===== Objectifs =====

Comment sécuriser un peu plus l'instance Nextcloud installée et son accès.

Concernant Nextcloud les possibilités sont :

  * authentification à 2 facteurs
  * antivirus
  * détections des connexions douteuses

IMPORTANT: https://docs.nextcloud.com/server/stable/admin_manual/installation/harden_server.html

===== Authentification 2 facteurs =====

  * Difficulté : Faible
  * Impact : Nextcloud
  * Durée : 15 minutes

Application à activer

Puis paramétrage de l'option pour tous les utilisateurs ou bien uniquement les administrateurs.

Activation ensuite par l'utilisateur concerné.

Attention à bien sauvegarder les clés d'accès de secours !

Penser aussi à créer des clés d'accès pour les applications (par exemple celles sur appareils mobiles) qui ne supportent pas l'Authentification à 2 facteurs

https://docs.nextcloud.com/server/29/user_manual/en/user_2fa.html

J'utilise FreeOTP+ sur mon appareil Android, disponible aussi pour iOS : https://freeotp.github.io/, ou bien FreeOTP+ https://github.com/helloworld1/FreeOTPPlus


===== Antivirus =====

  * Difficulté : Faible
  * Impact : Nextcloud / Serveur
  * Durée : quelques dizaines de minutes

Application à activer : Antivirus for files

Le pré-requis est d'avoir accès à un serveur antivirus ClamAV (voir ci-dessous).

  * Installation "Nextcloud snap" : rien à signaler
  * Installation "Nextcloud docker" : pas encore trouvé de solution (antivirus injoignable via socket ou IP locale)


==== Installation de ClamAV ====

Site de ClamAV : https://www.clamav.net/

Pas de difficulté majeure, excepter chercher pour rien à confirer les mises à jour automatiques etc. Ce qui était déjà configuré par défaut via systemd.

J'ai surtout configuré les logs pour m'assurer du bon fonctionnement.

Je me suis appuyé sur les sites suivants :

  * https://www.malekal.com/comment-installer-et-utiliser-clamav-sur-linux/
  * https://doc.ubuntu-fr.org/clamav


Mise à jour automatique des signatures : freshclam

Installation : ''apt install clamav clamav-freshclam''

===== Détection des intrusions =====

**A faire**

TODO : automatique ou via application fournie par Nextcloud ? https://github.com/nextcloud/suspicious_login

FIXME : Sur mon serveur signale des erreurs