OPNsense und Caddy - Parameter übergeben

Started by pleibling, June 19, 2024, 10:09:57 AM

Previous topic - Next topic
Ich möchte gerne mein Nextcloud Container absichern, laut dem Forum muss ich die folgenden Konfiguration in meinem Reverseproxy (in dem Falle Caddy) integrieren:

Header always set Strict-Transport-Security "max-age=15552000; includeSubDomains"

Könnt ihr mir verraten, wo das wie eingerichtet wird?

Danke für eure Unterstützung.

Hat sich erledigt, könnte es über die .htaccess übergeben - funktioniert einwandfrei :).

So etwas sollte m.E. sowieso auf der Anwendungsseite und nicht im Proxy konfiguriert werden. Wenn du es aus der .htaccess direkt in die Apache-Konfiguration schreibst und die .htaccess dann löschst, bekommst du einen kleinen Performance-Gewinn.
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)

Leider gibt es beim "official" Nextcloud Docker Container keinen guten Weg den Header in Nextcloud zu setzen. Dazu auch ein Zitat von Github https://github.com/nextcloud/docker/issues/1366#issuecomment-1773888797:

QuoteNote to folks on this thread: Just because you're seeing the same warning doesn't mean you have the same underlying cause as others in this thread.

If you're behind a reverse proxy, the NC way is to deploy the redirects/rewrites (or equivalent) on your proxy:
https://docs.nextcloud.com/server/latest/admin_manual/configuration_server/reverse_proxy_configuration.html#service-discovery

Closing as this does not appear to be a bug in the Docker image.

@Monviech is there a way to add the HSTS-Header (and maybe even the redirects
    redir /.well-known/carddav /remote.php/dav/ 301
    redir /.well-known/caldav /remote.php/dav/ 301)?

Nein es gibt kein redirect in der GUI. Geht nur über custom Datei: https://docs.opnsense.org/manual/how-tos/caddy.html#custom-configuration-files

Das andere kann man irgendwie mit dem HTTP Header Menü lösen.

Ich empfehle eher eine Nextcloud installationsmethode zu nehmen die nicht so schlecht wie das Docker AIO Zeug ist, wie z.B. ein ganz normaler LAMP linux server.

Und wenn es einfach gehen soll, in Plesk kann man es auch mit einem Klick installieren.

Hardware:
DEC740

Ich bin aktuell dabei Nextcloud via Docker zu installieren. Dabei kommt Caddy als Reverse Proxy zum Einsatz, der u. a. die Rewrites usw. vornimmt. Der OPNSENSE Caddy leitet die Anfragen an den Docker Caddy weiter und dann entsprechend an den Nextcloud Container. Ich persönlich empfand den Weg am einfachsten, weil ich so einen dokumentierten Weg über Docker gehen kann und im OPNSENSE Caddy nur über das GUI konfigurieren muss.

Wenn ich mit den Tests fertig bin, wollte ich das mal unter Tutorials veröffentlichen.

Mir war wichtig kein AIO zu nehmen.

Ich verwende auch das "offizielle" Docker Image in der Apache-Variante. Leider kann man da keine Header anpassen. Von AIO würde ich lieber die Finger lassen, weil da die Datenbank mit integriert ist.

Die redirects sind mir relativ egal. Das scheint alles zu funktionieren.

Das mit dem Header wär aber gut, wenn man den hinzufügen könnte. Bei HA Proxy hab ich beim öffentlichen Dienst einfach HSTS aktiviert und das wars :D

So, so funktioniert es:

Zu den HTTP-Headern und dort einen neuen mit
Kopfzeile: header_down
Header Type: +Strict-Transport-Security
Header value:  max-age=31536000;

Und den Header dann im Nextcloud http-handler auswählen

Super dass du es rausgefunden hast. Zu HSTS gibt es geteilte meinungen deswegen gibt es das nur mit eigenen Headern.
Hardware:
DEC740