Hi Steffen, irgendwann mal schrieb Yannik (ironischerweise an dich), folgende Zeilen, die ich in den Apache eingepfelgt habe, seitdem ist die HTSP Sicherheitswarunng weg:
Grüße, Tobias Hi Steffen, mit den folgenden Optionen erreiche ich (aktuelle Apache-Version vorausgesetzt) ein A+ rating: SSLEngine on SSLProtocol all -SSLv2 -SSLv3 SSLHonorCipherOrder on SSLCipherSuite ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!CAMELLIA:!DES:!MD5:!PSK:!RC4 Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains" Die letzte Zeile "Header.." (HSTS) ist für das A+ rating notwendig und setzt die apache header Erweiterung (a2enmod header) voraus. Diese Option kannst du aber auch weglassen wenn dir ein A rating reicht. Beste Grüße Yannik Am 28.07.2015 um 20:10 schrieb Steffen Auer: > Hallo Holger und alle OC-Nutzer, > > Am 28.07.2015 um 14:12 schrieb Holger Baumhof: >> Hallo alle zusammen, > >> ich habe heute zwei ownclouds aktualisiert auf 8.1 Ich dachte mir, >> es wäre vielelicht interessant für manche, worauf man dabei achten >> muss. > > also ich hab ja schon oft Joomla geupdated (sogar vom Vorgänger Mambo > auf Joomla 1.0.13 bis heute 3.4.4) sowie Moodle von 1.6 bis derzeit > 2.6), aber bei keinem der Systeme bekommt man wie bei Owncloud von > Update zu Update immer mehr System- und Sicherheitswarnungen im Backend. > > Nach 2 Updates von OC 7.x auf 8.0 und 8.1 sind es nun > --- > Es wurde kein PHP Memory Cache konfiguriert. Konfiguriere zur > Erhöhung der Leistungsfähigkeit, soweit verfügbar, einen Memory Cache. > Weitere Informationen finden Sie in unserer Dokumentation. > /dev/urandom ist für PHP nicht lesbar, wovon aus > Sicherheitsgründen dringend abgeraten wird. Weitere Informationen > hierzu findest Du in unserer Dokumentation. > Der „Strict-Transport-Security“-HTTP-Header ist nicht auf > mindestens „15768000“ Sekunden eingestellt. Für umfassende Sicherheit > wird das Aktivieren von HSTS empfohlen, wie es in unseren > Sicherheitshinweisen erläutert ist. > --- > > Seit 2,5 Stunden versuche ich mich nun am > „Strict-Transport-Security“-HTTP-Header. > > Eigentlich sollte nach allem Googeln ein Eintrag in die .htaccess > --- > Header set Strict-Transport-Security "max-age=15768000" > --- > die Meldung beseitigen - tut es aber nicht. > > Ich geb's jetzt auf. > > Genauso habe ich noch nie eine der anderen Meldungen beseitigt bekommen. > Bei 8.0 war angeblich kein UFT-8 als Standard eingestellt, egal was > ich wo eingetragen habe. Diese Meldung ist seit dem Update weg, aber > wie gesagt, die Zahl der Meldungen wächst von Update zu Update. > > Schon schade, dass OC da so zickig ist und man auch jedes Mal Hand an > die config.php und .htaccess (oder direkt an den Apachen, sofern man > den konfigurieren kann) legen muss, weil diese Dateien sich bei jedem > Update massiv verändern. Das machen andere Systeme echt besser. > > Und auch das error.log füllt sich immens (und wird nie rotiert), > obwohl eigentlich alles funktioniert. Hab da grad eine 160 MB Datei > weggeschoben, damit das Log mal wieder kleiner ist. > > Wäre OC als Solches nicht so ne tolle Sache... > > Viele Grüße > Steffen > > _______________________________________________ > linuxmuster-user mailing list > linuxmuster-user@lists.linuxmuster.net > https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user > _______________________________________________ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user