私は このガイド を使用して、Raspberry PiにNextcloudインスタンスをインストールしました。インストールは順調に進み、最終的にNextcloudのログインページを開くことができました。このページでは、適切なパスワードが提示されると、パスワードで保護されていると想定していたさまざまなリソースにアクセスできます。つまり、ログアウトしてhttps://server/nextcloud/data/user/files/
を入力するまで、驚いたことに、user
に属するNextcloudファイルのディレクトリリストが表示され、パスワードはまったく必要ありませんでした。
Nextcloudは、すぐに使える状態のデータ保護を本当にすべて失っていますか、それとも何か明白なものを失いましたか?
問題はNextcloudにあるのではなく、従うことを選択したランダムな男のインストールガイドにあります。代わりに Nextcloudの公式のもの に従った場合、その攻撃は機能しません。問題は、Nextcloudが.htaccessファイルを使用してそのディレクトリを保護することです。ランダムな非公式のインストールガイドでは、Apacheの構成(AllowOverride
)で.htaccessファイルを有効にする必要があると言われていません。この間違いはよくあることであり、[管理]-> [概要]の[セキュリティとセットアップの警告]で自己診断を行い、検出すると警告を表示します。
さらに、Nextcloudの強化とセキュリティのガイダンスに従うと、 [データディレクトリをドキュメントルートの下ではない場所に設定] を推奨するため、これも停止します。