Komplette Anleitung zur Dateizugriffskontrolle in Nextcloud

„`html

File Access Control in Nextcloud

Nextcloud bietet eine umfassende Lösung zur Dateizugriffskontrolle, die es Administratoren ermöglicht, Regelgruppen zu erstellen und zu verwalten, die aus einer oder mehreren Regeln bestehen. Jede Regelgruppe besteht aus Regeln, die sich auf verschiedene Kriterien wie IP-Adresse, Benutzergruppen, kollaborative Tags und MIME-Typen erstrecken. Wenn alle Regeln einer Gruppe zutreffen, wird der Zugriff auf das Datei verweigert.

Allgemeine Informationen zur Dateizugriffskontrolle

Die Dateizugriffskontrolle in Nextcloud ermöglicht es Administratoren, spezifische Regeln zu erstellen, um den Zugriff auf Dateien und Ordner zu steuern. Dies kann sowohl für Benutzer als auch für Gruppen gelten. Die Regeln können auf verschiedene Eigenschaften der Dateien und Benutzer angewendet werden, wie zum Beispiel den MIME-Typ, den Namen der Datei, die Größe der Datei, den Ort, von wo der Zugriff erfolgt, und den Benutzer-Agent.

Beispiele für Regeln

Eine Regelgruppe könnte etwa alle Benutzer der Support-Gruppe zwischen 17:00 Uhr und 21:00 Uhr daran hindern, auf Dateien zuzugreifen. Eine andere Regelgruppe könnte Benutzern der Internal-Test-Gruppe verwehren, auf Dateien von außerhalb des lokalen Netzwerks zuzugreifen.

Blockieren von Zugriff auf Ordner

Der einfachste Weg, den Zugriff auf einen Ordner zu blockieren, besteht darin, einen kollaborativen Tag zu verwenden. Dies bedeutet, dass entweder die Datei selbst oder eines ihrer Elternordner den gegebenen Tag zugewiesen werden muss. Dies ist unabhängig von den Berechtigungen des Benutzers für den Tag, weshalb es ratsam ist, eingeschränkte und unsichtbare Tags zu verwenden, um sicherzustellen, dass Benutzer den Zugriff nicht durch Entfernen und Neuzuweisen der Tags wiederherstellen können.

Beispiele für die Verwendung von kollaborativen Tags

Ein Beispiel für die Blockierung des Zugriffs auf einen Ordner mit dem Tag „Confidential“ ist, den Tag dem Ordner oder der Datei zuzuweisen und dann die Regelgruppe zu erstellen, die den Zugriff auf alle Dateien und Ordner mit diesem Tag verweigert.

Verhindern von Upload bestimmter Dateitypen

Es ist möglich, spezifische Dateitypen zu verhindern, dass sie in Nextcloud hochgeladen werden können. Dies kann durch die Definition einer Regel auf Basis des MIME-Typs und der mächtigen Zugriffskontrollengine von Nextcloud erfolgen. Die sicherste Methode, eine solche Regel zu definieren, ist die Verwendung eines regulären Ausdrucks, da dies alle bekannten Medientypen abdeckt, die für den zu blockierenden Dateityp verwendet werden.

Beispiel zur Verhinderung des Uploads von Zip-Dateien

Ein Beispiel zur Verhinderung des Uploads von Zip-Dateien wäre die Definition einer Regel mit dem regulären Ausdruck /^application\/(zip|x-zip-compressed)$/i.

Gemeinsame Misskonfigurationen

Blockieren von Benutzergruppen

Wenn Sie versuchen, den Zugriff auf eine Gruppe von Benutzern zu verwehren, müssen Sie sicherstellen, dass das Teilen nicht einen Weg zurück in die verweigerte Gruppe ermöglicht. Wenn Benutzer die Möglichkeit haben, öffentliche Links zu erstellen, können sie sich ausloggen und auf ihre eigenen öffentlichen Links zugreifen, um die Dateien zu lesen und zu ändern. Da sie sich in diesem Fall nicht mehr als Mitglieder der verweigerten Gruppe identifizieren, werden sie dennoch auf die Dateien zugreifen können.

Lösungen für Misskonfigurationen

Eine empfohlene Lösung für diese Misskonfiguration ist die Erstellung einer zweiten Regelgruppe, die den Zugriff für alle Benutzer verweigert, die nicht Mitglied einer Gruppe sind, die alle Benutzer der Installation umfasst.

Verfügbarkeit von Regeln

Alle Regeln können auch umgekehrt (von is zu is not) mit der Operatoroption verwendet werden.

Regeln für Dateien

  • Kollaborativer Tag: Entweder die Datei selbst oder eines ihrer Elternordner muss den gegebenen Tag zugewiesen haben.
  • MIME-Typ: Der MIME-Typ der Datei, z.B. text/plain für ein Textdokument oder httpd/unix-directory für einen Ordner.
  • Dateiname: Der Name der Datei (fallsig und nicht-fallsig sind case-insensitive).
  • Dateigröße: Die Größe der Datei (nur verfügbar bei Uploads).
  • Abfrage-Remote-Adresse: Eine IP-Range (entweder v4 oder v6) für den zugreifenden Benutzer.
  • Abfrage-Zeit: Zeitbereich und Zeitzone, wenn die Abfrage erfolgt.
  • Abfrage-URL: Die URL, die die Datei anfordert (dies ist die URL, von der die Datei bereitgestellt wird, nicht die URL, die der Benutzer derzeit ansieht).
  • Abfrage-Benutzeragent: Der Benutzeragent des Benutzers oder Clients (Nextcloud Desktop, Android und iOS sind als vorkonfigurierte Optionen verfügbar).
  • Benutzergruppenmitgliedschaft: Ob der Benutzer Mitglied der gegebenen Gruppe ist.

Beispiel für die Verwendung von Regeln

Ein Beispiel für die Verwendung von Regeln könnte sein, dass Benutzer, die nicht Mitglied einer bestimmten Gruppe sind, auf bestimmte Dateien zugreifen können. Eine Regel könnte festlegen, dass Benutzer, die nicht Mitglied des Support-Teams sind, auf alle PDF-Dateien zugreifen können, die die MIME-Typen application/pdf oder image/pdf aufweisen.

Diese Regel könnte dann umgekehrt werden, indem die Operatoroption verwendet wird, um sicherzustellen, dass Benutzer, die Mitglied des Support-Teams sind, auf keine PDF-Dateien zugreifen können.

Zusammenfassung

Die Dateizugriffskontrolle in Nextcloud bietet eine vielseitige Lösung zur Steuerung des Zugriffs auf Dateien und Ordner. Durch die Verwendung von Regeln und der mächtigen Zugriffskontrollengine können Administratoren spezifische Regeln erstellen, um den Zugriff auf Dateien zu steuern, unabhängig von den Berechtigungen der Benutzer. Dies ermöglicht es, die Sicherheit und den Schutz der Daten zu erhöhen und sicherzustellen, dass nur autorisierte Benutzer auf die Dateien zugreifen können.

„`