Group-Office mit wenigen Tipps absichern

Vor wenigen Wochen stellte ich in meinem Blog Group-Office etwas näher vor. Da ich selbst ein aktiver Anwender dieser schönen Groupware bin und mich auch mit Sicherheit beschäftige, darf diese natürlich auch hier nicht fehlen. Nach rund einem Jahr Erfahrung mit Group-Office kann ich nun einige brauchbare Tipps für das zusätzliche Absichern geben. Einige können direkt bei der Installation getroffen oder nachträglich noch durchgeführt werden.

Tipp 1: Daten nicht in der Webebene sichern

Bereits bei der Erstinstallation wird man dazu aufgefordert, den zukünftigen Speicherort für alle Daten anzugeben. Vorwiegend landen dort hochgeladene Dateien. Da es sich oftmals um sensible Daten, wie private Bilder, Dokumente etc. handeln kann, sollte hierbei ein besonderer Schutz gelten. Daher bietet es sich an, das Verzeichnis gleich außerhalb der Webebene anzulegen, falls dies möglich ist.

Pfad des data Folders, bei der Installation
Pfad des data Folders, bei der Installation

Dann ist der Ordner über keine URL-Adressierung von außen aufrufbar. Man muss im System eingeloggt sein, um Daten direkt sehen und darauf zugreifen zu können. Nachträglich lässt sich diese Angabe natürlich mittels der config.php anpassen, einfach den Pfad der Variable “$config[‘file_storage_path’]” ändern und den Ordner dorthin verschieben.

Tipp 2: Verwende HTTPS!

Einen wirklichen Zuwachs an Sicherheit bringt eine SSL-Verschlüsselung. Bereits beim Installieren lässt sich dies festlegen. Hierzu wird eine gültige HTTPS-Adresse benötigt. Möchte man nachträglich auf SSL umsteigen, muss lediglich eine Zeile in der config.php angepasst werden.

$config['host']="http://example.com/"; // kein SSL
$config['host']="https://example.com/"; // SSL

URL-Anpassung für sichere Verbindung vornehmen

Tipp 3: config.php auslagern

Die config.php landet normal direkt im Hauptverzeichnis einer jeden Group-Office Installation. Daher wäre sie von außen erreichbar, aber nicht einsehbar. Dieses Vorgehen wird von so ziemlich jedem Webserver verhindert. Dennoch lässt sich die Konfigurationsdatei eine Ordnerebene höher schieben und sollte sich im Regelfall damit außerhalb der Webebene befinden. Dort kommen nur Administratoren ran und schon sind die Datenbankangaben besser geschützt.

Tipp 4: Verzeichnisschutz verwenden

Wer Group-Office nicht öffentlich nutzt, der ist mit einem Verzeichnisschutz gut beraten. Zwar müssen sich Anwender zwei Mal Anmelden, dies schafft aber auch doppelte Sicherheit. Am besten eignet sich Digest für die Benutzer- und Passwortübergabe. In meinem Artikel über "HTTP-Authentifizierung: Basic vs. Digest" beschrieb ich bereits die wesentlichen Unterschiede beider Verfahren.

AuthType Digest
AuthName "Group-Office"
AuthDigestDomain https://example.com/
AuthUserFile //www/htdocs/group-office/.htpasswd
AuthGroupFile /dev/null
  require valid-user
  satisfy all

Beispiel für einen Verzeichnisschutz

Tipp 5: Installationsordner löschen

Oft und gern wird der Installationsordner vergessen. Daher sollte nach erfolgreicher Installation oder nach einem Update der Ordner “install” auf alle Fälle gelöscht werden. So wird verhindert, das ein Außenstehender das Installationsmenu überhaupt aufrufen und damit böse Dinge anstellen kann.

Abschließende Zusammenfassung

Diese wenigen Tipps helfen dabei, die Sicherheit einer jeden Group-Office Installation erheblich zu erhöhen. Einen absoluten Schutz gibt es aber nicht. Möchte ein Angreifer in ein System herein, dann wird er über lang oder kurz auch einen Einstieg finden. Leider ist ab Version 4.x das Modul Blacklist entfernt worden. Damit war eine Limitierung bei falschen Logindaten auf eine IP möglich. Ich hoffe Merijn Schering (GO Entwickler) integriert dieses Modul wieder. Diesbezüglich werde ich ihn noch kontaktieren.

Haben andere Group-Office Administratoren noch weitere brauchbare Tipps, die hier nicht fehlen dürfen? Dann schreibt es mir in den Kommentaren. Ich bin für jeden hilfreichen Hinweis dankbar.

Anmerkung Die Nutzung sicherer Passworte setze ich standardmäßig voraus!


Avatar von reraiseace
Autor: Markus Werner (reraiseace) Twitterreraiseace, Google+reraiseace, Twittercb_werner
Ich bin Redaktionsvolontär bei der COMPUTER BILD in Hamburg, Fernstudent am Deutschen Journalistenkolleg und schreibe auf re{raise}ace privat über Webdesign und Programmierung. Seit 2015 schrieb ich auch regelmäßig für andere Medien.

2 Kommentare

Du kannst diesen Artikel nicht mehr kommentieren.

  1. Kommentar von Matthias Grocholl · · #

    Vielen Dank für diese Zusammenfassung.

    Zur Limitierung bei falschen Logindaten siehe hier: https://www.group-office.com/wiki/Fail2ban

    https würde ich gern verwenden, nur die obengenannten Zeilen habe ich nicht in der config.php, meine lautet: $config[‘host’]=”/groupoffice/”; Was nun?

  2. Kommentar von reraiseace · · #

    Hallo Matthias,

    das ist schon alles richtig so. Du ersetzt jetzt einfach “/groupoffice/” durch die HTTPS-Adresse. Meine paar Zeilen dort oben sind lediglich beispielhaft.