den Webzugriff darauf zu verbieten.

-

Das node_modules Verzeichnis enthält Node.js-Module und ihre Abhängigkeiten, die normalerweise vom NPM-Dienstprogramm installiert werden. Diese Module können für die Entwicklung von Totara erforderlich sein. Sie werden nicht benötigt, um eine Totara- Website zu betreiben, und sie können potenziell gefährlichen Code enthalten, der Ihre Website Remote-Angriffen aussetzt.

Es wird dringend empfohlen, das Verzeichnis zu entfernen, wenn die Website über eine öffentliche URL verfügbar ist, oder zumindest den Webzugriff darauf zu verbieten.

-

Diese Einstellung sollte auf Live-/Produktionsseiten deaktiviert werden, da sie es jemandem ermöglichen würde, ein Konto ohne Authentifizierung zu erstellen, was bedeutet, dass er sogar eine E-Mail-Adresse verwenden könnte, die nicht existiert und keine Verifizierung erforderlich ist.

Sie können dies deaktivieren, indem Sie auf Schnellzugriff >s-Plugins > Authentifizierung > verwalten Authentifizierung verwalten gehen und sicherstellen, dass diese deaktiviert ist.

Als Standardsicherheitsmaßnahme ist es normalen Nutzern nicht gestattet, Multimedia (wie Flash) in den Text einzubetten, indem sie explizite EMBED- und OBJECT-Tags in ihren HTML-Code verwenden (obwohl dies dennoch sicher mit dem Filter mediaplugins geschehen kann). Wenn Sie diese Tags zulassen möchten, aktivieren Sie diese Option in den Sicherheitseinstellungen.

Um dies zu konfigurieren, gehen Sie zum Schnellzugriffs menü > > Sicherheitseinstellungen.

Es wird nicht empfohlen, die automatische Einbettung von Flash-Dateien (.swf) standardmäßig zu aktivieren, da dies es einem Nutzer ermöglichen könnte, einen Cross-Site Scripting (XXS)-Angriff zu starten, indem eine Datei verwendet wird, die einen bösartigen Code enthält.

Sie können dies steuern, indem Sie sicherstellen, dass die Einstellung URLs in Links und Bilder umwandeln im Schnellzugriffsmenü > Plugins > Filter Filter > verwalten deaktiviert ist. Sie können auch auswählen, ob Flash-Dateien in den Media Player-Einstellungen im Schnellzugriffs menü > Plugins > MediaPlayer > verwalten .

Wenn Sie alle Nutzerprofile offen lassen, besteht das Risiko, dass diese von Spammern missbraucht werden (da sie öffentlich sichtbar wären). Es wird empfohlen, Nutzerprofile nur für angemeldete Nutzer verfügbar zu machen.

Kontrollieren Sie dies, indem Sie die Einstellungen Benutzer zur Anmeldung erzwingen und Benutzer zur Anmeldung für Profileinstellungen erzwingen im Schnellzugriffsmenü > > Sicherheitseinstellungen konfigurieren.

Diese Einstellung funktioniert mit Gastzugang, um Suchmaschinen den Zugriff auf Kurse mit Gastzugangsberechtigungen zu ermöglichen. Beachten Sie, dass die Erlaubnis, Google Zugriff auf Ihre Website zu gewähren, bedeutet, dass alle Inhalte öffentlich zugänglich sind. Tun Sie dies also nur, wenn sich keine vertraulichen oder sensiblen Informationen auf Ihrer Website befinden.

Dies wird im Schnellzugriffsmenü > > Sicherheitseinstellungen konfiguriert.

Die Verwendung einer Passwortrichtlinie trägt dazu bei, Ihre Website sicherer zu machen, indem sie gute Passwortgewohnheiten fördert/erzwingt, einschließlich komplexerer Passwörter (die schwerer zu erraten sind) und auch häufigerer Änderungen von Passwörtern (wenn sie leichter zu erraten sind). Versuchen Sie jedoch, die Passwortanforderungen nicht zu streng oder schwierig zu machen, da dies dazu führen könnte, dass Nutzer ihre Passwörter vergessen oder sie aufschreiben und somit alle Sicherheitsvorteile vernachlässigen.

Dies wird im Schnellzugriffsmenü > > Sicherheitseinstellungen konfiguriert.

Sie können festlegen, dass Nutzer/innen Änderungen an ihrer E-Mail-Adresse bestätigen müssen. Es wird empfohlen, dies zu tun, um zu verhindern, dass Spammer Ihren Server ausnutzen.

Dies wird im Schnellzugriffsmenü > > Sicherheitseinstellungen konfiguriert.

Wenn ein Nutzer falsche Anmeldedaten eingibt, stellt Totara sicher, dass der Grund für die erfolglose Anmeldung vage ist, sodass jeder, der versucht, die Website anzugreifen, nicht erkennen kann, ob der Nutzername oder das Passwort falsch ist. Die Aufzählung des Benutzernamens ist ein Prozess, mit dem potenzielle Angreifer herausfinden können, welche Nutzernamenskonvention für Ihre Totara-Website gilt, sodass sie nur das Passwort eines Nutzers erraten müssen, um Zugriff zu erhalten.

Sie können die Selbstregistrierungs einstellung im Schnellzugriffsmenü > Plugins > Authentifizierung > verwalten Authentifizierung deaktivieren (da potenzielle Angreifer ihre eigenen Benutzernamen generieren könnten, um das Muster herauszufinden).
 
Sie sollten den Protect-Benutzernamen aktivieren, damit potenzielle Angreifer keine Hinweise erhalten, wenn sie auf den Link „Passwort vergessen“ klicken. Dies kann über das Schnellzugriffsmenü > > Sicherheitseinstellungen erfolgen.

Da das HTTP-Protokoll leicht ausnutzbar ist, wird empfohlen, das HTTPS-Protokoll auf allen Servern zu verwenden.

-

Sie sollten sichere Cookies aktivieren, wenn Sie HTTPS-Kommunikation mit Ihrer Website zulassen (empfohlen). Es ist auch ratsam, nur HSTS-Header zu verwenden und dauerhafte Umleitungen für HTTP-Seiten zu HTTPS einzurichten.

Sichere Cookies können über das Schnellzugriffs menü > Sicherheit > HTTP-Sicherheit aktiviert werden.

Dies verhindert, dass Skripte auf Cookies zugreifen, die von Ihrem Server gesendet werden, sodass Cookies nur für tatsächliche Anfragen zugänglich sind. Dies kann dazu beitragen, das Risiko von Cross-Site Scripting (XSS)-Angriffen zu reduzieren.

Nur-HTTP-Cookies können über das Schnellzugriffs menü > Sicherheit > HTTP-Sicherheit aktiviert werden. Beachten Sie, dass einige ältere Browser diese Funktion möglicherweise nicht unterstützen.

Persistente Anmeldung

Wenn diese Option aktiviert ist, werden Standard-Sitzungszeitüberschreitungen bei dauerhaften Anmeldungen ignoriert und ein permanentes Browser-Cookie gesetzt. Dieses Cookie wird später verwendet, um Nutzer nach dem Neustart des Browsers oder der Sitzungszeitüberschreitung automatisch wieder anzumelden.

Dies kann über das Schnellzugriffsmenü > > Sicherheitseinstellungen konfiguriert werden.

SCORM-Sitzung bleibt am Leben

Wenn diese Option aktiviert ist, wird die Nutzersitzung im SCORM-Player aktiv gehalten. 

Kann im Schnellzugriffsmenü > Plugins > Aktivitätsmodule > SCORM package konfiguriert werden.

Nachdem Sie Ihre Totara-Website installiert haben, sollten Sie die Datei config.php bearbeiten, um sicherzustellen, dass sie schreibgeschützt ist, was bedeutet, dass sie vom Webserver nicht geändert werden kann.

Sie müssen die Datei config.php entweder auf 644 oder 444 CHMOD verwenden, um sicherzustellen, dass sie schreibgeschützt ist.

Einige Inhalte wie bestimmte Multimediadateien, HTML-Code, JavaScript und Flash-Applets können verwendet werden, um Ihre Website mit einem Cross-Site-Scripting-Angriff (XSS-Angriff) anzugreifen. Bestimmte Funktionen ermöglichen es Rollen/Nutzern auf Ihrer Website, diese Arten von Inhalten hinzuzufügen, da sie für Schulungszwecke nützlich sein können. Es ist jedoch wichtig, sicherzustellen, dass Sie nur vertrauenswürdigen Nutzern Zugriff auf diese Funktionen gewähren. Diese Einstellung im Übersichtsbericht zeigt eine Liste der Nutzer mit diesen Fähigkeiten an, sodass Sie überprüfen können, ob es sich um vertrauenswürdige Personen handelt.

-

Es ist ratsam, die Anzahl der Site-Administratoren auf ein Minimum zu beschränken. Wenn Nutzer nicht alle Berechtigungen/Funktionen eines Site-Administrators benötigen, ziehen Sie bitte eine andere Rolle in Betracht, z. B. Site Manager.

Sie können die Anzahl der Site-Administratoren im Schnellzugriffsmenü > Berechtigungen > Site-Administratoren anpassen.

Diese Einstellung sucht nach Rollen mit der Funktion backup:userinfo, da Inhaber dieser Berechtigung alle Nutzerdaten (einschließlich relevanter Nutzerkontodetails) beim Sichern eines Kurses sichern können. Dies könnte zu einer Sicherheitsverletzung führen, wenn Sie sich in den falschen Händen befinden. Es wird auch empfohlen, eine robuste Passwortrichtlinie zu gewährleisten, um die Konten von Nutzern mit dieser Funktion zu schützen.

Die Möglichkeit, Nutzerdaten zu sichern, unterscheidet sich von der Möglichkeit, Kursdaten zu sichern. Standardmäßig kann nur die Managerrolle Nutzerdaten sichern.

Passwortrichtlinien können über das Schnellzugriffsmenü > Sicherheits>einstellungen eingerichtet werden.

Die Standardbenutzerrolle ist normalerweise als authentifizierter Benutzer festgelegt. Wenn Sie den Status Kritisch sehen, bedeutet dies, dass die Rolle nicht korrekt konfiguriert ist und dass ihr möglicherweise einige riskante Fähigkeiten zugewiesen wurden. Sie können die Berechtigungen der Rolle bearbeiten, indem Sie zum Schnellzugriffsmenü > Benutzer>berechtigungen Rollen > definieren gehen, dann auf Authentifizierter Benutzer klicken und die Berechtigungsspalte durchsuchen, um zu überprüfen, ob alles wie erwartet verläuft.

Dies kann unter Schnellzugriffs menü > Berechtigungen > Benutzerrichtlinien konfiguriert werden.

Dies kann unter Schnellzugriffsmenü > Berechtigungen > Benutzerrichtlinien konfiguriert werden.

Die Standard-Frontpage- Rolle wird allen registrierten Nutzern für Frontpage-Aktivitäten zugewiesen. Bitte stellen Sie sicher, dass für diese Rolle keine riskanten Fähigkeiten zugelassen sind.

Es wird empfohlen, zu diesem Zweck eine spezielle Rolle zu erstellen und keine Rolle des Typs Legacy zu verwenden.

Konfiguriert über Einstellungen bearbeiten im Administrationsblock auf der Startseite. 

Es wird empfohlen, Cron nur über die Befehlszeile auszuführen, da das Ausführen von Cron über einen Webbrowser gefährdet, privilegierte Informationen anonymen Nutzern zu offenbaren. Darüber hinaus können Sie ein Cron-Passwort für den Fernzugriff festlegen.

Dies wird im Schnellzugriffsmenü > > Sicherheitseinstellungen konfiguriert.

Sie müssen die Sicherheitsrisiken, die mit dem Zugriff auf die Website ohne Nutzerkonto verbunden sind (was über den Gastzugriff möglich ist), sorgfältig abwägen. Sie sollten die Einstellung der Gäste-Login-Schaltfläche deaktivieren.

Der Gastzugriff kann über das Schnellzugriffsmenü > Plugins > Authentifizierung verwalten Authentifizierung > verwalten verwaltet werden. 

Wenn Sie den URL-Downloader aktivieren, können externe Nutzer auf URLs in Ihrem internen Netzwerk zugreifen. Sie sollten diese Funktion nicht aktivieren, wenn Sie Nutzer haben, die auf Ihre Website zugreifen dürfen, aber nicht auf andere Ressourcen innerhalb Ihres internen Netzwerks zugreifen dürfen, die vom Server aus zugänglich sind.

-

Einige Versionen von LibXML und PHP laden möglicherweise externe Entitäten standardmäßig in XML, was bedeutet, dass der Inhalt lokaler Dateien von einem böswilligen Nutzer erhalten werden könnte. Stellen Sie sicher, dass Sie aktuelle Versionen von LibXML und PHP verwenden, um diese Schwachstelle zu verhindern.

-

Ausführbare Pfade

Das Festlegen von ausführbaren Pfaden über die Admin-GUI ist ein Vektor für die Berechtigungseskalation.

-