#
# Django : 2016-07-29
# vHost cloud.nausch.org (nextcloud)
#
ServerAdmin webmaster@nausch.org
ServerName cloud.nausch.org
RewriteEngine on
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}
# Welche Logdateien sollen beschrieben werden
SetEnvIf Remote_Addr "10\.0\.0\.20" dontlog
CustomLog logs/nextcloud_access.log combined
ErrorLog logs/nextcloud_error.log
ServerAdmin webmaster@nausch.org
ServerName cloud.nausch.org
ServerPath /
# URL Vereinfachung
RedirectMatch ^/*$ https://cloud.nausch.org/nextcloud/
# Wer soll Zugriff auf die Webseite(n) bekommen?
Options -Indexes +FollowSymLinks
Require all granted
# Welcher Inhalt soll angezeigt bzw. auf welchen Server sollen die HTTP-Requests weitergeleitet werden?
Options FollowSymLinks
AllowOverride none
Require all granted
Require all denied
# Link für DAV-Support
Redirect 301 /.well-known/carddav /remote.php/dav
Redirect 301 /.well-known/caldav /remote.php/dav
# Welche Logdateien sollen beschrieben werden
SetEnvIf Remote_Addr "10\.0\.0\.20" dontlog
CustomLog logs/nextcloud_access.log combined
ErrorLog logs/nextcloud_error.log
# Absicherung der Übertragung mit Hilfe von TLS
# Konfiguration bei Verwendung von mod_gnutls
# Django : 2015-10-29 - TLS-Verschlüsselung mit Hilfe von mod_gnutls
GnuTLSEnable on
# Definition der anzubietenden Protokolle und Ciphers
GnuTLSPriorities PFS:-VERS-TLS-ALL:+VERS-TLS1.2:-ARCFOUR-128:+COMP-NULL:+CURVE-SECP384R1:+CURVE-SECP521R1
# Schlüsseldatei, mit der der CSR erstellt wurde
GnuTLSKeyFile /etc/pki/tls/private/lists.nausch.org.serverkey.pem
# Zertifikatsdatei inkl. ggf. notwendiger Zwischen- und Root-Zertifikaten
# 1) Server-Zertifikat, 2) Intermediate-Root-Zertifikat und 3) Root-Zertifikat der CA
GnuTLSCertificateFile /etc/pki/tls/certs/lists.nausch.org.certificatechain_151019.pem
# Definition der Schlüssellänge für DHE und ECDHE
# DHE Schlüssel mit einer Schlüssellänge von 4096 Bit verwenden; dieser wird 1x pro Tag via cronjob
# (/etc/cron.daily/edh_keygen) neu generiert und der Neustart des nginx-Daemon veranlasst!
GnuTLSDHFile /etc/pki/tls/private/dh_4096.pem
# Session-Tickets für Clients nicht anbieten (dieser könnte versuchen über Tickets die Session zu cachen).
GnuTLSSessionTickets off
# Konfiguration bei Verwendung von mod_ssl
# Django : 2015-10-04 - TLS-Verschlüsselung mit Hilfe von mod_ssl
SSLEngine on
# Definition der anzubietenden Protokolle
SSLProtocol All -SSLv2 -SSLv3
# Definition der Cipher
#SSLCipherSuite "AES256+EECDH +AEAD"
SSLCipherSuite DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-SHA:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA:!aNULL:!eNULL:!EXP:!MD5:!DSS:!LOW
# Schlüsseldatei, mit der der CSR erstellt wurde
SSLCertificateKeyFile /etc/pki/tls/private/cloud.nausch.org.serverkey.pem
# Zertifikatsdatei inkl. ggf. notwendiger Zwischen- und Root-Zertifikaten
SSLCertificateFile /etc/pki/tls/certs/cloud.nausch.org.certificate_160801.pem
#SSLCertificateChainFile /etc/pki/tls/certs/RapidSSL_certificatechain.pem
SSLCertificateChainFile /etc/pki/tls/certs/RapidSSL_SHA256_CA_-_G3.pem
# Änderung der Cipherorder der Clienets verneinen
SSLHonorCipherOrder on
# TLS 1.0 Kompremmierung deaktivieren (CRIME attacks)
SSLCompression off
#
SSLUseStapling on
# special stuff ###
# HTTP Strict Transport Security (HSTS), bei dem der Server dem Client im HTTP-Header mitteilt,
# dass dieser nur noch verschlüsselt mit dem Server kommunizieren soll.
Header always set Strict-Transport-Security "max-age=63072000; includeSubdomains; preload"
# This header enables the Cross-site scripting (XSS) filter built into most recent web browsers.
# It's usually enabled by default anyway, so the role of this header is to re-enable the filter for
# this particular website if it was disabled by the user.
# https://www.owasp.org/index.php/List_of_useful_HTTP_headers
Header set X-XSS-Protection "1; mode=block"
# when serving user-supplied content, include a X-Content-Type-Options: nosniff header along with the Content-Type: header,
# to disable content-type sniffing on some browsers.
# https://www.owasp.org/index.php/List_of_useful_HTTP_headers
# currently suppoorted in IE > 8 http://blogs.msdn.com/b/ie/archive/2008/09/02/ie8-security-part-vi-beta-2-update.aspx
# http://msdn.microsoft.com/en-us/library/ie/gg622941(v=vs.85).aspx
# 'soon' on Firefox https://bugzilla.mozilla.org/show_bug.cgi?id=471020
Header set X-Content-Type-Options nosniff
# config to don't allow the browser to render the page inside an frame or iframe
# and avoid clickjacking http://en.wikipedia.org/wiki/Clickjacking
# if you need to allow [i]frames, you can use SAMEORIGIN or even set an uri with ALLOW-FROM uri
# https://developer.mozilla.org/en-US/docs/HTTP/X-Frame-Options
header set X-Frame-Options SAMEORIGIN