Damit die Cloud Best möglichst abgesichert ist empfiehlt sich folgendes:
- System Firewall aktivieren
- Fail2ban aktivieren
- Das System stetig aktuell zu halten
- Optional: Korrektes TLS-Zertifikat installieren
Nicht vergessen diese Tasks gehören zur untersten Basis wie man ein System absichert!
Firewall
Mit der Firewall wird sichergestellt das nur die Ports offen sind die auch wirklich durch die Nextcloud benötigt werden:
- 22 (SSH)
- 80 (http)
- 443 (HTTPS)
Solange jetzt kein Talk Server darauf läuft, reicht das bei weitem aus, grundsätzlich könnte man sich auch überlegen 22 und 80 zu schliessen (sofern kein Let’s Encrypt benutzt wird).
Firewall aktivieren
Security -> UFW
fail2ban
fail2ban ist ein Set aus Client, Server und Konfigurationsdateien, welches Logdateien überwacht, dort nach vordefinierten Mustern sucht und nach diesen temporär IP-Adressen sperrt.
fail2ban aktivieren
Security -> fail2ban
Damit man bei einer Blockierung informiert wird kann man unter Email noch die eigene Adresse angeben.
Updates
Weiter sollte man sich eine Strategie überlegen, wie man mit den Updates umgehen soll, klar wenn die Cloud nur im internen Netzwerk erreichbar ist, muss man nicht jede Version gleich zur Veröffentlichung installieren.
Updates installieren muss man aber dennoch, da nur so sichergestellt ist das alles korrekt läuft und jegliche Bugs im System behoben werden (oder natürlich neue dazu kommen).
- Mindestens einmal im Monat sollten die Betriebssystem Updates mit einem anschliessenden Neustart des Raspberry Pis durchgeführt werden
- Die Nextcloud und die darauf laufenden Apps sollten stets aktuell gehalten werden
- Die NextCloudPi sollte aktuell gehalten werden
Betriebssystem
Die Updates können klassisch über SSH ausgeführt werden mit dem folgenden Befehl:
sudo apt update && sudo apt upgrade
Oder man führt das ganze über die NextCloudPi Konfigurationsseite aus
Updates->Unüberwachte System-Updates
NextCloudPi
Unter Updates -> Update kann man die NextCloudPi selbst aktualisieren, was geändert wird ist jeweils im Changelog ersichtlich
Nextcloud
Das NextCloudPi Projekt hat den automatischen Updater der direkt in der Nextcloud integriert ist deaktiviert, damit wird sichergestellt das jeweils nur auf die Version aktualisiert wird, die auch durch die NextCloudPi Version unterstützt ist.
Wie also das Update durchführen oder zumindest prüfen möchte, ob ein neues Update vorhanden ist?
- Changelog prüfen was geändert wird
- Updates -> nc-update-nextcloud Konfigurationsseite öffnen und bei der Version 0 belassen
Die Version könnte auch durch eine aktuellere Version ersetzt werden die nicht durch das NextCloudPi Projekt unterstützt wird, empfohlen ist es aber nicht!
Nextcloud Apps
Die Apps können direkt in der Nextcloud aktualisiert werden oder auch über die NextCloudPi Konfigurationsseite
Updates -> nc-update-nc-apps
Automatisch
Wer sich nicht darum kümmern möchte kann die Automatischen Updates aktivieren:
- Nextcloud: nc-autoupdate-nc
- Nextcloud Apps: nc-update-nc-apps-auto
- NextCloudPi: Automatische NCP-Updates
Zertifikat
Initial wird ein selbst signiertes TLS-Zertifikat mit ausgeliefert, das ist für interne zwecke vollkommen ausreichend nur die ständige Warnung im Browser kann irritierend oder sogar störend sein.
Wie also die Meldung wegbringen?
- Offiziell signiertes TLS-Zertifikat vom Anbieter Ihres Vertrauens und der händischen Anpassung des Apache Webservers installieren
- Mit Let’s Encrypt ein eigenes freies Zertifikat beantragenMit Let’s Encrypt wird spätestens alle 90 Tage ein neues Zertifikat automatisch beantragt und im Apache hinterlegt, hierbei ist wichtig das die Nextcloud von extern per Port 80 und 443 erreichbar ist und über eine eigene Domäne verfügt (über einen DDNS Dienst oder bei einer Fixen IP über eine eigene Domäne).
