Sicherheits- und Einrichtungswarnung

Hallo User,

ich nutze meinen NCPi schon über ein Jahr hinter einer FritzBox mit fester IP. Nach Updates kommen immer mal Sicherheits- und Einrichtungswarnungen, welche ich dann auch beheben konnte. Seit dem letzten Update zu 22.2.2 kommt der Hinweis:

"Die Reverse-Proxy-Header-Konfiguration ist fehlerhaft oder Du greifst auf Nextcloud über einen vertrauenswürdigen Proxy zu. Ist dies nicht der Fall, dann besteht ein Sicherheitsproblem, das einem Angreifer erlaubt, die IP-Adresse, die für Nextcloud sichtbar ist, auszuspähen…"

Auch nach Recherchen konnte ich das Problem noch nicht beheben, eingrenzen wohl ja. Es liegt wahrscheinlich am Eintrag in der config.php:

'trusted_proxies' =>
array (
   11 => '127.0.0.1',
   12 => '::1',
   13 => 'meine öffentliche TLD mit SSL Zertifikat',
   14 => 'meine öffentliche IP Asdresse zur TLD',
),

Da ich nicht weiter komme, möchte ich Euch mal fragen, ob es dazu eine Lösung gibt?

Thomas

In meiner config.php habe ich folgende Einträge:

  'trusted_domains' =>
  array (
    0 => 'my.public-host.de',
    1 => '192.168.xx.xx',
  ),

Ich denke, dass Eintrag “14” mit der öffentlichen IP-Adresse die Meldung verursacht.

Guten Morgen,
meine Einträge sehen etwas anders aus. Bevor ich jetzt schnell was ändere, würde ich gern nochmal Eure Meinung hören.

 'trusted_domains' => 
 array (
    0 => 'localhost',
    5 => 'nextcloudpi.local',
    7 => 'nextcloudpi',
    8 => 'nextcloudpi.lan',
    11 => 'meine externe IP',
    1 => 'meine interne IP',
    12 => 'TLD',
    20 => 'TLD',
    3 => 'TLD',
    22 => 'meine interne IP',
    '' => 'TLD',
  ),

Besonders die Mehrfacheinträge sind mir suspekt.

Thomas

  1. Daten zum System Bitte
  2. Was sagt die system.log?
  3. Rennt auf dein PI da noch was drauf von den wir hier wissen sollten?
  4. Wie greifst du auf den Raspberry?? pi Nummer ??? zu?

Danke.

Hallo Nanu,

hier mal die Daten:

System: Raspberry Pi 4B mit 8 GB, 32 GB Micro SD und externer 250 GB SSD
BS: Linux 5.10.63-v8+ aarch64
Speicher: 7.63 GB
PHP: 7.3.31
MySQL: 10.3.31
Updates: aktuell

Auf dem System läuft nur NextCloudPi.

Der Zugriff erfolgt intern und extern über die TLD. Die FB hat eine feste IP vom Provider und die TLD wird entsprechend aufgelöst.

Die Prüfung auf Sicherheits- und Einrichtungswarnungen läuft nahezu täglich. Diese Warnung erschien genau nach dem Update der NC auf 22.2.2, vorher war alles clean.

Die Log-Files habe ich kurz geprüft und keinen Bezug zur Warnung gefunden. Sage mir bitte in welchem Log-File ich detailliert recherchieren kann. Danke.

Thomas

Ein Reverse Proxy ist eine Netzwerkkomponente welche explizit installiert und eingerichtet werden muss. Auf einer Fritzbox ist normalerweise kein Reverse Proxy-Dienst installiert, sodass es keine gute Idee eine solche Konfiguration in Nextcloud vorzunehmen. Lösche die Einträge aus Deiner Konfiguration und die Meldung sollte verschwinden.

Hallo j-ed,

ich habe die Einträge auskommentiert mittels #. Nach einem Neustart stehen diese aber wieder in der config.php drin. NC aktualisiert als wieder die Datei. Die Warnung kommt somit weiterhin. Kann man den Dienst anderweitig deaktivieren?

Thomas

Denke nicht, dass dies NC selbst macht.
Bei den trusted hosts muss man ja auch selbst Hand anlegen.

Vermute mal, dass hier ncpi mitspielt.

Ich sehr noch zwei Ansätze:

Über ncp-config kann man wohl den Proxy konfigurieren. Nur wie?
In der Dokumentation findet man:

<?php
$CONFIG = array (
  'trusted_proxies'   => ['10.0.0.1'],
  'overwritehost'     => 'ssl-proxy.tld',
  'overwriteprotocol' => 'https',
  'overwritewebroot'  => '/domain.tld/nextcloud',
  'overwritecondaddr' => '^10\.0\.0\.1$',
);

In Bezug auf mein Umfeld mit der FritzBox und Portweiterleitung müsste ich dies entsprechend anpassen. Ist dies so korrekt?

<?php
$CONFIG = array (
  'trusted_proxies'   => ['meine interne IP'],
  'overwritehost'     => 'meine TLD',
  'overwriteprotocol' => 'https',
  'overwritewebroot'  => 'meine TLD',
  'overwritecondaddr' => '^meine interne IP$',
);

Ich möchte mir möglichst keine Experimente erlauben und bin deshalb etwas vorsichtig.

Leider habe ich bisher keine Lösung gefunden. Da es erstmal nur eine Warnung ist, werde ich es einige Zeit laufen lassen wollen bis eine neue Version 22.2.3 oä. kommt. Viele User haben ähnliche Problem damit, allerdings mehr in Vorversionen. Die zu findenden Lösungen haben bisher bei mir allerdings nicht geholfen.

Wer noch eine Idee hat bitte hier posten.

Thomas

Hallo,

ich kann Euch ein positives Feedback zu meinem geschildertem Problem geben. Seit gestern ist der Warnhinweis weg und das System meldet auch keine anderen Auffälligkeiten. Jetzt erwartet Ihr die Lösung von mir. Sorry, ich kann diese nicht geben, denn dazu habe ich nichts beigetragen. Plötzlich war alles ok. Damit kann es sich mMn nur um ein im Hintergrund automatisch abgelaufenes Update gehandelt haben. Die Einträge in der config.php haben sich auch nicht geändert.

Mal sehen was irgendwann als Nächstes kommt.

Danke.