[Official app] Nextcloud

fr
en

#162

ok. Apparemment, c’est ce que je croyais : les header sont en double dans la conf de Nextcloud et la conf. Si on les supprimes, l’avertissement semble ne plus être là. Quelqu’un peut vérifier quand même ? @Jimbojoe @mib


#163

Je confirme, j’ai les memes erreurs renvoyées. Et je ne crois pas avoir compris les réponses à apporter :wink:


#164

En effet, je viens de tester mais il n’y avait que cette header
add_header X-Robots-Tag none;
qui n’était pas en double


#165

Ca ne parait pas surprenant en soit vu que le changement côté core a consisté à changer les add_header en more_set_headers… Juste surprenant que nginx ne sache pas faire la “synthèse” de tout ça… :frowning:


#166

@Sango
Modifies ton fichier /etc/nginx/conf.d/nomdedomaine.fr.d/nextcloud.conf pour qu’il ressemble à ça

Add headers to serve security related headers

#add_header Strict-Transport-Security “max-age=15768000;”;
#add_header X-Content-Type-Options nosniff;
#add_header X-XSS-Protection “1; mode=block”;
add_header X-Robots-Tag none;
#add_header X-Download-Options noopen;
#add_header X-Permitted-Cross-Domain-Policies none;


#167

ben, théoriquement, il devrait, et il le fait : je n’avais pas ces erreurs dans securityheader, mais apparemment, nextcloud n’aime pas ça. more_set_header est normalement fait pour ça (du moins pour ne pas pouvoir changer les données du serveur racine).


#168

Pour ma part, je n’avais que 3 warning (+le php 7.0) :

  • The “X-Content-Type-Options” HTTP header is not set to “nosniff”. This is a potential security or >privacy risk, as it is recommended to adjust this setting accordingly.

  • The “X-Download-Options” HTTP header is not set to “noopen”. This is a potential security or privacy risk, as it is recommended to adjust this setting accordingly.

  • The “X-Permitted-Cross-Domain-Policies” HTTP header is not set to “none”. This is a potential security or privacy risk, as it is recommended to adjust this setting accordingly.

  • You are currently running PHP 7.0.33-0+deb9u1. Upgrade your PHP version to take advantage of performance and security updates provided by the PHP Group as soon as your distribution supports it.

Et commenter la partie du fichier de conf comme cela a réglé le problème :

# Follows the Web Security Directives from the Mozilla Dev Lab and the Mozilla Obervatory + Partners
# https://wiki.mozilla.org/Security/Guidelines/Web_Security
# https://observatory.mozilla.org/
more_set_headers “Strict-Transport-Security : max-age=63072000; includeSubDomains; preload”;
more_set_headers “Content-Security-Policy : upgrade-insecure-requests”;
more_set_headers “Content-Security-Policy-Report-Only : default-src https: data: ‘unsafe-inline’ ‘unsafe-eval’”;
##more_set_headers “X-Content-Type-Options : nosniff”;
more_set_headers “X-XSS-Protection : 1; mode=block”;
##more_set_headers “X-Download-Options : noopen”;
##more_set_headers “X-Permitted-Cross-Domain-Policies : none”;
more_set_headers “X-Frame-Options : SAMEORIGIN”;


#169

alors, commenter les directives dans la conf de l’app me semble quand même plus judicieux :confused:


#170

Bien, je n’avais pas fait attention qu’il y avait deux fichiers possibles… Donc je viens de tester :
1- si je modifie comme précédemment /etc/nginx/mondomain.conf : ça marche
2- si je modifie /etc/nginx/mondomain.d/nextcloud.conf : ça marche aussi (à noter qu’il y a deux sections où ces lignes apparaissent, et qu’il faut commenter celles d’en haut [après location ^~ / {], car ça ne ne marche pas avec celle du bas [après location ~* .(?:css|js)$ {])


#171

ben, l’avantage de more_set_header, c’est que c’est appliqué partout après. Avantage et inconvénient on me dira, sauf que ce sont des directives essentielles pour la securité du serveur et de l’utilisateur final. Donc, selon moi, les supprimer directement dans la conf de l’app est peut-être un bonne idée.


#172

securityheaders.com indique bien que ces headers sont en double… ça serait quand même intéressant de voir comment faire en sorte que nginx fasse bien la “fusion”, car au-delà de la frustration intellectuelle de la chose, si on diverge sur la configuration nginx recommandée par Nextcloud, ça complexifie la maintenance… et il faut bien voir que ces headers en double apparaitront pour toutes les applis qui positionnent leurs headers de sécurité :frowning:
(En tout cas, ça fonctionne si on utilise more_set_headers dans la configuration de Nextcloud)


#173

Hello @JimboJoe pourrais-tu stp me donner quelques pistes pour tenter de réparer manuellement ces accès .well-known ? Ça me fait planter toutes mes synchros contacts et calendriers. Apparemment les applications contact / calendrier OSX / iOS utilisent ces accès donc c’est moins anodin que ce que j’espérais ! Merci !


#174

Il faut que tu édites ton fichier de conf nginx pour Nextcloud (dans /etc/nginx/conf.d/tondomain.d/nextcloud.conf) pour ajouter ces lignes au début si elles manquent (en remplaçant __PATH__ par le chemin que tu as configuré).


#175

Bonjour,
Je viens de faire une nouvelle installation de mon serveur sur Rp 3, avec Nextcloud. Le serveur est ok, mais malgré 2 essais d’installation de Nextcloud, impossible d’accéder a l’app store pour installer des applications en plus de: activité et galerie ?! Le package d’applications tourne dans le vide sans aboutir…
Peut être un problème sur nginx:

“2019/02/05 07:11:59 [erreur] 13369 # 13369: ocsp.int-x3.letsencrypt.org n’a pas pu être résolu (110: l’opération a expiré) lors de la demande du statut du certificat, répondeur: ocsp.int-x3. letsencrypt.org
2019/02/05 10:41:20 [crit] 13371 # 13371: * 370 SSL_do_handshake () a échoué (SSL: erreur: 1417D18C: routines SSL: tls_process_client_hello: version trop basse) lors du transfert de connexion SSL, client: 71.6.199.23, serveur : 0.0.0.0:443
2019/02/05 13:40:52 [warning] 5458 # 5458: “ssl_stapling” ignoré, hôte introuvable dans le répondeur OCSP “ocsp.int-x3.letsencrypt.org
2019/02/05 13:40:52 [info] 5458 # 5458: Utilisation de 32768 Ko de mémoire partagée pour nchan dans /etc/nginx/nginx.conf:64
2019/02/05 21:17:12 [info] 588 # 588: Utilisation de 32768 Ko de mémoire partagée pour nchan dans /etc/nginx/nginx.conf:64
2019/02/05 22:25:54 [error] 1444 # 1444: ocsp.int-x3.letsencrypt.org n’a pas pu être résolu (110: l’opération a expiré) lors de la demande du statut du certificat, répondeur: ocsp.int-x3. letsencrypt.org
2019/02/05 22:26:08 [info] 1813 # 1813: Utilisation de 32768 Ko de mémoire partagée pour nchan dans /etc/nginx/nginx.conf:64
2019/02/05 22:36:55 [notice] 3110 # 3110: le processus de signal a commencé
2019/02/05 22:37:13 [info] 3284 # 3284: Utilisation de 32768 Ko de mémoire partagée pour nchan dans /etc/nginx/nginx.conf:64
2019/02/05 22:40:33 [info] 558 # 558: Utilisation de 32768 Ko de mémoire partagée pour nchan dans /etc/nginx/nginx.conf:64
2019/02/05 22:41:45 [info] 1896 # 1896: Utilisation de 32768 Ko de mémoire partagée pour nchan dans /etc/nginx/nginx.conf:64
2019/02/05 22:55:01 [notice] 7248 # 7248: le processus de signal a commencé
2019/02/05 22:56:01 [erreur] 7280 # 7280: MEMSTORE: 06: mon procslot non trouvé! Je ne sais pas quoi faire!
Le processus ker est en train de s’arrêter: /build/nginx-xpG2T2/nginx-1.10.3/debian/modules/nchan/src/store/memory/memstore.c:1616: nchan_store_exit_worker: l’assertion “0” a échoué.
2019/02/05 22:56:01 [alerte] 1128 # 1128: le processus de travail 7280 s’est arrêté au signal 6
2019/02/05 22:56:01 [alerte] 1128 # 1128: la zone de mémoire partagée “memstore” a été verrouillée par 7280
2019/02/05 22:56:01 [erreur] 7282 # 7282: MEMSTORE: 07: mon procslot non trouvé! Je ne sais pas quoi faire!
Le processus ker est en train de s’arrêter: /build/nginx-xpG2T2/nginx-1.10.3/debian/modules/nchan/src/store/memory/memstore.c:1616: nchan_store_exit_worker: l’assertion “0” a échoué.
2019/02/05 22:56:01 [alerte] 1128 # 1128: le processus de travail 7282 est sorti au signal 6
2019/02/05 22:56:01 [alerte] 1128 # 1128: la zone de mémoire partagée “memstore” a été verrouillée par 7282
2019/02/05 22:56:22 [info] 549 # 549: Utilisation de 32768 Ko de mémoire partagée pour nchan dans /etc/nginx/nginx.conf:64
2019/02/05 22:58:31 [info] 1971 # 1971: Utilisation de 32768 Ko de mémoire partagée pour nchan dans /etc/nginx/nginx.conf:64
2019/02/05 23:11:14 [notice] 4579 # 4579: le processus de signal a commencé
2019/02/05 23:18:59 [notice] 6909 # 6909: le processus de signalisation a commencé
2019/02/05 23:20:26 [notice] 9538 # 9538: le processus de signal a commencé
2019/02/05 23:21:02 [erreur] 9550 # 9550: MEMSTORE: 05: mon procslot non trouvé! Je ne sais pas quoi faire!
Le processus ker est en train de s’arrêter: /build/nginx-xpG2T2/nginx-1.10.3/debian/modules/nchan/src/store/memory/memstore.c:1616: nchan_store_exit_worker: l’assertion “0” a échoué.
2019/02/05 23:21:02 [alerte] 1113 # 1113: le processus de travail 9550 est sorti au signal 6
2019/02/05 23:21:02 [alerte] 1113 # 1113: la zone de mémoire partagée “memstore” a été verrouillée par 9550
2019/02/05 23:21:02 [erreur] 9548 # 9548: MEMSTORE: 04: mon procslot non trouvé! Je ne sais pas quoi faire!
Le processus ker est en train de s’arrêter: /build/nginx-xpG2T2/nginx-1.10.3/debian/modules/nchan/src/store/memory/memstore.c:1616: nchan_store_exit_worker: l’assertion “0” a échoué.
2019/02/05 23:21:02 [alerte] 1113 # 1113: le processus de travail 9548 est sorti au signal 6
2019/02/05 23:21:02 [alerte] 1113 # 1113: la zone de mémoire partagée “memstore” a été verrouillée par 9548
2019/02/05 23:21:02 [erreur] 9551 # 9551: MEMSTORE: 06: mon procslot non trouvé! Je ne sais pas quoi faire!
Le processus ker est en train de s’arrêter: /build/nginx-xpG2T2/nginx-1.10.3/debian/modules/nchan/src/store/memory/memstore.c:1616: nchan_store_exit_worker: l’assertion “0” a échoué.
2019/02/05 23:21:02 [alerte] 1113 # 1113: le processus de travail 9551 est sorti au signal 6
2019/02/05 23:21:02 [alerte] 1113 # 1113: la zone de mémoire partagée “memstore” a été verrouillée par 9551
2019/02/05 23:21:24 [info] 579 # 579: Utilisation de 32768 Ko de mémoire partagée pour nchan dans /etc/nginx/nginx.conf:64
2019/02/05 23:26:10 [info] 541 # 541: Utilisation de 32768 Ko de mémoire partagée pour nchan dans /etc/nginx/nginx.conf:64
2019/02/06 09:40:53 [crit] 1108 # 1108: * 145 SSL_do_handshake () a échoué (SSL: erreur: 1417D18C: routines SSL: tls_process_client_hello: version trop basse) lors du transfert de connexion SSL, client: 198.108.66.32, serveur : 0.0.0.0:443
2019/02/06 10:44:00 [crit] 1107 # 1107: * 163 SSL_do_handshake () a échoué (SSL: erreur: 1417D18C: routines SSL: tls_process_client_hello: version trop basse) lors du transfert de connexion SSL, client: 198.20.99.130, serveur : 0.0.0.0:443
2019/02/06 18:02:50 [crit] 1108 # 1108: * 403 SSL_do_handshake () a échoué (SSL: erreur: 1417D18C: routines SSL: tls_process_client_hello: version trop basse) lors du transfert de connexion SSL, client: 74.82.47.3, serveur : 0.0.0.0:443
2019/02/06 21:51:41 [info] 566 # 566: Utilisation de 32768 Ko de mémoire partagée pour nchan dans /etc/nginx/nginx.conf:64
2019/02/06 22:03:57 [info] 592 # 592: Utilisation de 32768 Ko de mémoire partagée pour nchan dans /etc/nginx/nginx.conf:64
2019/02/06 22:19:24 [info] 616 # 616: Utilisation de 32768 Ko de mémoire partagée pour nchan dans /etc/nginx/nginx.conf:64
2019/02/06 23:00:43 [info] 3216 # 3216: Utilisation de 32768 Ko de mémoire partagée pour nchan dans /etc/nginx/nginx.conf:64
2019/02/06 23:30:58 [info] 606 # 606: Utilisation de 32768 Ko de mémoire partagée pour nchan dans /etc/nginx/nginx.conf:64
2019/02/06 23:54:39 ​​[info] 2516 # 2516: Utilisation de 32768 Ko de mémoire partagée pour nchan dans /etc/nginx/nginx.conf:64
2019/02/07 00:02:28 [info] 578 # 578: Utilisation de 32768 Ko de mémoire partagée pour nchan dans /etc/nginx/nginx.conf:64
2019/02/07 00:12:46 [info] 594 # 594: Utilisation de 32768 Ko de mémoire partagée pour nchan dans /etc/nginx/nginx.conf:64
2019/02/07 06:50:07 [erreur] 1136 # 1136: ocsp.int-x3.letsencrypt.org n’a pas pu être résolu (110: l’opération a expiré) lors de la demande du statut du certificat, répondeur: ocsp.int-x3. letsencrypt.org
2019/02/07 06:50:20 [erreur] 1138 # 1138: ocsp.int-x3.letsencrypt.org n’a pas pu être résolu (110: l’opération a expiré) lors de la demande du statut du certificat, répondeur: ocsp.int-x3. letsencrypt.org
2019/02/07 07:03:30 [erreur] 1137 # 1137: ocsp.int-x3.letsencrypt.org n’a pas pu être résolu (110: l’opération a expiré) lors de la demande du statut du certificat, répondeur: ocsp.int-x3. letsencrypt.org
2019/02/07 07:11:41 [info] 12185 # 12185: Utilisation de 32768 Ko de mémoire partagée pour nchan dans /etc/nginx/nginx.conf:64
2019/02/07 10:08:50 [erreur] 1137 # 1137: ocsp.int-x3.letsencrypt.org n’a pas pu être résolu (110: l’opération a expiré) lors de la demande du statut du certificat, répondeur: ocsp.int-x3. letsencrypt.org
2019/02/07 13:31:10 [erreur] 1139 # 1139: ocsp.int-x3.letsencrypt.org n’a pas pu être résolu (110: l’opération a expiré) lors de la demande du statut du certificat, répondeur: ocsp.int-x3. letsencrypt.org
2019/02/07 13:31:34 [erreur] 1138 # 1138: ocsp.int-x3.letsencrypt.org n’a pas pu être résolu (110: l’opération a expiré) lors de la demande du statut du certificat, répondeur: ocsp.int-x3. letsencrypt.org
2019/02/07 13:37:22 [info] 601 # 601: Utilisation de 32768 Ko de mémoire partagée pour nchan dans /etc/nginx/nginx.conf:64
2019/02/07 14:39:31 [info] 4204 # 4204: Utilisation de 32768 Ko de mémoire partagée pour nchan dans /etc/nginx/nginx.conf:64
2019/02/07 17:01:02 [erreur] 1138 # 1138: ocsp.int-x3.letsencrypt.org n’a pas pu être résolu (110: l’opération a expiré) lors de la demande du statut du certificat, répondeur: ocsp.int-x3. letsencrypt.org
2019/02/07 17:01:05 [erreur] 1141 # 1141: ocsp.int-x3.letsencrypt.org n’a pas pu être résolu (110: l’opération a expiré) lors de la demande du statut du certificat, répondeur: ocsp.int-x3. letsencrypt.org
2019/02/07 17:02:32 [erreur] 1139 # 1139: ocsp.int-x3.letsencrypt.org n’a pas pu être résolu (110: l’opération a expiré) lors de la demande du statut du certificat, répondeur: ocsp.int-x3. letsencrypt.org
2019/02/07 18:19:23 [crit] 1138 # 1138: * 340 Échec de SSL_do_handshake () (SSL: erreur: 1417D18C: routines SSL: tls_process_client_hello: version trop basse) lors du transfert de connexion SSL, client: 216.218.206.67, serveur : 0.0.0.0:443
2019/02/07 20:08:29 [erreur] 1140 # 1140: ocsp.int-x3.letsencrypt.org n’a pas pu être résolu (110: l’opération a expiré) lors de la demande du statut du certificat, répondeur: ocsp.int-x3. letsencrypt.org
2019/02/07 20:08:51 [info] 11141 # 11141: Utilisation de 32768 Ko de mémoire partagée pour nchan dans /etc/nginx/nginx.conf:64
2019/02/07 20:22:27 [notice] 13411 # 13411: le processus de signal a commencé
2019/02/07 20:23:04 [info] 13586 # 13586: Utilisation de 32768 Ko de mémoire partagée pour nchan dans /etc/nginx/nginx.conf:64
2019/02/07 20:23:35 [info] 583 # 583: Utilisation de 32768 Ko de mémoire partagée pour nchan dans /etc/nginx/nginx.conf:64
2019/02/07 20:25:11 [info] 2120 # 2120: Utilisation de 32768 Ko de mémoire partagée pour nchan dans /etc/nginx/nginx.conf:64
2019/02/07 21:32:42 [erreur] 1144 # 1144: ocsp.int-x3.letsencrypt.org n’a pas pu être résolu (110: l’opération a expiré) lors de la demande du statut du certificat, répondeur: ocsp.int-x3. letsencrypt.org
2019/02/07 21:34:07 [info] 9398 # 9398: Utilisation de 32768 Ko de mémoire partagée pour nchan dans /etc/nginx/nginx.conf:64
2019/02/07 21:41:17 [info] 10216 # 10216: Utilisation de 32768 Ko de mémoire partagée pour nchan dans /etc/nginx/nginx.conf:64
2019/02/07 21:59:29 [notice] 12970 # 12970: le processus de signal a commencé
2019/02/07 22:00:45 [notice] 15582 # 15582: le processus de signal a commencé
2019/02/07 22:01:55 [info] 578 # 578: Utilisation de 32768 Ko de mémoire partagée pour nchan dans /etc/nginx/nginx.conf:64
2019/02/07 22:37:12 [info] 3323 # 3323: Utilisation de 32768 Ko de mémoire partagée pour nchan dans /etc/nginx/nginx.conf:64
2019/02/08 08:24:17 [erreur] 1143 # 1143: ocsp.int-x3.letsencrypt.org n’a pas pu être résolu (110: l’opération a expiré) lors de la demande du statut du certificat, répondeur: ocsp.int-x3. letsencrypt.org
2019/02/08 08:24:39 [info] 18443 # 18443: Utilisation de 32768 Ko de mémoire partagée pour nchan dans /etc/nginx/nginx.conf:64”

Quelqu’un peut-il m’aider ?
Merci d’avance


#176

New testing release (hopefully the last before stable release) :tada:


#177

Mise à jour sans problème chez moi. Merci !


#179

I updated to 15.0.4 testing without problem, thanks !


#180

Bonjour,

J’ai fait la mise à jour sur mon serveur de production.
J’ai préalablement exporté mes contacts et agendas.
Tout s’est déroulé correctement en montant la version 13.0.6 à la version 15.0.4.
Je n’ai pas eu à réactiver mes applications manuellement (Contacts, Agenda et SMS), juste à mettre à jour 2 applications : Talk et Support externe.
Un seul Warning à propos de la version php mais qui est liée à la version dans les dépôts de Debian 9 qui est un peu obsolète et qui avec la dernière version de php permettrait d’améliorer les performances.

Edit :
Votre serveur web n’est pas correctement configuré pour distribuer des fichiers .woff2. C’est une erreur fréquente de configuration Nginx. Pour Nextcloud 15, il est nécessaire de la régler pour les fichiers .woff2. Comparer votre configuration Nginx avec la configuration recommandée dans notre documentation.
… une histoire de header Nginx mais qui ne revient pas … sans doute lié à un cron de Nextcloud …

Edit 2 @JimboJoe :
Le lien vers la documentation donné par Nextcloud : https://docs.nextcloud.com/server/15/admin_manual/installation/nginx.html

Edit 3 :
Plus rien ce matin. Il n’y a que le Warning lié à php

ppr


#181

(same thing than @ppr , I just don’t have any app installed in nextcloud so I can’t say much about those :stuck_out_tongue:)


#182

Coucou,

Mise à jour de 15.02 à 15.04. Tout va bien :slight_smile: