ChickenLipsRfun2eat
Anmeldungsdatum: 6. Dezember 2009
Beiträge: 12067
|
Hallo zusammen! Ich bin aktuell am Testen des Nextcloud-Wolkenbruchs auf meinem Heimknecht. Nextcloud meckert allerdings immer über fehlende Sicherheitskonfiguration, was ich trotz vieler Hinweise im Netz nicht ordentlich konfiguriert bekomme. Zitat Nextcloud: * Der „X-Frame-Options“-HTTP-Header ist nicht so konfiguriert, dass er „SAMEORIGIN“ entspricht. Dies ist ein potentielles Sicherheitsrisiko und es wird empfohlen, diese Einstellung zu ändern.
Ich habe bereits alle .htaccess-Dateien unterhalb /var/www/html, /etc/apache2/ und /usr/share/apache2/ auf der Suche nach einem doppelten Eintrag durchgegreppt… ohne Ergebnis. Der einzige Treffer findet sich in /etc/apache2/conf-available/security.conf (ja, ist enabled und ein symlink in conf-enabled verfügbar). In besagter Datei habe ich nun auch mal Groß- und Kleinschreibung, Header set X-Frame-Options: "sameorigin", so wie Header always set X-Frame-Options: "sameorigin" versucht, ohne Unterschied. Was mache ich falsch? Weitere Infos:
Apache/2.4.18 (Ubuntu) PHP 7.0.22-0ubuntu0.16.04.1 (fpm-fcgi) mysql Ver 14.14 Distrib 5.7.21, for Linux (x86_64) using EditLine wrapper Nextcloud Version 12.0.5 Apache2-Logdateien melden keine Probleme, nur wegen des selbst generierten Zertifikates das
AH02604: Unable to configure certificate meineDomain.tld:443:0 for stapling
|
Spenser
Anmeldungsdatum: 1. Februar 2006
Beiträge: 463
Wohnort: /home/CH/GR
|
Guten Abend Chicken, checke mal:
In der /etc/apache2/conf-available/ssl-params.conf auskommentieren:
#Header always set X-Frame-Options DENY
#Header always set X-Content-Type-Options nosniff Dann noch in der /etc/apache2/conf-available/security.conf checken das die Einträge nicht auskommentiert sind:
Header set X-Content-Type-Options: "nosniff"
Header set X-Frame-Options: "sameorigin" Dann den Indianer neu booten oder grad den ganzen Server; bei mir hat dieses die Lösung bei meiner NC-Instanz gebracht. Gruss EDIT: Codeblock vergessen 🙄
|
ChickenLipsRfun2eat
(Themenstarter)
Anmeldungsdatum: 6. Dezember 2009
Beiträge: 12067
|
Hallo! Danke für deinen Vorschlag, allerdings habe ich die Optionen gar nicht in der ssl-param:
#security.conf (gekürzt)
ServerTokens Minimal
ServerSignature Off
TraceEnable Off
<DirectoryMatch-Krempel>
...
</FilesMatch-Krempel>
Header set X-Content-Type-Options: "nosniff"
Header always set X-Frame-Options: "sameorigin" #ssl-params.conf
SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH
SSLProtocol All -SSLv2 -SSLv3
SSLHonorCipherOrder On
Header always set Strict-Transport-Security "max-age=63072000; includeSubdomains"
Header always set X-Content-Security-Policy "allow 'self';"
header always set x-xss-protection "1; mode=block"
Header always set X-Robots-Tag "none"
Header always set X-Download-Options "noopen"
Header always set X-Permitted-Cross-Domain-Policies "none"
SSLCompression off
SSLSessionTickets Off
SSLUseStapling on
SSLStaplingCache "shmcb:logs/stapling-cache(150000)"
SSLOpenSSLConfCmd DHParameters "/etc/ssl/certs/dhparam.pem"
|
Spenser
Anmeldungsdatum: 1. Februar 2006
Beiträge: 463
Wohnort: /home/CH/GR
|
Hi, wenn Du es einfügst und neu startest? Diese Einträge sollten schon dort vorhanden sein... .
Die NC Instanz läuft schon, oder? Die Fehlermeldung bekommst Du ja im Webinterface angezeigt wenn Du Dich als Admin einloggst. Edit: SSL-Zertifikat ist korrekt eingebunden oder? Selbst erstelltes?
|
ChickenLipsRfun2eat
(Themenstarter)
Anmeldungsdatum: 6. Dezember 2009
Beiträge: 12067
|
Spenser schrieb: wenn Du es einfügst und neu startest? Diese Einträge sollten schon dort vorhanden sein...
Die Konfiguration ist schon was älter, ich habe keinen neuen Server aufgesetzt. Wie die mal aussah, weiß ich nicht mehr ☺ Wie sie jetzt aussieht, siehst du oben. Wenn ich die Einträge irgendwo™ doppelt habe, funktionieren die ja nicht, daher dachte ich ja zuerst, ich habe das doppelt drin.
Die NC Instanz läuft schon, oder? Die Fehlermeldung bekommst Du ja im Webinterface angezeigt wenn Du Dich als Admin einloggst.
Ja, laufen tut das alles problemlos, inkl. files, Hörbuch über den audioplayer, etc. Ich würde nur gerne die sameorigin-Meldung wegbekommen.
Edit: SSL-Zertifikat ist korrekt eingebunden oder? Selbst erstelltes?
Ja. Server läuft ausschliesslich über SSL (redirect von *80 auf *443), Zertifikat ist selbst erstellt (ist nur lokal hier die Kiste) und noch bis nächstes Jahr gültig.
|
Spenser
Anmeldungsdatum: 1. Februar 2006
Beiträge: 463
Wohnort: /home/CH/GR
|
Also meine /etc/apache2/conf-available/ssl-params.conf schaut so aus:
SSLProtocol All -SSLv2 -SSLv3
SSLHonorCipherOrder On
# Disable preloading HSTS for now. You can use the commented out header line that includes
# the "preload" directive if you understand the implications.
#Header always set Strict-Transport-Security "max-age=63072000; includeSubdomains; preload"
Header always set Strict-Transport-Security "max-age=63072000; includeSubdomains"
#Header always set X-Frame-Options DENY
#Header always set X-Content-Type-Options nosniff
# Requires Apache >= 2.4
SSLCompression off
SSLSessionTickets Off
SSLUseStapling on
SSLStaplingCache "shmcb:logs/stapling-cache(150000)"
SSLOpenSSLConfCmd DHParameters "/etc/ssl/certs/dhparam.pem"
Ja, den Redirect habe ich auch drinnen.
Magst Du mir noch verraten nach welchem Tutorial Du Deine Instanz installiert hast? Per SNAP oder manuell mit LAMP etc.?
Meine NC läuft hier in einer VM auf einem ESXi der im Keller steht... seit über einem Jahr problemlos. Sogar die Updates und Upgrades verliefen immer fehlerfrei. LG
|
ChickenLipsRfun2eat
(Themenstarter)
Anmeldungsdatum: 6. Dezember 2009
Beiträge: 12067
|
Ich habe mich an die Anleitung der nextcloud-Website gehalten. Da steht an sich alles drin. Snap habe ich nicht installiert (oder deinstalliert, k.A. ☺ ). Ist ja "nur" php, da braucht man nichts in mehrere Verzeichnisse installieren. Kurzfassung:
download von nc12 entpacken nach /var/www/html/nextcloud Berechtigungen setzen Anlegen Datenverzeichnis, Datenbank index aufrufen, konfigurieren
So in etwa müsste das gewesen sein. Aber zurück zum Thema. Habe mal die bei mir den Eintrag <<"Header always set X-Permitted-Cross-Domain-Policies "none">> zum Test deaktiviert. Dann meckert Nextcloud korrekt, dass es nicht aktiviert ist. Eigentlich ist ja sameorigin gegen den clickjacking-Kram und bei mir aktiviert. Ich suche das jetzt mal im Quellcode und gucke, wie das abgefragt wird. Vielleicht hilft mir das weiter. Danke dir schonmal fürs Mitdenken… Wo hast du denn die weiteren Header-Einträge stehen? Nur in der .htaccess?
|
Spenser
Anmeldungsdatum: 1. Februar 2006
Beiträge: 463
Wohnort: /home/CH/GR
|
Ja ok, dann hast Du die Installation nicht via SNAP gemacht; finde ich persönlich auch nicht empfehlenswert.
Die .htaccess liegt bei mir hier: /var/www/nextcloud/data/.htaccess und schaut so aus:
# line below if for Apache 2.4
<ifModule mod_authz_core.c>
Require all denied
</ifModule>
# line below if for Apache 2.2
<ifModule !mod_authz_core.c>
deny from all
Satisfy All
</ifModule>
# section for Apache 2.2 and 2.4
<ifModule mod_autoindex.c>
IndexIgnore *
</ifModule>
Frag mich mal wie ich es genau eingerichtet vor 1 Jahr..., ich bin faul was das dokumentieren betrifft ☹
Was sagt denn der Link wenn Du Deine NC checkst?
https://scan.nextcloud.com/ Ah ja, ein Blick hierein ist auch hilfreich:
/var/www/nextcloud/config/config.php Ebenso hier:
/etc/php/7.0/apache2/php.ini
|
ChickenLipsRfun2eat
(Themenstarter)
Anmeldungsdatum: 6. Dezember 2009
Beiträge: 12067
|
Das Scannen mittels | curl -I https://domain.de/nextcloud/index.php -k
|
ergibt
HTTP/1.1 302 Found
Date: Thu, 01 Feb 2018 19:08:21 GMT
Server: Apache/2.4.18
X-Frame-Options: DENY
Strict-Transport-Security: max-age=63072000; includeSubdomains
X-Content-Security-Policy: allow 'self';
x-xss-protection: 1; mode=block
X-Robots-Tag: none
X-Download-Options: noopen
X-Permitted-Cross-Domain-Policies: none
Set-Cookie: key=value; path=/nextcloud; HttpOnly
Expires: Thu, 19 Nov 1981 08:52:00 GMT
Cache-Control: no-store, no-cache, must-revalidate
Pragma: no-cache
Set-Cookie: oc_sessionPassphrase=Salatmix; path=/nextcloud; secure; HttpOnly
Content-Security-Policy: default-src 'self'; script-src 'self' 'unsafe-eval' 'Salatmix'; style-src 'self' 'unsafe-inline'; frame-src *; img-src * data: blob:; font-src 'self' data:; media-src *; connect-src *; object-src 'none'; base-uri 'self';
X-Frame-Options: SAMEORIGIN
Set-Cookie: nc_sameSiteCookielax=true; path=/nextcloud; httponly;secure; expires=Fri, 31-Dec-2100 23:59:59 GMT; SameSite=lax
Set-Cookie: nc_sameSiteCookiestrict=true; path=/nextcloud; httponly;secure; expires=Fri, 31-Dec-2100 23:59:59 GMT; SameSite=strict
Location: https://domain.de/nextcloud/index.php/login
X-Content-Type-Options: nosniff
CustomHeaderName: nextKloud
Content-Type: text/html; charset=UTF-8 Daher die Fehlersuche eher in nextcloud. Ich gucke mal die von dir erwähnten Dateien und den Link durch ☺
|
Spenser
Anmeldungsdatum: 1. Februar 2006
Beiträge: 463
Wohnort: /home/CH/GR
|
Aloha @gain, ich denke nicht das der Fehler in der NC liegt, es liegt am Indianer bzw. dessen Config.
Nochmal Lesestoff:
https://www.digitalocean.com/community/tutorials/how-to-create-a-self-signed-ssl-certificate-for-apache-in-ubuntu-16-04 Vlt. gibt es Dir noch einen Denkanstoss. Mir fällt gerade nichts mehr ein... .
|
misterunknown
Ehemalige
Anmeldungsdatum: 28. Oktober 2009
Beiträge: 4403
Wohnort: Sachsen
|
Die Frage ist, wie Nextcloud prüft, ob der Header gesetzt ist. Nutzt du einen Reverse-Proxy oder einen Cache, der eventuell Header filtern könnte?
|
ChickenLipsRfun2eat
(Themenstarter)
Anmeldungsdatum: 6. Dezember 2009
Beiträge: 12067
|
Ich nutze ACPu und OPCache, ja. Allerdings werden umgekehrte Änderungen sofort erfasst, wenn ich bspw. x-xss-protection: 1; mode=block rausnehme. Was mich eben wundert, bzw. wieso ich denke, dass es an NC liegt ist, dass die Redirect-Anfrage sauber bearbeitet wird und X-Frame-Options: SAMEORIGIN zurückgibt.
|
Spenser
Anmeldungsdatum: 1. Februar 2006
Beiträge: 463
Wohnort: /home/CH/GR
|
Sry Chicken, Mir fällt da leider nichts mehr zu ein. Ich habe ebenfalls wie Du den Reverse Proxy, als Cache nutze ich aber Redis.... .
Oder stöbere noch mal auf der Seite, der Owner beschreibt mehrere Varianten um NC zu installieren und zu konfigurieren:
https://www.c-rieger.de Viel Erfolg! Gruss
|
ChickenLipsRfun2eat
(Themenstarter)
Anmeldungsdatum: 6. Dezember 2009
Beiträge: 12067
|
Spenser schrieb: Mir fällt da leider nichts mehr zu ein.
Mir auch nicht. Deswegen frage ich euch ja ☺ Danke dir trotzdem. Vielleicht finde ich es am Wochenende heraus.
|
Spenser
Anmeldungsdatum: 1. Februar 2006
Beiträge: 463
Wohnort: /home/CH/GR
|
Hallo Chicken, aus Interesse: Hast Du es lösen können? Gruss
|