NC安全检测工具：Nextcloud Private Cloud Security Scanner

Apr. 22, 2017

数据安全是个大问题。去年，Dropbox的6800万个账户丢失了数据，雅虎有不少于10亿的帐户受损。Nextcloud提供了一个在线的Nextcloud安全性检测工具，它可以自动访问你的Nextcloud实例、分析安全状况。

Nextcloud Private Cloud Security Scanner会检查以下项目： [ssyellowlist]

• 程序漏洞
• 安全强化状况
• 服务器安全

[/ssyellowlist]

[warningbox]Nextcloud Private Cloud Security Scanner仅仅能从外部对服务器进行检查而无法触及到内部漏洞[/warningbox]

传送门：[scbutton link=“https://scan.nextcloud.com/” target=“blank” variation=“blue”]Nextcloud Private Cloud Security Scanner[/scbutton]

使用方法

在URL一栏输入你的Nextcloud地址，点击“Scan”

稍后，会显示结果：

因为我采用了最佳的配置方式，所以得到了最高评价A+

评价等级

[ssbluelist]

• F = 服务器版本已经淘汰，并且没有任何漏洞修复程序。服务器内的数据极易被窃取，服务器极易被控制。
• E =此服务器受到至少一个高危漏洞的威胁。很容易遭到侵入而被窃取数据甚至接管服务器。
• D =此服务器受到至少一个中等漏洞的威胁。攻击者可以通过特殊URL欺骗访问者而盗取其信息，攻击者可能会窃取数据甚至接管服务器。
• C =此服务器受到至少一个低危漏洞的影响。这可能或可能不会为攻击者提供侵入的途径，可能需要一些额外的漏洞来利用它们。
• A =这个服务器没有已知的漏洞，可以更新版本以使攻击者更加难以利用未知的漏洞进行破解。
• A+ =该服务器是最新的，配置良好，并具有行业领先的强化功能，使攻击者难以利用未知的漏洞进行破解。了解更多有关信息：https://nextcloud.com/blog/nextcloud-11-delivers-verified-security-improvements/

[/ssbluelist]

一些建议

[ssbluelist]

• 采用HTTPS链接并启用HSTS
• 设置好文件夹权限
• 及时将Nextcloud/ownCloud更新至最新版本
• 及时修复Apache/NGINX、PHP、MySQL的漏洞
• 及时更新服务器系统

[/ssbluelist]