Nextcloud Sicherheits- & Einrichtungswarnungen beheben

[Anym001]

7 minutes ago, MartinG said:

Geht das auch etwas genauer?

 

[MartinG]

Danke für die schnelle reaktion.

Leider kann ich Deine Antwort in SWAG wohl nur nach Recherche umsetzen.

 

Ich möchte
 

location /.well-known/carddav {
    return 301 $scheme://$host/remote.php/dav;
}

location /.well-known/caldav {
    return 301 $scheme://$host/remote.php/dav;
}

 

Nicht einfach in die Nextcloud.subdomain.conf einfügen

Edited March 12, 2021 by MartinG

[MartinG]

On 2/27/2021 at 6:24 AM, ich777 said:

Einfach die Sachen von @Anym001 in deiner site config eintragen.

was ist damit gemeint? default die unter SWAG in site Config liegt?

[ich777]

52 minutes ago, MartinG said:

was ist damit gemeint? default die unter SWAG in site Config liegt?

Ja kannst so machen, je nachdem wie deine config für swag aussieht oder du swag eingerichtet hast.

Ich hab alles in eine config schön übersichtlich.

[MartinG]

34 minutes ago, ich777 said:

Ja kannst so machen, je nachdem wie deine config für swag aussieht oder du swag eingerichtet hast.

Ich hab alles in eine config schön übersichtlich.

Jetzt hast Du mich aber. Ich hab wenig Ahnung von dem Geraffel und bin froh daß ich Swag und Nextcloud mit der spceinvaderone Anleitung für den letsencrypt Docker hinbekommen habe.

 

Aber eingerichtet habe ich SWAG gar nicht. Ich hab ein Tutorial befolgt und bin aktuell dabei Fehler auszumerzen.

 

 

Soll ich den Code einfach irgendwo unten anschließen reinkopieren und die default ohne Endung zu einer default.conf machen?

Oder kann/darf ich das auch in der nextcloud.subdomain.conf in SWAG eintüten?

 

[ich777]

5 minutes ago, MartinG said:

Soll ich den Code einfach irgendwo unten anschließen reinkopieren und die default ohne Endung zu einer default.conf machen?

Oder kann/darf ich das auch in der nextcloud.subdomain.conf in SWAG eintüten?

Ich hab das ein wenig anders, ich hab nextcloud in keinem eigenen container ich hab das direkt in swag integriert...

 

Ja sicher kannst du das in eine sub-sub domain packen.

Aber wäre für dich nicht der Nginx Proxy Manager besser geeignet?

 

@mgutt was sagst du dazu?

[MartinG]

Also in Swag ist doch Nginx, Php7, Certbot (Let's Encrypt client) und Fail2ban integriert.

Es gibt nur eben scheinbar keine schöne Gui dafür...

 

 

 

[mgutt]

16 minutes ago, MartinG said:

Soll ich den Code einfach irgendwo unten anschließen reinkopieren und die default ohne Endung zu einer default.conf machen?

Oder kann/darf ich das auch in der nextcloud.subdomain.conf in SWAG eintüten?

Probieren geht über studieren. ^^

 

 

[MartinG]

20 minutes ago, mgutt said:

Probieren geht über studieren. ^^

 

HaHa. Den Code ans Ende der nextcloud.subdomain kopiert führt gleich mal dazu daß Nextcloud nicht mehr erreichbar ist.

Das bringt ja nix wenn man den Code nicht beherrscht. Was weiß denn ich in welchen Klammern an welcher Stelle welcher Datei dieses

location /.well-known/carddav {
    return 301 $scheme://$host/remote.php/dav;
}

location /.well-known/caldav {
    return 301 $scheme://$host/remote.php/dav;
}

eingefügt werden muss.

 

Edited March 12, 2021 by MartinG

[mgutt]

3 minutes ago, MartinG said:

Den Code ans Ende der nextcloud.subdomain kopiert führt gleich mal dazu daß Nextcloud nicht mehr erreichbar ist.

Sorry. Location Blöcke müssen immer innerhalb eines Server Blocks platziert werden. Hier ein paar Code-Beispiele:

https://www.nginx.com/resources/wiki/start/topics/tutorials/config_pitfalls/

 

Ich weiß jetzt nicht wie die conf aussieht, aber ich nehme an, dass es nur einen Server Block gibt, da die conf ja nur für die eine Domain genutzt wird.

[MartinG]

34 minutes ago, mgutt said:

Ich weiß jetzt nicht wie die conf aussieht

 

## Version 2020/12/09
# make sure that your dns has a cname set for nextcloud
# assuming this container is called "swag", edit your nextcloud container's config
# located at /config/www/nextcloud/config/config.php and add the following lines before the ");":
#  'trusted_proxies' => ['swag'],
#  'overwrite.cli.url' => 'https://nextcloud.your-domain.com/',
#  'overwritehost' => 'nextcloud.your-domain.com',
#  'overwriteprotocol' => 'https',
#
# Also don't forget to add your domain name to the trusted domains array. It should look somewhat like this:
#  array (
#    0 => '192.168.0.1:444', # This line may look different on your setup, don't modify it.
#    1 => 'nextcloud.your-domain.com',
#  ),

server {
    listen 443 ssl;
    listen [::]:443 ssl;

    server_name XXXXX.*;

    include /config/nginx/ssl.conf;

    client_max_body_size 0;

    location / {
        include /config/nginx/proxy.conf;
        resolver 127.0.0.11 valid=30s;
        set $upstream_app nextcloud;
        set $upstream_port 443;
        set $upstream_proto https;
        proxy_pass $upstream_proto://$upstream_app:$upstream_port;

        proxy_max_temp_file_size 2048m;
    }
}

 

[MartinG]

Sorry für den Doppelpost...

 

Ich hab die cardav sowie caldav Fehlermeldung aufgelöst.

 

## Version 2020/12/09
# make sure that your dns has a cname set for nextcloud
# assuming this container is called "swag", edit your nextcloud container's config
# located at /config/www/nextcloud/config/config.php and add the following lines before the ");":
#  'trusted_proxies' => ['swag'],
#  'overwrite.cli.url' => 'https://nextcloud.your-domain.com/',
#  'overwritehost' => 'nextcloud.your-domain.com',
#  'overwriteprotocol' => 'https',
#
# Also don't forget to add your domain name to the trusted domains array. It should look somewhat like this:
#  array (
#    0 => '192.168.0.1:444', # This line may look different on your setup, don't modify it.
#    1 => 'nextcloud.your-domain.com',
#  ),

server {
    listen 443 ssl;
    listen [::]:443 ssl;

    server_name XXX.*;

    include /config/nginx/ssl.conf;

    client_max_body_size 0;

    location / {
        include /config/nginx/proxy.conf;
        resolver 127.0.0.11 valid=30s;
        set $upstream_app nextcloud;
        set $upstream_port 443;
        set $upstream_proto https;
        proxy_pass $upstream_proto://$upstream_app:$upstream_port;

        proxy_max_temp_file_size 2048m;
    }
}server {
    server_name XXX.*;
    return 301 $scheme://example.com$request_uri;
}

 

Die letzten 4 Zeilen sehen in der nextcloud.subdomain.conf bei mir jetzt so aus und NC startet einwandfrei und meldet mir den carddav sowie den caldav nicht mehr als Fehlerhaft.

Das ganze in SWAG.

Einmal Enter zwischen } und server hätte womöglich schöner ausgesehen, ist mir jetzt aber egal.

 

Danke für den Hinweis @mgutt

 

Edit/ noch zu lösen wären bei mir:
 

Quote

 

Die Reverse-Proxy-Header-Konfiguration ist fehlerhaft oder Du greifst auf Nextcloud über einen vertrauenswürdigen Proxy zu. Ist dies nicht der Fall, dann besteht ein Sicherheitsproblem, das einem Angreifer erlaubt die IP-Adresse, die für Nextcloud sichtbar ist, auszuspähen. Weitere Informationen hierzu finde sich in der Dokumentation.

 

Der HTTP-Header "Strict-Transport-Security" ist nicht auf mindestens 15552000 Sekunden eingestellt. Für mehr Sicherheit wird das Aktivieren von HSTS empfohlen, wie es in den Sicherheitshinweisen erläutert ist.

 

Ja, die Dokumentation ist wirklich "sehr" aufschlussreich und zu HSTS hab ich noch nicht gesucht.

 

/Edit

Edited March 12, 2021 by MartinG

[MartinG]

Guten Morgen

Die Fehlermeldung:

Quote

Die Reverse-Proxy-Header-Konfiguration ist fehlerhaft oder Du greifst auf Nextcloud über einen vertrauenswürdigen Proxy zu. Ist dies nicht der Fall, dann besteht ein Sicherheitsproblem, das einem Angreifer erlaubt die IP-Adresse, die für Nextcloud sichtbar ist, auszuspähen. Weitere Informationen hierzu finde sich in der Dokumentation.

konnte ich lösen indem ich am Ende der config.php unter appdata\nextcloud\www\nextcloud\config

'trusted_proxies' =>
  array (
         '192.168.178.1',
         '192.168.178.120',
         '127.0.0.1',
  ),

eingefügt habe.

Das sind in der Reihenfolge: mein Standardgateway, die Server ipadresse und halt localhost.

Achtung, das muss natürlich vor dem Ende des config codes sein. ); stellt das Ende dar.

 

 

 

Die Fehlermeldung:

Quote

Der HTTP-Header "Strict-Transport-Security" ist nicht auf mindestens 15552000 Sekunden eingestellt. Für mehr Sicherheit wird das Aktivieren von HSTS empfohlen, wie es in den Sicherheitshinweisen erläutert ist.

habe ich versucht zu beheben indem ich in der .htaccess unter appdata\nextcloud\www\nextcloud\config den Befehl:

Header set Strict-Transport-Security "max-age=15552000; includeSubDomains;

eingefügt habe. Das hat leider nicht funktioniert.

 

Übrigens, was die Sache deutlich einfacher macht, ist wenn man sich appdata im Netzwerk freigibt und die Sache am Rechner mit notepad++ machen kann.

 

Hier noch ein schönes Video

 

Edited March 13, 2021 by MartinG

[mgutt]

9 minutes ago, MartinG said:

eingefügt habe. Das hat leider nicht funktioniert

Eventuell verschluckt der Proxy diesen Header. Am besten also in NGINX setzen.

[MartinG]

8 minutes ago, mgutt said:

Am besten also in NGINX setzen.

Oh Gott...

Das ist in der ssl.conf von Swags nginx sogar schon als Vorlage drin 😂

 

BÄM!

[Anym001]

On 2/25/2021 at 5:27 PM, Anym001 said:

On 2/24/2021 at 3:04 PM, Anym001 said:

On 2/24/2021 at 2:49 PM, mgutt said:

Was du problemlos ausführen können solltest:

 

Das werde ich mal ausprobieren. 

Habe nun die 4 Punkte aktiviert. 
Allein dadurch von 10 auf 8 Watt. 
Werde das denke ich so lassen, weil mit den anderen Befehlen zusätzlich bin ich auch „nur“ auf 7,7 Watt gekommen.

Dafür jetzt stabil.

 

Wollte euch noch eine Rückmeldung zu meinem Problem geben. 

Habe trotz allem nochmal etwas herumprobiert. 

Powertop --auto-tune hat bei mir komischerweise nie wirklich gut funktioniert. -> Gleiche Serverabstürze wie bei Aktivierung aller manuellen Powertweaks. 

 

Habe nun mal meine SSD auf einen Intel SATA Controller, anstatt des ASMedia Controller gehängt. 

Seit dem kann ich auch problemlos powertop --auto-tune aktiviert lassen. -> Alle Einträge auf "good" und keine Serverabstürze mehr.  

 

Keine Ahnung inwiefern das zusammenhängt, aber es funktioniert.

[Rall1]

Hallo ich bin neu in diesem Forum. Wo muss ich die unten stehende Zeile eintragen? Danke

 

 

ExtraParams: --user 99:100 --sysctl net.ipv4.ip_unprivileged_port_start=0

PostArgs: && docker exec -u 0 Nextcloud /bin/sh -c 'echo "umask 000" >> /etc/apache2/envvars'

[Anym001]

Zuerst rechts oben “Advanced View” aktivieren und dann wie folgt eintragen:

 

[Rall1]

3 hours ago, Anym001 said:

Zuerst rechts oben “Advanced View” aktivieren und dann wie folgt eintragen:

 

Danke für deine schnelle Hilfe. Ich bekomme auch mit diesem Eintrag keine Verbindung zur Datenbank.

[Anym001]

8 hours ago, Rall1 said:

Ich bekomme auch mit diesem Eintrag keine Verbindung zur Datenbank.

 

Dieser Eintrag hat auch nichts mit der Verbindung zu tun. 

Dieser regelt die Rechtevergabe der Ordner im Container/Appdataverzeichnis. 

 

Inwiefern genau kommst du nicht auf deine Datenbank?

[Rall1]

Die Verbindung zur Datenbank wird abgewiesen.

 

2 hours ago, Anym001 said:

 

Dieser Eintrag hat auch nichts mit der Verbindung zu tun. 

Dieser regelt die Rechtevergabe der Ordner im Container/Appdataverzeichnis. 

 

Inwiefern genau kommst du nicht auf deine Datenbank?

 

[Anym001]

1 minute ago, Rall1 said:

Die Verbindung zur Datenbank wird abgewiesen.

 

Hast du es so eingegeben? 

 

 

Link zum Erklärungsvideo: 

https://www.youtube.com/watch?v=fUPmVZ9CgtM

Edited March 26, 2021 by Anym001

[Rall1]

Datenbank noch einmal neu angelegt. Hinter der Server-IP habe ich den Port eingetragen. Gleicher Fehler.

[Anym001]

7 minutes ago, Rall1 said:

Datenbank noch einmal neu angelegt. Hinter der Server-IP habe ich den Port eingetragen. Gleicher Fehler.

 

Was hast du unter "Data folder" eingetragen?

Und auf welchem Pfad in deinem Nextcloud Container liegt dein Datenshare? (Vielleicht dazu mal ein Screenshot posten)

[Rall1]

Danke dir für deine Hilfe! Der Eintrag "/data" geht nicht.