Når man driver en server så bør man ha litt øye for sikkerhet spesielt der man driver sider hvor man sender brukernavn og passord mellom klient<-->tjener. Har egentlig aldri tenkt så veldig mye på dette temaet da jeg har trodd/tenkt at det er greit nok bare man får serverent(tjeneren) til å fungere med sertifikatet man har skaffet seg.

Men...det er ikke bare bare i bunn og grunn. Jeg fant ei nettside (Qualys SSL Labs) som tester sikkerheten/sårbarheten til nettsida/domenet. Dette er en veldig grei ting å gjøre hvis man tror at nettsida man har satt opp er sikker. Grunnen til hvorfor jeg havnet her var fordi jeg skulle installere ownCloud på Linux-boxen min (Apache på OpenSuSE LEAP 42.2). Og det nye med owncloud (har installert det et par ganger før kan man si , ikke noe nytt på den fronten), er at de varsler Administrator av systemet om ting som kan bli bedre, eller ting som evt. ikke stemmer. Dette er jo en veldig bra funksjon ville jeg ha sagt, men samtidig så er det litt (og bare litt) irriterendes når man enten ikke vet hva dem snakker om eller hvis det ikke er mulig å gjøre noe med det utenå måtte skifte OS på serveren( det siste er iallefall ikke et alternativ). Det blir alltids noe som må "fikses", føler jeg. Det er alltids et eller annet som man har glemt å gjøre. I mitt tilfelle(etter det jeg husker), var det tre ting:

1. Feil med noen HASH-verdier(ene filen manglet og den andre stemte ikke pga en oppdatering). Enkelt å fikse.
2. Security allert. Your server does not support HSTS. (Det stod ikke akkurat det, men samme budskap )
3. Your server does not support caching...(3 valg som owncloud gir oss her: memcached, APCu, Redis)

Tre problemer. Det er jo ingenting ....tenkte jeg.....i grunn 4 problemer: (2) og (3).

1. Pga skrive-rettigheter på serveren så fikk den ikke kopiert ei fil over til en annen plass. Dette ble jeg nødt til å gjøre selv. Greit nok. Dette er noe man må forvente så lenge man ikke "chmod'e" alle skriverettigheter til "a". Fant riktig fil fra den siste oppdateringen på nettsiden deres. Dvs fra deres siste nedlastbare versjon. Trodde egentlig jeg hadde dette??? Men men..det funket iallefall. Det står en del på feilsøkings-sidene deres.

3. Dette "problemet" var litt trist. OpenSuSE LEAP 42.2, har ikke disse php5-modulene. Man kan finne noen gamle versjoner fra noen ukjente distributører, men det fungerer ikke. Har prøvd. Har prøvd alt. Memcached-php, apcu-php og redis-php. PHP5-modulene heter ikke det, men sånn ca. Ikke noe å gjøre her tydeligvis. Hvorfor de har stoppet utviklingen av disse PHP5-modulene er ikke godt å si. Linux har disse modulene som man kan kjøre som daemon....men men. Etter det jeg har skjønt så støtter andre Linux-distribusjoner disse 3 PHP5-modulene. Vet ikek hvilke, men noen må jo gjøre det i og med at ownCloud har valgt disse caching-metodene. Npok om det...irriterendes tema..

2. HSTS-ja. Visste faktisk ikke hva dette var, men sånn kort fortalt så er HSTS(HTTP Strict Transport Security) en forsikring om at serveren/nettsidene alltids er kryptert når man kommuniserer mellom klient og server. Dvs. at S'en i HTTPS alltids er ivaretatt. Forsåvidt veldig enkelt å rette på i Apache-config-fila(for min del så er det config-fila til 'vhost'en. Men det tok meg litt tid før jeg fant ut plasseringen av disse linjene. For det er ikke bare å sette rett inn og håpe det er iorden. Jeg trodde jeg skulle plassere disse linjene etter at SSL var aktivert, men der tok jeg feil. Ikke stod det på nettet hvor man skulle plassere disse enkle 3 linjene. Men her er løsningen: Før SSL er slåẗt på. Her er et knippe fra owncloud-serveren på "cloudy.355k.net":

<VirtualHost *:443>
    ServerAdmin ******************************
    ServerName *****************************
    ServerAlias *************************
    DirectoryIndex index.php index.html
    # DocumentRoot: The directory out of which you will serve your
    # documents. By default, all requests are taken from this directory, but
    # symbolic links and aliases may be used to point to other locations.
    <IfModule mod_headers.c>
        Header always set Strict-Transport-Security "max-age=15552000; includeSubDomains"
    </IfModule>
    DocumentRoot *******************
        SSLEngine on
        SSLProtocol all -SSLv2 -SSLv3
        SSLHonorCipherOrder on
        ****
        ****
        ****

Ble en del lesing før jeg kom fram til dette og da kom det jo opp en del tips om sikkerhet. Sånn som å omadressere alle http-tilkopålings-forsøk til https. Jeg opprettet en vhost-fil for hvert subdomene/domene som da gjorde en "redirect" til https. Dvs. fra http://domene til https://domene. Denne vhost-fila inneholdt omtrent 4 linjer. Det er sikkert mer man kan gjøre, men for min del så holder det:

<VirtualHost *:80>
   ServerName domain
   Redirect permanent / https://domain
</VirtualHost>

Men: For å oppsummere: Det er ei nettside som heter Qualys SSL Lab. Her handler det om sikkerhet, samt en del hjelpeverktøy som tester domenet for vulnerabilities fra visse ormer/virus, samt andre ting. Kan anbefale denne siden. En del artikler som omhandler sikkerhet. Etter å ha testet serveren "noen" ganger så ender man opp med ei side som man kan kalle for "Godkjent". Her får man informasjon om sertifikat, styrke på kryptering og litt annen grums. Er amn for eksempel i tvil om et nettsted så kan man sjekke domenet her.

En grei. Oversikt. Når det gjelder sertifikat informasjon så kan vi se hvem som har gitt ut sertifikatet, og tilstanden til sertifikatet. Se bilde nedenfor.

SSL testen simulerer også hvilke systemer en "handshake" vil fungere på. Se 2 neste bilder:

Og til slutt: Hvilke protokoller som støttes: Se bildene nedenfor:

Ville bare vise hva slags informasjon man kan få ut av denne testen. Veldig mye nyttig, samtidig som at man kan sjekke andre nettsteder hvis man er i tvil på deres "seriøsitet". Vel og merke så gikk jeg litt "ut av tema", men det var installasjonen av ownCloud som førte meg hit. Er du som meg, og lurer litt på ting så er dette et godt start-sted.