{"id":7573,"date":"2024-01-05T12:00:38","date_gmt":"2024-01-05T12:00:38","guid":{"rendered":"https:\/\/www.webhi.com\/how-to\/?p=7573"},"modified":"2024-01-05T12:00:42","modified_gmt":"2024-01-05T12:00:42","slug":"installaler-securiser-lms-moodle-ubuntu-debian-linux","status":"publish","type":"post","link":"https:\/\/www.webhi.com\/how-to\/fr\/installaler-securiser-lms-moodle-ubuntu-debian-linux\/","title":{"rendered":"Installation et s\u00e9curisation de Moodle \u00e9tape par \u00e9tape"},"content":{"rendered":"\n
\"Installation<\/figure>\n\n\n\n

Moodle<\/strong> est un syst\u00e8me de gestion de l’apprentissage (LMS) gratuit et open source utilis\u00e9 par les \u00e9coles, les universit\u00e9s, les entreprises et d’autres organisations pour proposer des cours et des programmes de formation en ligne. Avec Moodle, vous pouvez cr\u00e9er des environnements d’apprentissage personnalis\u00e9s complets avec des quiz, des forums, des devoirs, des vid\u00e9os et plus encore.<\/p>\n\n\n\n

L’installation de Moodle implique plusieurs \u00e9tapes, notamment la mise en place d’un serveur web, d’un serveur de base de donn\u00e9es, de PHP et du code Moodle lui-m\u00eame. Il est \u00e9galement crucial de s\u00e9curiser correctement l’installation de Moodle pour emp\u00eacher tout acc\u00e8s non autoris\u00e9 et d’autres menaces de s\u00e9curit\u00e9.<\/p>\n\n\n\n

Ce guide vous guidera \u00e9tape par \u00e9tape dans le processus d’installation de Moodle sur un serveur Linux sous Ubuntu 20.04\/22.04. Il couvre \u00e9galement les consid\u00e9rations et configurations de s\u00e9curit\u00e9 importantes pour verrouiller l’acc\u00e8s et prot\u00e9ger les donn\u00e9es. Suivre ces instructions permettra d’obtenir un environnement Moodle pleinement fonctionnel et s\u00e9curis\u00e9, pr\u00eat \u00e0 construire des cours.<\/p>\n\n\n\n

Conditions pr\u00e9alables<\/h2>\n\n\n\n

Avant d’installer Moodle, vous devez vous assurer que votre serveur Ubuntu 20.04\/22.04 est \u00e0 jour et dispose des packages n\u00e9cessaires install\u00e9s :<\/p>\n\n\n\n

$ sudo apt update\n$ sudo apt upgrade -y\n$ sudo apt install apache2 mariadb-server php8.0 php8.0-curl php8.0-zip php8.0-gd php8.0-mbstring php8.0-xml php8.0-soap php8.0-intl -y<\/code><\/pre>\n\n\n\n
Vous aurez \u00e9galement besoin d’un nom de domaine pointant sur l’adresse IP publique de votre serveur. Ce guide utilise example.com<\/code>.<\/p>\n\n\n\n
Une fois les conditions pr\u00e9alables remplies, vous pouvez passer \u00e0 l’installation et \u00e0 la configuration du serveur web.<\/p>\n\n\n\n
Installer le serveur Web Apache<\/h2>\n\n\n\n
Moodle n\u00e9cessite le serveur web Apache pour servir les pages web. Installez Apache avec cette commande :<\/p>\n\n\n\n
$ sudo apt install apache2<\/code><\/pre>\n\n\n\n
Ajustez le pare-feu pour autoriser le trafic HTTP et HTTPS :<\/p>\n\n\n\n
$ sudo ufw allow in \"Apache Full\"<\/code><\/pre>\n\n\n\n
Testez qu’Apache fonctionne correctement en acc\u00e9dant au nom de domaine ou \u00e0 l’adresse IP publique de votre serveur depuis un navigateur web. Vous devriez voir la page par d\u00e9faut d’Apache.<\/p>\n\n\n\n
Configurer la base de donn\u00e9es MariaDB<\/h2>\n\n\n\n
Moodle s’appuie sur une base de donn\u00e9es MySQL\/MariaDB pour stocker toutes les donn\u00e9es de cours. Installez MariaDB avec :<\/p>\n\n\n\n
$ sudo apt install mariadb-server<\/code><\/pre>\n\n\n\n
Ex\u00e9cutez le script de s\u00e9curit\u00e9 pour supprimer les param\u00e8tres insecure par d\u00e9faut :<\/p>\n\n\n\n
$ sudo mysql_secure_installation<\/code><\/pre>\n\n\n\n
Lorsque vous y \u00eates invit\u00e9, d\u00e9finissez un mot de passe root, supprimez les utilisateurs anonymes, d\u00e9sactivez la connexion root \u00e0 distance et supprimez la base de donn\u00e9es de test. R\u00e9pondez ‘y’ \u00e0 toutes les autres questions.<\/p>\n\n\n\n
Cr\u00e9ez un utilisateur et une base de donn\u00e9es pour Moodle. Changez moodleuser<\/code> et moodlepassword<\/code> avec des identifiants s\u00e9curis\u00e9s :<\/p>\n\n\n\n
$ sudo mysql -u root -p<\/code><\/pre>\n\n\n\n
CREATE DATABASE moodledb;\nCREATE USER 'moodleuser'@'localhost' IDENTIFIED BY 'moodlepassword';\nGRANT ALL ON moodledb.* TO 'moodleuser'@'localhost';\nexit<\/code><\/pre>\n\n\n\n
La base de donn\u00e9es MariaDB est d\u00e9sormais pr\u00eate pour Moodle.<\/p>\n\n\n\n
Configurer PHP 8.0 pour Moodle<\/h2>\n\n\n\n
Moodle n\u00e9cessite PHP 8.0 avec quelques modules sp\u00e9cifiques activ\u00e9s.<\/p>\n\n\n\n
Tout d’abord, modifiez php.ini pour ajuster certains param\u00e8tres recommand\u00e9s :<\/p>\n\n\n\n
$ sudo nano \/etc\/php\/8.0\/apache2\/php.ini <\/code><\/pre>\n\n\n\n
Trouvez et mettez \u00e0 jour les valeurs suivantes :<\/p>\n\n\n\n
max_execution_time = 180\nmax_input_time = 180  \nmemory_limit = 256M \nupload_max_filesize = 100M\npost_max_size = 100M\nmax_input_vars = 3000<\/code><\/pre>\n\n\n\n
Enregistrez et quittez le fichier lorsque vous avez termin\u00e9.<\/p>\n\n\n\n
Ensuite, activez les modules PHP requis :<\/p>\n\n\n\n
$ sudo phpenmod mysqli pdo pdo_mysql json zip intl mbstring soap  <\/code><\/pre>\n\n\n\n
Red\u00e9marrez Apache pour que les modifications PHP prennent effet :<\/p>\n\n\n\n
$ sudo systemctl restart apache2<\/code><\/pre>\n\n\n\n
PHP 8.0 est d\u00e9sormais pr\u00eat \u00e0 ex\u00e9cuter Moodle.<\/p>\n\n\n\n
T\u00e9l\u00e9charger et installer Moodle<\/h2>\n\n\n\n
Avec le serveur web, la base de donn\u00e9es et PHP configur\u00e9s, vous pouvez maintenant installer Moodle lui-m\u00eame.<\/p>\n\n\n\n
Tout d’abord, passez au r\u00e9pertoire racine du document Apache :<\/p>\n\n\n\n
$ cd \/var\/www\/html<\/code><\/pre>\n\n\n\n
T\u00e9l\u00e9chargez la derni\u00e8re version stable de Moodle :<\/p>\n\n\n\n
$ sudo wget https:\/\/download.moodle.org\/download.php\/stable403\/moodle-4.3.2.zip <\/code><\/pre>\n\n\n\n
D\u00e9compressez les fichiers :<\/p>\n\n\n\n
$ sudo unzip moodle-4.3.2.zip<\/code><\/pre>\n\n\n\n
Renommez le r\u00e9pertoire :<\/p>\n\n\n\n
$ sudo mv moodle moodle-install<\/code><\/pre>\n\n\n\n
D\u00e9finissez les autorisations :<\/p>\n\n\n\n
$ sudo chown -R www-data:www-data \/var\/www\/html\/moodle-install\n$ sudo chmod -R 755 \/var\/www\/html\/moodle-install<\/code><\/pre>\n\n\n\n
Acc\u00e9dez au nom de domaine de votre serveur suivi de \/moodle-install<\/code> dans un navigateur web. Vous serez dirig\u00e9 vers la page d’installation de Moodle.<\/p>\n\n\n\n
S\u00e9lectionnez votre langue et passez \u00e0 l’\u00e9tape suivante. Fournissez vos d\u00e9tails de base de donn\u00e9es, y compris l’h\u00f4te, le nom, l’utilisateur et le mot de passe. Pour le r\u00e9pertoire de donn\u00e9es, entrez le chemin \/var\/www\/html\/moodledata<\/code>. Terminez le processus d’installation en d\u00e9finissant un nom d’utilisateur admin, un mot de passe et un nom de site.<\/p>\n\n\n\n
Une fois les configurations enregistr\u00e9es, vous serez dirig\u00e9 vers l’interface principale de Moodle. Le syst\u00e8me de base est maintenant install\u00e9 et doit \u00eatre s\u00e9curis\u00e9.<\/p>\n\n\n\n
S\u00e9curiser l’installation Moodle<\/h2>\n\n\n\n
Une installation Moodle par d\u00e9faut contient de multiples vuln\u00e9rabilit\u00e9s de s\u00e9curit\u00e9 qui doivent \u00eatre trait\u00e9es. Cela implique des changements de param\u00e8tres dans Moodle lui-m\u00eame ainsi que dans le serveur web et la base de donn\u00e9es.<\/p>\n\n\n\n
Utiliser HTTPS<\/h3>\n\n\n\n
Le trafic HTTP n’est pas chiffr\u00e9 et peut exposer les mots de passe et autres donn\u00e9es sensibles. Pour activer HTTPS sur Apache :<\/p>\n\n\n\n
$ sudo a2enmod ssl  \n$ sudo systemctl reload apache2<\/code><\/pre>\n\n\n\n
Obtenez un certificat SSL\/TLS aupr\u00e8s d’un fournisseur comme Let’s Encrypt et installez-le selon leur documentation. Redirigez tout le trafic HTTP vers HTTPS en modifiant \/etc\/apache2\/sites-available\/000-default.conf<\/code> :<\/p>\n\n\n\n
<VirtualHost *:80>\n        Redirect \"\/\" \"https:\/\/example.com\/\"\n<\/VirtualHost><\/code><\/pre>\n\n\n\n
Enregistrez le fichier et rechargez Apache \u00e0 nouveau. L’acc\u00e8s au domaine doit maintenant rediriger vers une connexion HTTPS s\u00e9curis\u00e9e.<\/p>\n\n\n\n
D\u00e9finir les autorisations de fichier<\/h3>\n\n\n\n
Les fichiers et r\u00e9pertoires Moodle doivent appartenir \u00e0 l’utilisateur du serveur web. Ex\u00e9cutez :<\/p>\n\n\n\n
$ sudo chown -R www-data:www-data \/var\/www\/html\/moodle*<\/code><\/pre>\n\n\n\n
Verrouillez encore plus les autorisations avec :<\/p>\n\n\n\n
$ sudo find \/var\/www\/html\/moodle* -type d -exec chmod 750 {} \\;\n$ sudo find \/var\/www\/html\/moodle* -type f -exec chmod 640 {} \\;<\/code><\/pre>\n\n\n\n
Cela emp\u00eache l’utilisateur web de cr\u00e9er ou de modifier des fichiers dans les dossiers Moodle.<\/p>\n\n\n\n
Utilisez un mot de passe admin fort<\/h3>\n\n\n\n
Lors de l’installation initiale de Moodle, d\u00e9finissez un mot de passe tr\u00e8s robuste pour le compte admin. Assurez-vous qu’il comporte au moins 16 caract\u00e8res, utilise des chiffres, des symboles, des majuscules et des minuscules.<\/p>\n\n\n\n
Vous pouvez \u00e9galement am\u00e9liorer les strat\u00e9gies de mot de passe en appliquant une longueur minimale et une complexit\u00e9 sous Admin du site > S\u00e9curit\u00e9 > R\u00e8gles du site.<\/p>\n\n\n\n
Limiter les cr\u00e9ateurs de cours<\/h3>\n\n\n\n
Par d\u00e9faut, tout utilisateur connect\u00e9 peut cr\u00e9er de nouveaux cours dans Moodle. Cette exposition inutile. Limitez plut\u00f4t la cr\u00e9ation de cours uniquement \u00e0 l’administrateur en acc\u00e9dant \u00e0 Admin du site > Utilisateurs > Autorisations > D\u00e9finir les r\u00f4les.<\/p>\n\n\n\n
Sous le r\u00f4le Utilisateur authentifi\u00e9, d\u00e9cochez “Cr\u00e9er de nouveaux cours”. Enregistrez les modifications. D\u00e9sormais, seul l’administrateur peut cr\u00e9er des cours.<\/p>\n\n\n\n
D\u00e9sactiver l’acc\u00e8s invit\u00e9<\/h3>\n\n\n\n
L’acc\u00e8s invit\u00e9 permet \u00e0 quiconque de se connecter et de voir le contenu du cours sans s’inscrire \u00e0 un compte utilisateur. D\u00e9sactivez cette option sous Admin du site > Utilisateurs > Authentification.<\/p>\n\n\n\n
D\u00e9finissez “Activer l’acc\u00e8s invit\u00e9” sur Non et enregistrez les modifications. Exigez l’inscription d’un utilisateur pour tout acc\u00e8s.<\/p>\n\n\n\n
Utiliser HTTPS pour la connexion \u00e0 la base de donn\u00e9es<\/h3>\n\n\n\n
Par d\u00e9faut, Moodle se connecte \u00e0 la base de donn\u00e9es via HTTP non chiffr\u00e9. Chiffrez ce trafic en modifiant \/var\/www\/html\/moodle-install\/config.php<\/code> :<\/p>\n\n\n\n
Trouvez la ligne :<\/p>\n\n\n\n
$CFG->dbhost = 'localhost';<\/code><\/pre>\n\n\n\n
Changez-la en :<\/p>\n\n\n\n
$CFG->dbhost = 'localhost:3306';<\/code><\/pre>\n\n\n\n
Cela force une connexion SSL chiffr\u00e9e.<\/p>\n\n\n\n
S\u00e9curiser la base de donn\u00e9es<\/h3>\n\n\n\n
Verrouillez la base de donn\u00e9es MariaDB en commen\u00e7ant par d\u00e9finir un mot de passe root fort.<\/p>\n\n\n\n
Ensuite, restreignez l’acc\u00e8s \u00e0 distance avec ces modifications dans \/etc\/mysql\/mariadb.conf.d\/50-server.cnf<\/code> :<\/p>\n\n\n\n
bind-address = 127.0.0.1\nport = 3306<\/code><\/pre>\n\n\n\n
Cela emp\u00eache les connexions externes \u00e0 la base de donn\u00e9es. Red\u00e9marrez MariaDB apr\u00e8s avoir apport\u00e9 les modifications.<\/p>\n\n\n\n
Assurez-vous \u00e9galement que l’utilisateur mysql Unix n’a pas de shell de connexion :<\/p>\n\n\n\n
$ sudo usermod -s \/usr\/sbin\/nologin mysql<\/code><\/pre>\n\n\n\n
Cela emp\u00eache tout acc\u00e8s au niveau du syst\u00e8me d’exploitation avec le compte mysql.<\/p>\n\n\n\n
Limiter les t\u00e9l\u00e9chargements de fichiers PHP<\/h3>\n\n\n\n
Les fichiers t\u00e9l\u00e9charg\u00e9s pourraient contenir du code malveillant et doivent \u00eatre limit\u00e9s. Modifiez \/etc\/php\/8.0\/apache2\/php.ini<\/code> et ajoutez :<\/p>\n\n\n\n
file_uploads = On \nupload_max_filesize = 2M\nmax_file_uploads = 2  <\/code><\/pre>\n\n\n\n
Cela restreint les t\u00e9l\u00e9chargements \u00e0 2 fichiers de 2Mo chacun. Ajustez selon vos besoins sp\u00e9cifiques.<\/p>\n\n\n\n
D\u00e9sactiver l’ex\u00e9cution PHP dans les t\u00e9l\u00e9chargements<\/h3>\n\n\n\n
Pour emp\u00eacher l’ex\u00e9cution des fichiers PHP t\u00e9l\u00e9charg\u00e9s, d\u00e9sactivez-la sp\u00e9cifiquement pour le r\u00e9pertoire de t\u00e9l\u00e9chargement :<\/p>\n\n\n\n
<Directory \/var\/www\/html\/moodledata\/filedir>\n   php_admin_flag engine off\n<\/Directory><\/code><\/pre>\n\n\n\n
Ajoutez ceci \u00e0 votre configuration Apache dans \/etc\/apache2\/sites-available\/000-default.conf<\/code> \u00e0 l’int\u00e9rieur des balises VirtualHost.<\/p>\n\n\n\n
Installez un pare-feu d’applications Web (WAF)<\/h3>\n\n\n\n
Un WAF fournit une surveillance et un filtrage approfondis de tout le trafic web. Il peut bloquer les injections SQL, XSS, CSRF et autres attaques avant qu’elles n’atteignent Moodle.<\/p>\n\n\n\n
Le WAF open source ModSecurity s’int\u00e8gre \u00e9troitement avec Apache. Suivez un guide pour l’installer afin d’obtenir une protection robuste contre les menaces.<\/p>\n\n\n\n
Utiliser des plugins de s\u00e9curit\u00e9<\/h3>\n\n\n\n
Moodle fournit des plugins qui am\u00e9liorent la s\u00e9curit\u00e9 dans des domaines comme l’authentification, les autorisations, le filtrage, etc. Envisagez d’activer des plugins comme No Self Signups, ReCAPTCHA, Access Rule Levels, etc.<\/p>\n\n\n\n
Conclusion<\/h2>\n\n\n\n
Vous devriez maintenant avoir un environnement Moodle pleinement fonctionnel install\u00e9 sur Ubuntu avec une pile LAMP s\u00e9curis\u00e9e configur\u00e9e pour verrouiller les vuln\u00e9rabilit\u00e9s. Quelques prochaines \u00e9tapes sont :<\/p>\n\n\n\n