Nexcloud и приватность

0

1

Добрый день. Пару дней назад начал изучать nexcloud, собственно появилось несколько вопросов, просьба к более знающим, подсказать:

Читал ли кто-то исходный код?
Имеют ли разработчики backdoor и что-то в этом духе к ПО?
Какова безопасность файлов и соединений, после выпуска такого сервера в интернет? Уязвимости самого Nexcloud.
На сколько безопасны их «расширения» для облака? (заметки, канбан доски, интеллект карты и т.д.)
Возможна ли авторизация с помощью публичного/приватного ключа вместо логин/пароль?

Я много читал об Nexcloud, но не на все вопросы нашел ответы. Буду благодарен за помощь от знающих людей.

Ссылка

←	Почему не работает debootstrap в Devuan?

Как узнать пароли которые были использованы при всех неудачных подключениях например к ssh/smb/httpd

→

Сначала написал большой текст, потом перечитал и всё стёр, потому как на глупые вопросы и отвечать не хочется. Если ты не понимаешь, по каким протоколам веб-сервер с клиентом общается, то дальше тебе как-то всё остальное как зонтик рыбке. Если конкретно товарищу майору не насолил - пользуйся.

Deleted
(10.12.18 11:31:18 MSK)

по средствам

Вообщем.

anonymous
(10.12.18 11:35:11 MSK)

Ссылка

Ответ на: комментарий от Deleted 10.12.18 11:31:18 MSK

Сначала написал большой текст, потом перечитал и всё стёр, потому как на глупые вопросы и отвечать не хочется. Если ты не понимаешь, по каким протоколам веб-сервер с клиентом общается, то дальше тебе как-то всё остальное как зонтик рыбке. Если конкретно товарищу майору не насолил - пользуйся.

Зря стёр. Раньше мне было без разницы, работает сайт - и пускай работает, главное было просто настроить его на хосте, сверстать дизайн и т.д. Но сейчас заинтересовался более углубленно, что стоит знающему человеку объяснить «в облегченной версии», «на пальцах» что и как?

TheLinuxUser ★★
(10.12.18 11:35:31 MSK) автор топика

Ответ на: комментарий от TheLinuxUser 10.12.18 11:35:31 MSK

Но сейчас заинтересовался более углубленно, что стоит знающему человеку объяснить «в облегченной версии», «на пальцах» что и как?

Денех это стоит. Или, как минимум времени. А по вопросам видно, что время будет потрачено впустую.

vvn_black ★★★★★
(10.12.18 11:39:19 MSK)

Ответ на: комментарий от vvn_black 10.12.18 11:39:19 MSK

Денех это стоит. Или, как минимум времени. А по вопросам видно, что время будет потрачено впустую.

Ну раз впустую, не трать его, проходи мимо)

TheLinuxUser ★★
(10.12.18 11:40:38 MSK) автор топика

Ссылка

1. Да.
2. Вопрос к разработчикам и к п. 1.
3. Как и везде.
4. См. п. 1 и документацию проекта.
5. См. п. 1 и документацию проекта.
6. Вопрос к разработчикам (самого проекта и расширений).
7. Да.

vvn_black ★★★★★
(10.12.18 11:41:36 MSK)
Последнее исправление: vvn_black 10.12.18 11:42:40 MSK (всего исправлений: 1)

Ответ на: комментарий от vvn_black 10.12.18 11:41:36 MSK

1. Да. 2. Вопрос к разработчикам и к п. 1. 3. Как и везде. 4. См. п. 1 и документацию проекта. 5. См. п. 1 и документацию проекта. 6. Вопрос к разработчикам (самого проекта и расширений). 7. Да.

Ответы хуже вопросов. Особенно гениальны 1-2. Если опыта в этом направлении нет, зачем зря по клавиатуре стучать?

TheLinuxUser ★★
(10.12.18 11:44:51 MSK) автор топика

Ответ на: комментарий от TheLinuxUser 10.12.18 11:44:51 MSK

Да там все прозрачно. Работает по http в т. ч. http/2 страхерится все средствами ssl, у меня 2 года работает с около 15 пользователями пока проблем не было. В логах только постоянно какие-то ноды в федерацию пытаются авторизоваться. На всякий еще fail2ban прикрутил (в дополнение к встроенному блокировщику) но за это время ни одной попытки даже не было.

Anoxemian ★★★★★
(10.12.18 11:52:06 MSK)

Ответ на: комментарий от Anoxemian 10.12.18 11:52:06 MSK

. В логах только постоянно какие-то ноды в федерацию пытаются авторизоваться.

Nextcloud scanning people's owncloud and nextcloud instances for security vulnerabilities and alerting «security organizations» about vulns.

TheLinuxUser ★★
(10.12.18 12:58:36 MSK) автор топика

Ответ на: комментарий от TheLinuxUser 10.12.18 12:58:36 MSK

о, ну похоже

Anoxemian ★★★★★
(10.12.18 13:38:43 MSK)

Ссылка

1-7) Сделай доступ только через ВПН.

imul ★★★★★
(10.12.18 14:35:41 MSK)

Ссылка

После блокировки Телеги, у нас nextcloud толком не работал. Сайт тоже не открывается. На установленном сервере плагины не загружались. Находил в сети инфу, что разраб (а он один) писал письмо в РКН даже, но сайт nextcloud как не открывался, так и не открывается. Через тор работает. Короче перешел на owncloud. Но, когда интересовался вопросом личного облака, натнулся еще на seafile. Говорят, что работает шустрее и файлы по умолчанию не в открытом виде. Короче, я это все к тому, что возможно не стоит ограничивать выбор одним лишь nextcloud.

kerby ★
(10.12.18 15:27:31 MSK)

Ответ на: комментарий от TheLinuxUser 10.12.18 11:35:31 MSK

Стоит это кучу времени, как выше сказали, разжёвывать на пальцах. Работает по SSL, т.е. через веб-сервер, по HTTP. На остальные вопросы в общем то и ответа однозначного даже нет, рассусоливать в простыню как-то глупо. Если в кратце - при должной настройке всё достаточно предсказуемо и надёжно. Вот такие дела. Осталось должную настройку сделать, в первую очередь сервера, на котором это всё будет хоститься. Сам по себе некстклауд в этом смысле отличается мало от какой-либо cms.

Deleted
(10.12.18 15:55:21 MSK)

Ссылка

Ответ на: комментарий от kerby 10.12.18 15:27:31 MSK

сайт nextcloud как не открывался

это какой-то... позор

demidrol ★★★★★
(10.12.18 15:59:56 MSK)

Ответ на: комментарий от demidrol 10.12.18 15:59:56 MSK

https://help.nextcloud.com/t/sajt-https-nextcloud-com-ne-otkryvaetsya/33007 А вот help.nextcloud.com -работает.

kerby ★
(10.12.18 16:48:49 MSK)

1. Не только читал, но и даже писал.
2. Вот так тебе сейчас все и скажут. Вот что ты ожидаешь услышать в ответ на такой вопрос, мне даже интересно.
3. Известных уязвимостей нет. Дальше все зависит от того на каком сервере/окружении ты его запускаешь, и смотреть уже уязвимости у них.
4. Авторизованные безопасны все. В «3rd party»-говне может быть что угодно.
5. А разве протокол http такое вообще позволяет?

morse ★★★★★
(10.12.18 17:14:51 MSK)

Ответ на: комментарий от kerby 10.12.18 16:48:49 MSK

не понял связи между твоим локалхостом, на котором всякие там апач, похапе и nextcloud с сайтом собственно nextcloud'а.

demidrol ★★★★★
(10.12.18 19:20:28 MSK)

Ответ на: комментарий от morse 10.12.18 17:14:51 MSK

2. Вот так тебе сейчас все и скажут. Вот что ты ожидаешь услышать в ответ на такой вопрос, мне даже интересно.

Обоснованные выводы с аргументами в ту или иную строну.

4. Авторизованные безопасны все. В «3rd party»-говне может быть что угодно.

Авторизованные это те что в магазине, или с отметкой «официальное»?

5. А разве протокол http такое вообще позволяет?

Не знаю как http, но у нас в гос.структурах https и нужно авторизовыватся с помощью такого приватного файл-ключа + обычный пароль. Поэтому и спрашиваю.

TheLinuxUser ★★
(10.12.18 20:41:44 MSK) автор топика