Sicherheitsmeldungen nach Umzug Nextcloud ->netcup

  • Hallo, ich bin neu hier und habe meine NC auf das Webhosting4000er Packet umgezogen.

    Bis hier hin lief alles gut, nur dass ich ein paar Meldungen in der Nextcloud nicht wegbekomme:

    Der HTTP-Header "Strict-Transport-Security" ist nicht auf mindestens 15552000 Sekunden eingestellt. Für mehr Sicherheit wird das Aktivieren von HSTS empfohlen, wie es in den Sicherheitshinweisen erläutert ist.

    Ich habe bereits in der Dialogseite "Einstellungen für Apache & nginx" unter zusätzliche Header diesen Wert eingetragen: "Cache-Control: public Strict-Transport-Security: max-age=63072000 X-Frame-Options: DENY"

    leider ist der Erfolg ausgeblieben. Was habe ich falsch gemacht?


    Die 2te Fehlermeldung bringt mich ebenfalls um den Verstand:

    Es wurde kein PHP-Memory-Cache konfiguriert


    ... eigentlich fehlt hier nur ein PHP Packet. Wie bekomme ich diese Fehlermeldung weg?


    Ich hoffe, dass mir jemand helfen kann - aber auch wo ich das in diesem Packet dann richtig einstelle!

    Vielen Dank schon mal im Vorraus.

  • Hey,


    für den ersten Hinweis ist der HSTS Header notwendig. Weiter Infos dazu findest du hier.

    Beispiel Header:

    Code
    strict-transport-security: max-age=15768000; includeSubDomains; preload


    Beim 2ten kann ich dir leider nicht helfen da ich kein Webhosting habe. Ich bin mir aber sicher das dir hier andere Helfen können.

    Matrix: @nan0:nan0.dev - IRC: nan0 on hackint.org - Discord? Nein danke!

  • unter zusätzliche Header diesen Wert eingetragen: "Cache-Control: public Strict-Transport-Security: max-age=63072000 X-Frame-Options: DENY"

    Es sieht so aus, als wenn du drei verschiedene HTTP Response Header als einen einzigen eingetragen hast. Wie Nano schon schrieb, musst du den HSTS Header einzeln setzen.


    Wenn du HSTS nicht gesetzt kriegst, aber deine Nextcloud-Instanz sowieso nur über HTTPS (nicht über HTTP) erreichbar ist, ist der Sicherheitsgewinn hier minimal. HSTS sagt dem Client nur „Hey, wenn du innerhalb der nächsten x Sekunden wiederkommst, nutze HTTPS statt HTTP“. Der Client sieht die Anweisung aber sowieso erst beim ersten Verbindungsaufbau. Wenn du in deinen Clients bspw. HTTPS-only erzwingst oder HTTPS Everywhere nutzt, ist das von der Sicherheit gleich.


    „X-Frame-Options“ ist ein Legacy-Header. Den kannst du weglassen und stattdessen eine Content Security Policy setzen. Siehe auch: https://infosec-handbook.eu/blog/wss3-tls-headers/#header

  • Vielen Dank für die Antworten.

    Leider bin ich ja im Webhosting etwas eingeschränkt.

    Ich kann irgendwie nicht zuordnen, wo ich das alles eintragen muss. Kann mich jemand leiten, wo ich das Im Webhost4000 Packet richtigerweise eintragen muss?


    ... ob das nun die Sicherheit signifikant erhöht oder nicht ist mir egal, solche Meldungen möchte ich nicht stehen lassen, die Lücke könnte ja auch größer werden, und dann übersehe ich eine andere Meldung - das sollte nicht passsieren.

  • Im WCP/Plesk bei deiner (Sub-)Domain in den Einstellungen für Apache&nginx.

    Bei Zusätzliche Header "Eigenen Wert eingeben auswählen, in das Fenster dann den Code eingeben. Bei mir steht z.B. drin

    Code
    Strict-Transport-Security:max-age=15552000; includeSubDomains

    Das reicht jedenfalls um die Warnung loszuwerden.

  • Vielen Dank, hatte dass auch schon vor 2-3 Stunden (natürlich ohne die 1) in meine Config eingetragen.

    Leider habe ich den Fehler in meiner NC Installation damit nicht wegbekommen. Was habe ich falsch gemacht?

    anbei mal ein Screenshot:

    pasted-from-clipboard.png

    ... Die Seite ist die der Domain, wo meine NC installation läuft.

  • Vielen Dank, hatte dass auch schon vor 2-3 Stunden (natürlich ohne die 1) in meine Config eingetragen.

    Leider habe ich den Fehler in meiner NC Installation damit nicht wegbekommen. Was habe ich falsch gemacht?

    Hast du nach dem Speichern der Änderung auch lange genug gewartet? Das dauert schon ein wenig, bis es wirksam wird.

    Welche Header tatsächlich ausgegeben werden, kannst du in den Entwickler-Tools deines Browsers sehen.

  • Mit meiner Variante oder mit deiner? Wie sieht der Response-Header aus? Nextcloud setzt von sich aus schon einen Header X-Frame-Options: SAMEORIGIN

    Vielleicht beisst sich der irgendwie mit deinem?! Ich habe den Header jetzt so in drei Nextclouds bei zwei Hostern drin und keine davon meckert mehr über fehlendes HSTS.

  • Hmm, wie sehen denn deine nginx-Einstellungen aus? Bei mir ist "Proxymodus" und "Intelligente Bearbeitung statischer Dateien" gesetzt, der Rest nicht. Also FastCGI Anwendung von Apache bedient.

  • Mit meiner Variante oder mit deiner? Wie sieht der Response-Header aus? Nextcloud setzt von sich aus schon einen Header X-Frame-Options: SAMEORIGIN

    Vielleicht beisst sich der irgendwie mit deinem?! Ich habe den Header jetzt so in drei Nextclouds bei zwei Hostern drin und keine davon meckert mehr über fehlendes HSTS.

    .. Das wars!

    Ich habe eben noch einmal Deine Zeile hineinkopiert und die, die ich im Screenshot stehen hatte überschrieben. Nun ist zumindest Dieser fehler weg - vielen Dank.

    ... Und meine nginx Einstellungen sind identisch wie Deine.

    Nun fehlt nur noch "Es wurde kein PHP-Memory-Cache konfiguriert" - ich denke hier muss ich an die php Einstellungen ran. Das geht wohl nur über den Service :(

    tab, hast Du einen plan, wie ich mit der Konsole die occ Befehle ausführen kann? Habe schon die Berechtigungen auf 0770 gesetzt - aber leider ohne Erfolg

  • Berechtigungen müssen dazu nicht umgestellt werdem. Zunächst solltest du in deinem config-Verzeichnis eine Datei erzeugen, bei mir heißt sie data.config.php und setzt den Pfad zum Data-Verzeichnis.

    PHP
    <?php
    
    $CONFIG =
    [
            'datadirectory' => realpath(__dir__ . '/../data'),
    ];

    (Copyright KB19 ) ;) Das wird benötigt, weil der Pfad zum data-Verzeichnis in der Konsole anders ist als im Webprozess.


    Falls dann php -v bei dir die gewünschte PHP-Version anzeigt, bei mir php 7.4, dann kannst du mit php occ <Befehl> die occ-Befehle ausführen. Ansonsteh halt den Pfad zum gewünschten PHP mitgeben (/usr/local/php74/bin/php occ ...)

    Meckert er wegen memory_limit, dann eben "php -d memory_limit=512M occ <Befehl>"

  • Hallo tab,

    vielen Dank für die Datei. Das klingt für mich ja fast zu schön - also habe ich es sofort ausprobiert, wobei gleich ein paar Fragen aufgekommen sind:

    - muss ich die "data.config.php" in das config file der Nextcloud installation schicken? Auf das "conf" Verzeichnis habe ich keine Schreibrechte ?

    - meines Verständnisses nach müßte ich noch die roten? Pfade anpassen? Wenn ja, welche muss ich da eintragen?

    Gruß

  • Die data.config.php kommt dann in das config Verzeichnis der Nextcloud-Installation. Also dahin, wo auch die config.php drin ist. Sie muss auch nicht unbedingt data.config.php heissen, der erste Teil ist mehr oder weniger beliebig, nur ".config.php" muss so sein, also z.B. xyz.config.php geht auch. Ich habe sie halt data genannt, weil sie den Pfad zum data-Verzeichnis setzt. Im conf-Verzeichnis (/conf) müsstest du in der Datei phpversion die PHP-Version eingeben (72,73,74 oder 80) und die Datei dann speichern. Falls das bei deinem Webhosting funktionieren würde, wäre dann spätestens nach 15 Minuten bei Eingabe von "php" die passende PHP-Version verwendet worden. Funktioniert in meinem neuen Webhosting aber nicht, der entsprechende Symlink in /usr/bin fehlt komplett und wird auch nicht angelegt. In den älteren Webhostings mit Plesk Onyx hat das bei mir noch überall funktioniert. Solange das nicht gefixed ist mus man halt entweder den Pfad angeben oder ein Alias oder Symlink (in einem Verzeichnis wo man Schreibrechte hat und das im Pfad liegt) selbst anlegen.

  • Vielen Dank, hatte dass auch schon vor 2-3 Stunden (natürlich ohne die 1) in meine Config eingetragen.

    Leider habe ich den Fehler in meiner NC Installation damit nicht wegbekommen. Was habe ich falsch gemacht?

    anbei mal ein Screenshot:

    pasted-from-clipboard.png

    ... Die Seite ist die der Domain, wo meine NC installation läuft.

    Da ist ne Leertaste zuviel und ein strichpunkt zu wenig.

  • Im conf-Verzeichnis (/conf) müsstest du in der Datei phpversion die PHP-Version eingeben (72,73,74 oder 80) und die Datei dann speichern. Falls das bei deinem Webhosting funktionieren würde, wäre dann spätestens nach 15 Minuten bei Eingabe von "php" die passende PHP-Version verwendet worden. Funktioniert in meinem neuen Webhosting aber nicht, der entsprechende Symlink in /usr/bin fehlt komplett und wird auch nicht angelegt. In den älteren Webhostings mit Plesk Onyx hat das bei mir noch überall funktioniert.

    Das habe ich jetzt mal dem Support gemeldet und auch darauf hingewiesen, dass das Problem(chen) auch andere haben. Schaun mer mal was draus wird. ;)

  • Hallo alle miteinander

    Bin neu auf netcup, hoffe ich finde hier Hilfe zu Nextcloud ;)

    Habe seit jahren bei einem anderen Hoster meine Nextcloud ohne Probleme laufen. Nun habe ich aber eine Fehlermeldung die ich schon ohne Erfolg gegoogelt habe.

    Problem ist die Sendung einer Testmail in den Grundeinstellungen.

    Ich erhalte immer die Meldung: Beim Senden der E-Mail ist ein Problem aufgetreten. Bitte überprüfe Deine Einstellungen. (Fehler: Expected response code 354 but got code "554", with message "554 5.5.1 Error: no valid recipients ")

    Habe sowohl die mail Einstellungen von netcup als auch meine Werte aus meiner noch laufenden Nextcloud Installation bei dem anderen Hoster getetestet, ohne Erfolg. Die Nextcloud Instanz läuft auf einem Unterverzeichnis von httpdocs.

    Vielen Dank im Voraus

  • "no valid recipients" klingt ja ziemlich eindeutig. Hast du bei deinem Nextcloud-Account eine valide E-Mail-Adresse hinterlegt?

    RS Brezn | VPS 500 G8 Plus | 2× VPS Karneval 2020 | VPS Pocket Admin | RS Cyber Quack | Webhosting EiWoMiSau


    Dieses Gebäude hat mir die Vorfahrt genommen! *hup*