Die Online Editoren von OnlyOffice erfreuen sich großer Beliebtheit, da sie selbstgehosteten Cloud-Lösungen wie Seafile Fähigkeiten verleihen, die Public Cloud-Dienste wie Google Docs und Office 365 standardmäßig anbieten. Nach der Installation und Integration sollte der Admin aber nicht gleich zur Tagesordnung übergehen. Die Absicherung des Dokumentenservers gegen den Missbrauch durch Unbefugten sollte seine Aufmerksamkeit für ein wenig länger auf sich ziehen. Wie man den Zugriff auf einen OnlyOffice Server einschränkt, zeigen wir in diesem Artikel.

Zusätzliche Absicherung von OnlyOffice nötig

Die Installation und Integration von OnlyOffice auf dem eigenen Server ist präzise im Seafile Manual erläutert und ausführlich in unserem YouTube Video beschrieben.

Die Installation – ein Dankeschön an Docker – ist in wenigen Sekunden erledigt. Die Integration in Seafile gestaltet sich kaum schwieriger, da lediglich die folgenden Konfigurationsparameter angepasst und in die seahub_settings.py eintragen werden müssen:

# Enable Only Office
ENABLE_ONLYOFFICE = True
VERIFY_ONLYOFFICE_CERTIFICATE = False
ONLYOFFICE_APIJS_URL = 'http{s}://{OnlyOffice domain or IP}/web-apps/apps/api/documents/api.js'
ONLYOFFICE_FILE_EXTENSION = ('doc', 'docx', 'ppt', 'pptx', 'xls', 'xlsx', 'odt', 'fodt', 'odp', 'fodp', 'ods', 'fods')
ONLYOFFICE_EDIT_FILE_EXTENSION = ('docx', 'pptx', 'xlsx')

Damit ist Onlyoffice einsatzbereicht. Bei kritischem Blick auf die Konfiguration in der seahub_settings.py fällt aber ein Problem auf: Wie man am Konfigurationsparameter ONLYOFFICE_APIJS_URL sieht, ist Seafile beim OnlyOffice Server nicht wählerisch. Die eingetragene URL kann auf einen eigenen OnlyOffice Server verweisen, muss aber nicht. Ist der OnlyOffice Server ungesichert, dann habe Freerider, die einen fremden Dokumentenserver für eigene Zwecke verwenden, einfaches Spiel. (Wir mussten beim Verfassen dieses Artikels nicht lange suchen, um mehrere ungeschützte OnlyOffice Dokumentenserver Instanzen zu finden.) Bei der kostenlosen Community Variante von OnlyOffice mag das vielleicht nicht sonderlich schmerzen. Unternehmenskunden hingegen, die die kostenpflichtige Integration Edition von OnlyOffice verwenden, werden über die Belegung der Serverzugriffe durch Fremde nicht erfreut sein.

Absicherungsfunktion in OnlyOffice integriert

Die Absicherung von OnlyOffice ist dank des mitgelieferten IP-Adressenfilters ohne größere Herausforderungen. Der Konfiguration des Filters von OnlyOffice erfolgt über die Konfigurationsdatei default.json unter /etc/onlyoffice/documentserver/.

Im Standard sieht der entsprechende Eintrag wie folgt aus:

"ipfilter": {
    "rules": [{"address": "*", "allowed": true}],
    "useforrequest": false,
    "errorcode": 401
},

Durch eine Anpassung der Zeile rules lassen sich Zugriffe auf bestimmte IP-Adressen limitieren. Um den eigenen Onlyoffice Server gegen fremde Nutzung abzusichern, muss die eigene IP genehmigt und alle anderen IP-Adressen gesperrt werden:

"ipfilter": {
    "rules": [{"address": "{Seafile domain or IP}", "allowed": true},{"address": "*", "allowed": false}],
    "useforrequest": true,
    "errorcode": 403
},

Wirksam werden die Änderungen mit einem Neustart des OnlyOffice Servers bzw. einem Neustart der Dienste mit sudo supervisorctl restart all.

Versucht nun jemand, den OnlyOffice Server als Dokumentenserver für die eigene private Cloud zu verwenden, dann wird der Versuch mit obiger Fehlermeldung quittiert. Die möglichen gleichzeitigen Verbindungen, der der installierte OnlyOffice Server bietet, können also nicht von anderen genutzt werden. Freerider beißen sich die Zähne aus.