[Eisfair] Nextcloud: RewriteRule
Rolf Bensch
azubi at bensch-net.de
Di Mai 31 09:29:11 CEST 2022
Hallo Jürgen,
Am 30.05.22 um 11:50 schrieb Juergen Edner:
> Hallo Rolf,
>
>>> mich wundert, dass Du dort manuell eine Datei angelegt hast, denn eine .htaccess-Datei ist Bestandteil des Nextcloud-Paketes. In dieser Datei
>>> sind nach meinem Verständnis auch die Rewrite-Regeln enthalten die die
>>> .well-known-Umschreibungen betreffen. Die "acme-challenge"-Umschreibung
>>> wird dort explizit ausgespart.
>>
>> eis64-2 (/) # ls -l /var/www/htdocs/nextcloud/.htaccess
>> -rw-r--r-- 1 root root 3441 May 30 11:17 /var/www/htdocs/nextcloud/.htaccess
>>
>> eis64-2 (/) # grep well-known /var/www/htdocs/nextcloud/.htaccess
>> RewriteRule ^\.well-known/carddav /remote.php/dav/ [R=301,L]
>> RewriteRule ^\.well-known/caldav /remote.php/dav/ [R=301,L]
>> RewriteRule ^\.well-known/(?!acme-challenge|pki-validation) /index.php [QSA,L]
>> RewriteRule ^(?:\.(?!well-known)|autotest|occ|issue|indie|db_|console).* - [R=404,L]
>>
>> Wenn /.htaccess nicht vorhanden ist, wirft der Sicherheitscheck in Nextcloud damit 4 Warnings aus:
>
> Dies ist mir klar. Mein Fokus lag mehr auf dem "manuell", da diese
> Datei bei einer Installation automatisch in dem Verzeichnis angelegt
> wird. Die vorletzte Zeile sollten üblicherweise verhindern,
> dass .well-known/acme-challenge umgeschrieben wird.
diese .htaccess liegt aber im nc-Verzeichnis. Mir fehlt hier der Zusammenhang beim Aufruf von http://www.my.domain/.well-known/acme-challenge/. Würde eine .htaccess unterhalb von /nc denn überhaupt greifen? Ich denke nicht.
>> "Weitere Informationen hierzu finden Sie in unserer Dokumentation" besagt, dass eine .htaccess in DocumentRoot hilfreich sei. Deshalb erstellte ich diese Datei mit o.g. Inhalt - was jetzt mit dehydrated kollidiert.
>
> Eventuell wird bei Dir die certs_dehydrated.conf aus dem Verzeichnis
> /etc/apache2/mods-enabled nach der für den Webserver/Nextcloud relevante Konfiguation geladen. Abhilfe würde hier das Laden zu einem früheren Zeitpunkt schaffen können.
>
> Hier wird beschrieben wie man ermitteln kann in welcher Reihenfolge
> Rewrite-Regeln abgearbeitet werden:
>
> https://httpd.apache.org/docs/current/mod/mod_rewrite.html
Das habe ich versucht umzusetzen. Ich finde danach Errors in error_log.ssl (z.B. die Heartbeats von NC) aber keine in error_log - auch nicht bei manuellen Zugriff über einen Browser.
Ich werde das weiter untersuchen.
Grüße
Rolf
Mehr Informationen über die Mailingliste Eisfair