Membuat Moodle Aman / Secure

WhiteCyber Team akan berbagi tips bagaimana membuat moodle berjalan secara Aman / Secure saat mengerjakan maupun saat digunakan.

Semua perangkat lunak aplikasi web yang sangat kompleks, dan setiap aplikasi memiliki masalah keamanan yang ditemukan dari waktu ke waktu, biasanya melibatkan beberapa kombinasi masukan bahwa programmer tidak mengantisipasi. Proyek Moodle mengambil keamanan serius, dan terus meningkatkan Moodle untuk menutup lubang seperti yang kita menemukan mereka.

Laporkan semua kejadian yang tidak aman di :

http://tracker.moodle.org/secure/CreateIssue!default.jspa

Pengamanan Sederhana untuk Moodle

• Teknik pengamanan pertama adalah backup dan restore, maka rajinlah membuat backup.
• Jalankan Service yang dibutuhkan saja
• Lakukan Update secara terus menerus
• Modelkan sistem pengamanan anda

Rekomendasi Pengamanan Moodle Dasar

• Update secara teratur moodle dengan release terbaru.
• Register Global harus di non aktifkan, ini untuk melindungi dari serangan XSS.
• Gunakan strong password untuk guru dan admin
• Berikan Account Guru pada pengguna yang terpercaya
• Pisahkan system anda bila memungkinkan, gunakan user dan password yang berbeda tiap-tiap system

Jalankan Update Reguler

• Bila menggunakan Windows maka aktifkan regular update
• Linux : up2date, yum, apt-get (aktifkan via cron jadi tetep selalu mengupgrade)
• Mac OSX update system
• Stay current with php, apache, and moodles

Firewall

• Untuk Security Expert di sarankan menggunakan dual firewall (software dan hardware)
• Non aktifkan semua service yang tidak digunakan (gunakan perintah netstat -a untuk melihatnya)
• Tidak ada jaminan setelah menggunakan firewall 100% Aman
• Ijinkan port
  

  80, 443(ssl), and 9111 (for chat),

  Remote admin: ssh 22, or rdp 3389

Password Policy
Settings > Site administration > Security > Site policies.
Gunakan password yang kuat, dan Gunakan Password MD5 Salting.

Siapkan bila keadaan genting

• Siapkan file backup
• Praktikan prosedur recovery
• Gunakan rootkit detector untuk mendeteksi adanya rootkit
• Linux/MacOSX - http://www.chkrootkit.org/
• Windows - http://www.sysinternals.com/Utilities/RootkitRevealer.html

Daftarkan Moodle anda pada Moodle Security Alert

• daftarkan web anda di Moodle.org

• Security alerts also posted online
• Web - http://moodle.org/security
• RSS feed - http://moodle.org/rss/file.php/1/1/forum/996/rss.xml

Pertimbangkan hal-hal berikut ini

• Gunakan setting form yang secure
• Selalu set mysql root user password
• Turn off mysql network access
• Gunakan SSL, httpslogins=yes
• Gunakan Password yang baik  Settings > Site administration > Security > Site policies
• Jangan mengaktifkan opentogoogle setting (in Settings > Site administration > Security > Site policies)
• Disable guest access
• Letakkan enrollment keys untuk semua kursus Course Enrollable = No for all courses
• Disable enrolment key hint in Settings > Site administration > Courses > Enrolments

Pertimbangkan semua permission file

1. Menjalankan moodle di dedicated server.

• pastikan anda berjalan pada server yang dikunci menggunakan gembok
• Moodle Data Direktory dan File yang ada di dalamnya di set sebagai berikut

  owner: apache user (apache, httpd, www-data, whatever; see above)
  group: apache group (apache, httpd, www-data, whatever; see above)
  permissions: 700 on directories, 600 on files
  

• Moodle direktori dan file diset sebagai berikut termasuk config.php

  owner: root
  group: root
  permissions: 755 on directories, 644 on files.
  

• Apabila anda mengizinkan di akses via jaringan local maka di setting sebagai berikut
  

  owner: root
  group: apache group (apache, httpd, www-data, whatever; see above)
  permissions: 750 on directories, 640 on files.

2. Menjalankan moodle di share hosting.
    Lindungin moodle data anda dengan setting file 707 atau 606

Jangan lupa baca yang ini juga