Nextcloud Sicherheits- & Einrichtungswarnungen beheben


Anym001

45 posts in this topic Last Reply

Recommended Posts

Hallo,

 

folgende Sicherheits- & Einrichtungswarnungen zeigt mir Nextcloud an.

Ein paar konnte ich bereits beheben.

Weiß jemand wie ich die untenstehenden Warnungen beheben kann?

 

Verwendeter Container: knexx666 / nextcloud:latest

 

  • Einige App-Ordner haben einen anderen Besitzer als der Benutzer des Webservers. Dies kann der Fall sein, wenn Apps manuell installiert wurden. Prüfe die Berechtigungen der folgenden App-Ordner:
    • /var/www/html/custom_apps/bruteforcesettings
    • /var/www/html/custom_apps/calendar
    • /var/www/html/custom_apps/contacts
    • /var/www/html/custom_apps/onlyoffice

 

  • Eine Hintergrundaufgabe, die nach vom Benutzer importierten SSL-Zertifikaten sucht, läuft noch. Bitte später erneut versuchen.

 

  • Dein Web-Server ist nicht richtig eingerichtet um "/.well-known/caldav" aufzulösen. Weitere Informationen findest Du in der Dokumentation.

 

  • Dein Web-Server ist nicht richtig eingerichtet um "/.well-known/carddav" aufzulösen. Weitere Informationen findest Du in der Dokumentation.

 

  • In der Datenbank fehlen einige Indizes. Auf Grund der Tatsache, dass das Hinzufügen von Indizes in großen Tabellen einige Zeit in Anspruch nehmen kann, wurden diese nicht automatisch erzeugt. Durch das Ausführen von "occ db:add-missing-indices" können die fehlenden Indizes manuell hinzugefügt werden, während die Instanz weiter läuft. Nachdem die Indizes hinzugefügt wurden, sind Anfragen auf die Tabellen normalerweise schneller.
    • Fehlender Index "fs_size" in der Tabelle "oc_filecache".
    • Fehlender Index "cards_abiduri" in der Tabelle "oc_cards".

 

  • Dem Modul php-imagick fehlt die SVG-Unterstützung. Für eine bessere Kompatibilität wird empfohlen, es zu installieren.
Edited by Anym001
Verwendeter Container hinzugefügt
Link to post
2 hours ago, Anym001 said:
  • Dein Web-Server ist nicht richtig eingerichtet um "/.well-known/caldav" aufzulösen. Weitere Informationen findest Du in der Dokumentation.

 

  • Dein Web-Server ist nicht richtig eingerichtet um "/.well-known/carddav" aufzulösen. Weitere Informationen findest Du in der Dokumentation.

 

Gibt es keine .htaccess im Nextcloud Verzeichnis? Da sind doch meine ich entsprechende Rewrite Regeln drin?!

 

Steht hier auch, dass das Standard sei:

https://docs.nextcloud.com/server/14/admin_manual/issues/general_troubleshooting.html#service-discovery

Link to post
16 hours ago, Anym001 said:

Einige App-Ordner haben einen anderen Besitzer als der Benutzer des Webservers. Dies kann der Fall sein, wenn Apps manuell installiert wurden. Prüfe die Berechtigungen der folgenden App-Ordner:

  • /var/www/html/custom_apps/bruteforcesettings
  • /var/www/html/custom_apps/calendar
  • /var/www/html/custom_apps/contacts
  • /var/www/html/custom_apps/onlyoffice

 

 

Konnte wie folgt behoben werden: 

https://forums.unraid.net/topic/88504-support-knex666-nextcloud-20/

Hinzufügen im Nextcloud Template von folgenden Werten: 

 

ExtraParams: --user 99:100 --sysctl net.ipv4.ip_unprivileged_port_start=0

PostArgs: && docker exec -u 0 Nextcloud /bin/sh -c 'echo "umask 000" >> /etc/apache2/envvars'

 

16 hours ago, Anym001 said:

Eine Hintergrundaufgabe, die nach vom Benutzer importierten SSL-Zertifikaten sucht, läuft noch. Bitte später erneut versuchen.

 

Konnte ich leider nicht beheben und läuft noch immer. 

Dadurch NPM ja die SSL-Zertifikate verwaltet, dürfte Nextcloud ja danach nicht suchen oder?

Kann man das irgendwie deaktivieren?

 

16 hours ago, Anym001 said:
  • Dein Web-Server ist nicht richtig eingerichtet um "/.well-known/caldav" aufzulösen. Weitere Informationen findest Du in der Dokumentation.
  • Dein Web-Server ist nicht richtig eingerichtet um "/.well-known/carddav" aufzulösen. Weitere Informationen findest Du in der Dokumentation.

 

Die zwei Warnungen kommen interessanterweise nur wenn ich mich über meinen Windows oder Linux Rechner anmelde. (Bei den mobilen Geräten nicht. 

 

Habe folgende 2 Einträge in den NPM Advanced Einstellungen beim ProxHost für Nextcloud ergänzt: (nun läuft es)

 

location /.well-known/carddav {
    return 301 $scheme://$host/remote.php/dav;
}

location /.well-known/caldav {
    return 301 $scheme://$host/remote.php/dav;
}

 

14 hours ago, mgutt said:
16 hours ago, Anym001 said:

Durch das Ausführen von "occ db:add-missing-indices" können die fehlenden Indizes manuell hinzugefügt

Siehe hier:

https://forums.unraid.net/topic/102633-nextcloud-mit-ngnix-proxy-manager-und-cloudflare/?tab=comments#comment-947522

 

Ich musste den Befehl auf folgendes umändern: 

 

docker exec -u 99 Nextcloud php occ db:add-missing-indices

 

16 hours ago, Anym001 said:

Dem Modul php-imagick fehlt die SVG-Unterstützung. Für eine bessere Kompatibilität wird empfohlen, es zu installieren.

 

Leider habe ich keine Ahnung, wie man beim knex666 Container irgendwelche Pakete nachinstallieren kann. 

Kennt da jemand eine Lösung?

Link to post
1 hour ago, Anym001 said:

Habe folgende 2 Einträge in den NPM Advanced Einstellungen beim ProxHost für Nextcloud ergänzt:

Das geht auch, aber wie gesagt wundert es mich, dass die .htaccess nicht greift. Laut Nextcloud Doku soll das ja automatisch bei Apache funktionieren und der Container basiert ja auf Apache.

 

 

Link to post
7 hours ago, Anym001 said:

Leider habe ich keine Ahnung, wie man beim knex666 Container irgendwelche Pakete nachinstallieren kann. 

Kennt da jemand eine Lösung?

Brauchst du denn Vorschaubilder für SVG Dateien? Das ist der einzige Grund für das Paket.

 

In Containern kann man zwar Pakete nachinstallieren, aber sie überleben normalerweise keinen Neustart. Leider unterstützt der Container kein "userscript_everystart.sh" Script. Dann könnte man bei jedem Start das Paket automatisch nachinstallieren lassen.

 

Oder teste mal ob das in "Post Arguments" geht:

/bin/bash -c "apt update && apt install -y libmagickcore-6.q16-6-extra"

 

Ich habe das ausgeführt und nach Stop / Start des Containers war es immer noch da ( @ich777 sollten die nicht verschwinden?). Kannst du über die Console des Containers prüfen in dem du das Kommando ausführst:

php -r "phpinfo();" | grep format

 

Dann steht SVG in der Liste:

1423560102_2021-02-2409_31_52.png.ae2e39f55adb1fef84e9351d0c531720.png

 

 

Link to post
1 hour ago, Anym001 said:

Konnte ich leider nicht beheben und läuft noch immer. 

Dadurch NPM ja die SSL-Zertifikate verwaltet, dürfte Nextcloud ja danach nicht suchen oder?

Kann man das irgendwie deaktivieren?

Kannst du Nextcloud mal auf Englisch stellen und die Fehlermeldung dann checken? Ich finde einfach nichts darüber. Und ja, ich denke auch, dass das keinen Sinn macht, denn Nextcloud selbst läuft ja unverschlüsselt. Eventuell erkennt Nextcloud das "https" aus der URL und sucht daher lokal nach dem Zertifikat?!

Link to post
5 minutes ago, mgutt said:

Ich habe das ausgeführt und nach Stop / Start des Containers war es immer noch da ( @ich777 sollten die nicht verschwinden?).

@Anym001 Nach einem Start/Stop des Container verschwindet nichts wenn du was im Container geändert/hinzugefügt hast, nur wenn du im Template was änderst, ein Force Update machst oder nach einem Update vom Container (was eigentlich das gleiche wie ein Force Update ist).

Link to post
55 minutes ago, mgutt said:

Das geht auch, aber wie gesagt wundert es mich, dass die .htaccess nicht greift. Laut Nextcloud Doku soll das ja automatisch bei Apache funktionieren und der Container basiert ja auf Apache.

 

Wundert mich auch. 

Interessanterweise tritt die Warnung eben nur bei meinen Desktop PC's und nicht bei den mobilen Geräten auf. 

 

11 minutes ago, mgutt said:

Und ja, ich denke auch, dass das keinen Sinn macht, denn Nextcloud selbst läuft ja unverschlüsselt. Eventuell erkennt Nextcloud das "https" aus der URL und sucht daher lokal nach dem Zertifikat?!

 

Fehlermeldung in Englisch:

A background job is pending that checks for user imported SSL certificates. Please check back later.

 

Ich vermute, dass ich hier meine config.php noch nicht ganz 100% richtig eingestellt habe. 

https://docs.nextcloud.com/server/latest/admin_manual/configuration_server/reverse_proxy_configuration.html

Siehe "Defining trusted proxies" und "Overwrite parameters". 

 

Kann vielleicht jemand seine config.php posten (Verwendung hinter NPM), damit ich hier vergleichen kann?

 

14 minutes ago, mgutt said:

Brauchst du denn Vorschaubilder für SVG Dateien? Das ist der einzige Grund für das Paket.

 

Nein solche Dateien verwende ich nicht. 

Kann man das irgendwie deaktivieren?

Edited by Anym001
Fehlermeldung in Englisch hinzugefügt.
Link to post
14 minutes ago, Anym001 said:

Hat leider nicht geklappt.

Soll man hier vielleicht ein -y dran setzen, zur automatischen Bestätigung?

Gibt's in dem Container keine Unterstützung für ein Startscript wäre doch eine schönere Lösung.

Wenn der supervisord verwendet sollte das möglich sein.

 

Und ja du musst ein -y dran machen sonnst wird der auf eine tasteneingabe warten bzw. bricht ab wie in deinem Fall.

Link to post
Just now, Anym001 said:

 

Keine Ahnung damit kenne ich mich leider nicht aus.

Sorry wenn ich das jetzt sage aber das ist doch das offizielle Nextcloud image oder irre ich mich da gerade...

 

Was willst du überhaupt installieren oder was fehlt dir?

Btw wie siehts mit Jellyfin aus? Läuft das jetzt?

Link to post
1 minute ago, ich777 said:

Sorry wenn ich das jetzt sage aber das ist doch das offizielle Nextcloud image oder irre ich mich da gerade...

Was willst du überhaupt installieren oder was fehlt dir?

 

Ja das ist das offizielle Nextcloud Image. 

 

Aufgrund folgender Warnung wollte ich die notwendigen Pakete nachinstallieren. 

"Dem Modul php-imagick fehlt die SVG-Unterstützung. Für eine bessere Kompatibilität wird empfohlen, es zu installieren."

 

Mit dem Befehl in den PostArguments hat es geklappt: 

&& docker exec -u 0 Nextcloud /bin/bash -c "apt update && apt install -y libmagickcore-6.q16-6-extra"

 

3 hours ago, Anym001 said:

Eine Hintergrundaufgabe, die nach vom Benutzer importierten SSL-Zertifikaten sucht, läuft noch. Bitte später erneut versuchen.

 

Diesen Fehler konnte ich durch die Umstellung von AJAX auf Cron beheben.

https://forums.unraid.net/topic/88504-support-knex666-nextcloud-20/?do=findComment&comment=822737

Folgendes Script wird alle 5 Minuten ausgeführt: 

#!/bin/bash
docker exec -u 99 Nextcloud php -f /var/www/html/cron.php
exit 0

 

4 minutes ago, ich777 said:

Btw wie siehts mit Jellyfin aus? Läuft das jetzt?

 

Da schaut es gut aus. 

Seit der Deaktivierung der Powertop tweaks keine Systemabstürze mehr. 

Vielen Dank für den Tipp. 

 

Allgemein ein großes Dankeschön an euren Support!!!

Ein Forum mit solcher Freundlichkeit und Hilfsbereitschaft habe ich noch nie erlebt!!!

Link to post
26 minutes ago, Anym001 said:

"Dem Modul php-imagick fehlt die SVG-Unterstützung. Für eine bessere Kompatibilität wird empfohlen, es zu installieren."

Das brauchst du doch nicht, ist doch nur eine Warnung bzw. Hinweis...

Ich würd das weglassen, meines wissen zB gibts dieses modul nicht fertig für Alpine Images.

 

EDIT: Wenn das schon Nextcloud selbst nicht miliefert würd ich das lassen oder du machst einen Bug report auf deren Github das es fehlt und die Warnung ausgeworfen wird.

Link to post
33 minutes ago, ich777 said:

Das brauchst du doch nicht, ist doch nur eine Warnung bzw. Hinweis...

Ich würd das weglassen, meines wissen zB gibts dieses modul nicht fertig für Alpine Images.

 

EDIT: Wenn das schon Nextcloud selbst nicht miliefert würd ich das lassen oder du machst einen Bug report auf deren Github das es fehlt und die Warnung ausgeworfen wird.

 

Da war ich wohl zu übereifrig... 

Dacht das es besser ist wenn alle Warnungen ausgebessert werden. 

 

Das mit dem Bug Report ist ne gute Idee. 

 

Ich habe generell den Fehler gemacht, dass ich Docker Autoupdate auch für Nextcloud aktiviert habe. 

Jetzt hat es mir den Container auf die v21 upgedated. 

Wahrscheinlich hätt ich da noch etwas warten sollen. 

 

Wie geht hier da vor? 

Wie lange wartet ihr, bis das ihr ein Update durchführt?

Gibt es da irgendwelche Faustregeln?

Link to post
1 minute ago, Anym001 said:

Ich habe generell den Fehler gemacht, dass ich Docker Autoupdate auch für Nextcloud aktiviert habe.

Warum ist doch nichts falsch dran.

 

1 minute ago, Anym001 said:

Jetzt hat es mir den Container auf die v21 upgedated. 

Ist die aktuelle Version soweit ich weiß.

 

1 minute ago, Anym001 said:

Wie lange wartet ihr, bis das ihr ein Update durchführt?

Normalerweise sagt man Updates immer gleich installieren da Sicherheitsupdates, Patches usw. integriert sind aber manchmal hast dann auch neue Bugs usw...

Ich hab das AutoUpdate für Docker einmal in der Woche laufen, so kann ich wenigstens feststellen ab wann das nicht mehr ging wenn ich einen Container länger nicht benutze.

Link to post
2 hours ago, Anym001 said:

&& docker exec -u 0 Nextcloud /bin/bash -c "apt update && apt install -y libmagickcore-6.q16-6-extra"

Eigentlich sollte man bash auch beim run Kommando ausführen können. Demnach wäre also "&& docker exec -u 0 Nextcloud" überflüssig.

Link to post
7 minutes ago, mgutt said:

Original Nextcloud nutzt Debian.

Ja weiß ich (sonst würde zB apt-get update,... usw. nicht funktionieren), aber das war auch nur eine Feststellung das es das Paket für Alpine nicht gibt. ;)

 

7 minutes ago, mgutt said:

Eigentlich sollte man bash auch beim run Kommando ausführen können. Demnach wäre also "&& docker exec -u 0 Nextcloud" überflüssig.

Würd auch sagen das es überflüssig ist wenn er es sowieso nicht nutzt und es nur ein Hinweis/Warnung ist.

Wie schon oben geschrieben ein Github issue wäre der richtige weg das es gleich ins image integriert wird das die Warnung gar nicht erst angezeigt wird.

Link to post
13 minutes ago, mgutt said:

Das was Powertop macht, kann man übrigens auch einzeln ausführen:

https://forums.unraid.net/topic/98070-reduce-power-consumption-with-powertop/

 

Habe ich bereits gemacht. 

Folgende Zeilen habe ich bei mir im go file gehabt. (Müsste mal Part für Part durchgehen und schauen, welches genau den Systemabsturz erzeugt)

 

# -------------------------------------------------
# powertop tweaks
# -------------------------------------------------

# Enable SATA link power management
for i in /sys/class/scsi_host/host*/link_power_management_policy; do
    echo 'med_power_with_dipm' > $i
done

# Runtime PM for I2C Adapter (SMBus I801 adapter at f040) 
for i in /sys/bus/i2c/devices/i2c-*/device/power/control; do
    echo 'auto' > $i
done

# VM writeback timeout
for i in /proc/sys/vm/dirty_writeback_centisecs; do
    echo '1500' > $i
done

# Autosuspend for USB device
for i in echo /sys/bus/usb/devices/*/power/control; do
    echo 'auto' > $i
done

# Runtime PM for disk
for i in /sys/block/sd*/device/power/control; do
    echo 'auto' > $i
done

# Runtime PM for PCI devices
for i in /sys/bus/pci/devices/????:??:??.?/power/control; do
    echo 'auto' > $i
done

# Runtime PM for port ata od PCI devices
for i in /sys/bus/pci/devices/????:??:??.?/ata*/power/control; do
    echo 'auto' > $i
done

# Disable wake on lan
for i in /sys/class/net/eth?; do
    ethtool -s  $(basename $i) wol d
done

 

3 minutes ago, ich777 said:

Würd auch sagen das es überflüssig ist wenn er es sowieso nicht nutzt und es nur ein Hinweis/Warnung ist.

Wie schon oben geschrieben ein Github issue wäre der richtige weg das es gleich ins image integriert wird das die Warnung gar nicht erst angezeigt wird.

 

Habe es im Template wieder deaktiviert. 

Ein Github Issue gibt es bereits dafür: 

https://github.com/nextcloud/docker/issues/1414
 

Link to post
8 minutes ago, Anym001 said:

welches genau den Systemabsturz erzeugt)

USB, SATA usw auf jeden Fall nicht. Meiner Ansicht nach lohnt sich die Mühe. Spart Strom.

 

Bei mir war zB der SATA Adapter ein Problem. Aus dem Grund habe ich nun die Schleife gegen einzelne Kommandos ersetzt:

# Enable SATA link power management
#for i in /sys/class/scsi_host/host*/link_power_management_policy; do
#    echo 'med_power_with_dipm' > $i
#done
# SATA Power Management only for onboard SATA as JMB585 M.2 adapter crashes
echo 'med_power_with_dipm' > /sys/class/scsi_host/host1/link_power_management_policy
echo 'med_power_with_dipm' > /sys/class/scsi_host/host2/link_power_management_policy
echo 'med_power_with_dipm' > /sys/class/scsi_host/host3/link_power_management_policy
echo 'med_power_with_dipm' > /sys/class/scsi_host/host4/link_power_management_policy
echo 'med_power_with_dipm' > /sys/class/scsi_host/host5/link_power_management_policy
echo 'med_power_with_dipm' > /sys/class/scsi_host/host6/link_power_management_policy
echo 'med_power_with_dipm' > /sys/class/scsi_host/host7/link_power_management_policy
echo 'med_power_with_dipm' > /sys/class/scsi_host/host8/link_power_management_policy

 

"host9" bis "host13" bleiben damit als Problem übrig:

567293406_2021-02-2414_20_55.png.a953041ed94738e12aafdd0b4d53c2d2.png

 

Die Kommandos kannst du natürlich auch live im Webterminal ausführen. Also musst nicht jedes mal neu starten. Dann kommst du denke ich schneller hinter das schuldige Kommando.

Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.