[Eisfair_dev] APACHE <--> Nexcloud --> Strict-Transport-Security
Dirk Alberti
Howy-1 at gmx.de
So Nov 18 16:21:30 CET 2018
Hallo Jürgen,
Am 18.11.18 um 16:02 schrieb Juergen Edner:
> Hallo Dirk,
>
>> genau das würde mich auch mal interessieren.
>>
>> Wie ist das denn beim Eisfair-Nexcloud-Paket gelöst? Mittels Eintrag in
>> der .htaccess ?
> die .htaccess-Datei wird von Nextcloud gepflegt, sodass es hier jedem
> Anwender selbst überlassen ist zusätzliche Konfigurationseinträge zu
> definieren.
>
>> In meiner jetzt aktuellen 14er Nextcloud (auch Direktinstallation, kein
>> Eisfair-Paket) steht da bei den Empfehlingen sogar noch einiges mehr:
> Ich selbst lege weitergehende Einträge über eine Konfigurationsdatei
> in /etc/apache2/mods-enabled fest.
>
>> * Der „X-Content-Type-Options“-HTTP-Header ist nicht so konfiguriert,
>> dass er „nosniff“ entspricht. Dies ist ein potentielles
>> Sicherheitsrisiko und es wird empfohlen, diese Einstellung zu ändern.
> Hier wird seitens des Webservers eine Date
> i/etc/apache2/mods-available/headers.conf mit den entsprechenden
> Einträgen angelegt. Nextcloud selbst schreibt ebenfalls einen Eintrag in
> die eigene .htaccess-Datei.
>
>> * Der "Strict-Transport-Security" HTTP-Header ist nicht auf mindestens
>> "15552000" Sekunden eingestellt. Für mehr Sicherheit wird das
>> Aktivieren von HSTS empfohlen, wie es in den Sicherheitshinweisen
>> <https://docs.nextcloud.com/server/14/go.php?to=admin-security>
>> erläutert ist.
> Header add Strict-Transport-Security "max-age=15768000;
> includeSubDomains"
>
>> * Dein Web-Server ist nicht richtig eingerichtet um
>> "/.well-known/caldav" aufzulösen. Weitere Informationen findest Du
>> in der Dokumentation
>>
>> <https://docs.nextcloud.com/server/14/go.php?to=admin-setup-well-known-URL>.
>>
>> * Dein Web-Server ist nicht richtig eingerichtet um
>> "/.well-known/carddav" aufzulösen. Weitere Informationen findest Du
>> in der Dokumentation
>>
>> <https://docs.nextcloud.com/server/14/go.php?to=admin-setup-well-known-URL>.
> Ich habe in meine Apache-VHost-Konfiguration einen Eintrag nach
> folgendem Muster aufgenommen:
>
> RedirectMatch ^/.well-known/(.*)$
> http://<fqdn-des-webservers>/.well-known/$1
>
>> * Das PHP-OPcache-Modul ist nicht geladen. Für eine bessere Leistung
>> empfiehlt es sich
>> <https://docs.nextcloud.com/server/14/go.php?to=admin-php-opcache>
>> das Modul in Deiner PHP-Installation zu laden.
> Für diese Modul legt aktuell noch das Nextcloud-Paket eine
> Konfigurationsdatei in /etc/php7/conf.d bzw. ../cli an.
>
>> * Der "Referrer-Policy" HTTP-Header ist nicht gesetzt auf
>> "no-referrer", "no-referrer-when-downgrade", "strict-origin" oder
>> "strict-origin-when-cross-origin". Dadurch können
>> Verweis-Informationen preisgegeben werden.
> Header add Referrer-Policy "no-referrer"
vielen Dank, das werd ich mir diese Woche mal zu Gemüte führen.
> Gruß Jürgen
>
Gruß Dirk
Mehr Informationen über die Mailingliste Eisfair_dev