[Eisfair_dev] APACHE <--> Nexcloud --> Strict-Transport-Security

Juergen Edner juergen at eisfair.org
So Nov 18 16:02:18 CET 2018 

Hallo Dirk,

> genau das würde mich auch mal interessieren.
> 
> Wie ist das denn beim Eisfair-Nexcloud-Paket gelöst?  Mittels Eintrag in
> der .htaccess ?
die .htaccess-Datei wird von Nextcloud gepflegt, sodass es hier jedem
Anwender selbst überlassen ist zusätzliche Konfigurationseinträge zu
definieren.

> In meiner jetzt aktuellen 14er Nextcloud (auch Direktinstallation, kein
> Eisfair-Paket) steht da bei den Empfehlingen sogar noch einiges mehr:

Ich selbst lege weitergehende Einträge über eine Konfigurationsdatei
in /etc/apache2/mods-enabled fest.

>  * Der „X-Content-Type-Options“-HTTP-Header ist nicht so konfiguriert,
>    dass er „nosniff“ entspricht. Dies ist ein potentielles
>    Sicherheitsrisiko und es wird empfohlen, diese Einstellung zu ändern.

Hier wird seitens des Webservers eine Date
i/etc/apache2/mods-available/headers.conf mit den entsprechenden
Einträgen angelegt. Nextcloud selbst schreibt ebenfalls einen Eintrag in
die eigene .htaccess-Datei.

>  * Der "Strict-Transport-Security" HTTP-Header ist nicht auf mindestens
>    "15552000" Sekunden eingestellt. Für mehr Sicherheit wird das
>    Aktivieren von HSTS empfohlen, wie es in den Sicherheitshinweisen
>    <https://docs.nextcloud.com/server/14/go.php?to=admin-security>
>    erläutert ist.

Header add Strict-Transport-Security "max-age=15768000;
  includeSubDomains"

>  * Dein Web-Server ist nicht richtig eingerichtet um
>    "/.well-known/caldav" aufzulösen. Weitere Informationen findest Du
>    in der Dokumentation
>   
> <https://docs.nextcloud.com/server/14/go.php?to=admin-setup-well-known-URL>.
> 
>  * Dein Web-Server ist nicht richtig eingerichtet um
>    "/.well-known/carddav" aufzulösen. Weitere Informationen findest Du
>    in der Dokumentation
>   
> <https://docs.nextcloud.com/server/14/go.php?to=admin-setup-well-known-URL>.

Ich habe in meine Apache-VHost-Konfiguration einen Eintrag nach
folgendem Muster aufgenommen:

RedirectMatch ^/.well-known/(.*)$
http://<fqdn-des-webservers>/.well-known/$1

>  * Das PHP-OPcache-Modul ist nicht geladen. Für eine bessere Leistung
>    empfiehlt es sich
>    <https://docs.nextcloud.com/server/14/go.php?to=admin-php-opcache>
>    das Modul in Deiner PHP-Installation zu laden.

Für diese Modul legt aktuell noch das Nextcloud-Paket eine
Konfigurationsdatei in /etc/php7/conf.d bzw. ../cli an.

>  * Der "Referrer-Policy" HTTP-Header ist nicht gesetzt auf
>    "no-referrer", "no-referrer-when-downgrade", "strict-origin" oder
>    "strict-origin-when-cross-origin". Dadurch können
>    Verweis-Informationen preisgegeben werden.

Header add Referrer-Policy "no-referrer"

Gruß Jürgen

-- 
Mail: juergen at eisfair.org

Mehr Informationen über die Mailingliste Eisfair_dev