[Wiki] Nextcloud

Partagez ici vos Trucs et vos Astuces.
Répondre
Avatar de l’utilisateur
PengouinPdt
Contributeur
Contributeur
Messages : 1343
Inscription : 23 avr. 2016, 23:37
Localisation : 47/FR
Diaspora* : https://framasphere.org/u/hucste
Contact :
Status : Hors-ligne

Bonsoir,

J'avais fait l'impasse sur les deux tutoriels que j'ai écrit sur le wiki :

Comment installer NextCloud : Installer_Nextcloud
Comment mettre-à-jour NextCloud : Update_Nextcloud

----

Pour info, ne pas utiliser les app Android à ce jour, sur vos périphériques Android. Préférez l'utilisation de navigateur Internet !
(c'est en effet un problème de connexion que j'ai soulevé avec les app Android ... SSL Initialisation failed with Nextcloud Android ... je me doutais du problème, jusqu'à ce qu'un autre arrive à vraiment mettre le doigt dessus ...)

La raison est qu'il vous faut baisser la configuration de votre sécurité SSL pour pouvoir fonctionner avec votre serveur NC, en paramétrant pour autoriser à minima le chiffrement 'ECDHE-RSA-AES128-SHA'. Le problème est que cela demande au protocole TLS de "fallback" sur SSLv3, puisque ledit chiffrement nécessite l'usage de SSLv3. En effet, le protocole TLS est définit de telle manière que le client et le serveur discute ensemble pour savoir quel est le "premier" chiffrement le plus bas géré commun au deux. C'est celui-ci qui sera choisi dans ce cas. Sans parler que ce mode de chiffrement utilise aussi le protocole SHA1 qui est reconnu faillible dans le contexte SSL. Certaines lectures recommandent de bannir l'usage !

Dans le cas des app Android à ce jour, c'est-à-dire quasiment toutes :
- Nextcloud App (1.2.0)
- Nextcloud Beta App (20160621)
- ownCloud Notes (0.8.1)
- DavDroid

Pour se rendre compte du propos :

Code : Tout sélectionner

$ openssl ciphers -v 'ECDHE-RSA-AES128-SHA'
    ECDHE-RSA-AES128-SHA    SSLv3 Kx=ECDH     Au=RSA  Enc=AES(128)  Mac=SHA1
Dans ce cas, ce n'est pas le système d'exploitation Android qui est fautif ; en effet, si vous tester avec un navigateur internet récent, tel que Firefox pour Android, vous pourrez vous connecter, sans soucis particulier. Test exécuté, même avec Orfox, dans une connexion Tor !

En complément d'infos, SSLv3 sera définitivement supprimé lors de la mise en place de TLSv3, qui pour l'instant n'est qu'un "draft' !
Deuxième rappel, important d'ailleurs, SHA1 est déprécié fin 2016 ... il est recommandé de ne plus l'utiliser !
----
Purée, mais je suis bête ... je viens de relire cette excellente lecture à propos de vérifier nos implémentations TLS, si elles sont correctes ... c'est clairement dit pour Davdroid qu'il faut SHA1 ... tsss
PengouinPdt { le seul, le vrai } ~ " Libre as a Pengouin "
- DIY - Debian Sid | Devuan Ceres
----
Ne réponds pas aux PM d'assistance
Avatar de l’utilisateur
PengouinPdt
Contributeur
Contributeur
Messages : 1343
Inscription : 23 avr. 2016, 23:37
Localisation : 47/FR
Diaspora* : https://framasphere.org/u/hucste
Contact :
Status : Hors-ligne

Voici un article sur comment configurer NC sous Nginx, avec le gestionnaire de cache Redis, et 2FA !

----

Mais qu'est-ce donc 2FA ?
C'est ce qu'on appelle en anglais "Two Factor Authentication" ... autrement, en francais : "Deuxième Facteur d'authentification" ... ou le deuxième moyen de s'assurer de l'authentification sur votre serveur !
Le principe avec NC se base sur la gestion par QRCode ...
Quoiqu'il en soit, c'est une sur-contrainte de laquelle il faut tenir compte, et dans certains contextes ne simplifient pas l'usage. À tester dans un premier temps, et à voir selon votre usage.

Je rappelle pour le propos que la 2FA, c'est bien - mais que si vous la mettez en place, évitez ABSOLUMENT l'authentification par SMS ... préférez par mail.
En effet, il existe un type d'attaque qui permet de contourner le principe et rend vulnérable l'authentification - un comble ...
PengouinPdt { le seul, le vrai } ~ " Libre as a Pengouin "
- DIY - Debian Sid | Devuan Ceres
----
Ne réponds pas aux PM d'assistance
Avatar de l’utilisateur
piratebab
Site Admin
Site Admin
Messages : 4902
Inscription : 24 avr. 2016, 18:41
Localisation : sud ouest
Status : En ligne

J'ai lu un jour une explication simple de la double authentification. Il faut:
- et chose que je sais
- une chose que j'ai

C'est par exemple le cas d'une carte de crédit. Il faut la carte, et le code.
Sinon, pour s'y retrouver dans tout ces protocoles de chiffrement, il y a le doc de l'ansi
http://www.ssi.gouv.fr/uploads/2016/09/ ... s_v1.1.pdf
Avatar de l’utilisateur
PengouinPdt
Contributeur
Contributeur
Messages : 1343
Inscription : 23 avr. 2016, 23:37
Localisation : 47/FR
Diaspora* : https://framasphere.org/u/hucste
Contact :
Status : Hors-ligne

Oui, c'est une bonne documentation ... même si elle fait plus réfléchir que d'être explicite par l'exemple.
MErci. :D
PengouinPdt { le seul, le vrai } ~ " Libre as a Pengouin "
- DIY - Debian Sid | Devuan Ceres
----
Ne réponds pas aux PM d'assistance
Répondre