Website-Icon .: blog cscholz.io :.

Owncloud: Absicherung durch restriktive Berechtigungen und fail2ban

Christian Scholz

Da ich selber Owncloud einsetzt, möchte ich kurz zwei Möglichkeiten Beschreiben, wie man Owncloud bzw. auch NextCloud mit restriktiveren Rechten absichern kann.

Rechte anpassen

Dazu habe ich hier einen interessanten Artikel gefunden. Das nachfolgende Skript ist daher bis auf die markierte Zeile identisch mit der verlinkten Quellen. 

#!/bin/bash
ocpath='/../../owncloud/'
htuser='www-data'
htgroup='www-data'
rootuser='root'

printf "Creating possible missing Directories\n"
mkdir -p $ocpath/data
mkdir -p $ocpath/assets
mkdir -p $ocpath/updater

printf "chmod Files and Directories\n"
find ${ocpath}/ -type f -print0 | xargs -0 chmod 0640
find ${ocpath}/ -type d -print0 | xargs -0 chmod 0750

printf "chown Directories\n"
chown -R ${htuser}:${htgroup}  $ocpath
chown -R ${rootuser}:${htgroup} ${ocpath}/
chown -R ${htuser}:${htgroup} ${ocpath}/apps/
chown -R ${htuser}:${htgroup} ${ocpath}/assets/
chown -R ${htuser}:${htgroup} ${ocpath}/config/
chown -R ${htuser}:${htgroup} ${ocpath}/data/
chown -R ${htuser}:${htgroup} ${ocpath}/themes/
chown -R ${htuser}:${htgroup} ${ocpath}/updater/

chmod +x ${ocpath}/occ

printf "chmod/chown .htaccess\n"
if [ -f ${ocpath}/.htaccess ]
 then
  chmod 0644 ${ocpath}/.htaccess
  chown ${rootuser}:${htgroup} ${ocpath}/.htaccess
fi
if [ -f ${ocpath}/data/.htaccess ]
 then
  chmod 0644 ${ocpath}/data/.htaccess
  chown ${rootuser}:${htgroup} ${ocpath}/data/.htaccess
fi

fail2ban

Mein Owncloud schreibt die Log-Datei direkt in das syslog. Daher konnte ich die gefundenen Owncloud Regel nicht verwenden und musste diese kurzerhand anpassen.

/etc/fail2ban/filter.d/owncloud.conf 

[Definition]
failregex = .*ownCloud.*Login failed:.* \(Remote IP: \'<HOST>'\)
ignoreregex =

/etc/fail2ban/jail.conf 

[owncloud]enabled = true
filter  = owncloud
port    = http,https
logpath = /var/log/syslog
findtime = 600
bantime  = 600
maxretry = 5

Abschließend fail2ban neustarte.. 

/etc/init.d/fail2ban restart

… kurz testen 

fail2ban-regex /var/log/syslog /etc/fail2ban/filter.d/owncloud.conf

und wenn alles gut aussieht Haken dran.

fail2ban sperrt nun die IP Adressen für http & https Zugriffe nach fünf Fehlversuchen innerhalb von 10 Minuten für 10 Minuten.

Hinweis: Zu viele Firewall Regeln, je nach System bereits ab 150-200 können den Datendurchsatz schnell drastisch Beeinflussen.

 

Die mobile Version verlassen