DSM 6.x und darunter DSM 6 und HSTS

Alle DSM Version von DSM 6.x und älter
Status
Für weitere Antworten geschlossen.

maalik

Benutzer
Mitglied seit
05. Feb 2016
Beiträge
707
Punkte für Reaktionen
11
Punkte
38
Hallo zusammen

Auslöser für den Thread ist ein Fehler in owncloud:
"Der "Strict-Transport-Security" HTTP-Header ist nicht auf mindestens "15768000" Sekunden eingestellt."

Nachdem der Fix dafür nur halb was brachte wurde mir doch angeregt, einfach HSTS für die Web Station zu aktivieren.

Nunja, in DSM 6 finde ich schlichtweg nirgends eine Option, um für die Web Station HSTS zu aktivieren. bei DSM 5.2 ging das noch, hier jedoch nicht mehr.

Ist die Option verborgen? It's not a bug it's feature? Mich wundert, dass ich dazu noch nirgends was gefunden habe.

Liebe Grüße
maalik
 

OdinsAuge

Benutzer
Mitglied seit
12. Nov 2015
Beiträge
377
Punkte für Reaktionen
36
Punkte
34

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
Auslöser für den Thread ist ein Fehler in owncloud: "Der "Strict-Transport-Security" HTTP-Header ist nicht auf mindestens "15768000" Sekunden eingestellt."
Das ist kein Fehler in ownCloud.
 

maalik

Benutzer
Mitglied seit
05. Feb 2016
Beiträge
707
Punkte für Reaktionen
11
Punkte
38
Korrigiere: Fehlermeldung oder Sicherheits- & Einrichtungswarnungen
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
Letzteres ;)
 

maalik

Benutzer
Mitglied seit
05. Feb 2016
Beiträge
707
Punkte für Reaktionen
11
Punkte
38
Hallo,

ich habe inzwischen eine Lösung gefunden: In der Datei /etc/nginx/nginx.conf muss unter

Rich (BBCode):
http {

folgender Code hinzu:

Rich (BBCode):
add_header Strict-Transport-Security "max-age=15768000; includeSubDomains; preload;";

Also z.B.:

Rich (BBCode):
http {
    include         mime.types;
    default_type    application/octet-stream;
    add_header Strict-Transport-Security "max-age=15768000; includeSubDomains; preload;";
    log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '
        '$status $body_bytes_sent "$http_referer" '
        '"$http_user_agent" "$http_x_forwarded_for"';


Danach noch einmal
Rich (BBCode):
nginx -s reload

ausführen und das Problem ist gelöst!

lg
 

OdinsAuge

Benutzer
Mitglied seit
12. Nov 2015
Beiträge
377
Punkte für Reaktionen
36
Punkte
34
Danke für die Lösung, Ich werd sie heute gleich ausprobieren.
 

maalik

Benutzer
Mitglied seit
05. Feb 2016
Beiträge
707
Punkte für Reaktionen
11
Punkte
38
Leider ist die Lösung nur von kurzer Weile. Reizwolf hat mich darauf hingewiesen, dass die Änderung nach einem Neustart wohl weg ist, auch bei mir war sie nach einem Tag (ohne Neustart) wieder zurückgesetzt. Keine eine Idee, wie man das dauerhaft ändern kann?
 

tom936

Benutzer
Mitglied seit
03. Nov 2013
Beiträge
43
Punkte für Reaktionen
0
Punkte
12
Hallo,

würde mich auch interessieren hab nämlich das selbe Problem.

Gruß Tom
 

maalik

Benutzer
Mitglied seit
05. Feb 2016
Beiträge
707
Punkte für Reaktionen
11
Punkte
38
Ich habe bis heute leider keine Lösung gefunden. Würde mich also auch sehr freuen, wenn da jemand helfen kann.
 

FalkenaugeMihawk

Benutzer
Mitglied seit
24. Jun 2012
Beiträge
9
Punkte für Reaktionen
1
Punkte
0
Ich habe bis heute leider keine Lösung gefunden. Würde mich also auch sehr freuen, wenn da jemand helfen kann.
In der Web Station unter Virtueller Host den entsprechenden Host anklicken, dann auf Bearbeiten und dort kann man dann ein Häckchen bei HSTS setzen. Dann noch auf Ok und HSTS ist eingestellt für den entsprechenden Host. Je nachdem wo du das brauchst, solltest du es überall setzen.
Anhang anzeigen 31258

Falls du für die Domain, die unter anderem auf die DSM zeigt, HSTS aktivieren willst, dann musst wohl das wohl oder übel über SSH tun. Ich habe jedenfalls keine Einstellung gefunden.

Schritt 1) Logge dich auf die DS über SSH ein (mit admin Konto und normalen PW)
Schritt 2) Erlange root Rechte mit "sudo su -" (ohne Anführungszeichen) und dann das normale admin PW eingeben
Schritt 3) Erstelle eine neue Datei in /etc/nginx/conf.d mit dem Namen "http.*.conf" (das Sternchen kannst du durch irgendwas logisches für dich ersetzen), wenn man nun "hsts" nimmt, dann wäre der Dateiname "http.hsts.conf" (z.B. Kommando "nano /etc/nginx/conf.d/http.hsts.conf") (ich mag nano lieber als vi, kannst aber auch vi benutzen)
Schritt 4) Füge den Befehl vom oberen Beitrag hinzu 'add_header Strict-Transport-Security "max-age=15768000; includeSubDomains; preload;";' (ohne die ')
Schritt 5) Datei speichern und schliessen
Schritt 6) Nginx Config. neu laden lassen mit "nginx -s reload"

Das wärs dann wohl.

Nur so zur Info, dadurch wird die DSM selber nicht mit einem HSTS-Header versehen, dazu müsste die Datei "dsm.*.conf" lauten.
 
Zuletzt bearbeitet:
  • Like
Reaktionen: Holodan

maalik

Benutzer
Mitglied seit
05. Feb 2016
Beiträge
707
Punkte für Reaktionen
11
Punkte
38
Habe es so durchgeführt, wie du gesagt hast, leider ohne Erfolg. Oder gilt das nur für den Port :5001? ("Falls du für die Domain, die unter anderem auf die DSM zeigt, HSTS aktivieren willst")

Die Anleitung per VirtualHost ist leider ein ungültiger Link.
 

FalkenaugeMihawk

Benutzer
Mitglied seit
24. Jun 2012
Beiträge
9
Punkte für Reaktionen
1
Punkte
0
Habe es so durchgeführt, wie du gesagt hast, leider ohne Erfolg. Oder gilt das nur für den Port :5001? ("Falls du für die Domain, die unter anderem auf die DSM zeigt, HSTS aktivieren willst")

Die Anleitung per VirtualHost ist leider ein ungültiger Link.
Hab den Beitrag währenddessen überarbeitet, bitte den Beitrag nochmal durchlesen. "dsm.*.conf" Dateien gelten nur für das DSM
 
Zuletzt bearbeitet:

maalik

Benutzer
Mitglied seit
05. Feb 2016
Beiträge
707
Punkte für Reaktionen
11
Punkte
38
Es klappt :) Halleluja! Vielen lieben Dank!
 

OdinsAuge

Benutzer
Mitglied seit
12. Nov 2015
Beiträge
377
Punkte für Reaktionen
36
Punkte
34
Auch von mir ein großes Danke!
 

tom936

Benutzer
Mitglied seit
03. Nov 2013
Beiträge
43
Punkte für Reaktionen
0
Punkte
12
In der Web Station unter Virtueller Host den entsprechenden Host anklicken, dann auf Bearbeiten und dort kann man dann ein Häckchen bei HSTS setzen. Dann noch auf Ok und HSTS ist eingestellt für den entsprechenden Host. Je nachdem wo du das brauchst, solltest du es überall setzen.
Anhang anzeigen 31258

Falls du für die Domain, die unter anderem auf die DSM zeigt, HSTS aktivieren willst, dann musst wohl das wohl oder übel über SSH tun. Ich habe jedenfalls keine Einstellung gefunden.

Schritt 1) Logge dich auf die DS über SSH ein (mit admin Konto und normalen PW)
Schritt 2) Erlange root Rechte mit "sudo su -" (ohne Anführungszeichen) und dann das normale admin PW eingeben
Schritt 3) Erstelle eine neue Datei in /etc/nginx/conf.d mit dem Namen "http.*.conf" (das Sternchen kannst du durch irgendwas logisches für dich ersetzen), wenn man nun "hsts" nimmt, dann wäre der Dateiname "http.hsts.conf" (z.B. Kommando "nano /etc/nginx/conf.d/http.hsts.conf") (ich mag nano lieber als vi, kannst aber auch vi benutzen)
Schritt 4) Füge den Befehl vom oberen Beitrag hinzu 'add_header Strict-Transport-Security "max-age=15768000; includeSubDomains; preload;";' (ohne die ')
Schritt 5) Datei speichern und schliessen
Schritt 6) Nginx Config. neu laden lassen mit "nginx -s reload"

Das wärs dann wohl.

Nur so zur Info, dadurch wird die DSM selber nicht mit einem HSTS-Header versehen, dazu müsste die Datei "dsm.*.conf" lauten.

Super hat geklappt danke
 

helt

Benutzer
Mitglied seit
05. Aug 2016
Beiträge
8
Punkte für Reaktionen
0
Punkte
1
super ding! Sollte irgendwie als besonders nützlicher beitrag markiert werden ;)
 

Tom80

Benutzer
Mitglied seit
06. Okt 2015
Beiträge
137
Punkte für Reaktionen
2
Punkte
18
Danke!
Hat mir auch geholfen!
 

edei

Benutzer
Mitglied seit
08. Apr 2014
Beiträge
6
Punkte für Reaktionen
0
Punkte
1
auch von mir ein großes DANKE ;-)
 

Reto B

Benutzer
Mitglied seit
23. Dez 2016
Beiträge
23
Punkte für Reaktionen
0
Punkte
1
Guten Abend
Ich bekomme das nicht hin weil habe kein nano und das mit dem vi komme ich nicht mit? :(
würde mich mega freuen um eure hilfe. ich habe die ds 918+

Ich habe das Winscp aber keine schreibrechte

Danke

Gruss
Reto
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat