Zugriff auf OnlyOffice Online einschränken

Zugriff auf OnlyOffice Online einschränken

Die online Editoren von OnlyOffice erfreuen sich großer Beliebtheit, da durch sie private Cloud-Lösungen wie Seafile, ownCloud und Nextcloud Fähigkeiten erlangen, die viele Nutzer aus den public Cloud-Diensten Google Docs oder Office 365 kennen und missen. Nach der einfachen Installation und Integration sollte der Admin noch eine Absicherung des Dokumentenserver vornehmen, um den Missbrauch durch Unbefugten zu vermeiden. Wie man den Zugriff auf den OnlyOffice Server einschränkt, zeigen wir in diesem Artikel.

Zusätzliche Absicherung von OnlyOffice nötig

Die Installation und Integration von OnlyOffice auf dem eigenen Server ist präzise im Seafile Manual erläutert und ausführlich in einem YouTube Video unseres Partners datamate beschrieben.

Die Installation – gerade mit Docker – ist in wenigen Sekunden erledigt.

Die Integration in Seafile gestaltet sich kaum schwieriger, da lediglich die folgenden Konfigurationsparameter angepasst und in die seahub_settings.py eintragen werden müssen:

# Enable Only Office
ENABLE_ONLYOFFICE = True
VERIFY_ONLYOFFICE_CERTIFICATE = False
ONLYOFFICE_APIJS_URL = 'http{s}://{OnlyOffice domain or IP}/web-apps/apps/api/documents/api.js'
ONLYOFFICE_FILE_EXTENSION = ('doc', 'docx', 'ppt', 'pptx', 'xls', 'xlsx', 'odt', 'fodt', 'odp', 'fodp', 'ods', 'fods')
ONLYOFFICE_EDIT_FILE_EXTENSION = ('docx', 'pptx', 'xlsx')

Das Problem: Wie man am Konfigurationsparameter ONLYOFFICE_APIJS_URL sieht, ist Seafile beim OnlyOffice Server nicht wählerisch. Die eingetragene URL kann auf einen eigenen OnlyOffice Server verweisen, muss aber nicht. Ist der OnlyOffice Server ungesichert, dann habe Freerider, die einfach einen fremden Dokumentenserver verwenden, einfaches Spiel. (Wir mussten nicht lange suchen um mehrere ungeschützte OnlyOffice Installation zu finden.) Bei der kostenlosen Community Variante von OnlyOffice mag das vielleicht nicht sonderlich schmerzen. Unternehmenskunden hingegen, die die kostenpflichtige Integration Edition von OnlyOffice verwenden, werden über die Belegung der Serverzugriffe durch Fremde nicht erfreut sein.

Absicherungsfunktion in OnlyOffice integriert

Die Absicherung von OnlyOffice ist dank des mitgelieferten IP-Adressenfilters ohne größere Herausforderungen. Der Konfiguration des Filters von OnlyOffice erfolgt über die Konfigurationsdatei default.json unter /etc/onlyoffice/documentserver/.

Im Standard sieht der entsprechende Eintrag wie folgt aus:

"ipfilter": {
    "rules": [{"address": "*", "allowed": true}],
    "useforrequest": false,
    "errorcode": 401
},

Durch eine Anpassung der Zeile rules lassen sich Zugriffe auf bestimmte IP-Adressen limitieren. Um den eigenen Onlyoffice Server gegen fremde Nutzung abzusichern, muss die eigene IP genehmigt und alle anderen IP-Adressen gesperrt werden:

"ipfilter": {
    "rules": [{"address": "{Seafile domain or IP}", "allowed": true},{"address": "*", "allowed": false}],
    "useforrequest": true,
    "errorcode": 403
},

Wirksam werden die Änderungen mit einem Neustart des OnlyOffice Servers bzw. einem Neustart der Dienste mit sudo supervisorctl restart all.

Fehlermeldung von OnlyOffice

Versucht nun jemand, den OnlyOffice Server als Dokumentenserver für die eigene private Cloud zu verwenden, dann wird der Versuch mit obiger Fehlermeldung quittiert. Die möglichen gleichzeitigen Verbindungen, der der installierte Server bietet, können also nicht von anderen genutzt werden. Freerider beißen sich die Zähne aus.

geschrieben von

Christoph Dyllick-Brenzinger

Christoph ist Gründer und Chefentwickler von datamate. Er ist ein absoluter Linux-Fan und hat schon früh seine Leidenschaft für Technik und Programmierung entdeckt. Seine langjährige Erfahrung als Unternehmensberater spürt man regelmäßig, wenn er nach optimalen Lösungen für die Kunden sucht. Wenn er nicht gerade den Tennisplatz unsicher macht oder bei Overwatch sein Liga-Ranking verbessert, verbringt Christoph seine Freizeit mit seiner Frau und seinen drei Kindern.