ich habe funktionierendes NC (auf einer VM) mit reverse proxy in einer anderen VM.
Mein Reverse proxy soll bald online gehen und verweist auf verschiedene Seiten, unter anderem NC. Ich würde gerne einen zweiten authentifizeirungschritt haben, daher plane ich mein reserve proxy mit ID & PW zu versehen.
Anleitung:
funktioniert auch, wenn ich die authentifikation wieder mit
RequestHeader unset Authorization
entferne, dann kann ich darauf ohne probleme zugreifen.
soweit sogut. Aber bei meiner Mobilen App kann ich mich durch diese zusätzliche passwortanfrage nicht anmelden, da diese in der NC app nicht abgefragt wird. Es kommt direkt falsche ID/PW.
Hat jemand schon versucht, dieses Thema so anzugehen oder muss ich da für NC eine ausnahme machen in meinem reverse proxy (was ich eig. nur SEHR ungerne machen würde)
Hallo @Chris_Becke, willkommen in den Foren der Anwender-Gemeinschaft von Nextcloud!
ich bin sicher dass zusätzliche externe Authentication nicht funktioniert. Wir hatten ein Paar Diskussionen dazu.
Eine zusätzliche Passwort Authentication im Reverse Proxy bringt nur wenig zusätzliche Sicherheit weil das Passwort dann weiter statisch ist und zB durch Keylogger geklaut werden kann. Ich würde empfehlen die integrierte NC mfa mit TOTP zu verwenden… oder zB externe sso mit openidconnect - die modernen one-time Passwörter ändern regelmässig und bleiben sicher auch wenn ein TOTP Passwört abgefangen wird, denn ist ist nur für kurze Zeit gültig.
danke für die antwort, es geht nicht zwingend darum, eine zusätzliche sicherheitsebene zu haben (auch aber nicht nur) sondern auch allen ungewünschten Anfragen zu erschweren, welche subdomains (nc,git,owntrack…) hinter der eigentlichen webseite stecken.
dieses Projekt werde ich, da ich mir was eigenes entwickeln muss erstmal aufs Eis legen. Idee ist zwar da aber die wird zeit fressen.
die Subdomains kannst du im Reerse Proxy schon definieren… ich glaube die offizielle config für Nginx ist recht umfangreich… sonst kannst du auch die Nextcloud Whitelist bei crowdsec anschauen… Nextcloud an sich mach für alle nicht-authentisierten Requests zu nicht-anonymen URLs ein redirect zu /login… (weiss aber nicht ob bei ungültigen URLs 404 kommt)… das geht mE aber zu sehr in die Theorie… ein fähiger potentieller Angereifer findet seh schnell raus dass hier eine NC läuft und greift diese spezifisch an… wer weiter stumpf random URLs wie .git abklopft wird wohl nicht mal das offene Scheunentor treffen… ich würde mir eher Sorgen um den 1. als um den 2. machen… btw. oben genanntes crowdsec oder auch das klassische fail2ban helfen hier auch gut.
