- 08 Apr 2024
- 8 Protokoll att läsa
Säkerhetsöversikt
- Uppdaterad på 08 Apr 2024
- 8 Protokoll att läsa
Rapport om säkerhetsöversikt kan nås via snabbåtkomstmenyn > Säkerhet > Säkerhetsöversikt . Den visar en rapport om statusen för alla viktiga säkerhetsinställningar inifrån systemet, som visar om den aktuella inställningen är OK . Om ett problem uppstår kommer du att se statusen Varning eller Allvarlig, vilket innebär att du bör granska inställningen och se till att du är medveten om säkerhetsriskerna eller vidta nödvändiga korrigerande åtgärder.
Gästrollen är avsedd för icke inloggade, tillfälliga användare och därför ska inga riskabla behörigheter/funktioner ges till denna roll.
Inställning | Beskrivning | Anteckningar |
---|---|---|
Administratörer | Det är lämpligt att hålla antalet platsadministratörer till ett minimum. Om användare inte behöver alla behörigheter/förmågor för en platsadministratör, överväg en annan roll, såsom platschef . | Du kan justera antalet webbplatsadministratörer via administrationsmeny > rättigheter > Webbplatsadministratörer. |
Tillåt EMBED och OBJECT | Som standard säkerhetsåtgärd får normala användare inte bädda in multimedia (som Flash) i texten med hjälp av explicita EMBED- och OBJECT-taggar i sin HTML (även om det fortfarande kan göras säkert med hjälp av filtret för mediaplugins). Om du vill tillåta dessa taggar aktiverar du detta alternativ i säkerhetsinställningarna . | För att konfigurera detta, gå till snabbåtkomstmenyn > Säkerhet > Säkerhetsinställningar . |
Autentiseringsnoauth inaktiverad | Denna inställning bör stängas av på live-/produktionswebbplatser, eftersom det skulle tillåta någon att skapa ett konto utan autentisering, vilket innebär att de till och med kan använda en e-postadress som inte finns och det inte krävs någon verifiering. | Detta kan stängas av genom att gå till Snabbåtkomst > plugin > autentisering > Hantera autentisering och se till att den är inaktiverad. |
Backup av användardata | Den här inställningen söker efter roller som har funktionen backup:userinfo, eftersom innehavare av denna behörighet kan säkerhetskopiera alla användardata (inklusive relevanta användarkontouppgifter) när de säkerhetskopierar en kurs. Detta kan leda till ett säkerhetsintrång om det är i fel händer. Det rekommenderas också att du säkerställer en robust lösenordspolicy för att skydda konton för användare med denna kapacitet. | Möjligheten att säkerhetskopiera användardata är separat från möjligheten att säkerhetskopiera kursdata. Som standard kan endast chefsrollen säkerhetskopiera användardata. Lösenordspolicyer kan ställas in via snabbåtkomstmenyn > Säkerhet > Säkerhetsinställningar. |
Kontrollera alla offentliga/privata sökvägar | Kontrollera att interna sökvägar inte är offentligt tillgängliga. | Detta konfigureras på servernivå. Se den detaljerade rapporten för mer information. |
CSRF-skydd på inloggningssida | Det rekommenderas att CSRF-skydd är aktiverat på din webbplats logga in. Det kanske dock inte är kompatibelt med anpassade autentisering plugin eller inaktuella logga in. | Detta kan endast ställas in i config.php , se config.example.php för detaljer. |
Förvald roll för alla användare | Standardanvändarrollen är normalt inställd som Autentiserad användare . Om du ser statusen Kritisk så betyder det att rollen inte är korrekt konfigurerad och att vissa riskabla funktioner kan ha getts till den. Du kan redigera behörigheterna för rollen genom att gå till snabbåtkomstmenyn > Användare > Behörigheter > Definiera roller och sedan klicka på Autentiserad användare och bläddra i behörighetskolumnen för att kontrollera att allt är som förväntat. | Detta kan konfigureras via snabbåtkomstmenyn > rättigheter > användare. |
Inaktivera konsistent uppstädning | Det rekommenderas starkt att inställningen Inaktivera konsekvent rengöring inte är aktiverad, eftersom detta kan introducera sårbarheter med användare som lägger till skadlig HTML till din webbplats. | Detta kan konfigureras via administrationsmeny > Säkerhet > Säkerhet inställningar. |
Visning av PHP-fel | Detta bör stängas av för alla live-/produktionswebbplatser, eftersom det kan skapa en säkerhetssårbarhet. Om PHP är inställt på att visa fel skulle det tillåta någon att få information såsom katalogstrukturer genom att ange en felaktig URL (uppmana PHP att visa detaljer om felet och systemet). | Detta kan ändras i php.ini- filen. Öppna filen och ställ display_errors in på display_errors=Av . |
Bekräftelse av ändrad e-postadress | Du kan välja att tvinga användare att bekräfta eventuella ändringar som de gör i sin e-postadress. Det rekommenderas att du gör detta för att förhindra spammare från att utnyttja din server. | Detta konfigureras via administrationsmeny > Säkerhet > Säkerhet inställningar. |
Körbara sökvägar | Att tillåta exekverbara sökvägar anges via Admin GUI är en vektor för eskalering av privilegier. | Detta är konfigurerat i config.php . |
Förstasidesroll | Standardrollen för förstasidan ges till alla registrerade användare för aktiviteter på förstasidan. Se till att inga riskabla förmågor tillåts för denna roll. Det rekommenderas att en specialroll skapas flr detta syfte och att en arvtyproll inte används. | Konfigureras via Redigera inställningar i Administrationsblocket på förstasidan. |
GraphQL-utvecklarläge | Även om GraphQL-utvecklingsläge kan aktiveras via config.php vid implementering av ny kod, bör detta läge inte aktiveras på produktionsplatser. | Detta är konfigurerat i config.php . |
Tillåt gäster | Du måste noggrant överväga säkerhetsriskerna som är förknippade med att tillåta åtkomst till webbplatsen utan ett användarkonto (vilket är möjligt via gäståtkomst). Du kanske vill överväga att inaktivera inställningen för Gästinloggningsknapp. | Gäst kan hanteras via administrationsmeny > plugin > autentisering > Manage autentisering . |
Gästroll | Detta kan konfigureras via administrationsmeny > rättigheter > användare. | - |
HTTP only cookies | Detta förhindrar skript från att komma åt cookies som skickas av din server så att cookies endast är tillgängliga genom faktiska förfrågningar. Detta kan bidra till att minska risken för Scripting-attacker (XSS). | HTTP-cookies kan aktiveras från snabbåtkomstmenyn > Säkerhet > HTTP-säkerhet. Observera att vissa äldre webbläsare kanske inte stöder denna funktion. |
HTTPS-protokoll | Eftersom HTTP-protokoll är lätt att exploatera rekommenderas att du använder HTTPS-protokoll på alla dina servrar. | - |
Osäker dataroot | Användarfiler lagras av Totara i dataroten. För att hålla det säkert bör detta inte vara tillgängligt från webben. | Om datarotkatalogen flyttas måste datarootsetting $CFG-> uppdateras i config.php- filen. |
Node.js modulkatalog | node_modules Katalogen innehåller Node.js-moduler och deras beroenden, vanligtvis installerade av NPM-verktyget. Dessa moduler kan krävas för Totaras utveckling. De behövs inte för att köra en Totara- webbplats, och de kan innehålla potentiellt farlig kod som utsätter din webbplats för fjärrattacker. Det rekommenderas starkt att ta bort katalogen om webbplatsen är tillgänglig via en publik URL, eller åtminstone att begränsa webb-access till den. | - |
OAuth 2 e-postverifiering | Det rekommenderas att alla OAuth 2-leverantörer verkställer verifiering av e-postkonto om automatisk kontolänkning är aktiverad. | Detta konfigureras per OAuth 2administrationsmeny > Server > OAuth 2 > OAuth 2-konsumentuppgifter. |
Öppen för Google | Denna inställning fungerar med gäståtkomst för att tillåta sökmotorer att komma åt kurser med gäståtkomstbehörigheter. Observera att Googles åtkomst till din webbplats innebär att allt innehåll är offentligt tillgängligt, så gör det endast om det inte finns någon konfidentiell eller känslig information på din webbplats. | Detta konfigureras via administrationsmeny > Säkerhet > Säkerhet inställningar. |
Öppna användarprofiler | Om du lämnar alla användarprofiler öppna så finns det en risk att dessa kan missbrukas av spammare (eftersom de skulle vara synliga för allmänheten). Vi rekommenderar att du endast gör användarprofiler tillgängliga för inloggade användare. | Kontrollera detta genom att konfigurera tvinga användare att logga in och tvinga användare att logga in för inställningar via administrationsmeny > Säkerhet > Säkerhet inställningar. |
Policy för lösenord | Att använda en lösenordspolicy hjälper till att göra din webbplats säkrare genom att uppmuntra/tvinga fram goda lösenordsvanor, inklusive mer komplexa lösenord (som är svårare att gissa) och även mer frekventa lösenordsbyten (om de är lättare att gissa). Försök att inte göra lösenordskraven för strikta eller svåra, men eftersom detta kan leda till att användare glömmer sina lösenord eller skriver ner dem, vilket kan leda till att eventuella säkerhetsfördelar förnekas. | Detta konfigureras via administrationsmeny > Säkerhet > Säkerhet inställningar. |
Spara inloggningsuppgifter | Om aktiverat ignorerar beständiga inloggningar standardsessionstimeout och ställer in en permanent webbläsarcookie. Denna cookie används senare för att automatiskt logga in användare igen efter omstart av webbläsare eller sessionstimeout. | Detta kan konfigureras via snabbåtkomstmenyn > Säkerhet > Säkerhetsinställningar. |
SCORM-session keep alive | Om aktiverat hålls användarsessionen vid liv i SCORM-spelaren. | Detta kan konfigureras via administrationsmeny > plugin > Aktivitetsmoduler > SCORM packa ge. |
Säkra cookies | Du bör aktivera säkra cookies om du tillåter HTTPS-kommunikation med din webbplats (rekommenderas). Det är också lämpligt att endast använda HSTS-rubriker och ställa in permanenta omdirigeringar för alla HTTP-sidor till HTTPS. | Säkra cookies kan aktiveras via snabbåtkomstmenyn > Säkerhet > HTTP-säkerhet. |
Osäker kod och filer i kursresurser | Alla inställningar för Tillåt osäker markering och filer är inaktiverade. Detta förhindrar att användare laddar upp potentiellt osäkert innehåll i kursresurser. | - |
Lagringsplats för URL-nedladdare | Aktivering av URL-nedladdare kan låta externa användare nå URL:er inom ditt interna nätverk. Du bör inte aktivera den här funktionen om du har användare som har åtkomst till din webbplats, men som inte har åtkomst till andra resurser inom ditt interna nätverk som är tillgängliga från servern. | - |
Uppräkning av användarnamn | När en användare anger felaktiga inloggningsuppgifter säkerställer Totara att det är vagt om orsaken till den misslyckade inloggningen, så att den som försöker attackera webbplatsen inte kan avgöra om användarnamnet eller lösenordet är fel. Uppräkning av användarnamn är en process som potentiella angripare kan använda för att ta reda på vad användarnamnskonventionen är för din Totara-webbplats så att de bara behöver gissa lösenordet för en användare för att få åtkomst. | Du kan inaktivera inställningen för självregistrering i snabbåtkomstmenyn > Plugins > Authentication > Manage authentication (eftersom potentiella angripare kan skapa sina egna användarnamn för att ta reda på mönstret). Du bör aktivera Skydda användarnamn så att inga tips ges till potentiella angripare om de klickar på länken för glömt lösenord. Detta kan göras via administrationsmeny > Säkerhet > Säkerhet inställningar. |
Webb-cron | Det rekommenderas att du endast kör cron från kommandoraden, eftersom körning av cron från en webbläsare riskerar att utsätta privilegierad information för anonyma användare. Dessutom kan du ställa in ett cron-lösenord för fjärråtkomst. | Detta konfigureras via administrationsmeny > Säkerhet > Säkerhet inställningar. |
Skrivbar config.php | När du har installerat din Totara-webbplats bör du redigera filen config.php för att säkerställa att den är inställd på skrivskyddad, vilket innebär att den inte kan ändras av webbservern. | Du måste CHMOD config.php-filen till antingen 644 eller 444 för att säkerställa att den är skrivskyddad. |
XSS tillförlitliga användare | Viss innehåll, såsom vissa multimediafiler, HTML-kod, JavaScript och Flash-applets, kan användas för att attackera din webbplats med hjälp av en skriptattack på flera webbplatser (XSS-attack). Vissa funktioner gör det möjligt för roller/användare på din webbplats att lägga till dessa typer av innehåll, eftersom de kan vara användbara för utbildningsändamål. Det är dock viktigt att se till att du bara tillåter betrodda användare att ha tillgång till dessa funktioner. Denna inställning i översiktsrapporten kommer att visa en lista över användare med dessa förmågor, så att du kan kontrollera att de alla är betrodda individer. | - |
XXE-risk | Vissa versioner av LibXML och PHP laddar potentiellt externa enheter till XML som standard, vilket innebär att innehållet i lokala filer kan erhållas av en skadlig användare. Se till att du använder uppdaterade versioner av LibXML och PHP för att förhindra denna sårbarhet. | - |
© Copyright 2024 Totara Learning Solutions. All rights reserved. Some content originally obtained via GPLv3 license and continues to be available under GPLv3. All other content is the sole copyright of Totara Learning Solutions.