DSM 6.x und darunter DSM 6 und HSTS

[maalik]

Hallo zusammen

Auslöser für den Thread ist ein Fehler in owncloud:
"Der "Strict-Transport-Security" HTTP-Header ist nicht auf mindestens "15768000" Sekunden eingestellt."

Nachdem der Fix dafür nur halb was brachte wurde mir doch angeregt, einfach HSTS für die Web Station zu aktivieren.

Nunja, in DSM 6 finde ich schlichtweg nirgends eine Option, um für die Web Station HSTS zu aktivieren. bei DSM 5.2 ging das noch, hier jedoch nicht mehr.

Ist die Option verborgen? It's not a bug it's feature? Mich wundert, dass ich dazu noch nirgends was gefunden habe.

Liebe Grüße
maalik

 

[OdinsAuge]

Ich habe die Meldung auch seit DSM 6, allerdings scheint das nur mit einem VIrtual Host zu funktionieren: http://www.iholken.com/index.php/20...-synology-nas-websites-services-and-owncloud/.

Ich habe keinen virtual host eingerichtet, wäre dankbar für eine Lösung.

 

[Frogman]

Auslöser für den Thread ist ein Fehler in owncloud: "Der "Strict-Transport-Security" HTTP-Header ist nicht auf mindestens "15768000" Sekunden eingestellt."

Das ist kein Fehler in ownCloud.

 

[maalik]

Korrigiere: Fehlermeldung oder Sicherheits- & Einrichtungswarnungen

 

[Frogman]

Letzteres

 

[maalik]

Hallo,

ich habe inzwischen eine Lösung gefunden: In der Datei /etc/nginx/nginx.conf muss unter

http {

folgender Code hinzu:

add_header Strict-Transport-Security "max-age=15768000; includeSubDomains; preload;";

Also z.B.:

http {
    include         mime.types;
    default_type    application/octet-stream;
    add_header Strict-Transport-Security "max-age=15768000; includeSubDomains; preload;";
    log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '
        '$status $body_bytes_sent "$http_referer" '
        '"$http_user_agent" "$http_x_forwarded_for"';

Danach noch einmal

nginx -s reload

ausführen und das Problem ist gelöst!

lg

 

[OdinsAuge]

Danke für die Lösung, Ich werd sie heute gleich ausprobieren.

 

[maalik]

Leider ist die Lösung nur von kurzer Weile. Reizwolf hat mich darauf hingewiesen, dass die Änderung nach einem Neustart wohl weg ist, auch bei mir war sie nach einem Tag (ohne Neustart) wieder zurückgesetzt. Keine eine Idee, wie man das dauerhaft ändern kann?

 

[tom936]

Hallo,

würde mich auch interessieren hab nämlich das selbe Problem.

Gruß Tom

 

[maalik]

Ich habe bis heute leider keine Lösung gefunden. Würde mich also auch sehr freuen, wenn da jemand helfen kann.

 

[FalkenaugeMihawk]

Ich habe bis heute leider keine Lösung gefunden. Würde mich also auch sehr freuen, wenn da jemand helfen kann.

In der Web Station unter Virtueller Host den entsprechenden Host anklicken, dann auf Bearbeiten und dort kann man dann ein Häckchen bei HSTS setzen. Dann noch auf Ok und HSTS ist eingestellt für den entsprechenden Host. Je nachdem wo du das brauchst, solltest du es überall setzen.
Anhang anzeigen 31258

Falls du für die Domain, die unter anderem auf die DSM zeigt, HSTS aktivieren willst, dann musst wohl das wohl oder übel über SSH tun. Ich habe jedenfalls keine Einstellung gefunden.

Schritt 1) Logge dich auf die DS über SSH ein (mit admin Konto und normalen PW)
Schritt 2) Erlange root Rechte mit "sudo su -" (ohne Anführungszeichen) und dann das normale admin PW eingeben
Schritt 3) Erstelle eine neue Datei in /etc/nginx/conf.d mit dem Namen "http.*.conf" (das Sternchen kannst du durch irgendwas logisches für dich ersetzen), wenn man nun "hsts" nimmt, dann wäre der Dateiname "http.hsts.conf" (z.B. Kommando "nano /etc/nginx/conf.d/http.hsts.conf") (ich mag nano lieber als vi, kannst aber auch vi benutzen)
Schritt 4) Füge den Befehl vom oberen Beitrag hinzu 'add_header Strict-Transport-Security "max-age=15768000; includeSubDomains; preload;";' (ohne die ')
Schritt 5) Datei speichern und schliessen
Schritt 6) Nginx Config. neu laden lassen mit "nginx -s reload"

Das wärs dann wohl.

Nur so zur Info, dadurch wird die DSM selber nicht mit einem HSTS-Header versehen, dazu müsste die Datei "dsm.*.conf" lauten.

 

[maalik]

Habe es so durchgeführt, wie du gesagt hast, leider ohne Erfolg. Oder gilt das nur für den Port :5001? ("Falls du für die Domain, die unter anderem auf die DSM zeigt, HSTS aktivieren willst")

Die Anleitung per VirtualHost ist leider ein ungültiger Link.

 

[FalkenaugeMihawk]

Habe es so durchgeführt, wie du gesagt hast, leider ohne Erfolg. Oder gilt das nur für den Port :5001? ("Falls du für die Domain, die unter anderem auf die DSM zeigt, HSTS aktivieren willst")

Die Anleitung per VirtualHost ist leider ein ungültiger Link.

Hab den Beitrag währenddessen überarbeitet, bitte den Beitrag nochmal durchlesen. "dsm.*.conf" Dateien gelten nur für das DSM

 

[maalik]

Es klappt Halleluja! Vielen lieben Dank!

 

[OdinsAuge]

Auch von mir ein großes Danke!

 

[tom936]

In der Web Station unter Virtueller Host den entsprechenden Host anklicken, dann auf Bearbeiten und dort kann man dann ein Häckchen bei HSTS setzen. Dann noch auf Ok und HSTS ist eingestellt für den entsprechenden Host. Je nachdem wo du das brauchst, solltest du es überall setzen.
Anhang anzeigen 31258

Falls du für die Domain, die unter anderem auf die DSM zeigt, HSTS aktivieren willst, dann musst wohl das wohl oder übel über SSH tun. Ich habe jedenfalls keine Einstellung gefunden.

Schritt 1) Logge dich auf die DS über SSH ein (mit admin Konto und normalen PW)
Schritt 2) Erlange root Rechte mit "sudo su -" (ohne Anführungszeichen) und dann das normale admin PW eingeben
Schritt 3) Erstelle eine neue Datei in /etc/nginx/conf.d mit dem Namen "http.*.conf" (das Sternchen kannst du durch irgendwas logisches für dich ersetzen), wenn man nun "hsts" nimmt, dann wäre der Dateiname "http.hsts.conf" (z.B. Kommando "nano /etc/nginx/conf.d/http.hsts.conf") (ich mag nano lieber als vi, kannst aber auch vi benutzen)
Schritt 4) Füge den Befehl vom oberen Beitrag hinzu 'add_header Strict-Transport-Security "max-age=15768000; includeSubDomains; preload;";' (ohne die ')
Schritt 5) Datei speichern und schliessen
Schritt 6) Nginx Config. neu laden lassen mit "nginx -s reload"

Das wärs dann wohl.

Nur so zur Info, dadurch wird die DSM selber nicht mit einem HSTS-Header versehen, dazu müsste die Datei "dsm.*.conf" lauten.

Super hat geklappt danke

 

[helt]

super ding! Sollte irgendwie als besonders nützlicher beitrag markiert werden

 

[Tom80]

Danke!
Hat mir auch geholfen!

 

[edei]

auch von mir ein großes DANKE ;-)

 

[Reto B]

Guten Abend
Ich bekomme das nicht hin weil habe kein nano und das mit dem vi komme ich nicht mit?
würde mich mega freuen um eure hilfe. ich habe die ds 918+

Ich habe das Winscp aber keine schreibrechte

Danke

Gruss
Reto