Zugriff auf OnlyOffice Online einschränken

Zugriff auf OnlyOffice Online einschränken

Die OnlyOffice Editoren erfreuen sich großer Beliebtheit insbesondere, da Sie private Cloudlösungen wie Seafile, owncloud und nextcloud um die Fähigkeiten der Online-Collaboration ergänzen.

So einfach sich OnlyOffice mittlerweile auch installieren lässt, so wenige Anwender sichern Ihren Online-Office-Suite gegen fremde Zugriffe ab. Bei einer typischen Installation von OnlyOffice gibt es keine Einschränkungen in Bezug auf die Zugriffe, bzw. wo diese herkommen. Man sollte jedoch den Zugriff auf den eigenen Server beschränken, da man sonst voraussichtlich die maximale Anzahl der parallelen Zugriffe schneller erreicht, als einem lieb ist. In diesem Artikel zeigen wir, wie man unberechtigte Zugriffe verhindern kann.

OnlyOffice – schnell installiert und mit Seafile verknüpft

Im Seafile Manual oder in unserem YouTube Video ist beschrieben, wie man in kürzester Zeit OnlyOffice auf dem eigenen Server installiert. Insbesondere die Installation mit HIlfe von Docker ist in wenigen Sekunden erledigt.

Auch die Integration in Seafile gestaltet sich nicht schwieriger, da man lediglich die folgenden Konfigurationsparameter in die seahub_settings.py eintragen und an das eigene System anpassen muss:

# Enable Only Office
ENABLE_ONLYOFFICE = True
VERIFY_ONLYOFFICE_CERTIFICATE = False
ONLYOFFICE_APIJS_URL = 'http{s}://{OnlyOffice domain or IP}/web-apps/apps/api/documents/api.js'
ONLYOFFICE_FILE_EXTENSION = ('doc', 'docx', 'ppt', 'pptx', 'xls', 'xlsx', 'odt', 'fodt', 'odp', 'fodp', 'ods', 'fods')
ONLYOFFICE_EDIT_FILE_EXTENSION = ('docx', 'pptx', 'xlsx')

Doch das hier angegebene OnlyOffice System muss gar nicht das Eigene sein. Selbstverständlich kann man hier auch ein beliebiges anderes System verwenden, welches man über das Internet erreicht. Wir mussten nicht lange suchen um mehrere OnlyOffice Installation zu finden, die nicht entsprechend geschützt sind.

Bei der kostenlosen Community-Variante mit bis zu 20 Verbindungen mag das vielleicht nicht sonderlich schmerzen, aber gerade Unternehmenskunden, die viel Geld für zusätzliche gleichzeitige Verbindungen bezahlen, werden nicht erfreut darüber sein, dass Ihr System von anderen Personen misbraucht wird.

Die Absicherung ist einfach

Dabei ist die Absicherung gar nicht schwierig, wenn man weiß, wo man ansetzen muss. In OnlyOffice kann man in der Konfigurationsdatei /etc/onlyoffice/documentserver/default.json einstellen, von welchen Adressen Zugriffe erlaubt sind. Im Standard sieht der entsprechende Eintrag so aus:

"ipfilter": {
    "rules": [{"address": "*", "allowed": true}],
    "useforrequest": false,
    "errorcode": 401
},

Diesen gilt es entsprechend anzupassen um die Zugriffe auf den eigenen Server zu limitieren:

"ipfilter": {
    "rules": [{"address": "{OnlyOffice domain or IP}", "allowed": true},{"address": "*", "allowed": false}],
    "useforrequest": true,
    "errorcode": 403
},

Sobald man diese Änderungen vorgenommen hat, muss man den OnlyOffice Server neu bzw. die Dienste mit sudo supervisorctl restart all neu starten.

Danach sind die Zugriffe auf den eigenen Server limitiert und niemand kann mehr das eigene OnlyOffice System an die eigene private Cloud anbinden.

geschrieben von

Christoph Dyllick-Brenzinger

Christoph ist Gründer und Chefentwickler von datamate. Er ist ein absoluter Linux-Fan und hat schon früh seine Leidenschaft für Technik und Programmierung entdeckt. Seine langjährige Erfahrung als Unternehmensberater spürt man regelmäßig, wenn er nach optimalen Lösungen für die Kunden sucht. Wenn er nicht gerade den Tennisplatz unsicher macht oder bei Overwatch sein Liga-Ranking verbessert, verbringt Christoph seine Freizeit mit seiner Frau und seinen drei Kindern.