Ich möchte gerne mein Nextcloud Container absichern, laut dem Forum muss ich die folgenden Konfiguration in meinem Reverseproxy (in dem Falle Caddy) integrieren:
Header always set Strict-Transport-Security "max-age=15552000; includeSubDomains"
Könnt ihr mir verraten, wo das wie eingerichtet wird?
Danke für eure Unterstützung.
Hat sich erledigt, könnte es über die .htaccess übergeben - funktioniert einwandfrei :).
So etwas sollte m.E. sowieso auf der Anwendungsseite und nicht im Proxy konfiguriert werden. Wenn du es aus der .htaccess direkt in die Apache-Konfiguration schreibst und die .htaccess dann löschst, bekommst du einen kleinen Performance-Gewinn.
Leider gibt es beim "official" Nextcloud Docker Container keinen guten Weg den Header in Nextcloud zu setzen. Dazu auch ein Zitat von Github https://github.com/nextcloud/docker/issues/1366#issuecomment-1773888797 (https://github.com/nextcloud/docker/issues/1366#issuecomment-1773888797):
QuoteNote to folks on this thread: Just because you're seeing the same warning doesn't mean you have the same underlying cause as others in this thread.
If you're behind a reverse proxy, the NC way is to deploy the redirects/rewrites (or equivalent) on your proxy:
https://docs.nextcloud.com/server/latest/admin_manual/configuration_server/reverse_proxy_configuration.html#service-discovery (https://docs.nextcloud.com/server/latest/admin_manual/configuration_server/reverse_proxy_configuration.html#service-discovery)
Closing as this does not appear to be a bug in the Docker image.
@Monviech is there a way to add the HSTS-Header (and maybe even the redirects
redir /.well-known/carddav /remote.php/dav/ 301
redir /.well-known/caldav /remote.php/dav/ 301)?
Nein es gibt kein redirect in der GUI. Geht nur über custom Datei: https://docs.opnsense.org/manual/how-tos/caddy.html#custom-configuration-files
Das andere kann man irgendwie mit dem HTTP Header Menü lösen.
Ich empfehle eher eine Nextcloud installationsmethode zu nehmen die nicht so schlecht wie das Docker AIO Zeug ist, wie z.B. ein ganz normaler LAMP linux server.
Und wenn es einfach gehen soll, in Plesk kann man es auch mit einem Klick installieren.
Ich bin aktuell dabei Nextcloud via Docker zu installieren. Dabei kommt Caddy als Reverse Proxy zum Einsatz, der u. a. die Rewrites usw. vornimmt. Der OPNSENSE Caddy leitet die Anfragen an den Docker Caddy weiter und dann entsprechend an den Nextcloud Container. Ich persönlich empfand den Weg am einfachsten, weil ich so einen dokumentierten Weg über Docker gehen kann und im OPNSENSE Caddy nur über das GUI konfigurieren muss.
Wenn ich mit den Tests fertig bin, wollte ich das mal unter Tutorials veröffentlichen.
Mir war wichtig kein AIO zu nehmen.
Ich verwende auch das "offizielle" Docker Image in der Apache-Variante. Leider kann man da keine Header anpassen. Von AIO würde ich lieber die Finger lassen, weil da die Datenbank mit integriert ist.
Die redirects sind mir relativ egal. Das scheint alles zu funktionieren.
Das mit dem Header wär aber gut, wenn man den hinzufügen könnte. Bei HA Proxy hab ich beim öffentlichen Dienst einfach HSTS aktiviert und das wars :D
So, so funktioniert es:
Zu den HTTP-Headern und dort einen neuen mit
Kopfzeile: header_down
Header Type: +Strict-Transport-Security
Header value: max-age=31536000;
Und den Header dann im Nextcloud http-handler auswählen
Super dass du es rausgefunden hast. Zu HSTS gibt es geteilte meinungen deswegen gibt es das nur mit eigenen Headern.