Mozilla testet nur die SSL Konfiguration, Qualys zusätlich noch gewisse Security Header und andere Dinge… Beide interessieren sich aber nur für den Webserver und der hat ja mit der Applikation, die dahinter läuft erst mal nichts zu tun. Entscheidend ist auch nicht primär, dass man überall ein “A Superdooper +++” Rating erhält, sondern dass man weiss warum man welches Rating erhalten hat.
Wenn jetzt also der Nextcloud Test auch noch die Version der Nextcloud checket und man dann nur ein A anstatt ein A+ erhält, heisst das ja nicht, dass etwas unsicher konfiguriert ist. Es heisst nur, dass die Nextcloud nicht auf dem neusten Patch Level ist. Dann upgradet man halt.
Wenn man eine gehostetete Instanz verwendet ist man natürlich vom Hoster abhängig. Aber auch dann muss man schauen, warum genau, dass man evtl. nur ein A anstatt ein A+ bei Mozilla oder Qualys erhält. Ich könnte mir vorstellen, dass viele dieser Hoster, nicht die strikteste SSL Konfiguartion verwenden, um inkompatibiltäten mit älteren Clients (ältere Windows, Android iOS Versionen etc…) zu vermeiden, welche von ihren Kunden noch verwendet werden. Deshalb ist aber der Service noch lange nicht komplett unsicher. Das muss man im Einzelfall anschauen…
Und ja klar, Upgrades auf die neusten Nextcloud Patch Level sollten natürlich zügig gemacht werden. Aber zu erwarten, dass ein Hoster wie tab.digital an Tag 2 nach einem neuen Release schon alle Instanzen aktualisiert hat, ist wohl etwas gar optimistisch…
Was das betrifft bin ich kein Experte. Kann dir da keine Tools oder so empfehlen.
Aber mit der Rieger Konfiguration, Fail2ban, SSH Zugang nur mit Keys solltest du ziemlich safe sein. Natürlich OS und Software immer schön aktuell halten, dann sollte das schon passen. Ich habe zusätlich noch 2FA mit U2F / FIDO aktiviert. Und da ich meinen Server zuhause hoste, ist nur Port 80 und 443 von aussen erreichbar.
Aber wie gesagt ich bin kein Security Experte und gebe da ungerne definitive Statements ab.
Weil ich kein Fan von passwortloser Authentifizierung bin. Ist für mich nur noch ein Faktor, auch wenn das technisch vielleicht nicht korrekkt sein mag. Wenn jemand meinen HW Key hat und meinen Benutzernamen kennt, ist er drinn. Ich bin aber nicht mehr auf dem neusten Stand was FIDO2/WebAuth in Verbindung mit Nextcloud betrifft, und werde mich sicher irgendwann wieder damit beschäftigen. Im Moment ist Passwort + FIDO1 gut genug für mich.
Ja aber lassen wir es doch einfach so. Wenn man die Titel der Threads anschaut, passt es sowieso besser so wie es jetzt ist. 2FA und FIDO dort, Security Checks hier.
Ich denke es wäre vielleicht sogar besser eigene Threads aufzumachen für Dinge wie Penetration Testing, Monitoring, Netzwerksicherheit etc pp. Das sind komplexe Themen, die jedes für sich ganze Bücher füllen könnte, und die auch nicht unbedingt Nextcloud spezifisch sind. Software up to date halten, eine vernünftige SSL Konfiguration und Dinge wie 2FA und die üblichen Tipps wie Fail2ban, die ich auch ja weiter oben auch nochmal aufgeführt habe, sollte man da eigentlich schon als gegeben betrachen, wenn man sich mit solchen Dingen eingehnder beschäftigen will. Ob das hier das richtige Forum ist, um solche Dinge “in depth” zu besprechen weiss ich halt nicht… Ist schon mehr ein Homeuserforum, da haben warscheinlich eher nicht soviele Mitglieder Lösungen am Start, die über die “üblichen” Tipps herausgehen, ich kann mich aber auch täuschen.
Der nächste logische Schritt, wenn die Security Basics erfüllt sind, wäre sich mit dem Thema Monitoring zu beschäftigen. Leider habe ich ausser mit lnav sporadisch ein wenig durch die Logs zu scrollen, noch nicht viel disbezüglich gemacht. Mein Server scheint aber nicht allzu interessant zu sein, wenn ich da reinschaue. Ausser den üblichen /wp-admin und /wp-login Requests, sehe ich nicht viel femde IP Adressen in meinem Apache Weblog, und auch das hält sich arg in Grenzen.
Das mit der Neuinstallation stimmt so nicht. Beispiel: Du bist bei NC21 stehen geblieben. Dann kannst Du auf die letzte Minor-Version von 21 gehen, dann auf 22 und schließlich auf 23.
@rakekniven Danke für deine Antwort. Natürlich stimmt das. Es ist verständlich, dass man keine Version wirklich überspringen kann. Auch ist es veilleicht notwendig recht oft neue Releases rauszubringen. Das Problem ist hier wohl die Kombination.
Eine Lösung für dieses Problem habe ich aber auch nicht.
@nc-kay
Naja. Wir sind irgendwie in einer Zwickmühle. Einerseits muss jedes halbe Jahr die Basis von Nextcloud ausgetauscht werden und anderseits können wir den Releases nicht entgehen. Wer sich z. B. zwei Jahre ausruht (ähnlich wie bei Ubuntu LTS) hat vier Releases und damit drei Releasewechsel. Warte erst mal wenn einige merken, dass es Ubuntu 22.04 LTS gibt und Nextcloud noch auf Version 19 oder 20 steht. Und dann gibt es vielleicht schon Nextcloud 24.
Es gibt ja regelmäßige Aktualisierungen von Apps. Wenn die Basis vielleicht kleiner wäre, könnten die Releases vielleicht seltener sein. Ein wenig wie bei Windows XP. Die Basis hält 15 Jahre aus und nur die Anwendungen werden aktualisiert. Müssen ja nicht 15 Jahre sein, auch nicht 2 Jahre, vielleicht jedes Jahr? In 2021 gab es sogar 3 Nextcloud-Releases (Februar, Juli, November).
Die Lösung wäre ein LTS Release. Meinetwegen sogar mit einer Bezahllizenz für Privatuser. Und diese LTS Version gibt es ja schon. Man müsste sie nur auch für Privatuser anbieten. Wollen sie aber wohl nicht machen, aus Gründen die ich auch nicht kenne. Und von den fixen Release Cyclen sollte man sich vielleicht auch mal verabschieden, sondern neue Versionen erst dann veröffentlichen, wenn sie tatsächlich ready sind. Imho hätte eigentlich v23 erst jetzt rausgekommen dürfen. 23.0.0 war imho höchstens Betas Status, wenn man die Liste der Fixes für 23.0.2 anschaut.
Anyway ich finde das ist jammern auf hohem Niveau. Es gibt diverse Appliances, die einem der grössten Teil der Arbeit abnehmen. Gerade, wenn es um Abhängigkeiten zu den PHP Version von verschiedenen Linux Distributionen geht, muss man sich, wenn man etwas wie Nextcloud Pi oder Nextcloud AIO nutzt, nicht wirklich kümmern.
Die Tests prüfen größtenteils bzw. ausschließlich die Konfiguration des Webservers. Das Thema Majorversionen alle 4-5 Monate ist ein anderes.
Das Betreiben einer eigenen Cloud mit Konnektivität zum Internet ist nicht trivial und Bedarf Pflege und Wissen. Doch das ist nichts neues für viele. Die Leute mit der Idee “Es ist Samstagmittag und ich nagel jetzt mal NC auf meinen Raspi und hänge den ans Netz” sind jedoch gefrustet wenn sich die Erkenntnis ergibt.
Jup man muss aufpassen, dass man nicht Dinge vermischt. Die Kriterien des Sicherheitstests, ändern sich nicht mit jeder Version. Und wenn ein A statt ein A+ das einzige Problem ist, und dann noch aus offensichtlichen und bekannten Gründen, weil der Test einfach die neuste Version noch nicht kennt, ist das nicht wirklich ein Problem. Ob es aber wirklich drei Releases braucht jedes Jahr, ist aus User Sicht schon fraglich. Die Devs erhalten so natürlich mehr Feedback über neue Features, eventuelle Bugs etc… Die Testbasis erhöht sich signifikant mit einer “Release often, and Release early Strategie”
Allerdings nochmals: Das ist Jammern auf hohem Niveau. Es ist alles Free & Open Source. Und es zwingt einem niemand schon am Release Tag zu aktuialisieren. Wenn man ein bis zwei Point Releases abwartet, läuft es in der Regel gut. Und wenn man dreimal im Jahr upgraden muss, kommt man nicht aus der Übung
