Wer kennt eine Referenzsystem bei alle Checkâs ok sind?
Bei Schule Nextcloud Instanzen sieht es besondere erschreckend aus, selbst Beispiel, das Landesmedienzentrum Baden-WĂŒrttemberg hat die Hausarbeiten nicht gemacht.
Auch wenn es hier vielleicht einige Nextcloud-Freunde und auch die Nextcloud GmbH nicht lesen wollen: Ein groĂes Problem die enge Taktung der Versionen (etwa jedes halbe Jahr) und der Support nur von wenigen Versionen. Da lĂ€uft schnell etwas aus den Support wenn man sich nicht Nextcloud Enterprise besorgt oder wirklich auf Zack ist.
Up to 5-10 years of long term support for stable Nextcloud releases
Ich weiĂ nicht ob Wikipedia stimmt. Aber:
Nextcloud (Wikipedia):
Nextcloud 20 vom Oktober 2020 ist aus den Support
Nextcloud 21 vom Februar 2021 seit vorgestern aus dem Support
OwnCloud (Wikipedia)
Owncloud 9.1.0 vom Juli 2016 ist aus dem Support
Owncloud 10.0.0 vom April 2017 wird noch unterstĂŒtzt
Lösungen fĂŒr Nextcloud:
a.) weniger Releases raushauen
b.) Enterprise-Sicherheitsupdates auch fĂŒr Normalanwender
c.) Upgrade-Weg aufzeigen mit Ăberspringen von Releases
Heute ist es so, dass jede/jeder im Durchschnitt jedes halbe Jahr seine Nextcloud upgraden muss.
Und wenn nicht muss sie/er die Nextcloud neu installieren.
Mozilla testet nur die SSL Konfiguration, Qualys zusĂ€tlich noch gewisse Security Header und andere Dinge⊠Beide interessieren sich aber nur fĂŒr den Webserver und der hat ja mit der Applikation, die dahinter lĂ€uft erst mal nichts zu tun. Entscheidend ist auch nicht primĂ€r, dass man ĂŒberall ein âA Superdooper +++â Rating erhĂ€lt, sondern dass man weiss warum man welches Rating erhalten hat.
Wenn jetzt also der Nextcloud Test auch noch die Version der Nextcloud checket und man dann nur ein A anstatt ein A+ erhÀlt, heisst das ja nicht, dass etwas unsicher konfiguriert ist. Es heisst nur, dass die Nextcloud nicht auf dem neusten Patch Level ist. Dann upgradet man halt.
Wenn man eine gehostetete Instanz verwendet ist man natĂŒrlich vom Hoster abhĂ€ngig. Aber auch dann muss man schauen, warum genau, dass man evtl. nur ein A anstatt ein A+ bei Mozilla oder Qualys erhĂ€lt. Ich könnte mir vorstellen, dass viele dieser Hoster, nicht die strikteste SSL Konfiguartion verwenden, um inkompatibiltĂ€ten mit Ă€lteren Clients (Ă€ltere Windows, Android iOS Versionen etcâŠ) zu vermeiden, welche von ihren Kunden noch verwendet werden. Deshalb ist aber der Service noch lange nicht komplett unsicher. Das muss man im Einzelfall anschauenâŠ
Und ja klar, Upgrades auf die neusten Nextcloud Patch Level sollten natĂŒrlich zĂŒgig gemacht werden. Aber zu erwarten, dass ein Hoster wie tab.digital an Tag 2 nach einem neuen Release schon alle Instanzen aktualisiert hat, ist wohl etwas gar optimistischâŠ
Was das betrifft bin ich kein Experte. Kann dir da keine Tools oder so empfehlen.
Aber mit der Rieger Konfiguration, Fail2ban, SSH Zugang nur mit Keys solltest du ziemlich safe sein. NatĂŒrlich OS und Software immer schön aktuell halten, dann sollte das schon passen. Ich habe zusĂ€tlich noch 2FA mit U2F / FIDO aktiviert. Und da ich meinen Server zuhause hoste, ist nur Port 80 und 443 von aussen erreichbar.
Aber wie gesagt ich bin kein Security Experte und gebe da ungerne definitive Statements ab.
Weil ich kein Fan von passwortloser Authentifizierung bin. Ist fĂŒr mich nur noch ein Faktor, auch wenn das technisch vielleicht nicht korrekkt sein mag. Wenn jemand meinen HW Key hat und meinen Benutzernamen kennt, ist er drinn. Ich bin aber nicht mehr auf dem neusten Stand was FIDO2/WebAuth in Verbindung mit Nextcloud betrifft, und werde mich sicher irgendwann wieder damit beschĂ€ftigen. Im Moment ist Passwort + FIDO1 gut genug fĂŒr mich.
Ja aber lassen wir es doch einfach so. Wenn man die Titel der Threads anschaut, passt es sowieso besser so wie es jetzt ist. 2FA und FIDO dort, Security Checks hier.
Ich denke es wĂ€re vielleicht sogar besser eigene Threads aufzumachen fĂŒr Dinge wie Penetration Testing, Monitoring, Netzwerksicherheit etc pp. Das sind komplexe Themen, die jedes fĂŒr sich ganze BĂŒcher fĂŒllen könnte, und die auch nicht unbedingt Nextcloud spezifisch sind. Software up to date halten, eine vernĂŒnftige SSL Konfiguration und Dinge wie 2FA und die ĂŒblichen Tipps wie Fail2ban, die ich auch ja weiter oben auch nochmal aufgefĂŒhrt habe, sollte man da eigentlich schon als gegeben betrachen, wenn man sich mit solchen Dingen eingehnder beschĂ€ftigen will. Ob das hier das richtige Forum ist, um solche Dinge âin depthâ zu besprechen weiss ich halt nicht⊠Ist schon mehr ein Homeuserforum, da haben warscheinlich eher nicht soviele Mitglieder Lösungen am Start, die ĂŒber die âĂŒblichenâ Tipps herausgehen, ich kann mich aber auch tĂ€uschen.
Der nĂ€chste logische Schritt, wenn die Security Basics erfĂŒllt sind, wĂ€re sich mit dem Thema Monitoring zu beschĂ€ftigen. Leider habe ich ausser mit lnav sporadisch ein wenig durch die Logs zu scrollen, noch nicht viel disbezĂŒglich gemacht. Mein Server scheint aber nicht allzu interessant zu sein, wenn ich da reinschaue. Ausser den ĂŒblichen /wp-admin und /wp-login Requests, sehe ich nicht viel femde IP Adressen in meinem Apache Weblog, und auch das hĂ€lt sich arg in Grenzen.
Das mit der Neuinstallation stimmt so nicht. Beispiel: Du bist bei NC21 stehen geblieben. Dann kannst Du auf die letzte Minor-Version von 21 gehen, dann auf 22 und schlieĂlich auf 23.
@rakekniven Danke fĂŒr deine Antwort. NatĂŒrlich stimmt das. Es ist verstĂ€ndlich, dass man keine Version wirklich ĂŒberspringen kann. Auch ist es veilleicht notwendig recht oft neue Releases rauszubringen. Das Problem ist hier wohl die Kombination.
Eine Lösung fĂŒr dieses Problem habe ich aber auch nicht.
@nc-kay
Naja. Wir sind irgendwie in einer ZwickmĂŒhle. Einerseits muss jedes halbe Jahr die Basis von Nextcloud ausgetauscht werden und anderseits können wir den Releases nicht entgehen. Wer sich z. B. zwei Jahre ausruht (Ă€hnlich wie bei Ubuntu LTS) hat vier Releases und damit drei Releasewechsel. Warte erst mal wenn einige merken, dass es Ubuntu 22.04 LTS gibt und Nextcloud noch auf Version 19 oder 20 steht. Und dann gibt es vielleicht schon Nextcloud 24.
Es gibt ja regelmĂ€Ăige Aktualisierungen von Apps. Wenn die Basis vielleicht kleiner wĂ€re, könnten die Releases vielleicht seltener sein. Ein wenig wie bei Windows XP. Die Basis hĂ€lt 15 Jahre aus und nur die Anwendungen werden aktualisiert. MĂŒssen ja nicht 15 Jahre sein, auch nicht 2 Jahre, vielleicht jedes Jahr? In 2021 gab es sogar 3 Nextcloud-Releases (Februar, Juli, November).
A+ 
rot 
