Nextcloud - Sicherheits Test - Security Check - oft katastrohphal

Hallo Forum,

c-rieger prüft seine Instanzen mit folgenden drei Anbietern:

Bei scan.nextcloud bekomme ich fast immer ein Rating :nauseated_face: A+ :nauseated_face:.

Bei zwei weiteren Check’s ist immer irgendwas :rage: rot :rage: .

Wie sieht es bei euch aus?
In wie weit sollte den weiteren zwei Checkanbietern Beachtung schenken?

Die offizielle Demoseite https://demo2.nextcloud.com/ hat nicht das letzte Patchlevel.
Tab.Digital https://nc.nl.tab.digital/ ebensowenig.

Wer kennt eine Referenzsystem bei alle Check’s ok sind?

Bei Schule Nextcloud Instanzen sieht es besondere erschreckend aus, selbst Beispiel, das Landesmedienzentrum Baden-Württemberg hat die Hausarbeiten nicht gemacht.

MfG
nc-kay

Das war der Stand 2017, also nix gelernt.

https://www.golem.de/news/bsi-schuetzt-euer-owncloud-vor-feuer-und-wasser-1703-126791.html

Das Bundesamt für Sicherheit in der Informationstechnik verschickt zurzeit Warnungen an die Betreiber von veralteten Installationen der Cloud-Software Owncloud und dessen Fork Nextcloud. Auch verschiedene Parteien und Ministerien hatten veraltete Versionen dieser Cloud-Software-Produkte mit bekannten Sicherheitslücken in Benutzung.

Auch wenn es hier vielleicht einige Nextcloud-Freunde und auch die Nextcloud GmbH nicht lesen wollen: Ein großes Problem die enge Taktung der Versionen (etwa jedes halbe Jahr) und der Support nur von wenigen Versionen. Da läuft schnell etwas aus den Support wenn man sich nicht Nextcloud Enterprise besorgt oder wirklich auf Zack ist.

Up to 5-10 years of long term support for stable Nextcloud releases

Ich weiß nicht ob Wikipedia stimmt. Aber:

Nextcloud (Wikipedia):
Nextcloud 20 vom Oktober 2020 ist aus den Support
Nextcloud 21 vom Februar 2021 seit vorgestern aus dem Support

OwnCloud (Wikipedia)
Owncloud 9.1.0 vom Juli 2016 ist aus dem Support
Owncloud 10.0.0 vom April 2017 wird noch unterstützt

Lösungen für Nextcloud:
a.) weniger Releases raushauen
b.) Enterprise-Sicherheitsupdates auch für Normalanwender
c.) Upgrade-Weg aufzeigen mit Überspringen von Releases

Heute ist es so, dass jede/jeder im Durchschnitt jedes halbe Jahr seine Nextcloud upgraden muss.
Und wenn nicht muss sie/er die Nextcloud neu installieren.

4 Likes

Also bei mir sind die Prüfungen, die C Rieger auch verlinkt immer A+. Muss man halt mit Updates am Ball bleiben.

1 Like

Hier werden einige Dinge vermischt.

Mozilla testet nur die SSL Konfiguration, Qualys zusätlich noch gewisse Security Header und andere Dinge… Beide interessieren sich aber nur für den Webserver und der hat ja mit der Applikation, die dahinter läuft erst mal nichts zu tun. Entscheidend ist auch nicht primär, dass man überall ein “A Superdooper +++” Rating erhält, sondern dass man weiss warum man welches Rating erhalten hat.

Wenn jetzt also der Nextcloud Test auch noch die Version der Nextcloud checket und man dann nur ein A anstatt ein A+ erhält, heisst das ja nicht, dass etwas unsicher konfiguriert ist. Es heisst nur, dass die Nextcloud nicht auf dem neusten Patch Level ist. Dann upgradet man halt. :wink:

Wenn man eine gehostetete Instanz verwendet ist man natürlich vom Hoster abhängig. Aber auch dann muss man schauen, warum genau, dass man evtl. nur ein A anstatt ein A+ bei Mozilla oder Qualys erhält. Ich könnte mir vorstellen, dass viele dieser Hoster, nicht die strikteste SSL Konfiguartion verwenden, um inkompatibiltäten mit älteren Clients (ältere Windows, Android iOS Versionen etc…) zu vermeiden, welche von ihren Kunden noch verwendet werden. Deshalb ist aber der Service noch lange nicht komplett unsicher. Das muss man im Einzelfall anschauen…

Und ja klar, Upgrades auf die neusten Nextcloud Patch Level sollten natürlich zügig gemacht werden. Aber zu erwarten, dass ein Hoster wie tab.digital an Tag 2 nach einem neuen Release schon alle Instanzen aktualisiert hat, ist wohl etwas gar optimistisch… :wink:

3 Likes

Nach welchem “Fahrplan” prüfe ich meine VPS (Server) Nextcloud Instanz auf mögliche Sicherheitslücken?

Sozusagen ein “very small PenetrationTest”.

Was das betrifft bin ich kein Experte. Kann dir da keine Tools oder so empfehlen.

Aber mit der Rieger Konfiguration, Fail2ban, SSH Zugang nur mit Keys solltest du ziemlich safe sein. Natürlich OS und Software immer schön aktuell halten, dann sollte das schon passen. Ich habe zusätlich noch 2FA mit U2F / FIDO aktiviert. Und da ich meinen Server zuhause hoste, ist nur Port 80 und 443 von aussen erreichbar.

Aber wie gesagt ich bin kein Security Experte und gebe da ungerne definitive Statements ab.

Warum verwendest Du nicht FIDO2?
Welche Gründe habe dich zu U2F / FIDO geführt?

Ich stand neulichst vor der Tür:

Du kannst bei FIDO2 auch einen zusätzlichen PIN setzen.

Gibt es hier evtl. Experten mit entsprechender Expertise?

Weil ich kein Fan von passwortloser Authentifizierung bin. Ist für mich nur noch ein Faktor, auch wenn das technisch vielleicht nicht korrekkt sein mag. Wenn jemand meinen HW Key hat und meinen Benutzernamen kennt, ist er drinn. Ich bin aber nicht mehr auf dem neusten Stand was FIDO2/WebAuth in Verbindung mit Nextcloud betrifft, und werde mich sicher irgendwann wieder damit beschäftigen. Im Moment ist Passwort + FIDO1 gut genug für mich.

Ein der Informationen gibt es hier im Thread:

hat dieses Thema aufgeteilt, vor 35 Minuten

A post was merged into an existing topic: Nextcloud - Sicherheits Test - Security Check - oft katastrohphal

Es wurde nicht alles verschoben.

Ja aber lassen wir es doch einfach so. Wenn man die Titel der Threads anschaut, passt es sowieso besser so wie es jetzt ist. 2FA und FIDO dort, Security Checks hier. :wink:

Also wie gehe ich vor?

Ich denke es wäre vielleicht sogar besser eigene Threads aufzumachen für Dinge wie Penetration Testing, Monitoring, Netzwerksicherheit etc pp. Das sind komplexe Themen, die jedes für sich ganze Bücher füllen könnte, und die auch nicht unbedingt Nextcloud spezifisch sind. Software up to date halten, eine vernünftige SSL Konfiguration und Dinge wie 2FA und die üblichen Tipps wie Fail2ban, die ich auch ja weiter oben auch nochmal aufgeführt habe, sollte man da eigentlich schon als gegeben betrachen, wenn man sich mit solchen Dingen eingehnder beschäftigen will. Ob das hier das richtige Forum ist, um solche Dinge “in depth” zu besprechen weiss ich halt nicht… Ist schon mehr ein Homeuserforum, da haben warscheinlich eher nicht soviele Mitglieder Lösungen am Start, die über die “üblichen” Tipps herausgehen, ich kann mich aber auch täuschen.

1 Like

Noch eine kleine Ergänzung:

Der nächste logische Schritt, wenn die Security Basics erfüllt sind, wäre sich mit dem Thema Monitoring zu beschäftigen. Leider habe ich ausser mit lnav sporadisch ein wenig durch die Logs zu scrollen, noch nicht viel disbezüglich gemacht. Mein Server scheint aber nicht allzu interessant zu sein, wenn ich da reinschaue. Ausser den üblichen /wp-admin und /wp-login Requests, sehe ich nicht viel femde IP Adressen in meinem Apache Weblog, und auch das hält sich arg in Grenzen.

Die Vermutung habe ich auch.

So tief wollte ich auch gar nicht einsteigen.

c-rieger hat sich da bestimmt einen Kopf gemacht.

Das mit der Neuinstallation stimmt so nicht. Beispiel: Du bist bei NC21 stehen geblieben. Dann kannst Du auf die letzte Minor-Version von 21 gehen, dann auf 22 und schließlich auf 23.

@rakekniven Danke für deine Antwort. Natürlich stimmt das. Es ist verständlich, dass man keine Version wirklich überspringen kann. Auch ist es veilleicht notwendig recht oft neue Releases rauszubringen. Das Problem ist hier wohl die Kombination.

Eine Lösung für dieses Problem habe ich aber auch nicht.

Was meinst Du damit?

@nc-kay
Naja. Wir sind irgendwie in einer Zwickmühle. Einerseits muss jedes halbe Jahr die Basis von Nextcloud ausgetauscht werden und anderseits können wir den Releases nicht entgehen. Wer sich z. B. zwei Jahre ausruht (ähnlich wie bei Ubuntu LTS) hat vier Releases und damit drei Releasewechsel. Warte erst mal wenn einige merken, dass es Ubuntu 22.04 LTS gibt und Nextcloud noch auf Version 19 oder 20 steht. Und dann gibt es vielleicht schon Nextcloud 24.

Es gibt ja regelmäßige Aktualisierungen von Apps. Wenn die Basis vielleicht kleiner wäre, könnten die Releases vielleicht seltener sein. Ein wenig wie bei Windows XP. Die Basis hält 15 Jahre aus und nur die Anwendungen werden aktualisiert. Müssen ja nicht 15 Jahre sein, auch nicht 2 Jahre, vielleicht jedes Jahr? In 2021 gab es sogar 3 Nextcloud-Releases (Februar, Juli, November).