Damit die Cloud Best möglichst abgesichert ist empfiehlt sich folgendes:

• System Firewall aktivieren
• Fail2ban aktivieren
• Das System stetig aktuell zu halten
• Optional: Korrektes TLS-Zertifikat installieren

Nicht vergessen diese Tasks gehören zur untersten Basis wie man ein System absichert!

Firewall

Mit der Firewall wird sichergestellt das nur die Ports offen sind die auch wirklich durch die Nextcloud benötigt werden:

• 22 (SSH)
• 80 (http)
• 443 (HTTPS)

Solange jetzt kein Talk Server darauf läuft, reicht das bei weitem aus, grundsätzlich könnte man sich auch überlegen 22 und 80 zu schliessen (sofern kein Let’s Encrypt benutzt wird).

 

Firewall aktivieren

Security -> UFW

fail2ban

fail2ban ist ein Set aus Client, Server und Konfigurationsdateien, welches Logdateien überwacht, dort nach vordefinierten Mustern sucht und nach diesen temporär IP-Adressen sperrt.

 

fail2ban aktivieren

Security -> fail2ban

Damit man bei einer Blockierung informiert wird kann man unter Email noch die eigene Adresse angeben.

 

Updates

Weiter sollte man sich eine Strategie überlegen, wie man mit den Updates umgehen soll, klar wenn die Cloud nur im internen Netzwerk erreichbar ist, muss man nicht jede Version gleich zur Veröffentlichung installieren.

Updates installieren muss man aber dennoch, da nur so sichergestellt ist das alles korrekt läuft und jegliche Bugs im System behoben werden (oder natürlich neue dazu kommen).

• Mindestens einmal im Monat sollten die Betriebssystem Updates mit einem anschliessenden Neustart des Raspberry Pis durchgeführt werden
• Die Nextcloud und die darauf laufenden Apps sollten stets aktuell gehalten werden
• Die NextCloudPi sollte aktuell gehalten werden

 

Betriebssystem

Die Updates können klassisch über SSH ausgeführt werden mit dem folgenden Befehl:

sudo apt update && sudo apt upgrade

Oder man führt das ganze über die NextCloudPi Konfigurationsseite aus

Updates->Unüberwachte System-Updates

 

NextCloudPi

Unter Updates -> Update kann man die NextCloudPi selbst aktualisieren, was geändert wird ist jeweils im Changelog ersichtlich

 

Nextcloud

Das NextCloudPi Projekt hat den automatischen Updater der direkt in der Nextcloud integriert ist deaktiviert, damit wird sichergestellt das jeweils nur auf die Version aktualisiert wird, die auch durch die NextCloudPi Version unterstützt ist.

Wie also das Update durchführen oder zumindest prüfen möchte, ob ein neues Update vorhanden ist?

1. Changelog prüfen was geändert wird
2. Updates -> nc-update-nextcloud Konfigurationsseite öffnen und bei der Version 0 belassen

Die Version könnte auch durch eine aktuellere Version ersetzt werden die nicht durch das NextCloudPi Projekt unterstützt wird, empfohlen ist es aber nicht!

Nextcloud Apps

Die Apps können direkt in der Nextcloud aktualisiert werden oder auch über die NextCloudPi Konfigurationsseite

Updates -> nc-update-nc-apps

 

Automatisch

Wer sich nicht darum kümmern möchte kann die Automatischen Updates aktivieren:

• Nextcloud: nc-autoupdate-nc
• Nextcloud Apps: nc-update-nc-apps-auto
• NextCloudPi: Automatische NCP-Updates

 

Zertifikat

Initial wird ein selbst signiertes TLS-Zertifikat mit ausgeliefert, das ist für interne zwecke vollkommen ausreichend nur die ständige Warnung im Browser kann irritierend oder sogar störend sein.

Wie also die Meldung wegbringen?

• Offiziell signiertes TLS-Zertifikat vom Anbieter Ihres Vertrauens und der händischen Anpassung des Apache Webservers installieren
• Mit Let’s Encrypt ein eigenes freies Zertifikat beantragenMit Let’s Encrypt wird spätestens alle 90 Tage ein neues Zertifikat automatisch beantragt und im Apache hinterlegt, hierbei ist wichtig das die Nextcloud von extern per Port 80 und 443 erreichbar ist und über eine eigene Domäne verfügt (über einen DDNS Dienst oder bei einer Fixen IP über eine eigene Domäne).