web-dev-qa-db-ja.com

Nextcloudのインストールでは、デフォルトですべてのファイルにパスワードなしでアクセスできますか?

私は このガイド を使用して、Raspberry PiにNextcloudインスタンスをインストールしました。インストールは順調に進み、最終的にNextcloudのログインページを開くことができました。このページでは、適切なパスワードが提示されると、パスワードで保護されていると想定していたさまざまなリソースにアクセスできます。つまり、ログアウトしてhttps://server/nextcloud/data/user/files/を入力するまで、驚いたことに、userに属するNextcloudファイルのディレクトリリストが表示され、パスワードはまったく必要ありませんでした。

Nextcloudは、すぐに使える状態のデータ保護を本当にすべて失っていますか、それとも何か明白なものを失いましたか?

3

問題はNextcloudにあるのではなく、従うことを選択したランダムな男のインストールガイドにあります。代わりに Nextcloudの公式のもの に従った場合、その攻撃は機能しません。問題は、Nextcloudが.htaccessファイルを使用してそのディレクトリを保護することです。ランダムな非公式のインストールガイドでは、Apacheの構成(AllowOverride)で.htaccessファイルを有効にする必要があると言われていません。この間違いはよくあることであり、[管理]-> [概要]の[セキュリティとセットアップの警告]で自己診断を行い、検出すると警告を表示します。

さらに、Nextcloudの強化とセキュリティのガイダンスに従うと、 [データディレクトリをドキュメントルートの下ではない場所に設定] を推奨するため、これも停止します。