Skip to content

Nextcloud Brute-Force Einstellungen

Um die Sicherheit der Nextcloud zu erhöhen ist von Haus aus ein BruteForce-Schutz aktiviert, der bei zu vielen erfolglosen Anmeldeversuchen von derselben IP-Adresse den Anmeldevorgang an Nextcloud für einen bestimmten Zeitraum sperrt. Bei sehr großen Instanzen kann jedoch der BruteForce-Schutz in internen Netzwerken bei speziellen Konstellationen anschlagen und als Folge dauert der Authentifizierungsvorgang mit der Zeit immer länger.

Das kann mittels BruteForce-Whitelisting umgangen werden. Freigeben lassen sich einzelne IP-Adressen und ganze Netzwerkbereiche. Ergänzen Sie dahingehend die Konfigurationsdatei für die Nextcloud im Container puppeteer-g3.

1
2
root@puppeteer-g3:~ # cd etc/logodidact/hiera/custom.d/
root@puppeteer-g3:~/l/hiera/custom.d # vi nextcloud-g2.yaml

Im Beispiel werden 3 Netzwerkbereiche ausgenommen.

Nextcloud Brute Force
 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
ld_nextcloud::config::app:
  bruteForce.whitelist_1:
    app: bruteForce
    key: whitelist_1
    value: '192.168.0.0/16'
  bruteForce.whitelist_2:
    app: bruteForce
    key: whitelist_2
    value: '172.16.0.0/12'
  bruteForce.whitelist_3:
    app: bruteForce
    key: whitelist_3
    value: '10.0.0.0/8'

Warnung

Es wird dringend empfohlen, den Bereich der freizuschaltenden IPs und Netzwerkbereiche so gering wie möglich zu halten.

Speichern Sie die Änderungen ins GIT und führen im Anschluss einen prun im Container nextcloud-g2 durch.

1
2
3
4
5
root@puppeteer-g3:~/l/hiera/custom.d # git add .
root@puppeteer-g3:~/l/hiera/custom.d # git commit -am "Nextcloud BruteForce Ausnahmen definiert"

root@ldhost:~ # ssh nextcloud-g2
root@nextcloud-g2:~ # prun