ownCloud – Security und Mail 0.5

ownCloud beschäftigt mich im Moment ein wenig mehr, als ich eigentlich möchte. Einmal die Sache mit dem Abgang von Karlitschek u.a. aus der Inc. – aber darauf habe ich ja keinen Einfluss … Zum anderen sammelten sich jetzt wieder ein paar Problemchen an, die mich irgendwann so sehr nervten, dass ich gestern Abend zum Rundumschlag ansetzte. Aber der Reihe nach …

Die von mir aktivierte aber an sich nicht genutzte Anwendung Mail wurde in Version 0.5 veröffentlicht. Neben einigen Bugfixes ist der Import von ics-Dateien in den Kalender ermöglicht worden. Nur meine App-Verwaltung zeigte mir gar kein Update an! Nun gut also erst einmal manuelle Installation der Applikation. Klappte soweit auch alles problemlos. Allerdings erhielt ich keinen Zugriff auf meinen Mailserver. Alle anderen Komponenten von ownCloud funktionierten problemlos …

Auch die Neuanlage des Mailkontos am ownCloud-Server brachte keine Änderung. Ein kurzer Check der Log-Dateien meines ownCloud-Servers brachten seltsames zum Vorschein:

ocsecure3

Ein DNS-Fehler? Ich habe zwar auf meinem Debianserver DNS nicht explizit konfiguriert, aber bisher hatte es da auch keinerlei Probleme gegeben. Auch die Security-Checks von ownCloud meldeten, dass mein Server über keine aktive Internetverbindung verfügte. Nun gut: die Eintragung von DNS-Servern und eines Gateways mit Hilfe des Programms resolvconf (nicht mit der Datei resolv.conf verwechseln!) behob diesen Fehler. Im Wiki von Debian erhält man umfangreiche Informationen zur DNS-Konfiguration, ob manuell oder mit den verschiedenen Programmen, inklusive resolvconf. Ein kurzer Test ergab zufriedenstellendes: meine Account eingerichtet werden und Mail 0.5 griff auf meinen privaten Mailserver zu. Alles paletti also!

Einmal am Basteln, ging ich daran, die letzte verbliebene Security-Warnung ownClouds zu beseitigen: der Hinweis auf den Zugriff per HTTP statt der verschlüsselten Variante HTTPS nervte mich irgendwie 😉 . Ich halte den Einsatz von HTTPS in meiner Umgebung zwar für überflüssig (Zugriff erfolgt ausschließlich per VPN oder im lokalen Netz), aber wenn das unbedingt so sein soll. HTTPS beim Zugriff auf ownCloud funktionierte ohnehin, blieb also nur noch, den Zugriff per HTTP zu verhindern.

Es gab einmal in ownCloud eine Checkbox, mit der ich den ausschließlichen HTTPS-Zugriff einschalten konnte, den habe ich aber nicht mehr finden können. Blieb also die Konfiguration des Apachen.

Hierfür genügt in der config-Datei des virtuellen Hosts für owncloud folgenden Eintrag vorzunehmen:

<VirtualHost *:80>
   ServerName xcvdf.eud.com
   Redirect permanent / https://cloud.owncloud.com/
</VirtualHost>

Den Namen des Servers anpassen natürlich, oder lediglich die IP-Adresse eintragen. Da ich keine DNS-Auflösung im eigenen Netzwerk betreibe, nutze ich lediglich die IP-Adresse. Damit ist der Parameter ServerName auch komplett überflüssig. Jetzt noch ein Neustart des Webservers per Console

service apache2 restart

und tatsächlich wird nunmehr jeder Zugriff per HTTP umgeleitet auf HTTPS. Ein unverschlüsselter Zugiff auf das Webfrontend ist auf dieses Art und Weise nicht mehr möglich.

Test gemacht, Anfrage wird richtigerweise auf HTTPS umgeleitet und nun nur noch ein kurzer Blick auf die Adminseite von ownCloud. Die Meldung von wegen HTTP war verschwunden, stattdessen empfing mich – wieder im leuchtenden rot – diese Meldung

ocsecure1

Ehrlich gesagt, finde ich diese „Zuwendung“ der Macher von ownCloud für ein wenig übertrieben. Etwas mehr Entscheidungsfreiheit sollte man – zumindest in der Community-Variante – dem Besitzer einer ownCloud-Instanz schon lassen. Um den von ownCloud vorgeschlagenen Weg zu gehen, ist es erforderlich erst einmal die Erweiterung headers beim Apache zu aktivieren und den Webserver neu zu starten:

a2enmod headers

In der Konfigurationsdatei des virtuellen Hosts für HTTPS eintragen:

 ServerName cloud.owncloud.com
    <IfModule mod_headers.c>
      Header always set Strict-Transport-Security "max-age=15768000; includeSubDomains; preload"
    </IfModule>

Sollten auf dem Server keine Subdomains existieren, kann man auf den Parameter includeSubdomains auch verzichten. Neustart des Apachen (s.o.) und tatsächlich zeigt mir der Abschnitt Securitychecks der Adminseite von ownCloud nunmehr an, dass alles ok sei.

ocsecure2

Alles in Allem ein wenig aufwendig und in meinen Augen auch übertrieben. Andererseits habe ich mich mal wieder mit dem Apache2, ownCloud und Debian beschäftigt …

Der Erfolg ist durchschlagend:

  • Mail funktioniert
  • Updatemeldungen für ownCloud werden wieder angezeigt. Heute Mail 0.5.1 und Contacts 1.3.0
  • keine Fehlermeldungen mehr in ownCloud

Kommentar verfassen

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.