Hallo,
es heißt ja, im Nextcloud-Verzeichnis sollten alle Verzeichnisse die Zugriffsberechtigung 750 und alle Dateien die Zugriffsberechtigung 640 haben.
Kann ich dass dann so machen:
oder darf ich dann das Backup einspielen?
Was bedeutet eigentlich Andere, ich greife ja auch über mein Smartphone und Windows Client zu.
Sind Andere wie Jeder in Windows?
Gruß
Ich weiß ja nicht womit du das machst. Die Frage ist aber eher: warum?
Nur weil es irgendeiner vorschlägt oder es in einer Doku steht? Meistens (wohl auch bei dir) ist “Andere” wie “Gruppe” festgelegt.
Paar Infos mal im Bezug auf Nextcloud:
Eigentümer: www-data (Webserver-Benutzer, Nextcloud-Benutzer)
Gruppe: www-data (weitere Benutzer als den Benutzer www-data hat die Gruppe meist sowieso nicht, somit meist unnötig dieser Eintrag)
Andere: weitere Benutzer auf dem Linux-System (meist kein wirkliches Risiko, da nur Leseberechtigung)
Es ist halb so wild ob nun Andere (z. B. dein privater Benutzer, …) auch Zugriff haben. root hat sowieso Zugriff. Wenn du nicht gerade eine Business-Nextcloud betreibst, kannst du das ignorieren.
Somit würde ich es nicht ändern. Statt irgendwelcher Sicherheitsvorgaben einfach anzuwenden, versuche zu verstehen, was das ganze überhaupt soll. Damit erreichst du bzgl. Sicherheit meistens mehr.
Bezieht sich nur auf die Benutzer auf dem Linux-System wie dein Linux-Benutzer. Mit den Nextcloud-Clients hat das nichts zu tun. Von außen kann nur über den Webserver/Nextcloud-Anwendung zugeriffen werden, der in der Identität von www-data läuft. www-data ist über Eigentümer berechtigt.
mein Verzeichnis-Recht ist durchwegs 755 und Datei-Recht ist 644.
Empfehlung steht hier:
https://docs.nextcloud.com/server/13/admin_manual/maintenance/manual_upgrade.html
Eigentümer ist XYZ, Gruppe ist XYZg.
XYZ habe ich von meinem Anbieter erhalten und wird der Benutzer www-data sein.
Achso, Andere (z. B. privater Benutzer) ist ein Linux-Benutzer, nicht Nextcloud-Benutzer.
Dann lasse ich es wirklich so, es gibt nur einen Linux-Benutzer, mich.
der Vollständigkeit halber… das steht auch im aktuellen (NC25) Handbuch, du brauchst nicht auf NC13 zurückzugreifen 
https://docs.nextcloud.com/server/25/admin_manual/maintenance/manual_upgrade.html
Zum Verständnis, wenn ich einen 2. Linux-Benutzer anlegen würde, dann hätte der Lesezugriff?
Mit Recht 750/640 keinen Zugriff.
Dann ist die Empfehlung doch gut.
Mein Webspace-Anbieter hat mir einen Benutzernamen zugeteilt, das ist doch der www-data?
Kann ich überhaupt einen 2. Linux-Benutzt anlegen, habe kein Root-Recht.
Ja das stimmt. Dein Benutzer und auch ein zweiter Benutzer hat Lesezugriff auf die Struktur unterhalb z. B. von /var/www/nextcloud und vielleicht ist das z. B. bzgl. Dateien auch ein Problem. Trotzdem kann man sich natürlich fragen, warum man diese Anpassung oft für andere Webserveranwendungen unterhalb von /var/www nicht durchführt.
Ich denke für den Heimanwender ist das alles unproblematisch. Normalerweise haben ja auch keine normalen Benutzer (Familie) einen Linux-Account (SSH) auf dem Linux-Server, sondern nur Benutzer in Anwendungen wie z. B. Nextcloud oder Samba. Und das ist unkritisch. Als Admin bleibt man liebe auf dem Linux-Rechner alleine. Und wenn diese Personen SSH-Zugriff haben, so gibt es automatisch unnötige Risiken, die vielleicht auch durch Ordner- und Dateirechte nicht immer vollständig abgedeckt werden. Aber auch deinen SSH-Account kannst du natürlich (z. B. durch 2FA, SSH-Schlüssel) besser absichern, denn spätestens über root oder www-data erhälst du Zugriff auf alle Nextcloud-Dateien.
Ok, alles klar devnull, da ich alleine SSH-Zugriff habe (sogar über SSH-Schlüssel*) und sonst auch nur ein Linux-Benutzer existiert, erspare ich mir die Arbeit.
Jetzt ist mir jedenfalls die Problematik klar.
Ein 2. Linux-Benutzer sollte auf die Nexcloud-Daten, also nur den Daten-Ordner, keinen Zugriff haben und auch nicht in meiner Gruppe sein.
Einfach ein ziemlich kompliziertes Passwort dort vergeben und dann wegwerfen. Wobei es muss gar nicht kompliziert sein. Es ist einfach Quatsch, dass Passwörter durch Ausprobieren gehackt werden. Sie werden eher mitgelesen.
genau so habe ich es gemacht.
Wie mitlesen bei einer verschlüsselten Verbindung?
SFTP!
Auf dem Client durch Malware / Keylogger oder auf dem Server, der über andere Wege gehackt wurde. Auch sind manchmal die verwendeten Kryptoverfahren zur Verschlüsselung unsicher. Bei SFTP aber eher nicht.
Am besten wäre es, wenn du auf dem Client statt Windows Linux verwendest.
Ich denke das ist der größte Sicherheitsgewinn für deinen Remote-Server.
Umgekehrt ist dein Desktop wohl das größte Risiko für deinen Remote-Server.