Ich habe jetzt schon recht viel gelesen und gegoogelt. Eigentlich will ich "nur" meinen Owncloud-Webserver weiter absichern. Ich habe mal getestet ( https://observatory.mozilla.org ) und kriege schlechte Noten. Ich soll "in der Konfigurationsdatei" bestimmte Headers einstellen. Der Webserver läuft mit Debian 9.
Es geht schon damit los, dass ich nicht herausfinde, wo ich das einstellen soll: httpd.conf gibt es nicht, dafür apache2.conf. Dann gibt es die übliche Struktur und da z.B. conf-enabled/@security.conf.
Eintragen würde ich testweise sowas wollen:
<IfModule mod_headers.c>
<Directory />
Header always set X-XSS-Protection "1; mode=block"
Header always set x-Frame-Options "SAMEORIGIN"
Header always set X-Content-Type-Options "nosniff"
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains"
Header always set Content-Security-Policy "default-src 'self'; font-src *;img-src * data:; script-src *; style-src *;"
Header always set Referrer-Policy "strict-origin"
</Directory>
</IfModule>
Aber meine Änderungen haben keinen Effekt. Ich stocher zu viel rum und weiß zu wenig
Außerdem habe ich gehört, dass Owncloud sich um seine Headers selbst kümmert.. nun ja.Also Frage: in welche Datei gehört der o.g. Abschnitt, undwas muss ich tun (außer "service apache2 restart") damit es wirksam wird?
Zweite Frage: Wie mache ich das, damit die o.g. Header allgemein gelten (in /var/www/html), aber in Var/ww/owncloud andere?
SSL-Zertifikat und dynDNS funktionieren..
