Dataroot non sicura

Dataroot non sicura

by Natalia Visalli -
Number of replies: 11
Buonasera,

ho installato la versione 1.9.5 su Aruba

e il report sulla sicurezza mi dice che

Il vostro folder dataroot /web/htdocs/www.nataliavisalli.net/home/moodledata è in un posto sbagliato e potrebbe anche essere esposta pubblicamente sul web!


Per favore potreste dirmi dove metterla ?

Durante l'installazione si è rifiutato di installarlo su

/web/htdocs/www.nataliavisalli.net/moodledata


Grazie

Natalia
Average of ratings: -
In reply to Natalia Visalli

Re: Dataroot non sicura

by Andrea Bicciolo -
Picture of Core developers Picture of Plugin developers Picture of Translators
La dataroot dovrebbe stare al di fuori dello spazio web, quindi penso dovrebbe andare bene in "web/htdocs/www.nataliavisalli.net/moodledata"; . Una volta spostata la moodledata, devi dargli i permessi di lettura/scrittura per il processo del web server: se sei su linux "chwon -R webuser:webgroup moodledata" (cambiando "webuser" e "webgroup" con utente e gruppo del web server relativo alla distribuzione linux in uso e poi "chmod -R 750 moodledata" per eliminare l'accesso alla moodledata dagli "other"
I cambiamenti andranno riportati anche nella config.php di moodle.

Average of ratings: -
In reply to Natalia Visalli

Re: Dataroot non sicura

by mauro mascia -
Ciao

purtroppo Aruba non permette l'esecuzione di comandi cosi come correttamente indicato da Andrea , ma per fortuna su questo forum trovi molte indicazioni su come installarlo su aruba , basta che cerchi "aruba " in alto a destra e ti puoi studiare un pò la cosa.
Ti ricordo comunque che se hai acquistato un dominio windows su aruba alcune funzioni non sono supportate per la mancanza di alcune librerie ed in ogni caso sarebbe meglio usare un altro isp. Se proprio non puoi ti serve almeno un linux....
Average of ratings: -
In reply to mauro mascia

Re: Dataroot non sicura

by Natalia Visalli -
Provo a scrivere ad Aruba .....
Average of ratings: -
In reply to Natalia Visalli

Re: Dataroot non sicura

by Natalia Visalli -
La risposta di Aruba:

"La informiamo che l'ultima versione di Moodle ha dei requisiti che non sono soddisfatti presso i nostri Server in Hosting Linux in quanto richiede la presenza della Libreria XMLRPC che al momento non è installata sui nostri Server per motivi di Sicurezza in quanto si tratta di una libreria "sperimentale" come indicata come nel seguente link:

http://it2.php.net/manual/en/intro.xmlrpc.php

Allo stato attuale per poter installare correttamente Moodle si consiglia l'utilizzo di un Server Virtuale e/o Dedicato:

http://servervirtuali.aruba.it

Restiamo a disposizione per eventuali chiarimenti.

Saluti"


Non mi sembra che abbiano risposto alla mia domanda, ma probabilmente con un Server Virtuale e/o dedicato potrei anche mettere moodledata fuori dallo spazio web

Natalia
Average of ratings: -
In reply to Natalia Visalli

Re: Dataroot non sicura

by mauro mascia -
Hai già letto questo?
Average of ratings: -
In reply to mauro mascia

Re: Dataroot non sicura

by Natalia Visalli -
Grazie per i consigli smile)


Si, il mio config.php dovrebbe andare bene (00777)


Per il momento tutto funziona bene.

Avrei preferito mettere tutto in sicurezza per evitare intrusioni, ma pazienza.
Ho fatto una copia del config.php e dei files di moodle , ho dato a config.php i permessi 0440, cambiato il nome a install.php e alla cartella install, cercherò di fare spesso copie dei corsi ...... insomma ho schierato tutta la truppa di docente-intraprendente-che-non-può-permettersi-un-server-dedicato contro le intrusioni e poi ..... che la "Rete sia con noi"

smile))))

Natalia



Average of ratings: -
In reply to Natalia Visalli

Re: Dataroot non sicura

by Maurizio Vacca -
Scusate, mi inserisco anch'io in questa discussione perchè non ho capito alcune cose.

Per motivi di sicurezza ho letto che sarebbe meglio mettere la cartella moodledata fuori dallo spazio web.
Anzitutto vi chiederei di chiarirmi cosa voglia dire: se ho un contratto di hosting (a prescindere che sia su Aruba o meno) mi danno a disposizione uno spazio web dove mettere i file del mio sito. Come fa la cartella moodledata ad essere piazzata fuori da questo spazio web? L'unica cosa che mi viene in mente è questa: tutti i file del sito sono all'interno della medesima cartella del mio spazio e la cartella moodledata deve essere messa fuori da quella del sito (ma mi chiedo perchè questa cosa dovrebbe influire sulla sicurezza).

Leggendo questo post non ho ancora capito se su Aruba questo si possa fare.
Da quel che scrive Natalia mi sembra che alla fine il percorso sia questo:
/web/htdocs/www.nataliavisalli.net/home/moodledata
confermi?

Quanto poi scrive Aruba è inquietante: sarebbe da approfondire il discorso di cosa comporti il mancato supporto alle librerie XMLRPC sui server di Aruba sia in termini di funzionalità della piattaforma (cos'è, potrebbe non eseguire certi comandi?) sia in termini di sicurezza.

Sarebbe bello poter disporre di una guida completa dell'installazione di Moodle su Aruba: le informazioni presenti sul forum sono molto frammentarie e sparse in diversi thread di questo forum e non è facile capire quali siano le indicazioni corrette da seguire.

Ringrazio chiunque possa essere di aiuto.
Ciao
Maurizio
Average of ratings: -
In reply to Maurizio Vacca

Re: Dataroot non sicura

by mauro mascia -
ciao. detta in maniera estremamamente semplice i server web fanno riferimento ad una cartella (di solito con il nome simile a quello del tuo sito) a cui i programmi (i browser , cioè firefox , explorer , ecc) hanno accesso. A monte di questa cartella ci sono dei veri e propri computer , che possono essere con sistema operativo linux , windows , ecc.
Ebbene , quando compri un dominio , quanto meno hai accesso anche alla cartella contenente la cartella del dominio ed è li che andrebbe messo moodledata. Questo perchè quando un programma di browsing accede alla cartella del sito, il programma che fa le funzioni di fornire i dati da visualizzare nella pagina web è "comandato" da un utente "virtuale" , risiedente nel computer dove è installato il server web.Questo "utente" può lavorare solo nella cartella del sito web e non ha i permessi per lavorare altrove quindi non può lavorareneanche nella cartella appena a monte del sito e che dovresti avere quando acquisti uno spazio web. La conseguenza di ciò è che ,per esempio , se un hacker accedesse alla cartella del tuo sito web comunque non potrebbe fare danni altrove .

Su aruba questo è possibile e almeno per quel che mi riguarda nei tre domini che ho qui quando accedo via ftp mi trovo in una cartella (la mia "root") che contiene la cartella del mio sito ( xxxxxxx.it , etc ) , solo che moodle vuole l'indirizzo ( path ) della cartella in relazione al computer dove è installato . Per ottenerlo , se sei in grado di farlo creati un php info e vedi il path del server , altrimenti vai nel pannello di controllo di aruba , clicca su "istruzioni per l'uso del dominio" e quello che trovi scritto sotto a " Percorso assoluto (path) della cartella del sito :" è l'indirizzo assoluto sul computer del tuo server web . Nel mio caso è :

d:\inetpub\webs\nomedominioxxx

dove nomedominioxxx e' il nome completo del dominio senza alcun punto

La mancanza di alcune librerie potrebbe portare a malfunzionamenti del sito. per esempio tempo fa avevo installato moodle su un server windows presso aruba , ma mancando le librerie GD , le foto per esempio dei partecipanti ai corsi nonpotevano essere viste. Ora non so se questo problema è stato risolto , nè so cosa comporta la mancanza della XMLRPC , sta di fatto che come ho detto molte volte , se possibile evitate Aruba e se proprio non potete evitarlo prendete un linux.

Proprio perchè non è cosi semplice , credo sia difficile che qualcuno faccia un tutorial su come installare moodle su aruba , visto che basta cambiare mantainer e ogni prob è risolto .

Scusate la lungaggine e magari la non chiarezza o gli eventuali errori ,ho fatto del mio meglio :P
Average of ratings: -
In reply to mauro mascia

Re: Dataroot non sicura

by Maurizio Vacca -
Grazie Mauro per la lunga e dettagliata risposta.
I miei dubbi derivano soprattutto dal non avere ancora accesso al pannello di controllo di Aruba.
Il problema è che il sito che sto curando per la mia scuola è già "hostato" su Aruba, ma è all'interno di un sito più grande che raccoglie i contenuti inerenti anche altre scuole che hanno una gestione separata dei contenuti.
L'idea era quella di farsi aprire un sottodominio ed agganciarlo ad un nuovo spazio web che avevo pensato essere con Aruba con hosting linux.
Mi è sembrata la soluzione più semplice.
Leggendo però qui ho capito che le cose potrebbero non essere tali.
Nell'altro thread dedicato ad Aruba (questo) mi avevi consigliato comunque di continuare con questa soluzione.

Per come la vedo io la cosa migliore sarebbe gestire il sito su un nostro server interno e far puntare direttamente il sottodominio al nostro IP fisso, ma io non sono un sistemista e il personale addetto alle questioni di questo tipo non è interpellabile per gestire il problema. Tra l'altro abbiamo un server Windows quindi per far girare decentemente un sito con joomla+moodle sarebbe forse più adattato una macchina virtuale linux opportunamente configurata e installata sul nostro server, ma una cosa di questo tipo io non sono in grado di gestirla perchè mi mancano le competenze.
Detto questo comunque mi dispiacerebbe far fare delle scelte alla mia scuola (cioè fargli fare un nuovo contratto per l'hosting linux) che possono rilevarsi non appropriate per fare funzionare il nuovo sito.
Grazie ancora!
Maurizio
Average of ratings: -