Hi Steffen,
irgendwann mal schrieb Yannik (ironischerweise an dich), folgende
Zeilen, die ich in den Apache eingepfelgt habe, seitdem ist die HTSP
Sicherheitswarunng weg:
Grüße, Tobias
Hi Steffen,
mit den folgenden Optionen erreiche ich (aktuelle Apache-Version
vorausgesetzt) ein A+ rating:
SSLEngine on
SSLProtocol all -SSLv2 -SSLv3
SSLHonorCipherOrder on
SSLCipherSuite
ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!CAMELLIA:!DES:!MD5:!PSK:!RC4
Header always set Strict-Transport-Security "max-age=31536000;
includeSubDomains"
Die letzte Zeile "Header.." (HSTS) ist für das A+ rating notwendig und
setzt die apache header Erweiterung (a2enmod header) voraus. Diese
Option kannst du aber auch weglassen wenn dir ein A rating reicht.
Beste Grüße
Yannik
Am 28.07.2015 um 20:10 schrieb Steffen Auer:
> Hallo Holger und alle OC-Nutzer,
>
> Am 28.07.2015 um 14:12 schrieb Holger Baumhof:
>> Hallo alle zusammen,
>
>> ich habe heute zwei ownclouds aktualisiert auf 8.1 Ich dachte mir,
>> es wäre vielelicht interessant für manche, worauf man dabei achten
>> muss.
>
> also ich hab ja schon oft Joomla geupdated (sogar vom Vorgänger Mambo
> auf Joomla 1.0.13 bis heute 3.4.4) sowie Moodle von 1.6 bis derzeit
> 2.6), aber bei keinem der Systeme bekommt man wie bei Owncloud von
> Update zu Update immer mehr System- und Sicherheitswarnungen im Backend.
>
> Nach 2 Updates von OC 7.x auf 8.0 und 8.1 sind es nun
> ---
> Es wurde kein PHP Memory Cache konfiguriert. Konfiguriere zur
> Erhöhung der Leistungsfähigkeit, soweit verfügbar, einen Memory Cache.
> Weitere Informationen finden Sie in unserer Dokumentation.
> /dev/urandom ist für PHP nicht lesbar, wovon aus
> Sicherheitsgründen dringend abgeraten wird. Weitere Informationen
> hierzu findest Du in unserer Dokumentation.
> Der „Strict-Transport-Security“-HTTP-Header ist nicht auf
> mindestens „15768000“ Sekunden eingestellt. Für umfassende Sicherheit
> wird das Aktivieren von HSTS empfohlen, wie es in unseren
> Sicherheitshinweisen erläutert ist.
> ---
>
> Seit 2,5 Stunden versuche ich mich nun am
> „Strict-Transport-Security“-HTTP-Header.
>
> Eigentlich sollte nach allem Googeln ein Eintrag in die .htaccess
> ---
> Header set Strict-Transport-Security "max-age=15768000"
> ---
> die Meldung beseitigen - tut es aber nicht.
>
> Ich geb's jetzt auf.
>
> Genauso habe ich noch nie eine der anderen Meldungen beseitigt bekommen.
> Bei 8.0 war angeblich kein UFT-8 als Standard eingestellt, egal was
> ich wo eingetragen habe. Diese Meldung ist seit dem Update weg, aber
> wie gesagt, die Zahl der Meldungen wächst von Update zu Update.
>
> Schon schade, dass OC da so zickig ist und man auch jedes Mal Hand an
> die config.php und .htaccess (oder direkt an den Apachen, sofern man
> den konfigurieren kann) legen muss, weil diese Dateien sich bei jedem
> Update massiv verändern. Das machen andere Systeme echt besser.
>
> Und auch das error.log füllt sich immens (und wird nie rotiert),
> obwohl eigentlich alles funktioniert. Hab da grad eine 160 MB Datei
> weggeschoben, damit das Log mal wieder kleiner ist.
>
> Wäre OC als Solches nicht so ne tolle Sache...
>
> Viele Grüße
> Steffen
>
> _______________________________________________
> linuxmuster-user mailing list
> linuxmuster-user@lists.linuxmuster.net
> https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
>
_______________________________________________
linuxmuster-user mailing list
linuxmuster-user@lists.linuxmuster.net
https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
