NextCloudPI: Sicherheits- und Einrichtungswarnung

  • Hallo User,


    ich nutze meinen NCPi schon über ein Jahr hinter einer Fritz!Box mit fester IP und TLD. Nach Updates kommen immer mal Sicherheits- und Einrichtungswarnungen, welche ich dann auch beheben konnte. Seit dem letzten Update zu 22.2.2 kommt der Hinweis:


    "Die Reverse-Proxy-Header-Konfiguration ist fehlerhaft oder Du greifst auf Nextcloud über einen vertrauenswürdigen Proxy zu. Ist dies nicht der Fall, dann besteht ein Sicherheitsproblem, das einem Angreifer erlaubt, die IP-Adresse, die für Nextcloud sichtbar ist, auszuspähen…"


    Auch nach Recherchen konnte ich das Problem noch nicht beheben, eingrenzen wohl ja. Es liegt wahrscheinlich am Eintrag in der config.php:

    Code: Select all

    Code
    'trusted_proxies' =>
    array (   
    11 => '127.0.0.1',   
    12 => '::1',   
    13 => 'meine öffentliche TLD mit SSL Zertifikat',   
    14 => 'meine öffentliche IP Asdresse zur TLD',
    ),

    hier mal die Systemdaten:


    System: Raspberry Pi 4B mit 8 GB, 32 GB Micro SD und externer 250 GB SSD


    BS: Linux 5.10.63-v8+ aarch64


    Speicher: 7.63 GB


    PHP: 7.3.31


    MySQL: 10.3.31


    Updates: aktuell


    Der Zugriff erfolgt intern und extern über die TLD. Die FB hat eine feste IP vom Provider und die TLD wird entsprechend aufgelöst.


    Die Prüfung auf Sicherheits- und Einrichtungswarnungen läuft nahezu täglich. Diese Warnung erschien genau nach dem Update der NC auf 22.2.2, vorher war alles clean.


    Da ich nicht weiter komme, möchte ich Euch mal fragen, ob es dazu eine Lösung gibt?


    Thomas

  • Die FB hat eine feste IP vom Provider ...

    Welche FritzBox mit welcher FW-Version hast Du? Ist das deine eigene FritzBox oder eine vom Internet-Provider?

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

  • Die aktuelle FW-Version der Boxen, die noch von AVM supportet werden, ist 7.29

    D. h. die FB7390 wird nicht mehr supportet?

    Denn lt. https://ftp.avm.de/fritzbox/fritz…hland/fritz.os/ gibt es keine FW-Version 7.29 für die FB7390, oder?

    EDIT:

    Siehe auch: https://forums.raspberrypi.com/viewtopic.php?t=324712

    EDIT 2:

    Betr. FB7390 (... Wartungsupdates oder Sicherheitsipdates??): https://www.ip-phone-forum.de/threads/sicher…bei-avm.311646/

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

    2 Mal editiert, zuletzt von rpi444 (26. November 2021 um 11:52)

  • Danke für Eure Hinweise. Trotzdem möchte ich gern den Fokus wieder auf mein Problem lenken. Heute habe ich die config.php angepasst:

    Code
    'trusted_domains' =>
      array (    
    0 => 'meine interne IP',    
    1 => 'meine TLD',
    2 => 'meine externe IP'
      ),

    Danach hatte ich über den Browser keinen Zugriff mehr:

    Code
    Zugriff über eine nicht vertrauenswürdige Domain
    
    Bitte kontaktiere Deinen Administrator. Wenn Du Administrator bist, bearbeite die „trusted_domains“-Einstellung in config/config.php. Siehe Beispiel in config/config.sample.php.

    Interessant ist immer wieder, dass nach einem Neustart vom System die config.php vom System angepasst wird. NC ,macht wohl sowas nicht, also müsste es NCpi sein. Der Eintrag in der confi.php sah folgendermaßen aus:

    Code
      'trusted_domains' =>
       array (    0 => 'meine interne IP',
        1 => 'meine interne IP',
        2 => 'meine externe IP,
        11 => 'meine externe IP,
        '' => 'meine TLD',
      ),

    Da komme ich nicht weiter und habe alles erstmal wieder in den Vorzustand versetzt.

    Was mache ich falsch? Warum werden automatisch Anpassungen an der config.php vorgenommen? Liegt das am ncp-config?

    Thomas

  • Hallo fred0815,

    Deinen kurzen Hinweis bzw. Frage kann ich nicht so richtig deuten:

    Zitat

    Ich verstehe das Problem nicht, wen interessiert es, ob jemand die IP sehen kann ?

    Geht das an mich?

    Mein Ansinnen ist, die Warnung von der NC aufzunehmen, dem Grund nachzugehen, eine Lösung zu finden und ein Maß an Sicherheit zu gewährleisten. Für umsonst sind solche Meldungen nicht. Auch wenn es keine große Sicherheitslücke ist, sollte man derer nachgehen. So habe ich dies gelernt und gebe es auch weiter.

    Leider habe die Lösung noch nicht gefunden und hoffe auf Input von Euch.

    VG Thomas

  • Leider habe ich bisher keine Lösung gefunden. Da es erstmal nur eine Warnung ist, werde ich es einige Zeit laufen lassen wollen bis eine neue Version 22.2.3 oä. kommt. Viele User haben ähnliche Problem damit, allerdings mehr in Vorversionen. Die zu findenden Lösungen haben bisher bei mir allerdings nicht geholfen.


    Wer noch eine Idee hat bitte hier posten.


    Thomas

  • ..., die 7390 ist bei AVM aus dem Support-Zyklus raus.

    Ja, aber d. h. nicht, dass es falls erforderlich, keine Sicherheitsupdates mehr für die Firmware der FB7390 gibt.

    Als Beispiel, die FB7362SL:

    Zitat

    Markteinführung : 07/2013

    Einstellung des Supports : 31.12.2019 (Herstellerangabe)

    Firmware-History : 131.07.13 -> 11/2021

    131.07.12 -> 08/2019

    131.07.10 -> 05/2019

    Quelle: https://www.router-faq.de/?id=fbinfo&hwf=fb7362sl#fb7362sl

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

  • Heute habe ich die config.php angepasst:

    Danach hatte ich über den Browser keinen Zugriff mehr:

    Über welche IP?

    'trusted_domains' => array (

    0 => 'meine interne IP',

    1 => 'meine TLD',

    2 => 'meine externe IP'

    ),

    Wenn es die 2 ist, dann ist das klar, da fehlt da ein Komma.

  • The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

  • Richtig, die 7390 ist bei AVM aus dem Support-Zyklus raus.

    Es hat nicht lange gedauert: neue FW-Version 6.87 für die FB7390: https://ftp.avm.de/fritzbox/fritz…hland/fritz.os/

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

  • Hallo,

    ich kann Euch ein positives Feedback zu meinem geschildertem Problem geben. Seit gestern ist der Warnhinweis weg und das System meldet auch keine anderen Auffälligkeiten. Jetzt erwartet Ihr die Lösung von mir. Sorry, ich kann diese nicht geben, denn dazu habe ich nichts beigetragen. Plötzlich war alles ok. Damit kann es sich mMn nur um ein im Hintergrund automatisch abgelaufenes Update gehandelt haben. Die Einträge in der config.php haben sich auch nicht geändert.

    Mal sehen was irgendwann als Nächstes kommt. Danke.

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!