Säkerhetsöversikt

Användarfiler lagras av Totara i dataroten. För att hålla det säkert bör detta inte vara tillgängligt från webben.

Om datarotkatalogen flyttas måste datarootsetting $CFG-> uppdateras i config.php- filen.

Detta bör stängas av för alla live-/produktionswebbplatser, eftersom det kan skapa en säkerhetssårbarhet. Om PHP är inställt på att visa fel skulle det tillåta någon att få information såsom katalogstrukturer genom att ange en felaktig URL (uppmana PHP att visa detaljer om felet och systemet).

Detta kan ändras i php.ini- filen. Öppna filen och ställ display_errors in på display_errors=Av .

Leverantörskatalogen innehåller olika tredjepartsbibliotek och deras beroenden, vanligtvis installerade av PHP Composer. Det kan krävas för lokal utveckling, till exempel för installation av ramverket PHPUnit. Men det kan också innehålla potentiellt farlig kod, utsätta din webbplats för fjärrattacker.

Det rekommenderas starkt att ta bort katalogen om webbplatsen är tillgänglig via en publik URL, eller åtminstone att begränsa webb-access till den.

-

node_modules Katalogen innehåller Node.js-moduler och deras beroenden, vanligtvis installerade av NPM-verktyget. Dessa moduler kan krävas för Totaras utveckling. De behövs inte för att köra en Totara- webbplats, och de kan innehålla potentiellt farlig kod som utsätter din webbplats för fjärrattacker.

Det rekommenderas starkt att ta bort katalogen om webbplatsen är tillgänglig via en publik URL, eller åtminstone att begränsa webb-access till den.

-

Denna inställning bör stängas av på live-/produktionswebbplatser, eftersom det skulle tillåta någon att skapa ett konto utan autentisering, vilket innebär att de till och med kan använda en e-postadress som inte finns och det inte krävs någon verifiering.

Detta kan stängas av genom att gå till Snabbåtkomst > Plugins > Autentisering > Hantera autentisering och se till att den är inaktiverad.

Som standard säkerhetsåtgärd får normala användare inte bädda in multimedia (som Flash) i texten med hjälp av explicita EMBED- och OBJECT-taggar i sin HTML (även om det fortfarande kan göras säkert med hjälp av filtret för mediaplugins). Om du vill tillåta dessa taggar aktiverar du detta alternativ i säkerhetsinställningarna .

För att konfigurera detta, gå till  snabbåtkomstmenyn > Säkerhet > Säkerhetsinställningar .

Det rekommenderas inte att aktivera automatisk inbäddning av Flash-filer (.swf) som standard eftersom detta kan göra det möjligt för en användare att starta en Scripting-attack (XXS) på flera platser genom att använda en fil som innehåller skadlig kod.

Du kan kontrollera detta genom att se till att inställningen Konvertera URL:er till länkar och bilder är inaktiverad under Snabbåtkomst-menyn > Plugins > Filters > Hantera filter. Du kan också välja om du vill tillåta Flash-filer i mediaspelarens inställningar under Snabbåtkomst- menyn > Plugins > Media players > Hantera mediaspelare .

Om du lämnar alla användarprofiler öppna så finns det en risk att dessa kan missbrukas av spammare (eftersom de skulle vara synliga för allmänheten). Vi rekommenderar att du endast gör användarprofiler tillgängliga för inloggade användare.

Kontrollera detta genom att konfigurera tvinga användare att logga in och tvinga användare att logga in för profilinställningar under Snabbåtkomst-menyn > Säkerhet > Säkerhetsinställningar.

Denna inställning fungerar med gäståtkomst för att tillåta sökmotorer att komma åt kurser med gäståtkomstbehörigheter. Observera att Googles åtkomst till din webbplats innebär att allt innehåll är offentligt tillgängligt, så gör det endast om det inte finns någon konfidentiell eller känslig information på din webbplats.

Detta konfigureras under Snabbåtkomst-menyn > Säkerhet > Säkerhetsinställningar.

Att använda en lösenordspolicy hjälper till att göra din webbplats säkrare genom att uppmuntra/tvinga fram goda lösenordsvanor, inklusive mer komplexa lösenord (som är svårare att gissa) och även mer frekventa lösenordsbyten (om de är lättare att gissa). Försök att inte göra lösenordskraven för strikta eller svåra, men eftersom detta kan leda till att användare glömmer sina lösenord eller skriver ner dem, vilket kan leda till att eventuella säkerhetsfördelar förnekas.

Detta konfigureras under Snabbåtkomst-menyn > Säkerhet > Säkerhetsinställningar.

Du kan välja att tvinga användare att bekräfta eventuella ändringar som de gör i sin e-postadress. Det rekommenderas att du gör detta för att förhindra spammare från att utnyttja din server.

Detta konfigureras under Snabbåtkomst-menyn > Säkerhet > Säkerhetsinställningar.

När en användare anger felaktiga inloggningsuppgifter säkerställer Totara att det är vagt om orsaken till den misslyckade inloggningen, så att den som försöker attackera webbplatsen inte kan avgöra om användarnamnet eller lösenordet är fel. Uppräkning av användarnamn är en process som potentiella angripare kan använda för att ta reda på vad användarnamnskonventionen är för din Totara-webbplats så att de bara behöver gissa lösenordet för en användare för att få åtkomst.

Du kan inaktivera inställningen för självregistrering i snabbåtkomstmenyn > Plugins > Authentication > Manage authentication (eftersom potentiella angripare kan skapa sina egna användarnamn för att ta reda på mönstret).
 
Du bör aktivera Skydda användarnamn så att inga tips ges till potentiella angripare om de klickar på länken för glömt lösenord. Detta kan göras under Snabbåtkomst-menyn > Säkerhet > Säkerhetsinställningar.

Eftersom HTTP-protokoll är lätt att exploatera rekommenderas att du använder HTTPS-protokoll på alla dina servrar.

-

Du bör aktivera säkra cookies om du tillåter HTTPS-kommunikation med din webbplats (rekommenderas). Det är också lämpligt att endast använda HSTS-rubriker och ställa in permanenta omdirigeringar för alla HTTP-sidor till HTTPS.

Säkra cookies kan aktiveras via  snabbåtkomstmenyn > Säkerhet > HTTP-säkerhet.

Detta förhindrar skript från att komma åt cookies som skickas av din server så att cookies endast är tillgängliga genom faktiska förfrågningar. Detta kan bidra till att minska risken för Scripting-attacker (XSS).

HTTP-cookies kan aktiveras från  snabbåtkomstmenyn > Säkerhet > HTTP-säkerhet. Observera att vissa äldre webbläsare kanske inte stöder denna funktion.

Spara inloggningsuppgifter

Om aktiverat ignorerar beständiga inloggningar standardsessionstimeout och ställer in en permanent webbläsarcookie. Denna cookie används senare för att automatiskt logga in användare igen efter omstart av webbläsare eller sessionstimeout.

Detta kan konfigureras via snabbåtkomstmenyn > Säkerhet > Säkerhetsinställningar.

SCORM-session keep alive

Om aktiverat hålls användarsessionen vid liv i SCORM-spelaren. 

Kan konfigureras i snabbåtkomstmenyn > Plugins > Aktivitetsmoduler > SCORM packa ge.

När du har installerat din Totara-webbplats bör du redigera filen config.php för att säkerställa att den är inställd på skrivskyddad, vilket innebär att den inte kan ändras av webbservern.

Du måste CHMOD config.php-filen till antingen 644 eller 444 för att säkerställa att den är skrivskyddad.

Viss innehåll, såsom vissa multimediafiler, HTML-kod, JavaScript och Flash-applets, kan användas för att attackera din webbplats med hjälp av en skriptattack på flera webbplatser (XSS-attack). Vissa funktioner gör det möjligt för roller/användare på din webbplats att lägga till dessa typer av innehåll, eftersom de kan vara användbara för utbildningsändamål. Det är dock viktigt att se till att du bara tillåter betrodda användare att ha tillgång till dessa funktioner. Denna inställning i översiktsrapporten kommer att visa en lista över användare med dessa förmågor, så att du kan kontrollera att de alla är betrodda individer.

-

Det är lämpligt att hålla antalet platsadministratörer till ett minimum. Om användare inte behöver alla behörigheter/förmågor för en platsadministratör, överväg en annan roll, såsom platschef .

Du kan justera antalet webbplatsadministratörer under Snabbåtkomstmenyn > Behörigheter > Webbplatsadministratörer.

Den här inställningen söker efter roller som har funktionen backup:userinfo, eftersom innehavare av denna behörighet kan säkerhetskopiera alla användardata (inklusive relevanta användarkontouppgifter) när de säkerhetskopierar en kurs. Detta kan leda till ett säkerhetsintrång om det är i fel händer. Det rekommenderas också att du säkerställer en robust lösenordspolicy för att skydda konton för användare med denna kapacitet.

Möjligheten att säkerhetskopiera användardata är separat från möjligheten att säkerhetskopiera kursdata. Som standard kan endast chefsrollen säkerhetskopiera användardata.

Lösenordspolicyer kan ställas in via snabbåtkomstmenyn > Säkerhet > Säkerhetsinställningar.

Standardanvändarrollen är normalt inställd som Autentiserad användare . Om du ser statusen Kritisk så betyder det att rollen inte är korrekt konfigurerad och att vissa riskabla funktioner kan ha getts till den. Du kan redigera behörigheterna för rollen genom att gå till snabbåtkomstmenyn > Användare > Behörigheter > Definiera roller och sedan klicka på Autentiserad användare och bläddra i behörighetskolumnen för att kontrollera att allt är som förväntat.

Detta kan konfigureras under Snabbåtkomst -menyn > Behörigheter > Användarpolicyer.

Detta kan konfigureras under Snabbåtkomst-menyn > Behörigheter > Användarpolicyer.

 Standardrollen för förstasidan ges till alla registrerade användare för aktiviteter på förstasidan. Se till att inga riskabla förmågor tillåts för denna roll.

Det rekommenderas att en specialroll skapas flr detta syfte och att en arvtyproll inte används.

Konfigureras via Redigera inställningar i Administrationsblocket på förstasidan. 

Det rekommenderas att du endast kör cron från kommandoraden, eftersom körning av cron från en webbläsare riskerar att utsätta privilegierad information för anonyma användare. Dessutom kan du ställa in ett cron-lösenord för fjärråtkomst.

Detta konfigureras under Snabbåtkomst-menyn > Säkerhet > Säkerhetsinställningar.

Du måste noggrant överväga säkerhetsriskerna som är förknippade med att tillåta åtkomst till webbplatsen utan ett användarkonto (vilket är möjligt via gäståtkomst). Du kanske vill överväga att inaktivera inställningen för Gästinloggningsknapp.

Gäståtkomst kan hanteras under snabbåtkomstmenyn > Plugins > Authentication > Manage authentication. 

Aktivering av URL-nedladdare kan låta externa användare nå URL:er inom ditt interna nätverk. Du bör inte aktivera den här funktionen om du har användare som har åtkomst till din webbplats, men som inte har åtkomst till andra resurser inom ditt interna nätverk som är tillgängliga från servern.

-

Vissa versioner av LibXML och PHP laddar potentiellt externa enheter till XML som standard, vilket innebär att innehållet i lokala filer kan erhållas av en skadlig användare. Se till att du använder uppdaterade versioner av LibXML och PHP för att förhindra denna sårbarhet.

-

Körbara sökvägar

Att tillåta exekverbara sökvägar anges via Admin GUI är en vektor för eskalering av privilegier.

-