[Eisfair_dev] APACHE <--> Nexcloud --> Strict-Transport-Security

Dirk Alberti Howy-1 at gmx.de
So Nov 18 16:21:30 CET 2018 

Hallo Jürgen,

Am 18.11.18 um 16:02 schrieb Juergen Edner:
> Hallo Dirk,
>
>> genau das würde mich auch mal interessieren.
>>
>> Wie ist das denn beim Eisfair-Nexcloud-Paket gelöst?  Mittels Eintrag in
>> der .htaccess ?
> die .htaccess-Datei wird von Nextcloud gepflegt, sodass es hier jedem
> Anwender selbst überlassen ist zusätzliche Konfigurationseinträge zu
> definieren.
>
>> In meiner jetzt aktuellen 14er Nextcloud (auch Direktinstallation, kein
>> Eisfair-Paket) steht da bei den Empfehlingen sogar noch einiges mehr:
> Ich selbst lege weitergehende Einträge über eine Konfigurationsdatei
> in /etc/apache2/mods-enabled fest.
>
>>   * Der „X-Content-Type-Options“-HTTP-Header ist nicht so konfiguriert,
>>     dass er „nosniff“ entspricht. Dies ist ein potentielles
>>     Sicherheitsrisiko und es wird empfohlen, diese Einstellung zu ändern.
> Hier wird seitens des Webservers eine Date
> i/etc/apache2/mods-available/headers.conf mit den entsprechenden
> Einträgen angelegt. Nextcloud selbst schreibt ebenfalls einen Eintrag in
> die eigene .htaccess-Datei.
>
>>   * Der "Strict-Transport-Security" HTTP-Header ist nicht auf mindestens
>>     "15552000" Sekunden eingestellt. Für mehr Sicherheit wird das
>>     Aktivieren von HSTS empfohlen, wie es in den Sicherheitshinweisen
>>     <https://docs.nextcloud.com/server/14/go.php?to=admin-security>
>>     erläutert ist.
> Header add Strict-Transport-Security "max-age=15768000;
>    includeSubDomains"
>
>>   * Dein Web-Server ist nicht richtig eingerichtet um
>>     "/.well-known/caldav" aufzulösen. Weitere Informationen findest Du
>>     in der Dokumentation
>>    
>> <https://docs.nextcloud.com/server/14/go.php?to=admin-setup-well-known-URL>.
>>
>>   * Dein Web-Server ist nicht richtig eingerichtet um
>>     "/.well-known/carddav" aufzulösen. Weitere Informationen findest Du
>>     in der Dokumentation
>>    
>> <https://docs.nextcloud.com/server/14/go.php?to=admin-setup-well-known-URL>.
> Ich habe in meine Apache-VHost-Konfiguration einen Eintrag nach
> folgendem Muster aufgenommen:
>
> RedirectMatch ^/.well-known/(.*)$
> http://<fqdn-des-webservers>/.well-known/$1
>
>>   * Das PHP-OPcache-Modul ist nicht geladen. Für eine bessere Leistung
>>     empfiehlt es sich
>>     <https://docs.nextcloud.com/server/14/go.php?to=admin-php-opcache>
>>     das Modul in Deiner PHP-Installation zu laden.
> Für diese Modul legt aktuell noch das Nextcloud-Paket eine
> Konfigurationsdatei in /etc/php7/conf.d bzw. ../cli an.
>
>>   * Der "Referrer-Policy" HTTP-Header ist nicht gesetzt auf
>>     "no-referrer", "no-referrer-when-downgrade", "strict-origin" oder
>>     "strict-origin-when-cross-origin". Dadurch können
>>     Verweis-Informationen preisgegeben werden.
> Header add Referrer-Policy "no-referrer"


vielen Dank, das werd ich mir diese Woche mal zu Gemüte führen.


> Gruß Jürgen
>

Gruß Dirk

Mehr Informationen über die Mailingliste Eisfair_dev