Moin zusammen, kurze Vorstellung und eine Frage zur Sicherheit

Olaf · January 31, 2021, 10:12am

Hallo,

ich bin Olaf aus Hamburg.
Seit Mitte der Achtziger bin ich an der Tastatur. Von einem ZX81, über C16plus4, diverse win PC in den Neunzigern, ab 2004 mit Linux Systemen, bis heute auf Peppermint Linux auf älteren Thinkpads.
Seit gestern außerdem mit einem kleinen Seafile 8.02 Server auf ubuntu 20.04 LTS. Der kleine läuft auf einem HP 610 Thin Client auf dem ich zuvor zwei Jahre lang eine Nextcloud betrieben hatte.
Leider bin ich kein Hacker Genie, sondern in erster Linie Anwender. Allerdings mit etwas Erfahrung. Und so komme ich in der Regel mit Anleitungen gut klar. Im Fall von seafile waren die Videos von datamate eine sehr große Hilfe. Vielen Dank an dieser Stelle.

Nach Absicherung mit fail2ban, ufw & https Zugang rief ich die cloud in:

observatory.mozilla

auf. Die Sicherheitseinstufung war “F”. Was mich etwas ernüchterte. Nachdem ich mal die Adresse des Seafile Servers der Uni Bremen eingab und das selbe Ergebnis erhielt, setzte etwas Irritation ein.

Handelt es sich vielleicht um das, aus Redmond berühmte, Feature statt einem Bug?

Ein kurzer Tipp wäre lieb.

Danke Euch.

TheNomad11 · January 31, 2021, 11:53am

Sehr interessant, bei mir dasselbe Ergebnis, während Nextcloud ein A+ ergab.
Ich bin weniger Experte als du. Was ich sehe: Es sind einige Header nicht implementiert in Webserver-Konfiguration. Auf Mozillas Seite wird das ja erklärt, ich werde mir das auch mal genau anschauen

https://infosec.mozilla.org/guidelines/web_security
https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Strict-Transport-Security

Aber eigentlich sollte das ja von Seafile automatisch eingestellt werden.

Martin · January 31, 2021, 9:25pm

Für den Großteil der Sicherheitsfeatures, die hier abgeprüft werden, ist schon der vorgeschaltete Webserver und nicht Seafile verantwortlich. Beim Mozilla Observatory komme ich auf B+. Mehr geht ohne großen Aufwand vermutlich auch nicht, da für Seafile unsafe-inline bei CSP erforderlich ist. Zumindest bei meinem letzten Test war das so und die Mühe das im Detail nachzuvollziehen wollte ich mir nicht machen.

Ich empfehle noch den Test von hardenize.com. Dort sind bei mir alle Prüfungen grün, A++ sozusagen. Ist aber ein bisschen Arbeit, um sich mit den Details sämtlicher Sicherheitsfeatures vertraut zu machen.

rdb · January 31, 2021, 10:15pm

Ich kann Martin nur beipflichten. Das Observatory prüft nicht die Sicherheit der Anwendung an sich, sondern vielmehr die Sicherheit der Verbindung.

Als Ergänzung nur folgenden Kontext:

Olaf · February 1, 2021, 7:57am

Hallo Ihr drei und vielen Dank für Eure Antworten.
Etwas in der Richtung habe ich mit schon gedacht. Tatsächlich lief die Nextcloud bei mir in dem Test im schlechtesten Fall mit A. Leider ist die Anleitung nicht mehr verfügbar, so dass ich nicht schauen kann welche Maßnahmen ergriffen wurden um Nginx an den Test anzupassen .
Hardenize gibt mir allerdings auch ein: “https configuration issue” zurück.

Ich blätter nochmal ein bißchen im Koffler, habe aber keine Eile damit.

Aprpopos Eile: Seafile läuft bei mir um Längen geschmeidiger als die Nextcloud. Also in der Dateisynchronisierung. Ein wirklich schönes Stück Software.

Danke noch einmal für den Support und viele Grüße!

Jochen · February 1, 2021, 10:18am

Hallo Olaf,

ich hatte mir beim Aufsetzen seinerzeit einen Sport draus gemacht, die Sicherheitsergebnisse dieser Scans zu optimieren. Falls Du Interesse hast, müsste ich mal in meiner Doku nachschauen (gerade kein Zugriff darauf). Es ging um angepasste ciphers, Header etc.Hab da Vieles nach trial and error gemacht, ohne manchmal genau zu verstehen, was ich da tue
Am Schluss hatte ich auf jeden Fall sehr gute Ergbebnisse. Aber bestimmt verbunden mit ziemlichen Restriktionen, welche Clients und Browser da dann noch oder eben nicht mehr funktionieren! Da ich fast als Einziger meinen Server verwende, war mir das egal, bei ner größeren Installation mit unbekannten Clients müsste man da bestimmt Rücksicht nehmen und das wird auch der Grund sein, warum viele große und professionelle sites da auch kein besseres Ranking bekommen.

Viele Grüße,
Jochen

Olaf · February 2, 2021, 8:23am

Moin Jochen,
Danke für Deine Antwort.
Ich wollte es nicht mit der Sicherheit, bzw. dem guten Abschneiden in Tests auf die Spitze treiben. Ein gutes 80 zu 20 ist immer mein Ziel und wenn ich den https-Hinweis aus der Welt habe sollte es passen.
Vorrang hat erstmal das einrichten eines Backups der abgelegten Daten, was aber bestimmt funktioniert wenn cron&rsync auf den Datenordner losgelassen werden.
Und dann soll noch Baikal oder ähnliches seinen Dienst verrichten. Und dann brauch ich eine wirklich vernünftige durchdachte Ablagestruktur. Seufz Zeitziel ist Ende Februar. -> Sollte zu schaffen sein.

Vielen Dank noch einmal für Deine Unterstützung & viele Grüße,

shoeper · February 2, 2021, 10:06am

Für https einfach diesen Test nehmen: ssllabs.com/ssltest/analyze.html